4637829

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Summaries of EU legislation
Võrgu- ja infosüsteemide küberturvalisus

Help

Search tips

Need more search options? Use the Advanced search

Summaries of EU Legislation

Help

Võrgu- ja infosüsteemide küberturvalisus

KOKKUVÕTE:

direktiiv (EL) 2022/2555 meetmete kohta, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu ELis

MIS ON DIREKTIIVI EESMÄRK?

Direktiiviga (EL) 2022/2555, mida tuntakse küberturvalisuse 2. direktiivina, sätestatakse ühine küberturvalisuse reguleeriv raamistik, mille eesmärk on tõsta küberturvalisuse taset Euroopa Liidus (EL), milleks ELi liikmesriigid peavad tugevdama küberturvalisuse võimekust. Samuti kehtestatakse küberturvalisuse riskijuhtimismeetmed ja teatamiskohustus kriitilise tähtsusega sektorites ning koostöö, teabe jagamise, järelevalve ja täitmise tagamise eeskirjad.

PÕHIPUNKTID

Küberturvalisus tähendab tegevusi, mis on vajalikud, et kaitsta võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid küberohtude eest.

Kriitilise tähtsusega sektorid

Direktiivi kohaldatakse peamiselt keskmise suurusega ja suurte üksuste suhtes, kes tegutsevad järgmistes selle I lisas määratletud kriitilise tähtsusega sektorites:

energia;
- elektrienergia, sealhulgas tootmis-, jaotus- ja ülekandesüsteemid ning laadimispunktid;
- kaugküte ja -jahutus;
- nafta, sealhulgas tootmis-, hoiustamis- ja ülekandejuhtmed;
- gaas, sealhulgas varustus-, jaotus- ja ülekandesüsteemid ning gaasi hoiustamine;
- vesinik;
transport: lennu-, raudtee-, vee- ja maanteetransport;
pangandus- ja finantsturgude taristud, nagu krediidiasutused, kauplemiskohtade korraldajad ja kesksed vastaspooled;
tervis, sealhulgas tervishoiuteenuste osutajad, põhifarmaatsiatoodete ja kriitilise tähtsusega meditsiiniseadmete tootjad ning ELi referentlaborid;
joogivesi;
reovesi.
digitaristu, sealhulgas andmekeskusteenuste osutajad, pilvandmetöötlusteenused, üldkasutatavate elektroonilise side võrkude ja üldkasutatavate elektroonilise side teenuste osutajad;
IKT-teenuste haldamine (ettevõtetevaheline);
kosmos;
avalik haldus kesk- ja piirkondlikul tasandil, välja arvatud kohtusüsteemid, parlamendid ja keskpangad, kuigi direktiivi ei kohaldata avaliku halduse üksuste suhtes, kes tegutsevad riigi julgeoleku, avaliku julgeoleku, riigikaitse või õiguskaitse valdkonnas.

Seda kohaldatakse ka muudele kriitilise tähtsusega sektoritele, nagu on määratletud II lisas:

posti- ja kulleriteenused;
jäätmekäitlus;
kemikaalide valmistamine, tootmine ja levitamine;
toiduainete tootmine, töötlemine ja turustamine;
tootmine, eelkõige meditsiiniseadmed, arvutid, elektroonilised ja optilised tooted, teatavat liiki elektriseadmed ja masinad, mootorsõidukid ja muud transpordivahendid;
digiteenuste osutajad – internetipõhiste kauplemiskohtade, otsingumootorite ja sotsiaalvõrgustike pakkujad ning
teadusasutused.

Riiklik küberturvalisuse strateegia

Kõik liikmesriigid peavad võtma vastu riikliku strateegia küberturvalisuse kõrge taseme saavutamiseks ja säilitamiseks kriitilise tähtsusega sektorites, sealhulgas järgmised:

juhtimisraamistik, milles selgitatakse asjaomaste sidusrühmade rolli ja kohustusi riiklikul tasandil;
tarneahela turvalisusega seotud poliitika;
nõrkuste haldamise poliitika;
küberturvalisuse alase hariduse ja koolituse edendamise ja arendamise poliitika ning
meetmed küberturvalisuse alase teadlikkuse parandamiseks kodanike seas.

Liikmesriigid peavad koostama 17 aprilliks 2025 nimekirja elutähtsatest ja olulistest üksustest ning domeeninimede registreerimise teenuseid pakkuvatest üksustest. Nad peavad selle loetelu korrapäraselt läbi vaatama ja vajaduse korral seda ajakohastama ning seejärel tegema seda vähemalt iga kahe aasta järel. Euroopa Komisjon võttis vastu suunised nende loetelude koostamisel kogutava teabe kohta ja selleks vajaliku vormi.

