EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Cybersecurity of network and information systems
Kibersigurnost mrežnih i informacijskih sustava
Kibersigurnost mrežnih i informacijskih sustava
Direktiva (EU) 2016/1148 – kibersigurnost mrežnih i informacijskih sustava
Njome se predlaže dalekosežan niz mjera radi poticanja razine sigurnosti mrežnih i informacijskih sustava (kibersigurnost*) kako bi se osigurale usluge od ključne važnosti za gospodarstvo i društvo EU-a. Njome se nastoji osigurati da zemlje EU-a budu pripravne i spremne na rješavanje kibernetičkih napada na sljedeći način:
Njome se uspostavlja i suradnja u okviru EU-a na strateškoj i tehničkoj razini.
Naposljetku, njome se uvodi obveza za pružatelje ključnih i digitalnih usluga da provedu odgovarajuće sigurnosne mjere i da obavijeste nadležna nacionalna tijela o ozbiljnijim incidentima.
Poboljšanje nacionalnih sposobnosti u pogledu kibersigurnosti
Zemlje EU-a moraju:
Zemlje EU-a moraju uvesti i nacionalnu strategiju za kibersigurnost mrežnih i informacijskih sustava* koja obuhvaća sljedeća pitanja:
Nacionalna nadležna tijela nadgledaju primjenu Direktive putem:
CSIRT-ovi su odgovorni za sljedeće:
Zahtjevi za sigurnost i obavješćivanje
Direktivom se nastoji promicati kultura upravljanja rizicima. Poduzeća koja djeluju u ključnim sektorima moraju procijeniti rizik kojem se izlažu i donijeti mjere za osiguranje kibersigurnosti. Ta poduzeća moraju obavijestiti nadležna tijela ili CSIRT-ove o svim relevantnim incidentima, kao što su hakiranje ili krađa podataka, koji ozbiljno narušavaju kibersigurnost i koji imaju znatan negativan učinak na kontinuitet ključnih usluga i isporuku robe.
Kako bi utvrdile incidente o kojima pružatelji ključnih usluga* moraju obavijestiti, zemlje EU-a trebale bi uzeti u obzir trajanje incidenta i zemljopisnu raširenost, kao i druge faktore, primjerice broj korisnika koji se oslanjanju na tu uslugu.
I ključni pružatelji digitalnih usluga (internetske tražilice, usluge računalstva u oblaku i internetska tržišta) morat će se uskladiti sa zahtjevima za sigurnost i obavješćivanje.
Poboljšanje suradnje na razini EU-a
Direktivom se uspostavlja skupina za suradnju čije zadaće uključuju:
Uspostavlja se i mreža CSIRT-ova koja se sastoji od predstavnikâ CSIRT-ova iz zemalja EU-a i timova za odgovor na računalne opasnosti (CERT-EU). Njezine zadaće uključuju:
Sankcije
Zemlje EU-a moraju primijeniti učinkovite, proporcionalne i odvraćajuće sankcije radi osiguranja provedbe odredaba ove Direktive.
Primjenjuje se od 8. kolovoza 2016. Zemlje EU-a trebaju je uključiti u nacionalno pravo do 9. svibnja 2018. i identificirati pružatelje ključnih usluga do 9. studenoga 2018.
Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016., str. 1.–30.)
Provedbena uredba Komisije (EU) 2018/151 od 30. siječnja 2018. o utvrđivanju pravila za primjenu Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća u odnosu na dodatne specifikacije elemenata koje pružatelji digitalnih usluga moraju uzeti u obzir u upravljanju rizicima kojima je izložena sigurnost njihovih mrežnih i informacijskih sustava i parametara za utvrđivanje ima li incident znatan učinak (SL L 26, 31.1.2018., str. 48.–51.)
Provedbena odluka Komisije 2017/179 od 1. veljače 2017. o utvrđivanju postupovnih mjera potrebnih za funkcioniranje Skupine za suradnju u skladu s člankom 11. Stavkom 5. Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 28, 2.2.2017., str. 73.–77.)
Komunikacija Komisije Europskom parlamentu i Vijeću: Optimalno iskorištavanje potencijala Direktive NIS – prema učinkovitoj provedbi Direktive (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (COM(2017) 476 final 2, 4.10.2017.)
Preporuka Komisije (EU) 2017/1584 od 13. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera (SL L 239, 19.9.2017., str. 36.–58.)
Zajednička komunikacija Europskom parlamentu i Vijeću: Otpornost, odvraćanje i obrana: Jačanje kibersigurnosti EU-a (JOIN(2017) 450 final, 13.9.2017.)
Radni dokument službi Komisije – Procjena strategije kibersigurnosti EU-a iz 2013. (SWD(2017) 295 final, 13.9.2017.)
Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.–114.)
Odluka Vijeća 2013/488/EU od 23. rujna 2013. o sigurnosnim propisima za zaštitu klasificiranih podataka EU-a (SL L 274, 15.10.2013., str. 1.–50.).
Sukcesivne izmjene Odluke 2013/488/EU uključene su u izvorni dokument. Ovaj pročišćeni tekst ima samo dokumentarnu vrijednost.
Direktiva 2013/40/EU Europskog parlamenta i Vijeća od 12. kolovoza 2013. o napadima na informacijske sustave i o zamjeni Okvirne odluke Vijeća 2005/222/PUP (SL L 218, 14.8.2013., str. 8.–14.)
Uredba (EU) br. 526/2013 Europskog parlamenta i Vijeća od 21. svibnja 2013. o Agenciji Europske unije za mrežnu i informacijsku sigurnost (ENISA) i o stavljanju izvan snage Uredbe (EZ) br. 460/2004 (SL L 165, 18.6.2013., str. 41.–58.)
Zajednička komunikacija Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija: Strategija Europske unije za kibernetičku sigurnost: Otvoren, zaštićen i siguran kibernetički prostor (JOIN(2013) 1 final, 7.2.2013.)
Posljednje ažuriranje 01.03.2018