Kibernetska varnost omrežja in informacijskih sistemov

KLJUČNE TOČKE

Kibernetska varnost se nanaša na dejavnosti, potrebne za zaščito omrežij in informacijskih sistemov, uporabnikov teh sistemov in drugih ljudi, ki jih prizadenejo kibernetske grožnje.

Kritični sektorji

Direktiva se uporablja predvsem za srednje velike in velike subjekte, ki delujejo v naslednjih sektorjih visoke kritičnosti, kot so opredeljeni v Prilogi I:

• energija;
  • električna energija, vključno s proizvodnimi, distribucijskimi in prenosnimi sistemi ter polnilnimi postajami,
  • daljinsko ogrevanje in hlajenje,
  • nafta, vključno s proizvodnimi, skladiščnimi in prenosnimi cevovodi,
  • plin, vključno s sistemi za oskrbo, distribucijo in prenos ter skladiščenjem, in
  • vodik;
• promet po zraku, železnici, vodi in cesti;
• bančne in finančne tržne infrastrukture, kot so kreditne institucije, upravljavci trgovalnih mest in centralne nasprotne stranke;
• zdravje, vključno z izvajalci zdravstvenega varstva, proizvajalci osnovnih farmacevtskih izdelkov in kritičnih medicinskih pripomočkov ter referenčnimi laboratoriji EU;
• pitna voda;
• odpadna voda;
• digitalna infrastruktura, vključno s ponudniki storitev podatkovnih centrov, storitev računalništva v oblaku, javnih elektronskih komunikacijskih omrežij in javno dostopnih elektronskih komunikacijskih storitev;
• storitve, ki jih upravlja IKT (med podjetji);
• prostor;
• javna uprava na centralni in regionalni ravni, razen sodstva, parlamentov in centralnih bank; direktiva se ne uporablja za subjekte javne uprave, ki izvajajo dejavnosti na področju nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona.

Velja tudi za druge kritične sektorje, kot so opredeljeni v Prilogi II:

• poštne in kurirske storitve;
• ravnanje z odpadki,
• kemična izdelava, proizvodnja in distribucija;
• proizvodnja, predelava in distribucija hrane;
• proizvodnja, zlasti medicinskih pripomočkov, računalniških, elektronskih in optičnih izdelkov, nekaterih vrst električne opreme in strojev, motornih vozil in druge prevozne opreme;
• digitalni ponudniki spletnih tržnic, iskalnikov in socialnih omrežij; in
• raziskovalne organizacije.

Nacionalna strategija kibernetske varnosti

Vsaka država članica mora sprejeti nacionalno strategijo za doseganje in vzdrževanje visoke ravni kibernetske varnosti v kritičnih sektorjih, vključno z:

• z okvirom upravljanja, ki pojasnjuje vloge in odgovornosti ustreznih deležnikov na nacionalni ravni;
• s politikami, ki obravnavajo varnost dobavnih verig;
• s politikami za obvladovanje ranljivosti;
• s politikami za spodbujanje in razvoj izobraževanja in usposabljanja na področju kibernetske varnosti; in
• ukrepi za izboljšanje ozaveščenosti državljanov o kibernetski varnosti.

Države članice morajo do 17. aprila 2025 vzpostaviti seznam bistvenih in pomembnih subjektov ter subjektov, ki zagotavljajo storitve registracije domenskih imen. Ta seznam morajo redno pregledovati in po potrebi posodabljati, nato pa vsaj vsaki dve leti. Evropska komisija je sprejela smernice glede informacij, ki jih je treba zbrati pri pripravi teh seznamov, skupaj s predlogo za to.

Komisija je izdala tudi smernice, ki pojasnjujejo pravila o razmerju med Direktivo (EU) 2022/2555 in veljavnimi ter prihodnjimi sektorskimi pravnimi akti EU, ki obravnavajo ukrepe za obvladovanje tveganj na področju kibernetske varnosti ali zahteve glede poročanja o incidentih. Dodatek k smernicam vsebuje neizčrpen seznam sektorskih pravnih aktov, za katere Komisija meni, da spadajo na področje uporabe člena 4 Direktive (EU) 2022/2555.

Skupine za odzivanje na incidente na področju računalniške varnosti

Skupine za odzivanje na incidente računalniške varnosti (CSIRT) nudijo tehnično pomoč subjektom, vključno:

• s spremljanjem in analizo kibernetskih groženj, ranljivosti in incidentov na nacionalni ravni;
• z zagotavljanjem zgodnjih opozoril, opozoril, obvestil in informacij zadevnim subjektom in drugim deležnikom o kibernetskih grožnjah, ranljivostih in incidentih, če je mogoče v skoraj realnem času;
• odzivanjem na incidente in zagotavljanjem pomoči, kjer je primerno;
• zbiranjem in analiziranjem forenzičnih podatkov ter zagotavljanjem dinamične analize tveganja in incidentov ter zavedanja o situaciji na področju kibernetske varnosti; in
• z odzivanjem na incidente in zagotavljanjem pomoči, kjer je to primerno;

Mreža CSIRT

Direktiva vzpostavlja mrežo nacionalnih skupin CSIRT za spodbujanje hitrega in učinkovitega operativnega sodelovanja.