Komisjon on avaldanud ka suunised, milles selgitatakse suhteid direktiivi (EL) 2022/2555 ning kehtivate ja tulevaste sektoripõhiste ELi õigusaktide vahel, mis käsitlevad küberturvalisuse riskijuhtimismeetmeid või intsidentidest teatamise nõudeid. Suuniste lisas on esitatud mittetäielik loetelu sektoripõhistest õigusaktidest, mida komisjon peab direktiivi (EL) 2022/2555 artikli 4 kohaldamisalasse kuuluvaks.

Arvutiturbe intsidentide lahendamise üksused

Arvutiturbe intsidentide lahendamise üksused (CSIRTid) annavad üksustele tehnilist abi, sealhulgas

korraldades küberohtude, nõrkade kohtade ja intsidentide seiret ja analüüsi riiklikul tasandil;
andes varajasi hoiatusi, hoiatusi, teateid ja teavet asjaomastele üksustele ja teistele sidusrühmadele küberohtude, nõrkuste ja intsidentide kohta võimaluse korral lähitulevikus;
lahendades intsidentide ja osutades abi, kui see on kohaldatav;
kogudes ja analüüsides kohtuekspertiisiandmeid, analüüsides järjepidevalt riske ja intsidente ning tagades küberturvalisuse alase olukorrateadlikkuse;
kontrollides elutähtsa või olulise üksuse taotlusel ennetavalt selle üksuse võrgu- ja infosüsteeme, et teha kindlaks potentsiaalselt olulise mõjuga nõrkused.

CSIRTide võrgustik

Direktiiviga luuakse riiklike CSIRTide võrgustik, et edendada kiiret ja tõhusat operatiivkoostööd.

Kaitseriskide koordineeritud avalikustamine

Liikmesriigid peavad tegema järgnevat:

määrama ühe oma CSIRTidest IKT-toodetes või -teenustes avastatud nõrkuste koordineeritud avalikustamise koordinaatoriks;
tagama, et liikmesriikide inimesed saavad nõrkusest teavitada taotluse korral anonüümselt.

Euroopa Liidu Küberturvalisuse Amet (ENISA) töötab välja nõrkuste andmebaasi ja haldab seda.

Koostöörühm

Direktiiviga luuakse koostöörühm, et toetada ja hõlbustada strateegilist koostööd ja teabevahetust. See koosneb liikmesriikide, komisjoni ja ENISA esindajatest. Vajaduse korral võib koostöörühm kutsuda Euroopa Parlamenti ja asjaomaste sidusrühmade esindajaid oma töös osalema.

Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik

Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU-CyCLONe) koosneb liikmesriikide küberkriiside ohjamise asutuste esindajatest koos komisjoniga juhtudel, kui võimalikul või jätkuval ulatuslikul küberturbeintsidendil on või tõenäoliselt on oluline mõju käesoleva direktiivi kohaldamisalasse kuuluvatele sektoritele. Muudel juhtudel osaleb komisjon EU-CyCLONe tegevuses vaatlejana.

Võrgustik toetab ulatuslike küberturbeintsidentide ja kriiside koordineeritud ohjamist operatiivtasandil ning tagab korrapärase teabevahetuse liikmesriikide ning ELi institutsioonide, organite, talitluste ja asutuste vahel.

Võrgustiku ülesanded on muuhulgas järgmised:

koordineerida ulatuslike küberturbeintsidentide ja kriiside ohjamist ning toetada selliste intsidentide ja kriisidega seotud otsuste tegemist poliitilisel tasandil;
tõsta valmisoleku taset;
arendada ühist olukorrateadlikkust ning
hinnata ulatuslike küberturbeintsidentide ja kriiside tagajärgi ja mõju ning pakkuda välja võimalikke leevendusmeetmeid.

Küberturvalisuse riskijuhtimise meetmed

Üksused peavad võtma asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi küberturvalisuse riskijuhtimismeetmeid. Meetmete kataloog hõlmab muu hulgas riskianalüüsi ja infosüsteemide turbe põhimõtteid, intsidentide käsitlemist, talitluspidevust, avariitaastet ja kriisiohjet, tarneahela turvalisust, nõrkuste käsitlemist ja avalikustamist, peamisi hügieenitavasid, krüptograafia (ja vajaduse korral krüpteerimise) kasutamisega seotud põhimõtteid ja menetlusi, personali turvalisust ning mitmetegurilise autentimise või pideva autentimise lahenduste kasutamist. Need meetmed peavad põhinema kõiki ohte hõlmaval lähenemisviisil.

