ENISA — Agentúra Európskej ďnie pre kybernetická bezpecnost
ENISA (Agentúra Európskej ďnie pre kybernetická bezpecnost) je centrálny orgán EÚ pre odborňa znalosti a koordinéciu v oblasti kybernetickej bezpecnosti. Podla Cyber Resilience Act sa ENISA stáva povinnám bodom hlásenia zraniteľností v pripojených produktoch — výrobcovia musia ENISA ozňamit aktívne exploitovaný zranitelnost do 24 hodín.
Kľúčová fakty
| Detail | Informácia |
|---|---|
| Celý názov | Agentúra Európskej ďnie pre kybernetická bezpecnost |
| Založeňa | 2004 |
| Trval� mandát | Akt EÚ o kybernetickej bezpecnosti (Nariadenie 2019/881) |
| Súdlo | Atšny, Gršcko (prevádzkový� centrum v Heraklione, Kršta) |
| Kľúčová rola podla CRA | Centršlna platforma na hlásenie zraniteľností (koordinécia CSIRT) |
Rola ENISA v ekosystéme CRA
Centrum hlásenia zraniteľností
Podla CRA prevádzkuje ENISA jednotňa platformu hlšseňa pre EÚ:
| Sp—tac | Lehota hlásenia | Pošadovaňa informácie |
|---|---|---|
| Objaveňa aktívne exploitovaný zranitelnost | 24 hodín — vcasňa varovanie ENISA | Ovplyvneňa produkt, povaha zranitelnosti, zšvažnost, stav exploitšcie |
| Nšsledňa oznámenie | 72 hodín | Podrobňa technický posúdenie, plánovaňa ňapravňa opatrenia |
| Zšverecňa správa | 14 dňa | Základná pršcina, úplný ňaprava, ovplyvnené verzie produktu, stav záplaty |
Kritická pre výrobcov: Ak je vý produkt nasadený po celej EÚ a pre jeden z komponentov výho SBOM je publikovaný CVE, musíte ENISA ozňamit do 24 hodín, ak existuj� dôkazy o exploitšcii. To vyžaduje automatizovaný monitorovanie zraniteľností — manužlne sledovanie v tomto rozsahu nestac�.
Certifikacňa schémy EÚ
ENISA vyvýja celošnijňa certifikacňa schémy podla Aktu o kybernetickej bezpecnosti:
| Schšma | Stav | Rozsah |
|---|---|---|
| EUCC (EU Common Criteria) | Prijat� | IKT produkty hodnotení podla Common Criteria |
| EUCS (EU Cloud Services) | V príprave | Poskytovatelia cloudových služieb |
| EU5G (5G Security) | V príprave | Zariadenia a komponenty 5G sietí |
| Certifikácia CRA | Ocakšvaňa | Kritická kategórie produktov podla CRA |
Koordinécia a poradenstvo
| Funkcia | Popis |
|---|---|
| Sieť CSIRT | Koordinuje národňa tímy pre reakciu na bezpecnostňa incidenty (vrátane SK-CERT) |
| EU-CyCLONe | Kršzový manažment pre rozsiahle kybernetická incidenty |
| ENISA Threat Landscape | Rocňa správa o hrozbách — primárna publikšcia EÚ o kybernetických hrozbách |
| Usmernenia | Publikuje pokyny na implementšciu NIS2, CRA a noriem kybernetickej bezpecnosti |
ENISA a NIS2
Kšm CRA pokrýva hlásenie zraniteľností produktov ENISA, NIS2 pokrýva hlásenie organizacňach incidentov:
| Aspekt | CRA ? ENISA | NIS2 ? CSIRT |
|---|---|---|
| Kto hlási | Výrobcovia produktov | Základná/dôležit� entity |
| Co sa hlási | Zranitelnosti produktov | Kybernetická incidenty ovplyvňujúce organizšciu |
| Lehota | 24 hodín (vcasňa varovanie) | 24 hodín (prvý oznámenie) |
| Co sa stane potom | ENISA koordinuje celošnijňa reakciu | Nšrodňa CSIRT koordinuje lokšlnu reakciu |
Dopad na výrobcov hardvéru
- Nastavte proces hlásenia ENISA — Vytvorte interňa postupy pre 24/72h/14d hlásenie zraniteľností.
- Automatizujte monitorovanie — Použ�vajte monitorovanie SBOM na priebežný porovnávanie komponentov s databšzou CVE.
- Urcte PSIRT tím — Product Security Incident Response Team je rozhranie výrobcu s ENISA.
- Testujte proces — Vykoňavajte simulacňa cvicenia zverejnenia zranitelnosti na overenie reakcnej doby.
Presne toto automatizuje naža služba SBOM monitorovania — priebežný CVE porovnávanie s SBOM výho produktu s predformátovaňami správami ENISA pripravenémi na odoslanie.
Súvisiace pojmy
- CRA — Nariadenie vyžadujúce 24-hodinový hlásenie zraniteľností ENISA.
- NIS2 — Smernica vyžadujúca organizacňa hlásenie incidentov, koordinovaňa cez siet CSIRT ENISA.
- CVE — Identifikátory zraniteľností, ktorý sp—taj� povinnosti hlásenia ENISA.
- SBOM — Inventár komponentov používaňa na porovnávanie produktov so známymi zranitelnostami pre hlásenie ENISA.