Kibersigurnost mrežnih i informacijskih sustava (2022.)

SAŽETAK DOKUMENTA:

Direktiva (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibersigurnosti širom EU-a

ČEMU SLUŽI OVA DIREKTIVA?

Direktivom, koja je poznata i pod nazivom NIS2, utvrđuje se zajednički regulatorni okvir kibersigurnosti čiji je cilj povećati razinu kibersigurnosti u Europskoj uniji (EU), tražiti od država članica EU-a da jačaju sveukupne kapacitete u području kibersigurnosti te uvesti mjere upravljanja kibersigurnosnim rizicima i izvješćivanja u kritičnim sektorima, uz pravila o suradnji, razmjeni informacija, nadzoru i izvršavanju.

KLJUČNE TOČKE

Kibersigurnost se odnosi na aktivnosti potrebne da se zaštite mrežni i informacijski sustavi, korisnici tih sustava i ostale osobe pogođene kiberprijernjama.

Kritični sektori

Direktiva se prvenstveno primjenjuje na srednja i velika poduzeća koja djeluju u sljedećim sektorima visoke kritičnosti definiranima u Prilogu I:

• energetika:
  • električna energija, uključujući proizvodne, distribucijske i prijenosne sustave i mjesta za punjenje,
  • centralizirano grijanje i hlađenje,
  • nafta, uključujući proizvodnju, skladištenju i naftovode,
  • plin, uključujući opskrbne, distribucijske i prijenosne sustave i sustave skladišta, i
  • vodik;
• promet zračnim, željezničkim, vodenim i cestovnim putovima;
• bankarstvo i infrastruktura financijskog tržišta kao što su kreditne institucije, operatori mjestâ trgovanja i središnje druge ugovorne strane;
• zdravlje, uključujući pružatelje zdravstvene zaštite, proizvođače osnovnih farmaceutskih proizvoda i ključnih medicinskih proizvoda te referentne laboratorije EU-a;
• pitka voda;
• otpadne vode;
• digitalna infrastruktura, uključujući pružatelje usluga podatkovog centra, usluga računalstva u oblaku, javnih elektroničkih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga;
• upravljane usluge IKT-a (B2B);
• svemir;
• javna uprava na središnjoj i regionalnoj razini, isključujući sudstvo, parlamente i središnje banke, ali se ne primjenjuje se na subjekte javne uprave koji provode aktivnosti u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva.

Također se primjenjuje na druge kritične sektore definirane u Prilogu II.:

• poštanske i kurirske usluge
• gospodarenje otpadom
• izradu, proizvodnju i distribuciju kemikalija
• proizvodnju, preradu i distribuciju hrane
• proizvodnju, posebno medicinskih proizvoda, računala te elektroničkih i optičkih proizvoda, određenih vrsta električne opreme i strojeva, motornih vozila i ostale opreme za prijevoz;
• pružatelje digitalnih usluga internetskih tržišta, internetskih tražilica i društvenih mreža; te
• istraživačke organizacije.

Nacionalna strategija za kibersigurnost

Svaka država članica mora donijeti nacionalnu strategiju za postizanje i održavanje visoke razine kibersigurnosti u kritičnim sektorima, što uključuje:

• upravljački okvir kojim se pojašnjavaju uloge i odgovornosti relevantnih dionika na nacionalnoj razini;
• politike za rješavanje pitanja sigurnosti lanca opskrbe;
• politike za upravljanje ranjivostima;
• politike za promicanje i razvoj obrazovanja i osposobljavanja u području kibersigurnosti; i
• mjere za povećanje osviještenosti o kibersigurnosti među građanima.

Države članice moraju uspostaviti popis bitnih i važnih subjekata, zajedno sa subjektima koji pružaju usluge registracije naziva domena, do 17. travnja 2025. Moraju redovito preispitati i prema potrebi ažurirati taj popis te najmanje svake dvije godine nakon toga. Europska komisija donijela jesmjernice o informacijama koje je potrebno prikupiti pri izradi tih popisa te predlošku za to.

Komisija je također izdala smjernice kojima se pojašnjavaju pravila o odnosu između Direktive (EU) 2022/2555 i trenutačnih i budućih pravnih akata EU-a specifičnih za sektor koji se bave mjerama upravljanja rizikom kibersigurnosti ili zahtjevima za izvješćivanje o incidentima. U dodatku smjernicama nalazi se nepotpuni popis pravnih akata specifičnih za sektor za koje Komisija smatra da spadaju u područje primjene Direktive (EU) 2022/2555.