Korraldusasutused peavad need meetmed heaks kiitma ja jälgima nende rakendamist ning neid võib rikkumiste eest vastutusele võtta.

Aruandlus

Üksused peavad teavitama CSIRTi või asjaomast asutust kõigist intsidentidest, mis

on põhjustanud või võib põhjustada asjaomase üksuse teenuste osutamisel tõsiseid tegevushäireid või rahalist kahju;
on mõjutanud või võib mõjutada teisi, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju.

Lisaks koostab ENISA koos komisjoni ja koostöörühmaga iga kahe aasta järel aruande küberturvalisuse olukorra kohta ELis, mis esitatakse ka Euroopa Parlamendile.

Järelevalve ja täitmise tagamine

Direktiiviga nähakse ette õiguskaitsevahendid ja sanktsioonid, et tagada selle täitmine.

Vastastikune hindamine

Vastastikuseid hindamisi korraldatakse eesmärgiga õppida jagatud kogemustest, tugevdada vastastikust usaldust, saavutada küberturvalisuse ühtlaselt kõrge tase ning tugevdada liikmesriikide küberturvalisuse alast võimekust ja poliitikat, mis on vajalik käesoleva direktiivi rakendamiseks. Vastastikune hindamine hõlmab kohapealseid või virtuaalseid külastusi ja teabevahetust väljaspool tegevuskohta. Vastastikuses hindamises osalemine on vabatahtlik.

Rakendusaktid

Rakendusmääruses (EL) 2024/2690 on sätestatud eeskirjad direktiivi (EL) 2022/2555 kohaldamiseks seoses küberturvalisuse riskijuhtimismeetmete tehniliste ja metoodiliste nõuetega ning täpsustatud juhud, mil intsidenti peetakse oluliseks seoses järgnevaga:

domeeninimede süsteemi teenuse osutajad;
tippdomeeninimede registrid;
pilvandmetöötlusteenuse osutajad;
andmekeskuse teenuse osutajad,
sisu levitamise võrguteenuse pakkujad;
hallatud teenuse osutajad;
hallatud turbeteenuse osutajad;
Interneti-põhiste kauplemiskohtade, Interneti-põhiste otsingumootorite ja sotsiaalvõrguteenuste platvormide pakkujad, ja
usaldusteenuse osutajad.

Kehtetuks tunnistamine

Direktiiviga (EL) 2022/2555 tunnistati kehtetuks direktiiv (EL) 2016/1148 (vt kokkuvõte) alates 18. oktoobrist 2024 ja rakendusmäärusega (EL) 2024/2690 tunnistati kehtetuks rakendusmäärus (EL) 2018/151, millega kehtestati direktiivi (EL) 2016/1148 kohaldamise eeskirjad.

MIS AJAST EESKIRJU KOHALDATAKSE?

Direktiivi siseriiklikku õigusesse ülevõtmise tähtaeg oli 17. oktoober 2024. Eeskirju kohaldatakse alates 18. oktoobrist 2024.

TAUST

Lisateave

Küberturvalisus (Euroopa Komisjon)
Kuidas EL suurendab oma küberturvalisust? (Euroopa Ülemkogu, Euroopa Liidu Nõukogu)
Kuidas EL reageerib kriisidele ja suurendab vastupanuvõimet (Euroopa Ülemkogu, Euroopa Liidu Nõukogu)
Euroopa digitulevik (Euroopa Ülemkogu, Euroopa Liidu Nõukogu)

PÕHIDOKUMENT

Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152)

Direktiivi (EL) 2022/2555 hilisemad muudatused on algdokumenti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus.

