Võrgu- ja infosüsteemide küberturvalisus (2022)

KOKKUVÕTE:

direktiiv (EL) 2022/2555 meetmete kohta, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu ELis

MIS ON DIREKTIIVI EESMÄRK?

Selle nn küberturvalisuse 2. direktiiviga sätestatakse ühine küberturvalisuse reguleeriv raamistik, mille eesmärk on tõsta küberturvalisuse taset Euroopa Liidus (EL), milleks ELi liikmesriigid peavad tugevdama küberturvalisuse võimekust. Samuti kehtestatakse küberturvalisuse riskijuhtimismeetmed ja teatamiskohustus kriitilise tähtsusega sektorites ning koostöö, teabe jagamise, järelevalve ja täitmise tagamise eeskirjad.

PÕHIPUNKTID

Küberturvalisus tähendab tegevusi, mis on vajalikud, et kaitsta võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid küberohtude eest.

Kriitilise tähtsusega sektorid

Direktiivi kohaldatakse peamiselt keskmise suurusega ja suurte üksuste suhtes, kes tegutsevad järgmistes I lisas määratletud kriitilise tähtsusega sektorites:

• energia;
  • elektrienergia, sealhulgas tootmis-, jaotus- ja ülekandesüsteemid ning laadimispunktid;
  • kaugküte ja -jahutus;
  • nafta, sealhulgas tootmis-, hoiustamis- ja ülekandejuhtmed;
  • gaas, sealhulgas varustus-, jaotus- ja ülekandesüsteemid ning gaasi hoiustamine;
  • vesinik;
• transport: lennu-, raudtee-, vee- ja maanteetransport;
• pangandus- ja finantsturgude taristud, nagu krediidiasutused, kauplemiskohtade korraldajad ja kesksed vastaspooled;
• tervis, sealhulgas tervishoiuteenuste osutajad, põhifarmaatsiatoodete ja kriitilise tähtsusega meditsiiniseadmete tootjad ning ELi referentlaborid;
• joogivesi;
• reovesi;
• digitaristu, sealhulgas andmekeskusteenuste osutajad, pilvandmetöötlusteenused, üldkasutatavate elektroonilise side võrkude ja üldkasutatavate elektroonilise side teenuste osutajad;
• IKT-teenuste haldamine (ettevõtetevaheline);
• kosmos;
• avalik haldus kesk- ja piirkondlikul tasandil, välja arvatud kohtusüsteemid, parlamendid ja keskpangad, kuigi seda ei kohaldata avaliku halduse üksuste suhtes, kes tegutsevad riigi julgeoleku, avaliku julgeoleku, riigikaitse või õiguskaitse valdkonnas.

Seda kohaldatakse ka muudele kriitilise tähtsusega sektoritele, nagu on määratletud II lisas:

• posti- ja kulleriteenused;
• jäätmekäitlus;
• kemikaalide valmistamine, tootmine ja levitamine;
• toiduainete tootmine, töötlemine ja turustamine;
• tootmine, eelkõige meditsiiniseadmed, arvutid, elektroonilised ja optilised tooted, teatavat liiki elektriseadmed ja masinad, mootorsõidukid ja muud transpordivahendid;
• digiteenuste osutajad – internetipõhiste kauplemiskohtade, otsingumootorite ja sotsiaalvõrgustike pakkujad ning
• teadusasutused.

Riiklik küberturvalisuse strateegia

Kõik liikmesriigid peavad võtma vastu riikliku strateegia küberturvalisuse kõrge taseme saavutamiseks ja säilitamiseks kriitilise tähtsusega sektorites, sealhulgas järgmised:

• juhtimisraamistik, milles selgitatakse asjaomaste sidusrühmade rolli ja kohustusi riiklikul tasandil;
• tarneahela turvalisusega seotud poliitika;
• nõrkuste haldamise poliitika;
• küberturvalisuse alase hariduse ja koolituse edendamise ja arendamise poliitika ning
• meetmed küberturvalisuse alase teadlikkuse parandamiseks kodanike seas.

Liikmesriigid peavad koostama 17 aprilliks 2025 nimekirja elutähtsatest ja olulistest üksustest ning domeeninimede registreerimise teenuseid pakkuvatest üksustest. Nad peavad selle loetelu korrapäraselt läbi vaatama ja vajaduse korral seda ajakohastama ning seejärel tegema seda vähemalt iga kahe aasta järel. Euroopa Komisjon võttis vastu suunised nende loetelude koostamisel kogutava teabe kohta ja selleks vajaliku vormi.

Komisjon on avaldanud ka suunised, milles selgitatakse suhteid direktiivi (EL) 2022/2555 ning kehtivate ja tulevaste sektoripõhiste ELi õigusaktide vahel, mis käsitlevad küberturvalisuse riskijuhtimismeetmeid või intsidentidest teatamise nõudeid. Suuniste lisas on esitatud mittetäielik loetelu sektoripõhistest õigusaktidest, mida komisjon peab direktiivi (EL) 2022/2555 kohaldamisalasse kuuluvaks.