Timovi za odgovor na računalne sigurnosne incidente

Timovi za odgovor na računalne sigurnosne incidente (CSIRT-ovi) pružaju tehničku pomoć subjektima, što uključuje:

• praćenje i analiziranje kiberprijetnji, ranjivosti i incidenata na nacionalnoj razini;
• pružanje ranih upozorenja i najava te informiranje predmetnih ključnih i važnih subjekata, kao i drugih relevantnih dionika o kiberprijetnjama, ranjivostima i incidentima, ako je moguće u gotovo stvarnom vremenu;
• odgovaranje na incidente i, ako je to primjenjivo, pružanje pomoći;
• prikupljanje i analiziranje forenzičkih podataka te osiguravanje dinamičke analize rizika i incidenata te informiranosti o stanju u pogledu kibersigurnosti;
• osiguravanje, na zahtjev, proaktivnog skeniranja mrežnih i informacijskih sustava radi otkrivanja ranjivosti s potencijalno znatnim učinkom.

Mreža CSIRT-ova

Direktivom se osniva mreža nacionalnih CSIRT-ova za promicanje brze i učinkovite operativne suradnje.

Koordinirano otkrivanje ranjivosti

Države članice moraju:

• imenovati jednog od svojih CSIRT-ova da koordinira otkrivanjem ranjivosti koje su otkrivene u IKT proizvodima ili uslugama; te
• osigurati da ljudi u državama članicama mogu prijaviti ranjivosti, anonimno ako se to zatraži.

Agencija Europske unije za kibersigurnost (ENISA) razvija i vodi bazu podataka o ranjivosti.

Skupina za suradnju

Direktivom se osniva skupina za suradnju kako bi se podupirala i olakšavala strateška suradnja i razmjena informacija. Sastoji se od predstavnika država članica, Komisije i ENISA-e. Skupina za suradnju može, prema potrebi, pozvati Europski parlament i predstavnike relevantnih dionika da sudjeluju u njezinu radu.

Europska mreža organizacija za vezu za kiberkrize

Europska mreža organizacija za vezu za kiberkrize (EU-CyCLONe) jest mreža koju čine predstavnici tijela država članica za upravljanje kiberkrizama te, u slučajevima kada potencijalni ili aktualni kibersigurnosni incident velikih razmjera ima ili bi mogao imati znatan učinak na usluge i djelatnosti obuhvaćene područjem primjene ove Direktive, Komisija. U drugim slučajevima Komisija u aktivnostima mreže sudjeluje kao promatrač.

Mreža podupire koordinirano upravljanje kibersigurnosnim incidentima velikih razmjera i krizama na operativnoj razini te osigurava redovitu razmjenu informacija među državama članicama te institucijama, tijelima i agencijama EU-a.

Među ostalim, mreža ima sljedeće zadaće:

• koordinaciju upravljanja kibersigurnosnim incidentima velikih razmjera i krizama te pomoć pri odlučivanju na političkoj razini;
• povećanje pripravnosti;
• poboljšanje zajedničke informiranosti; i
• procjenu posljedica i učinka relevantnih kibersigurnosnih incidenata velikih razmjera i kriza te predlaganje mogućih mjera ublažavanja.

Izvješćivanje

Subjekti moraju obavijestiti svoj CSIRT ili nadležno tijelo o svakom incidentu koji:

• je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju ili financijske gubitke za predmetni subjekt;
• je utjecao ili bi mogao utjecati na druge uzrokovanjem znatne materijalne ili nematerijalne štete.

Nadalje, ENISA će u suradnji s Komisijom i skupinom za suradnju izraditi dvogodišnje izvješće o stanju kibersigurnosti u EU-u koje će podnijeti i Europskom parlamentu.

Nadzor i izvršavanje

Direktiva omogućuje pravna sredstva i sankcije da bi se osigurala provedba.

Istorazinska ocjenjivanja

Istorazinska ocjenjivanja utvrđuju se s ciljem učenja iz zajedničkih iskustava, jačanja uzajamnog povjerenja, postizanja visoke zajedničke razine kibersigurnosti te jačanja kibersigurnosnih kapaciteta i politika država članica potrebnih za provedbu ove Direktive. Ta ocjenjivanja uključuju fizičke ili virtualne posjete na lokaciji i razmjene informacija izvan lokacije. Sudjelovanje u istorazinskim ocjenjivanjima je dobrovoljno.

OTKAD SE PRIMJENJUJU TA PRAVILA?

Direktiva se mora prenijeti u nacionalno pravo do 17. listopada 2024. Pravila bi se trebala primjenjivati od 18. listopada 2024.

POZADINA

Direktivom se od 18. listopada 2024. izvan snage stavlja i zamjenjuje Direktiva (EU) 2016/1148 (vidjeti sažetak).

