Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Summaries of EU Legislation

Kibersigurnost mrežnih i informacijskih sustava

Date of last review:
01/03/2018
Author:
Ured za publikacije Europske unije
Responsible entity(ies):
Glavna uprava za komunikacijske mreže, sadržaje i tehnologije
Summarised document(s):

Kibersigurnost mrežnih i informacijskih sustava

 

SAŽETAK DOKUMENATA:

Direktiva (EU) 2016/1148 – kibersigurnost mrežnih i informacijskih sustava

ČEMU SLUŽI OVA DIREKTIVA?

Njome se predlaže dalekosežan niz mjera radi poticanja razine sigurnosti mrežnih i informacijskih sustava (kibersigurnost*) kako bi se osigurale usluge od ključne važnosti za gospodarstvo i društvo EU-a. Njome se nastoji osigurati da zemlje EU-a budu pripravne i spremne na rješavanje kibernetičkih napada na sljedeći način:

Njome se uspostavlja i suradnja u okviru EU-a na strateškoj i tehničkoj razini.

Naposljetku, njome se uvodi obveza za pružatelje ključnih i digitalnih usluga da provedu odgovarajuće sigurnosne mjere i da obavijeste nadležna nacionalna tijela o ozbiljnijim incidentima.

KLJUČNE TOČKE

Poboljšanje nacionalnih sposobnosti u pogledu kibersigurnosti

Zemlje EU-a moraju:

  • odrediti jedno ili više nacionalnih nadležnih tijela i CSIRT-ove te odrediti jedinstvenu nacionalnu kontaktnu točku (u slučaju da postoji više od jednog nadležnog tijela),
  • identificirati pružatelje ključnih usluga u ključnim sektorima, kao što su energetika, prijevoz, financije, bankarstvo, zdravstvo, voda i digitalna infrastruktura u kojima bi kibernetički napad poremetio ključnu uslugu.

Zemlje EU-a moraju uvesti i nacionalnu strategiju za kibersigurnost mrežnih i informacijskih sustava* koja obuhvaća sljedeća pitanja:

  • pripravnost i spremnost na rješavanje kibernetičkih napada,
  • uloge, odgovornosti i suradnju vladinih tijela i drugih relevantnih sudionika,
  • programe edukacije, podizanja razine svijesti i osposobljavanja,
  • istraživačke i razvojne planove,
  • planove za procjenu rizika.

Nacionalna nadležna tijela nadgledaju primjenu Direktive putem:

  • procjene kibersigurnosti i sigurnosne politike pružatelja ključnih usluga,
  • nadzora pružatelja digitalnih usluga,
  • sudjelovanja u radu skupine za suradnju (koja se sastoji od nadležnih tijela mrežne i informacijske sigurnosti (NIS) iz svake zemlje EU-a, Europske komisije i Agencije Europske unije za mrežnu i informacijsku sigurnost (ENISA)),
  • obavještavanja javnosti o pojedinačnim incidentima ako je to nužno za sprečavanje incidenta ili rješavanje incidenta koji je u tijeku,
  • izdavanja obvezujućih uputa s ciljem ispravljanja nedostataka kibersigurnosti.

CSIRT-ovi su odgovorni za sljedeće:

  • praćenje incidenata i odgovaranje na incidente u pogledu kibersigurnosti,
  • pružanje analize rizika i incidenata te pregleda situacije,
  • sudjelovanje u mreži CSIRT-ova,
  • suradnju s privatnim sektorom,
  • promicanje primjene normiranih praksi za rješavanje incidenata i rizika te klasifikaciju informacija.

Zahtjevi za sigurnost i obavješćivanje

Direktivom se nastoji promicati kultura upravljanja rizicima. Poduzeća koja djeluju u ključnim sektorima moraju procijeniti rizik kojem se izlažu i donijeti mjere za osiguranje kibersigurnosti. Ta poduzeća moraju obavijestiti nadležna tijela ili CSIRT-ove o svim relevantnim incidentima, kao što su hakiranje ili krađa podataka, koji ozbiljno narušavaju kibersigurnost i koji imaju znatan negativan učinak na kontinuitet ključnih usluga i isporuku robe.

Kako bi utvrdile incidente o kojima pružatelji ključnih usluga* moraju obavijestiti, zemlje EU-a trebale bi uzeti u obzir trajanje incidenta i zemljopisnu raširenost, kao i druge faktore, primjerice broj korisnika koji se oslanjanju na tu uslugu.

I ključni pružatelji digitalnih usluga (internetske tražilice, usluge računalstva u oblaku i internetska tržišta) morat će se uskladiti sa zahtjevima za sigurnost i obavješćivanje.

Poboljšanje suradnje na razini EU-a

Direktivom se uspostavlja skupina za suradnju čije zadaće uključuju:

  • pružanje smjernica za mrežu CSIRT-ova,
  • razmjenu najbolje prakse u pogledu identifikacije pružatelja ključnih usluga,
  • pomoć zemljama EU-a u izgradnji sposobnosti u pogledu kibersigurnosti,
  • razmjenu informacija i najbolje prakse u pogledu podizanja razine svijesti i osposobljavanja, istraživanja i razvoja,
  • razmjenu informacija i najbolje prakse u pogledu rizika i incidenata,
  • raspravu o modalitetima za slanje obavijesti o incidentima.

