Tinklų ir informacinių sistemų kibernetinis saugumas

 

DOKUMENTAS, KURIO SANTRAUKA PATEIKIAMA:

Direktyva (ES) 2016/1148 dėl tinklų ir informacinių sistemų kibernetinio saugumo

KOKS ŠIOS DIREKTYVOS TIKSLAS?

Šia direktyva siūlomos įvairios priemonės, kaip padidinti tinklų ir informacinių sistemų saugumą (kibernetinį saugumą*), kad būtų užtikrintos ES ekonomikai ir visuomenei gyvybiškai svarbios paslaugos. Ja siekiama užtikrinti, kad ES šalys būtų gerai pasirengusios ir pasiruošusios suvaldyti kibernetines atakas bei į jas reaguoti. Tam reikia:

• paskirti kompetentingas institucijas;
• sukurti reagavimo į kompiuterinius saugumo incidentus tarnybas (CSIRT);
• patvirtinti nacionalines kibernetinio saugumo strategijas.

Direktyva taip pat nustatomas strateginis ir techninis bendradarbiavimas ES lygmeniu.

Galiausiai esminių ir skaitmeninių paslaugų teikėjai įpareigojami imtis tinkamų saugumo priemonių ir pranešti atitinkamoms nacionalinėms institucijoms apie rimtus incidentus.

PAGRINDINIAI ASPEKTAI

Nacionalinių kibernetinio saugumo pajėgumų stiprinimas

ES šalys turi:

• paskirti vieną arba daugiau nacionalinių kompetentingų institucijų ir CSIRT, taip pat nustatyti bendrąjį informacinį centrą (jeigu yra daugiau nei viena kompetentinga institucija);
• nustatyti esminių paslaugų teikėjus pagrindiniuose sektoriuose, kaip antai energetikos, transporto, finansų, bankininkystės, sveikatos ir skaitmeninės infrastruktūros, kuriuose kibernetinė ataka gali sutrikdyti esminės paslaugos teikimą.

ES šalys taip pat privalo parengti nacionalinę tinklų ir informacinių sistemų* kibernetinio saugumo strategiją, apimančią šiuos aspektus:

• pasirengimą ir pasiruošimą valdyti kibernetines atakas bei į jas reaguoti;
• vyriausybės ir kitų subjektų vaidmenis, atsakomybes ir bendradarbiavimą;
• švietimo, informuotumo didinimo ir mokymo programas;
• mokslinių tyrimų ir plėtros planavimą;
• rizikos nustatymo planavimą.

Nacionalinės kompetentingos institucijos stebi direktyvos taikymą:

• vertindamos esminių paslaugų teikėjų kibernetinio saugumo ir saugumo politiką;
• prižiūrėdamos skaitmeninių paslaugų teikėjus;
• dalyvaudamos bendradarbiavimo grupės (kurią sudaro kiekvienos ES šalies tinklų ir informacijos saugumo (TIS) kompetentingos institucijos, Europos Komisija ir Europos Sąjungos tinklų ir informacijos apsaugos agentūra (ENISA)) veikloje;
• informuodamos visuomenę, jeigu tai būtina siekiant išvengti incidento arba valdyti vykstantį incidentą, tuo pačiu išlaikant konfidencialumą;
• pateikdamos privalomus nurodymus ištaisyti nustatytus kibernetinio saugumo trūkumus.

CSIRT turi šias užduotis:

• stebėti kibernetinio saugumo incidentus ir į juos reaguoti;
• atlikti rizikos bei incidentų analizę ir užtikrinti informuotumą apie padėtį;
• dalyvauti CSIRT tinkle;
• bendradarbiauti su privačiuoju sektoriumi;
• skatinti naudoti standartizuotus incidentų bei rizikos valdymo ir informacijos klasifikavimo metodus.

Saugumo ir pranešimo reikalavimai

Direktyva siekiama skatinti rizikos valdymo kultūrą. Pagrindiniuose sektoriuose veikiančios įmonės turi įvertinti riziką ir imtis priemonių kibernetiniam saugumui užtikrinti. Jos privalo pranešti kompetentingoms institucijoms arba CSIRT apie bet kokius susijusius incidentus, kaip antai įsilaužimą ar duomenų vagystę, kurie kelia didelį pavojų kibernetiniam saugumui ir turi didelį neigiamą poveikį kritinių paslaugų tęstinumui ir prekių tiekimui.

Nustatydamos incidentus, apie kuriuos esminių paslaugų* teikėjai turi pranešti, ES šalys turėtų atsižvelgti į incidento trukmę ir geografinę teritorijos aprėptį, taip pat kitus veiksnius, kaip antai naudotojų, kurie priklauso nuo tos paslaugos, skaičių.

Pagrindinių skaitmeninių paslaugų teikėjai (paieškos varikliai, debesų kompiuterijos paslaugų teikėjai ir internetinės turgavietės) taip pat turės laikytis saugumo ir pranešimo reikalavimų.

Glaudesnis bendradarbiavimas ES lygmeniu

Direktyva sukuriama bendradarbiavimo grupė, kuri turi:

• teikti gaires dėl CSIRT tinklo veiklos;
• keistis geriausia patirtimi esminių paslaugų teikėjų nustatymo srityje;
• padėti ES šalims stiprinti kibernetinio saugumo gebėjimus;
• dalytis informacija ir geriausia praktika informuotumo didinimo, mokymo, mokslinių tyrimų ir plėtros srityse;
• dalytis informacija ir rinkti geriausią praktiką, susijusią su rizika ir incidentais;
• aptarti pranešimų apie incidentus teikimo tvarką.