SEONDUVAD DOKUMENDID

Komisjoni 17. oktoobri 2024. aasta rakendusmäärus (EL) 2024/2690, millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujatega direktiivi (EL) 2022/2555 kohaldamise eeskirjad, mis puudutavad küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ja selliste juhtude täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks (ELT L, 2024/2690, 18.10.2024)

Komisjoni teatis – Komisjoni suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 3 lõike 4 kohaldamise kohta 2023/C 324/02 (ELT L 324, 14.9.2023, lk 2–7)

Komisjoni teatis – Komisjoni suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 4 lõigete 1 ja 2 kohaldamise kohta 2023/C 328/02 (ELT L 328, 18.9.2023, lk 2–10)

Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1–79)

Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2557, mis käsitleb elutähtsa teenuse osutajate toimepidevust ja millega tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ (ELT L 333, 27.12.2022, lk 164–198)

Euroopa Parlamendi ja nõukogu 28. aprilli 2021. aasta määrus (EL) 2021/696, millega luuakse liidu kosmoseprogramm ja Euroopa Liidu Kosmoseprogrammi Amet ning tunnistatakse kehtetuks määrused (EL) nr 912/2010, (EL) nr 1285/2013 ja (EL) nr 377/2014 ning otsus nr 541/2014/EL (ELT L 170, 12.5.2021, lk 69–148)

Euroopa Parlamendi ja nõukogu 29. aprilli 2021. aasta määrus (EL) 2021/694, millega luuakse programm „Digitaalne Euroopa“ ja tunnistatakse kehtetuks otsus (EL) 2015/2240 (ELT L 166, 11.5.2021, lk 1–34)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 7.6.2019, lk 15–69)

Vt konsolideeritud versioon.

Komisjoni 26. märtsi 2019. aasta soovitus (EL) 2019/534 5G-võrkude küberturvalisus (ELT L 88, 29.3.2019, lk 42–47)

Euroopa Parlamendi ja nõukogu 4. juuli 2018. aasta määrus (EL) 2018/1139, mis käsitleb tsiviillennunduse valdkonna ühisnorme ja millega luuakse Euroopa Liidu Lennundusohutusamet ning millega muudetakse Euroopa Parlamendi ja nõukogu määrusi (EÜ) nr 2111/2005, (EÜ) nr 1008/2008, (EL) nr 996/2010, (EL) nr 376/2014 ja Euroopa Parlamendi ja nõukogu direktiive 2014/30/EL ning 2014/53/EL ning tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu määrused (EÜ) nr 552/2004 ja (EÜ) nr 216/2008 ning nõukogu määrus (EMÜ) nr 3922/91 (ELT L 212, 22.8.2018, lk 1–122)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiiv (EL) 2018/1972, millega kehtestatakse Euroopa elektroonilise side seadustik (uuesti sõnastatud) (ELT L 321, 17.12.2018, lk 36–214)

Vt konsolideeritud versioon.

Nõukogu 11. detsembri 2018. aasta rakendusotsus (EL) 2018/1993, mis käsitleb ELi integreeritud korda poliitiliseks reageerimiseks kriisidele (ELT L 320, 17.12.2018, lk 28–34)

Komisjoni 13. septembri 2017. aasta soovitus (EL) 2017/1584, koordineeritud reageerimise kohta ulatuslike küberturvalisuse intsidentide ja kriiside korral (ELT L 239, 19.9.2017, lk 36–58)

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1–88)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73–114)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 12. augusti 2013. aasta direktiiv 2013/40/EL, milles käsitletakse infosüsteemide vastu suunatud ründeid ja millega asendatakse nõukogu raamotsus 2005/222/JSK (ELT L 218, 14.8.2013, lk 8–14)

Euroopa Parlamendi ja nõukogu 17. detsembri 2013. aasta otsus nr 1313/2013/EL liidu kodanikukaitse mehhanismi kohta (ELT L 347, 20.12.2013, lk 924–947)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiv 2011/93/EL, mis käsitleb laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis asendab nõukogu raamotsuse 2004/68/JSK (ELT L 335, 17.12.2011, lk 1–14)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 11. märtsi 2008. aasta määrus (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002 (ELT L 97, 9.4.2008, lk 72–84)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37–47)

Vt konsolideeritud versioon.

Viimati muudetud: 07.3.2025

Top

Choose the experimental features you want to try

KOKKUVÕTE:

MIS ON DIREKTIIVI EESMÄRK?

PÕHIPUNKTID

Kriitilise tähtsusega sektorid

Riiklik küberturvalisuse strateegia

Arvutiturbe intsidentide lahendamise üksused

CSIRTide võrgustik

Kaitseriskide koordineeritud avalikustamine

Koostöörühm

Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik

Küberturvalisuse riskijuhtimise meetmed

Aruandlus

Järelevalve ja täitmise tagamine

Vastastikune hindamine

Rakendusaktid

Kehtetuks tunnistamine

MIS AJAST EESKIRJU KOHALDATAKSE?

TAUST

PÕHIDOKUMENT

SEONDUVAD DOKUMENDID