Uspostavlja se i mreža CSIRT-ova koja se sastoji od predstavnikâ CSIRT-ova iz zemalja EU-a i timova za odgovor na računalne opasnosti (CERT-EU). Njezine zadaće uključuju:

  • razmjenu informacija o uslugama CSIRT-ova,
  • razmjena informacija o incidentima u pogledu kibersigurnosti,
  • pružanje podrške zemljama EU-a u rješavanju prekograničnih incidenata,
  • razmatranje i određivanje koordiniranog odgovora na incident koji prijavi zemlja EU-a,
  • raspravu o daljnjim oblicima operativne suradnje te njihovo istraživanje i utvrđivanje, uključujući:
    • kategorije rizika i incidenata,
    • rana upozorenja,
    • uzajamnu pomoć,
    • suradnju među zemljama pri odgovoru na rizike i incidente koji utječu na nekoliko zemalja EU-a,
  • obavješćivanje skupine za suradnju o svojim aktivnostima te traženje smjernica,
  • raspravu o poukama stečenima u vježbama koje se odnose kibersigurnost,
  • raspravu o sposobnostima pojedinačnog CSIRT-a na njihov zahtjev,
  • izdavanje smjernica radi operativne suradnje.

Sankcije

Zemlje EU-a moraju primijeniti učinkovite, proporcionalne i odvraćajuće sankcije radi osiguranja provedbe odredaba ove Direktive.

OTKAD SE OVA DIREKTIVA PRIMJENJUJE?

Primjenjuje se od 8. kolovoza 2016. Zemlje EU-a trebaju je uključiti u nacionalno pravo do 9. svibnja 2018. i identificirati pružatelje ključnih usluga do 9. studenoga 2018.

POZADINA

KLJUČNI POJMOVI

Kibersigurnost: sposobnost mrežnih i informacijskih sustava da odolijevaju radnjama koje ugrožavaju dostupnost, autentičnost, cjelovitost ili povjerljivost digitalnih podataka ili usluga koje ti sustavi pružaju.
Mrežni i informacijski sustav: elektronička komunikacijska mreža ili bilo koji uređaj ili grupa povezanih uređaja koji obrađuju digitalne podatke kao i digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili prenose.
Ključne usluge: privatna poduzeća ili javna tijela koja imaju važnu ulogu za društvo i gospodarstvo, kao što je opskrba vodom, usluge opskrbe električnom energijom itd.

GLAVNI DOKUMENT

Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016., str. 1.–30.)

VEZANI DOKUMENTI

Provedbena uredba Komisije (EU) 2018/151 od 30. siječnja 2018. o utvrđivanju pravila za primjenu Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća u odnosu na dodatne specifikacije elemenata koje pružatelji digitalnih usluga moraju uzeti u obzir u upravljanju rizicima kojima je izložena sigurnost njihovih mrežnih i informacijskih sustava i parametara za utvrđivanje ima li incident znatan učinak (SL L 26, 31.1.2018., str. 48.–51.)

Provedbena odluka Komisije 2017/179 od 1. veljače 2017. o utvrđivanju postupovnih mjera potrebnih za funkcioniranje Skupine za suradnju u skladu s člankom 11. Stavkom 5. Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 28, 2.2.2017., str. 73.–77.)

Komunikacija Komisije Europskom parlamentu i Vijeću: Optimalno iskorištavanje potencijala Direktive NIS – prema učinkovitoj provedbi Direktive (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (COM(2017) 476 final 2, 4.10.2017.)

Preporuka Komisije (EU) 2017/1584 od 13. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera (SL L 239, 19.9.2017., str. 36.–58.)

Zajednička komunikacija Europskom parlamentu i Vijeću: Otpornost, odvraćanje i obrana: Jačanje kibersigurnosti EU-a (JOIN(2017) 450 final, 13.9.2017.)

Radni dokument službi Komisije – Procjena strategije kibersigurnosti EU-a iz 2013. (SWD(2017) 295 final, 13.9.2017.)

Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.–114.)

Odluka Vijeća 2013/488/EU od 23. rujna 2013. o sigurnosnim propisima za zaštitu klasificiranih podataka EU-a (SL L 274, 15.10.2013., str. 1.–50.).

Sukcesivne izmjene Odluke 2013/488/EU uključene su u izvorni dokument. Ovaj pročišćeni tekst ima samo dokumentarnu vrijednost.

Direktiva 2013/40/EU Europskog parlamenta i Vijeća od 12. kolovoza 2013. o napadima na informacijske sustave i o zamjeni Okvirne odluke Vijeća 2005/222/PUP (SL L 218, 14.8.2013., str. 8.–14.)

Uredba (EU) br. 526/2013 Europskog parlamenta i Vijeća od 21. svibnja 2013. o Agenciji Europske unije za mrežnu i informacijsku sigurnost (ENISA) i o stavljanju izvan snage Uredbe (EZ) br. 460/2004 (SL L 165, 18.6.2013., str. 41.–58.)

Zajednička komunikacija Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija: Strategija Europske unije za kibernetičku sigurnost: Otvoren, zaštićen i siguran kibernetički prostor (JOIN(2013) 1 final, 7.2.2013.)

Posljednje ažuriranje 01.03.2018

Top