Usklajeno razkritje ranljivosti

Države članice morajo:

• imenovati eno od svojih skupin CSIRT za usklajevanje razkritja ranljivosti, ki so odkrita v izdelkih ali storitvah IKT; in
• zagotoviti, da lahko ljudje v državah članicah anonimno prijavijo ranljivosti, če se to zahteva.

Agencija Evropske unije za kibernetsko varnost (ENISA) bo razvila in vzdrževala podatkovno zbirko ranljivosti.

Skupina za sodelovanje

Direktiva vzpostavlja skupino za sodelovanje za podporo in olajšanje strateškega sodelovanja in izmenjave informacij. Sestavljajo ga predstavniki držav članic, Komisije in ENISA. Po potrebi lahko skupina za sodelovanje k sodelovanju pri svojem delu povabi Evropski parlament in predstavnike ustreznih zainteresiranih strani.

Evropska mreža organizacij za stike v kibernetskih krizah

Evropsko mrežo organizacij za zvezo v kibernetskih krizah (EU-CyCLONe) sestavljajo predstavniki organov držav članic za upravljanje kibernetskih kriz, skupaj s Komisijo v primerih, ko ima ali bo verjetno imel potencialni ali tekoči obsežen kibernetski incident znaten vpliv na sektorje, ki jih zajema direktiva. V drugih primerih bo Komisija sodelovala pri dejavnostih mreže kot opazovalka.

Omrežje podpira usklajeno upravljanje obsežnih kibernetskih incidentov in kriz na operativni ravni ter zagotavlja redno izmenjavo informacij med državami članicami ter institucijami, organi, uradi in agencijami EU.

Mreža je med drugim zadolžena za:

• usklajevanje upravljanja obsežnih incidentov in kriz na področju kibernetske varnosti ter podporo pri odločanju na politični ravni;
• povečanje pripravljenosti;
• razvijanje skupnega zavedanja situacije; in
• ocenjevanje posledic in vpliva obsežnih incidentov in kriz na področju kibernetske varnosti ter predlaganje možnih ukrepov za njihovo ublažitev.

Ukrepi za obvladovanje tveganj na področju kibernetske varnosti

Subjekti morajo sprejeti ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj na področju kibernetske varnosti. Katalog ukrepov med drugim vključuje analizo tveganj in varnostne politike informacijskih sistemov, ravnanje z incidenti, neprekinjeno poslovanje, obnovo po nesrečah in krizno upravljanje, varnost dobavne verige, ravnanje z ranljivostmi in njihovo razkritje, osnovne higienske prakse, politike in postopke glede uporabe kriptografije (in šifriranja, kjer je to primerno), varnost človeških virov in uporabo rešitev za večfaktorsko ali neprekinjeno avtentikacijo. Ti ukrepi morajo temeljiti na pristopu, ki upošteva vse nevarnosti.

Upravni organi morajo te ukrepe odobriti in nadzorovati njihovo izvajanje ter so lahko odgovorni za kršitve.

Poročanje

Subjekti morajo obvestiti svojo skupino CSIRT ali ustrezni organ o vsakem incidentu, ki:

• je povzročil ali bi lahko povzročil resne operativne motnje ali finančno izgubo za subjekt;
• je prizadel ali bi lahko prizadel druge s povzročitvijo znatne materialne ali nematerialne škode.

Poleg tega bo ENISA skupaj s Komisijo in skupino za sodelovanje pripravila dvoletno poročilo o stanju kibernetske varnosti v EU, ki bo predloženo tudi Parlamentu.

Nadzor in izvrševanje

Direktiva določa pravna sredstva in sankcije za zagotavljanje izvrševanja.

Medsebojni strokovni pregledi

Medsebojni pregledi so vzpostavljeni z namenom učenja iz skupnih izkušenj, krepitve medsebojnega zaupanja, doseganja visoke skupne ravni kibernetske varnosti ter krepitve zmogljivosti in politik držav članic na področju kibernetske varnosti, potrebnih za izvajanje te direktive. Ti pregledi vključujejo obiske na kraju samem ali virtualne obiske ter izmenjavo informacij zunaj kraja. Sodelovanje v teh strokovnih pregledih je prostovoljno.

Izvedbeni akt

Izvedbena uredba (EU) 2024/2690 določa pravila za uporabo Direktive (EU) 2022/2555 glede tehničnih in metodoloških zahtev ukrepov za obvladovanje tveganj na področju kibernetske varnosti in podrobneje opredeljuje primere, v katerih se incident šteje za pomembnega:

• v zvezi s ponudniki storitev sistema domenskih imen,
• v zvezi z registri domenskih imen najvišje ravni,
• v zvezi s ponudniki storitev računalništva v oblaku,
• v zvezi s ponudniki storitev podatkovnih centrov,
• v zvezi s ponudniki omrežij za dostavo vsebin,
• v zvezi s ponudniki upravljanih storitev,
• v zvezi s ponudniki upravljanih varnostnih storitev,
• v zvezi s ponudniki spletnih tržnic, spletnih iskalnikov in platform družbenih omrežij ter
• ponudniki storitev zaupanja.

Razveljavitev

Direktiva (EU) 2022/2555 je razveljavila Direktivo (EU) 2016/1148 (glej vpovzetek) z dne 18. oktobra 2024, Izvedbena uredba (EU) 2024/2690 pa je razveljavila Izvedbeno uredbo (EU) 2018/151, ki je določala pravila za uporabo Direktive (EU) 2016/1148.