Taip pat sukuriamas CSIRT tinklas, kurį sudaro ES šalių CSIRT ir reagavimo į kompiuterių incidentus tarnybos (CERT-EU) atstovai. Jo užduotys:

• dalytis informacija apie CSIRT paslaugas;
• dalytis informacija apie kibernetinio saugumo incidentus;
• padėti ES šalims reaguoti į tarpvalstybinius incidentus;
• aptarti ir nustatyti koordinuotus reagavimo į ES šalies praneštą incidentą veiksmus;
• aptarti, nagrinėti ir nustatyti tolesnes operatyvinio bendradarbiavimo formas, be kita ko, susijusias su:
  • rizikos ir incidentų kategorijomis,
  • išankstiniais įspėjimais,
  • savitarpio pagalba,
  • koordinavimu, kai šalys reaguoja į riziką ir incidentus, kurie susiję su daugiau nei viena ES šalimi;
• informuoti bendradarbiavimo grupę apie savo veiklą ir prašyti tuo klausimu rekomendacijų;
• aptarti per kibernetinio saugumo pratybas įgytą patirtį;
• esant prašymui, aptarti atskiros CSIRT pajėgumus;
• teikti gaires dėl operatyvinio bendradarbiavimo.

Sankcijos

ES šalys turi taikyti veiksmingas, proporcingas ir atgrasomas sankcijas, kad užtikrintų šios direktyvų nuostatų taikymą.

NUO KADA TAIKOMA ŠI DIREKTYVA?

Direktyva taikoma nuo 2016 m. rugpjūčio 8 d. ES šalys turi ją perkelti į savo nacionalinę teisę ne vėliau kaip 2018 m. gegužės 9 d., o esminių paslaugų operatorius identifikuoti ne vėliau kaip 2018 m. lapkričio 9 d.

KONTEKSTAS

• Kibernetinis saugumas (Europos Komisija)
• Pranešimas spaudai „Kibernetinis saugumas: Komisija sustiprina savo atsaką į kibernetines atakas“ (Europos Komisija)
• Pranešimas spaudai „Tinklų ir informacinių sistemų saugumo direktyva“ (Europos Komisija)
• Atsparumas, atgrasymas ir gynyba: Europos kibernetinio saugumo didinimas. Informacijos suvestinė (Europos Komisija).

SVARBIAUSIOS SĄVOKOS

PAGRINDINIS DOKUMENTAS

2016 m. liepos 6 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (OL L 194, 2016 7 19, p. 1–30)

SUSIJĘ DOKUMENTAI

2018 m. sausio 30 d. Komisijos įgyvendinimo reglamentas (ES) 2018/151, kuriuo nustatomos Europos Parlamento ir Tarybos direktyvos (ES) 2016/1148 taikymo taisyklės, kuriomis patikslinami elementai, į kuriuos turi atsižvelgti skaitmeninių paslaugų teikėjai, kad galėtų valdyti tinklų ir informacinių sistemų saugumui kylančią riziką, ir parametrai, pagal kuriuos nustatoma, ar incidentas daro didelį poveikį (OL L 26, 2018 1 31, p. 48–51)

2017 m. vasario 1 d. Komisijos įgyvendinimo sprendimas (ES) 2017/179, kuriuo pagal Europos Parlamento ir Tarybos direktyvos (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti 11 straipsnio 5 dalį nustatoma procedūrinė tvarka, būtina Bendradarbiavimo grupės veikimui užtikrinti (OL L 28, 2017 2 2, p. 73–77)

Komisijos komunikatas Europos Parlamentui ir Tarybai: „Racionaliausias tinklų ir informacijos saugumas. Kaip veiksmingai įgyvendinti Direktyvą (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti“ (COM(2017) 476 final 2, 2017 10 4)

2017 m. rugsėjo 13 d. Komisijos rekomendacija (ES) 2017/1584 dėl koordinuoto atsako į didelio masto kibernetinio saugumo incidentus ir krizes (OL L 239, 2017 9 19, p. 36–58)

Bendras komunikatas Europos Parlamentui ir Tarybai „Atsparumas, atgrasymas ir gynyba: ES kibernetinio saugumo didinimas“ (JOIN(2017) 450 final, 2017 9 13)

Komisijos tarnybų darbinis dokumentas „2013 m. ES kibernetinio saugumo strategijos vertinimas“ (SWD(2017) 295 final, 2017 9 13)

2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (OL L 257, 2014 8 28, p. 73–114)

Paskesni Reglamento (ES) Nr. 910/2014 daliniai pakeitimai ir pataisos buvo įterpti į pradinį dokumentą. Ši konsoliduota versija yra skirta tik informacijai.

2013 m. rugsėjo 23 d. Tarybos sprendimas 2013/488/ES dėl ES įslaptintos informacijos apsaugai užtikrinti skirtų saugumo taisyklių (OL L 274, 2013 10 15, p. 1–50).

Žr. konsoliduotą versiją.

2013 m. rugpjūčio 12 d. Europos Parlamento ir Tarybos direktyva 2013/40/ES dėl atakų prieš informacines sistemas, kuria pakeičiamas Tarybos pamatinis sprendimas 2005/222/TVR (OL L 218, 2013 8 14, p. 8–14)

2013 m. gegužės 21 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 526/2013 dėl Europos Sąjungos tinklų ir informacijos apsaugos agentūros (ENISA), kuriuo panaikinamas Reglamentas (EB) Nr. 460/2004 (OL L 165, 2013 6 18, p. 41–58)

Bendras komunikatas Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „Europos Sąjungos kibernetinio saugumo strategija. Atvira, saugi ir patikima kibernetinė erdvė“ (JOIN(2013) 1 final, 2013 2 7)

paskutinis atnaujinimas 01.03.2018