Za više informacija vidjeti:

• Kibersigurnost (Europska komisija)
• Kibersigurnost: kako se EU bori protiv kiberprijetnji (Europsko vijeće, Vijeće Europske unije)
• Kako EU odgovara na krize i gradi otpornost? (Europsko vijeće, Vijeće Europske unije)
• Digitalna budućnost za Europu (Europsko vijeće, Vijeće Europske unije)

GLAVNI DOKUMENT

Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80.–152.).

Sukcesivne izmjene Direktive (EU) br. 2022/2555 uključene su u izvorni dokument. Ovaj pročišćeni tekst namijenjen je isključivo dokumentiranju.

VEZANI DOKUMENTI

Komunikacija Komisije – Smjernice Komisije za primjenu članka 3. stavka 4. Direktive (EU) 2022/2555 (Direktiva NIS 2) 2023/C 324/02 (SL C 324, 14.9.2023., str. 2.–7.).

Komunikacija Komisije – Smjernice Komisije za primjenu članka 4. stavaka 1. i 2. Direktive (EU) 2022/2555 (Direktiva NIS 2) 2023/C 328/02 (SL L 328, 18.9.2023., str. 2.–10.).

Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1.–79.).

Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća od 14. prosinca 2022. o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (SL L 333, 27.12.2022., str. 164.–198.).

Uredba (EU) 2021/696 Europskog parlamenta i Vijeća od 28. travnja 2021. o uspostavi Svemirskog programa Unije i osnivanju Agencije Europske unije za svemirski program te o stavljanju izvan snage uredaba (EU) br. 912/2010, (EU) br. 1285/2013 i (EU) br. 377/2014 i Odluke br. 541/2014/EU (SL L 170, 12.5.2021., str. 69.–148.).

Uredba (EU) 2021/694 Europskog parlamenta i Vijeća od 29. travnja 2021. o uspostavi programa Digitalna Europa te o stavljanju izvan snage Odluke (EU) 2015/2240 (SL L 166, 11.5.2021., str. 1.–34.).

Vidjeti pročišćeni tekst.

Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.–69.).

Preporuka Komisije (EU) 2019/534 od 26. ožujka 2019. – Kibersigurnost 5G mreža (SL L 88, 29.3.2019., str. 42.–47.).

Uredba (EU) 2018/1139 Europskog parlamenta i Vijeća od 4. srpnja 2018. o zajedničkim pravilima u području civilnog zrakoplovstva i osnivanju Agencije Europske unije za sigurnost zračnog prometa i izmjeni uredbi (EZ) br. 2111/2005, (EZ) br. 1008/2008, (EU) br. 996/2010, (EU) br. 376/2014 i direktiva 2014/30/EU i 2014/53/EU Europskog parlamenta i Vijeća te stavljanju izvan snage uredbi (EZ) br. 552/2004 i (EZ) br. 216/2008 Europskog parlamenta i Vijeća i Uredbe Vijeća (EEZ) br. 3922/91 (SL L 212, 22.8.2018., str. 1.–122.).

Vidjeti pročišćeni tekst.

Provedbena odluka Vijeća (EU) 2018/1993 od 11. prosinca 2018. o aranžmanima EU-a za integrirani politički odgovor na krizu (SL L 320, 17.12.2018., str. 28.–34.).

Direktiva (EU) 2018/1972 Europskog parlamenta i Vijeća od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija (preinaka) (SL L 321, 17.12.2018, str. 36–214).

Vidjeti pročišćeni tekst.

Preporuka Komisije (EU) 2017/1584 od 1. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera (SL L 239, 19.9.2017., str. 36.–58.).

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.–88.).

Vidjeti pročišćeni tekst.

Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.–114.).

Direktiva 2013/40/EU Europskog parlamenta i Vijeća od 12. kolovoza 2013. o napadima na informacijske sustave i o zamjeni Okvirne odluke Vijeća 2005/222/PUP (SL L 218, 14.8.2013., str. 8.–14.).

Odluka br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu (SL L 347, 20.12.2013., str. 924.–947.).

Vidjeti pročišćeni tekst.

Direktiva 2011/93/EU Europskog parlamenta i Vijeća od 13. prosinca 2011. o suzbijanju seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije te o zamjeni Okvirne odluke Vijeća 2004/68/PUP (SL L 335, 17.12.2011., str. 1.–14.).

Vidjeti pročišćeni tekst.

Uredba (EZ) br. 300/2008 Europskog parlamenta i Vijeća od 11. ožujka 2008. o zajedničkim pravilima u području zaštite civilnog zračnog prometa i stavljanju izvan snage Uredbe (EZ) br. 2320/2002 (SL L 97, 9.4.2008., str. 72.–84.).

Vidjeti pročišćeni tekst.

Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.–47.).

Vidjeti pročišćeni tekst.

Posljednje ažuriranje 03.05.2024