Arvutiturbe intsidentide lahendamise üksused

Arvutiturbe intsidentide lahendamise üksused (CSIRTid) annavad üksustele tehnilist abi, sealhulgas

• korraldades küberohtude, nõrkade kohtade ja intsidentide seiret ja analüüsi riiklikul tasandil;
• andes varajasi hoiatusi, hoiatusi, teateid ja teavet asjaomastele üksustele ja teistele sidusrühmadele küberohtude, nõrkuste ja intsidentide kohta võimaluse korral lähitulevikus;
• lahendades intsidentide ja osutades abi, kui see on kohaldatav;
• kogudes ja analüüsides kohtuekspertiisiandmeid, analüüsides järjepidevalt riske ja intsidente ning tagades küberturvalisuse alase olukorrateadlikkuse;
• kontrollides elutähtsa või olulise üksuse taotlusel ennetavalt selle üksuse võrgu- ja infosüsteeme, et teha kindlaks potentsiaalselt olulise mõjuga nõrkused.

CSIRTide võrgustik

Direktiiviga luuakse riiklike CSIRTide võrgustik, et edendada kiiret ja tõhusat operatiivkoostööd.

Kaitseriskide koordineeritud avalikustamine

Liikmesriigid peavad

• määrama ühe oma CSIRTidest IKT-toodetes või -teenustes avastatud nõrkuste koordineeritud avalikustamise koordinaatoriks;
• tagama, et liikmesriikide inimesed saavad nõrkusest teavitada taotluse korral anonüümselt.

Euroopa Liidu Küberturvalisuse Amet (ENISA) töötab välja nõrkuste andmebaasi ja haldab seda.

Koostöörühm

Direktiiviga luuakse koostöörühm, et toetada ja hõlbustada strateegilist koostööd ja teabevahetust. See koosneb liikmesriikide, komisjoni ja ENISA esindajatest. Vajaduse korral võib koostöörühm kutsuda Euroopa Parlamenti ja asjaomaste sidusrühmade esindajaid oma töös osalema.

Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik

Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU-CyCLONe), kuhu kuuluvad liikmesriikide küberkriisiohje asutuste ja komisjoni esindajad, kui võimalikul või jätkuval ulatuslikul küberturbeintsidendil on või tõenäoliselt on oluline mõju käesoleva direktiivi kohaldamisalasse kuuluvatele sektoritele. Muudel juhtudel osaleb komisjon EU-CyCLONe tegevuses vaatlejana.

Võrgustik toetab ulatuslike küberturbeintsidentide ja kriiside koordineeritud ohjamist operatiivtasandil ning tagab korrapärase teabevahetuse liikmesriikide ning ELi institutsioonide, organite ja asutuste vahel.

Võrgustiku ülesanded on muuhulgas järgmised:

• koordineerida ulatuslike küberturbeintsidentide ja kriiside ohjamist ning toetada selliste intsidentide ja kriisidega seotud otsuste tegemist poliitilisel tasandil;
• tõsta valmisoleku taset;
• arendada ühist olukorrateadlikkust ning
• hinnata ulatuslike küberturbeintsidentide ja kriiside tagajärgi ja mõju ning pakkuda välja võimalikke leevendusmeetmeid.

Aruandlus

Üksused peavad teavitama CSIRTi või asjaomast asutust kõigist intsidentidest, mis

• on põhjustanud või võib põhjustada asjaomase üksuse teenuste osutamisel tõsiseid tegevushäireid või rahalist kahju;
• on mõjutanud või võib mõjutada teisi, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju.

Lisaks koostab ENISA koostöös komisjoni ja koostöörühmaga iga kahe aasta järel aruande küberturvalisuse olukorra kohta ELis, mis esitatakse ka Euroopa Parlamendile.

Järelevalve ja täitmise tagamine

Direktiiviga nähakse ette õiguskaitsevahendid ja sanktsioonid, et tagada selle täitmine.

Vastastikune hindamine

Vastastikuseid hindamisi korraldatakse eesmärgiga õppida jagatud kogemustest, tugevdada vastastikust usaldust, saavutada küberturvalisuse ühtlaselt kõrge tase ning tugevdada liikmesriikide küberturvalisuse alast võimekust ja poliitikat, mis on vajalik käesoleva direktiivi rakendamiseks. Vastastikune hindamine hõlmab kohapealseid või virtuaalseid külastusi ja teabevahetust väljaspool tegevuskohta. Vastastikuses hindamises osalemine on vabatahtlik.

MIS AJAST EESKIRJU KOHALDATAKSE?

Direktiivi siseriiklikku õigusesse ülevõtmise tähtaeg oli 17. oktoober 2024. Eeskirju kohaldatakse alates 18. oktoobrist 2024.

