Kibersigurnost mrežnih i informacijskih sustava

 

SAŽETAK DOKUMENATA:

Direktiva (EU) 2016/1148 – kibersigurnost mrežnih i informacijskih sustava

ČEMU SLUŽI OVA DIREKTIVA?

Njome se predlaže dalekosežan niz mjera radi poticanja razine sigurnosti mrežnih i informacijskih sustava (kibersigurnost*) kako bi se osigurale usluge od ključne važnosti za gospodarstvo i društvo EU-a. Njome se nastoji osigurati da zemlje EU-a budu pripravne i spremne na rješavanje kibernetičkih napada na sljedeći način:

Njome se uspostavlja i suradnja u okviru EU-a na strateškoj i tehničkoj razini.

Naposljetku, njome se uvodi obveza za pružatelje ključnih i digitalnih usluga da provedu odgovarajuće sigurnosne mjere i da obavijeste nadležna nacionalna tijela o ozbiljnijim incidentima.

KLJUČNE TOČKE

Poboljšanje nacionalnih sposobnosti u pogledu kibersigurnosti

Zemlje EU-a moraju:

Zemlje EU-a moraju uvesti i nacionalnu strategiju za kibersigurnost mrežnih i informacijskih sustava* koja obuhvaća sljedeća pitanja:

Nacionalna nadležna tijela nadgledaju primjenu Direktive putem:

CSIRT-ovi su odgovorni za sljedeće:

Zahtjevi za sigurnost i obavješćivanje

Direktivom se nastoji promicati kultura upravljanja rizicima. Poduzeća koja djeluju u ključnim sektorima moraju procijeniti rizik kojem se izlažu i donijeti mjere za osiguranje kibersigurnosti. Ta poduzeća moraju obavijestiti nadležna tijela ili CSIRT-ove o svim relevantnim incidentima, kao što su hakiranje ili krađa podataka, koji ozbiljno narušavaju kibersigurnost i koji imaju znatan negativan učinak na kontinuitet ključnih usluga i isporuku robe.

Kako bi utvrdile incidente o kojima pružatelji ključnih usluga* moraju obavijestiti, zemlje EU-a trebale bi uzeti u obzir trajanje incidenta i zemljopisnu raširenost, kao i druge faktore, primjerice broj korisnika koji se oslanjanju na tu uslugu.

I ključni pružatelji digitalnih usluga (internetske tražilice, usluge računalstva u oblaku i internetska tržišta) morat će se uskladiti sa zahtjevima za sigurnost i obavješćivanje.

Poboljšanje suradnje na razini EU-a

Direktivom se uspostavlja skupina za suradnju čije zadaće uključuju:

Uspostavlja se i mreža CSIRT-ova koja se sastoji od predstavnikâ CSIRT-ova iz zemalja EU-a i timova za odgovor na računalne opasnosti (CERT-EU). Njezine zadaće uključuju:

Sankcije

Zemlje EU-a moraju primijeniti učinkovite, proporcionalne i odvraćajuće sankcije radi osiguranja provedbe odredaba ove Direktive.

OTKAD SE OVA DIREKTIVA PRIMJENJUJE?

Primjenjuje se od 8. kolovoza 2016. Zemlje EU-a trebaju je uključiti u nacionalno pravo do 9. svibnja 2018. i identificirati pružatelje ključnih usluga do 9. studenoga 2018.

POZADINA

KLJUČNI POJMOVI

Kibersigurnost: sposobnost mrežnih i informacijskih sustava da odolijevaju radnjama koje ugrožavaju dostupnost, autentičnost, cjelovitost ili povjerljivost digitalnih podataka ili usluga koje ti sustavi pružaju.
Mrežni i informacijski sustav: elektronička komunikacijska mreža ili bilo koji uređaj ili grupa povezanih uređaja koji obrađuju digitalne podatke kao i digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili prenose.
Ključne usluge: privatna poduzeća ili javna tijela koja imaju važnu ulogu za društvo i gospodarstvo, kao što je opskrba vodom, usluge opskrbe električnom energijom itd.

GLAVNI DOKUMENT

Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016., str. 1.–30.)

VEZANI DOKUMENTI

Provedbena uredba Komisije (EU) 2018/151 od 30. siječnja 2018. o utvrđivanju pravila za primjenu Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća u odnosu na dodatne specifikacije elemenata koje pružatelji digitalnih usluga moraju uzeti u obzir u upravljanju rizicima kojima je izložena sigurnost njihovih mrežnih i informacijskih sustava i parametara za utvrđivanje ima li incident znatan učinak (SL L 26, 31.1.2018., str. 48.–51.)

Provedbena odluka Komisije 2017/179 od 1. veljače 2017. o utvrđivanju postupovnih mjera potrebnih za funkcioniranje Skupine za suradnju u skladu s člankom 11. Stavkom 5. Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 28, 2.2.2017., str. 73.–77.)

Komunikacija Komisije Europskom parlamentu i Vijeću: Optimalno iskorištavanje potencijala Direktive NIS – prema učinkovitoj provedbi Direktive (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (COM(2017) 476 final 2, 4.10.2017.)

Preporuka Komisije (EU) 2017/1584 od 13. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera (SL L 239, 19.9.2017., str. 36.–58.)

Zajednička komunikacija Europskom parlamentu i Vijeću: Otpornost, odvraćanje i obrana: Jačanje kibersigurnosti EU-a (JOIN(2017) 450 final, 13.9.2017.)

Radni dokument službi Komisije – Procjena strategije kibersigurnosti EU-a iz 2013. (SWD(2017) 295 final, 13.9.2017.)

Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.–114.)

Odluka Vijeća 2013/488/EU od 23. rujna 2013. o sigurnosnim propisima za zaštitu klasificiranih podataka EU-a (SL L 274, 15.10.2013., str. 1.–50.).

Sukcesivne izmjene Odluke 2013/488/EU uključene su u izvorni dokument. Ovaj pročišćeni tekst ima samo dokumentarnu vrijednost.

Direktiva 2013/40/EU Europskog parlamenta i Vijeća od 12. kolovoza 2013. o napadima na informacijske sustave i o zamjeni Okvirne odluke Vijeća 2005/222/PUP (SL L 218, 14.8.2013., str. 8.–14.)

Uredba (EU) br. 526/2013 Europskog parlamenta i Vijeća od 21. svibnja 2013. o Agenciji Europske unije za mrežnu i informacijsku sigurnost (ENISA) i o stavljanju izvan snage Uredbe (EZ) br. 460/2004 (SL L 165, 18.6.2013., str. 41.–58.)

Zajednička komunikacija Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija: Strategija Europske unije za kibernetičku sigurnost: Otvoren, zaštićen i siguran kibernetički prostor (JOIN(2013) 1 final, 7.2.2013.)

Posljednje ažuriranje 01.03.2018