Tinklų ir informacinių sistemų kibernetinis saugumas

PAGRINDINIAI ASPEKTAI

Kibernetinis saugumas yra veikla, būtina tinklų ir informacinėms sistemoms, tokių sistemų naudotojams ir kitiems kibernetinių grėsmių veikiamiems žmonėms apsaugoti.

Itin svarbūs sektoriai

Ši direktyva iš esmės taikoma vidutinėms ir didelėms įmonėms, veikiančioms toliau nurodytuose ypatingos svarbos sektoriuose, kaip apibrėžta jos I priede:

• energetika:
  • elektros energija, įskaitant gamybos, skirstymo ir perdavimo sistemas bei įkrovimo prieigas,
  • centralizuotas šilumos ir vėsumos tiekimas,
  • nafta, įskaitant gamybos, laikymo ir perdavimo vamzdynus,
  • dujos, įskaitant tiekimo, skirstymo ir perdavimo sistemas bei laikymą,
  • vandenilis;
• oro, geležinkelio, vandens ir kelių transportas;
• bankininkystė ir finansų rinkų infrastruktūros objektai, pavyzdžiui, kredito įstaigos, prekybos vietų operatoriai ir pagrindinės sandorio šalys;
• sveikata, įskaitant sveikatos priežiūros paslaugų teikėjus, pagrindinių farmacijos produktų ir ypatingos svarbos medicinos priemonių gamintojus bei ES etalonines laboratorijas;
• geriamasis vanduo;
• nuotekos;
• skaitmeninė infrastruktūra, įskaitant duomenų centrų paslaugų teikėjus, debesijos kompiuterijos paslaugas, viešuosius elektroninių ryšių tinklus ir viešai prieinamas elektroninių ryšių paslaugas;
• IRT paslaugų valdymas (verslas verslui);
• kosmosas;
• viešasis administravimas centriniu ir regioniniu lygmenimis, išskyrus teismų sistemą, parlamentus ir centrinius bankus. Tačiau direktyva netaikoma viešojo administravimo subjektams, kurie vykdo veiklą nacionalinio saugumo, visuomenės saugumo, gynybos ar teisėsaugos srityse.

Ši direktyva taip pat taikoma kitiems itin svarbiems sektoriams, kaip apibrėžta II priede:

• pašto ir kurjerių paslaugoms;
• atliekų tvarkymui;
• cheminių medžiagų gamybai ir platinimui;
• maisto gamybai, perdirbimui ir platinimui;
• gamybai, visų pirma medicinos priemonių, kompiuterinių, elektroninių ir optinių gaminių, tam tikros elektros įrangos ir mašinų, motorinių transporto priemonių ir kitos transporto įrangos;
• skaitmeninių paslaugų teikėjams, įskaitant elektroninių prekyviečių teikėjus, paieškos sistemų teikėjus ir socialinių tinklų paslaugų platformos teikėjus;
• mokslinių tyrimų organizacijoms.

Nacionalinė kibernetinio saugumo strategija

Kiekviena valstybė narė turi priimti nacionalinę strategiją, kuria būtų siekiama užtikrinti ir išlaikyti aukštą kibernetinio saugumo lygį itin svarbiuose sektoriuose, įskaitant:

• valdymo sistemą, pagal kurią paaiškinami atitinkamų suinteresuotųjų subjektų vaidmenys ir pareigos nacionaliniu lygmeniu;
• tiekimo grandinių saugumo politiką;
• pažeidžiamumų valdymo politiką;
• švietimo ir mokymo kibernetinio saugumo klausimais skatinimo ir plėtros politiką;
• priemones, kurios pagerintų piliečių supratimą apie kibernetinį saugumą.

Ne vėliau kaip 2025 m. balandžio 17 d. valstybės narės turi sudaryti esminių ir svarbių subjektų bei domeno vardo registravimo paslaugas teikiančių subjektų sąrašą. Po tos datos valstybės narės turi reguliariai ir ne rečiau kaip kas dvejus metus peržiūrėti tą sąrašą ir, kai tinkama, jį atnaujinti. Europos Komisija priėmė gaires dėl informacijos, kurią reikia rinkti sudarant šiuos sąrašus, ir dėl tokių sąrašų pateikimo šablono.