TAUST

Direktiiviga tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (vt kokkuvõte) alates 18. oktoobrist 2024.

Lisateave

• Küberturvalisus (Euroopa Komisjon)
• Küberturvalisus:küberohtude tõrjumine ELis (Euroopa Ülemkogu, Euroopa Liidu Nõukogu)
• Kuidas EL reageerib kriisidele ja suurendab vastupanuvõimet (Euroopa Ülemkogu, Euroopa Liidu Nõukogu)
• Euroopa digitulevik (Euroopa Ülemkogu, Euroopa Liidu Nõukogu)

PÕHIDOKUMENT

Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152)

Direktiivi (EL) 2022/2555 hilisemad muudatused on algdokumenti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus.

SEONDUVAD DOKUMENDID

Komisjoni teatis – Komisjoni suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 3 lõike 4 kohaldamise kohta 2023/C 324/02 (ELT L 324, 14.9.2023, lk 2–7)

Komisjoni teatis – Komisjoni suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 4 lõigete 1 ja 2 kohaldamise kohta 2023/C 328/02 (ELT L 328, 18.9.2023, lk 2–10)

Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1–79)

Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2557, mis käsitleb elutähtsa teenuse osutajate toimepidevust ja millega tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ (ELT L 333, 27.12.2022, lk 164–198)

Euroopa Parlamendi ja nõukogu 28. aprilli 2021. aasta määrus (EL) 2021/696, millega luuakse liidu kosmoseprogramm ja Euroopa Liidu Kosmoseprogrammi Amet ning tunnistatakse kehtetuks määrused (EL) nr 912/2010, (EL) nr 1285/2013 ja (EL) nr 377/2014 ning otsus nr 541/2014/EL (ELT L 170, 12.5.2021, lk 69–148)

Euroopa Parlamendi ja nõukogu 29. aprilli 2021. aasta määrus (EL) 2021/694, millega luuakse programm „Digitaalne Euroopa“ ja tunnistatakse kehtetuks otsus (EL) 2015/2240 (ELT L 166, 11.5.2021, lk 1–34)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 7.6.2019, lk 15–69)

Komisjoni 26. märtsi 2019. aasta soovitus (EL) 2019/534 5G-võrkude küberturvalisus (ELT L 88, 29.3.2019, lk 42–47)

Euroopa Parlamendi ja nõukogu 4. juuli 2018. aasta määrus (EL) 2018/1139, mis käsitleb tsiviillennunduse valdkonna ühisnorme ja millega luuakse Euroopa Liidu Lennundusohutusamet ning millega muudetakse Euroopa Parlamendi ja nõukogu määrusi (EÜ) nr 2111/2005, (EÜ) nr 1008/2008, (EL) nr 996/2010, (EL) nr 376/2014 ja Euroopa Parlamendi ja nõukogu direktiive 2014/30/EL ning 2014/53/EL ning tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu määrused (EÜ) nr 552/2004 ja (EÜ) nr 216/2008 ning nõukogu määrus (EMÜ) nr 3922/91 (ELT L 212, 22.8.2018, lk 1–122)

Vt konsolideeritud versioon.

Nõukogu 11. detsembri 2018. aasta rakendusotsus (EL) 2018/1993, mis käsitleb ELi integreeritud korda poliitiliseks reageerimiseks kriisidele (ELT L 320, 17.12.2018, lk 28–34)

Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiiv (EL) 2018/1972, millega kehtestatakse Euroopa elektroonilise side seadustik (uuesti sõnastatud) (ELT L 321, 17.12.2018, lk 36–214)

Vt konsolideeritud versioon.

Komisjoni 13. septembri 2017. aasta soovitus (EL) 2017/1584, koordineeritud reageerimise kohta ulatuslike küberturvalisuse intsidentide ja kriiside korral (ELT L 239, 19.9.2017, lk 36–58)

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1–88)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73–114)

Euroopa Parlamendi ja nõukogu 12. augusti 2013. aasta direktiiv 2013/40/EL, milles käsitletakse infosüsteemide vastu suunatud ründeid ja millega asendatakse nõukogu raamotsus 2005/222/JSK (ELT L 218, 14.8.2013, lk 8–14)

Euroopa Parlamendi ja nõukogu 17. detsembri 2013. aasta otsus nr 1313/2013/EL liidu kodanikukaitse mehhanismi kohta (ELT L 347, 20.12.2013, lk 924–947)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiv 2011/93/EL, mis käsitleb laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis asendab nõukogu raamotsuse 2004/68/JSK (ELT L 335, 17.12.2011, lk 1–14)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 11. märtsi 2008. aasta määrus (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002 (ELT L 97, 9.4.2008, lk 72–84)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37–47)

Vt konsolideeritud versioon.

Viimati muudetud: 03.05.2024