Komisija taip pat išleido gaires, kuriose paaiškinamos taisyklės dėl Direktyvos (ES) 2022/2555 ir dabartinių bei būsimų konkretiems sektoriams taikomų ES teisės aktų, kuriais reglamentuojamos kibernetinio saugumo rizikos valdymo priemonės arba pranešimo apie incidentus reikalavimai, tarpusavio santykio. Gairių priede pateikiamas nebaigtinis sąrašas su konkretiems sektoriams taikomais teisės aktais, kurie, Komisijos nuomone, patenka į Direktyvos (ES) 2022/2555 4 straipsnio taikymo sritį.

Reagavimo į kompiuterių saugumo incidentus tarnybos

Reagavimo į kompiuterių saugumo incidentus tarnybos (CSIRT) teikia subjektams techninę pagalbą. Jos, be kita ko:

• stebi ir analizuoja kibernetines grėsmes, pažeidžiamumus ir incidentus nacionaliniu lygmeniu;
• teikia ankstyvuosius perspėjimus, įspėjimus, pranešimus ir informaciją apie kibernetines grėsmes, pažeidžiamumus ir incidentus atitinkamiems subjektams ir kitiems atitinkamiems suinteresuotiesiems subjektams, jei įmanoma, beveik tikruoju laiku;
• reaguoja į incidentus ir, kai tikslinga, teikia pagalbą;
• renka ir analizuoja teismo ekspertizės duomenis ir teikia dinaminę rizikos bei incidentų analizę, taip pat užtikrina informuotumą apie padėtį kibernetinio saugumo srityje;
• esant prašymui, aktyviai tikrina tinklų ir informacines sistemas, kad būtų galima atskleisti pažeidžiamumus, galinčius daryti didelį poveikį.

CSIRT tinklas

Siekiant skatinti greitą ir veiksmingą operatyvinį bendradarbiavimą, šia direktyva sukuriamas nacionalinių CSIRT tinklas.

Koordinuotas pažeidžiamumų atskleidimas

Valstybės narės turi:

• paskirti vieną iš savo CSIRT koordinuoti IRT produktų ar paslaugų pažeidžiamumų atskleidimą;
• užtikrinti, kad asmenys valstybėse narėse galėtų pranešti apie pažeidžiamumus anonimiškai, jei jie to prašo.

Europos Sąjungos kibernetinio saugumo agentūra (ENISA) sukuria ir tvarko pažeidžiamumų duomenų bazę.

Bendradarbiavimo grupė

Šia direktyva sudaroma Bendradarbiavimo grupė, kuri turėtų remti ir palengvinti strateginį bendradarbiavimą ir keitimąsi informacija. Ją sudaro valstybių narių, Komisijos ir ENISA atstovai. Prireikus Bendradarbiavimo grupė gali pakviesti Europos Parlamentą ir atitinkamų suinteresuotųjų subjektų atstovus dalyvauti jos darbe.

Europos ryšių palaikymo dėl kibernetinių krizių organizacinis tinklas

Europos ryšių palaikymo dėl kibernetinių krizių organizacinis tinklą (EU-CyCLONe) sudaro valstybių narių kibernetinių krizių valdymo institucijų atstovai ir Komisijos atstovai, jei galimas arba vykstantis didelio masto kibernetinio saugumo incidentas turi arba gali turėti didelį poveikį sektoriams, kuriems taikoma ši direktyva. Kitais atvejais Komisija dalyvauja tinklo veikloje stebėtojo teisėmis.

Tinklas remia koordinuotą didelio masto kibernetinio saugumo incidentų ir krizių valdymą operatyviniu lygmeniu ir užtikrina reguliarų keitimąsi informacija tarp valstybių narių ir ES institucijų, įstaigų, organų, tarnybų ir agentūrų.

Tinklas, be kita ko, vykdo šias užduotis:

• koordinuoja didelio masto kibernetinio saugumo incidentų ir krizių valdymą ir padeda politiniu lygmeniu priimti sprendimus;
• didina pasirengimo lygį;
• plėtoja bendrą informuotumą apie padėtį;
• įvertina didelio masto kibernetinio saugumo incidentų pasekmes ir poveikį bei siūlo galimas švelninimo priemones.

Kibernetinio saugumo rizikos valdymo priemonės

Subjektai turi imtis tinkamų ir proporcingų techninių, operatyvinių ir organizacinių kibernetinio saugumo rizikos valdymo priemonių. Priemonių sąraše, be kita ko, yra rizikos analizės ir informacinių sistemų saugumo politika, incidentų valdymas, veiklos tęstinumas, veiklos atkūrimas po ekstremaliųjų įvykių ir krizių valdymas, tiekimo grandinės saugumas, pažeidžiamumo valdymas ir atskleidimas, pagrindinė higienos praktika, kriptografijos (ir, kai taikytina, šifravimo) naudojimo politika ir procedūros, žmogiškųjų išteklių saugumas ir kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimų naudojimas. Šios priemonės turi būti grindžiamos visus pavojus apimančiu požiūriu.

Valdymo organai turi patvirtinti šias priemones, prižiūrėti jų įgyvendinimą ir galėtų būti patraukti atsakomybėn už pažeidimus.

Pranešimas

Subjektai privalo pranešti CSIRT ar atitinkamai institucijai apie bet kokį incidentą, jei:

• dėl jo atitinkamas subjektas patyrė arba gali patirti didelių paslaugų teikimo sutrikimų arba finansinių nuostolių;
• jis paveikė arba gali paveikti kitus sukeldamas didelę turtinę arba neturtinę žalą.

Be to, ENISA kartu su Komisija ir Bendradarbiavimo grupe kas dvejus metus turės parengti ataskaitą apie kibernetinio saugumo būklę ES, kuri taip pat bus pateikta Parlamentui.

Priežiūra ir vykdymo užtikrinimas

Siekiant užtikrinti vykdymą, šia direktyva numatomos taisomosios priemonės ir sankcijos.

Tarpusavio vertinimai

Tarpusavio vertinimais siekiama pasimokyti iš bendros patirties, stiprinti tarpusavio pasitikėjimą, pasiekti aukštą bendrą kibernetinio saugumo lygį, taip pat stiprinti valstybių narių kibernetinio saugumo pajėgumus ir politiką, būtinus šiai direktyvai įgyvendinti. Tarpusavio vertinimai apima fizinius arba virtualius apsilankymus vietoje ir keitimąsi informacija ne vietoje. Dalyvavimas tarpusavio vertinimuose yra savanoriškas.

Įgyvendinimo aktas

Įgyvendinimo reglamentu (ES) 2024/2690 nustatomos Direktyvos (ES) 2022/2555 taikymo taisyklės, susijusios su kibernetinio saugumo rizikos valdymo priemonių techniniais ir metodiniais reikalavimais ir išsamesniu atvejų, kuriais incidentas laikomas dideliu, apibūdinimu, skirtais:

• domenų vardų sistemos paslaugų teikėjams,
• aukščiausio lygio domenų vardų registrams,
• debesijos kompiuterijos paslaugų teikėjams,
• duomenų centrų paslaugų teikėjams,
• turinio teikimo tinklų teikėjams,
• valdomų paslaugų teikėjams,
• valdomų saugumo paslaugų teikėjams,
• elektroninių prekyviečių, interneto paieškos sistemų ir socialinių tinklų paslaugų platformų teikėjams,
• patikimumo užtikrinimo paslaugų teikėjams.

Panaikinimas

Direktyva (ES) 2022/2555 nuo 2024 m. spalio 18 d. panaikinama Direktyva (ES) 2016/1148 (žr. santrauką), o Įgyvendinimo reglamentu (ES) 2024/2690 panaikinamas Įgyvendinimo reglamentas (ES) 2018/151, kuriuo nustatytos Direktyvos (ES) 2016/1148 taikymo taisyklės.