EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32018R0151
Commission Implementing Regulation (EU) 2018/151 of 30 January 2018 laying down rules for application of Directive (EU) 2016/1148 of the European Parliament and of the Council as regards further specification of the elements to be taken into account by digital service providers for managing the risks posed to the security of network and information systems and of the parameters for determining whether an incident has a substantial impact
2018 m. sausio 30 d. Komisijos įgyvendinimo reglamentas (ES) 2018/151, kuriuo nustatomos Europos Parlamento ir Tarybos direktyvos (ES) 2016/1148 taikymo taisyklės, kuriomis patikslinami elementai, į kuriuos turi atsižvelgti skaitmeninių paslaugų teikėjai, kad galėtų valdyti tinklų ir informacinių sistemų saugumui kylančią riziką, ir parametrai, pagal kuriuos nustatoma, ar incidentas daro didelį poveikį
2018 m. sausio 30 d. Komisijos įgyvendinimo reglamentas (ES) 2018/151, kuriuo nustatomos Europos Parlamento ir Tarybos direktyvos (ES) 2016/1148 taikymo taisyklės, kuriomis patikslinami elementai, į kuriuos turi atsižvelgti skaitmeninių paslaugų teikėjai, kad galėtų valdyti tinklų ir informacinių sistemų saugumui kylančią riziką, ir parametrai, pagal kuriuos nustatoma, ar incidentas daro didelį poveikį
C/2018/0471
OJ L 26, 31.1.2018, p. 48–51
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
31.1.2018 |
LT |
Europos Sąjungos oficialusis leidinys |
L 26/48 |
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2018/151
2018 m. sausio 30 d.
kuriuo nustatomos Europos Parlamento ir Tarybos direktyvos (ES) 2016/1148 taikymo taisyklės, kuriomis patikslinami elementai, į kuriuos turi atsižvelgti skaitmeninių paslaugų teikėjai, kad galėtų valdyti tinklų ir informacinių sistemų saugumui kylančią riziką, ir parametrai, pagal kuriuos nustatoma, ar incidentas daro didelį poveikį
EUROPOS KOMISIJA,
atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,
atsižvelgdama į 2016 m. liepos 6 d. Europos Parlamento ir Tarybos direktyvą (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (1), ypač į jos 16 straipsnio 8 dalį,
kadangi:
|
(1) |
pagal Direktyvą (ES) 2016/1148 skaitmeninių paslaugų teikėjai išlaiko teisę imtis techninių ir organizacinių priemonių, kurios, jų nuomone, yra tinkamos ir proporcingos siekiant valdyti jų tinklų ir informacinių sistemų saugumui kylančią riziką, jei jomis užtikrinamas tinkamas saugumo lygis ir atsižvelgiama į toje direktyvoje nustatytus elementus; |
|
(2) |
nustatydamas tinkamas ir proporcingas technines ir organizacines priemones skaitmeninių paslaugų teikėjas informacijos saugumą turėtų vertinti sistemingai ir jį grįsti rizikos vertinimu; |
|
(3) |
siekdami užtikrinti sistemų ir įrenginių saugumą, skaitmeninių paslaugų teikėjai turėtų atlikti vertinimo ir analizės procedūras. Jos turėtų apimti sistemingą tinklų ir informacinių sistemų valdymą, fizinį ir aplinkos saugumą, tiekimo saugumą ir prieigos kontrolę; |
|
(4) |
skaitmeninių paslaugų teikėjai, atlikdami su sistemingu tinklų ir informacinių sistemų valdymu susijusią rizikos analizę, turėtų visų pirma identifikuoti konkrečią riziką ir įvertinti jos dydį, pavyzdžiui, nustatyti grėsmę ypatingos svarbos objektams ir kaip ji gali paveikti jų veikimą, ir geriausius tos grėsmės mažinimo būdus remiantis turimu pajėgumu ir išteklių poreikiais; |
|
(5) |
žmogiškųjų išteklių politika galėtų būti orientuojama į įgūdžių valdymą, apimantį saugumui reikiamų įgūdžių ugdymą ir informuotumo didinimą. Skaitmeninių paslaugų teikėjai turėtų būti skatinami sprendžiant dėl tinkamų veiklos saugumo taisyklių atsižvelgti į pakeitimų valdymą, pažeidžiamumo valdymą, veiklos ir administravimo praktikos formalizavimą ir sistemų schemų sudarymą; |
|
(6) |
architektūros saugumo taisyklėse galėtų būti nustatytas visų pirma tinklų ir sistemų atskyrimas, taip pat konkrečios ypatingos svarbos operacijų, kaip antai administravimo operacijų, saugumo priemonės. Atskyręs tinklus ir sistemas skaitmeninių paslaugų teikėjas atskirtų vienus elementus nuo kitų, pavyzdžiui, duomenų srautus ir skaičiavimo išteklius, priklausančius klientui, klientų grupei, skaitmeninių paslaugų teikėjui arba trečiosioms šalims; |
|
(7) |
priemonėmis, kurių imamasi dėl fizinio ir aplinkos saugumo, organizacijos tinklų ir informacinės sistemos turėtų būti apsaugotos nuo žalos, kuria gali padaryti tokie incidentai, kaip vagystė, gaisras, potvynis ar kiti meteorologiniai reiškiniai, sutrikęs ryšys ar elektros energijos tiekimas; |
|
(8) |
tiekimo saugumas, kaip antai elektros energijos ar kuro tiekimo arba aušinimo išteklių saugumas, galėtų apimti tiekimo grandinės saugumą, visų pirma trečiųjų šalių rangovų ir subrangovų saugumą ir jų valdymą. Ypatingos svarbos išteklių atsekamumas yra skaitmeninių paslaugų teikėjo gebėjimas identifikuoti ir registruoti jų tiekimo šaltinius; |
|
(9) |
skaitmeninių paslaugų naudotojų sąvoka turėtų apimti fizinius ir juridinius asmenis, kurie yra elektroninės prekyvietės klientai ar debesijos kompiuterijos paslaugos abonentai arba lankosi interneto paieškos sistemos svetainėje norėdami atlikti paiešką pagal raktinius žodžius; |
|
(10) |
nustatant, ar incidentas daro didelį poveikį, turėtų būti laikoma, kad šiame reglamente aptarti atvejai yra iš nebaigtinio didelių incidentų sąrašo. Reikėtų sukaupti patirties įgyvendinant šį reglamentą ir Bendradarbiavimo grupei atliekant darbą, nurodytą Direktyvos (ES) 2016/1148 11 straipsnio 3 dalies i ir m punktuose – renkant geriausios praktikos, susijusios su rizika ir incidentais, pavyzdžius ir aptariant pranešimų apie incidentus teikimo tvarką. Rezultatas galėtų būti išsamios gairės dėl parametrų kiekybinių ribų, kurias pasiekus skaitmeninių paslaugų teikėjai privalėtų pranešti apie incidentą pagal Direktyvos (ES) 2016/1148 16 straipsnio 3 dalį. Prireikus Komisija galėtų apsvarstyti galimybę peržiūrėti šiame reglamente nustatytas ribas; |
|
(11) |
kad kompetentingos institucijos žinotų apie galimą naują riziką, skaitmeninių paslaugų teikėjai turėtų būti skatinami savanoriškai pranešti apie incidentus, pasižyminčius savybėmis, apie kurias anksčiau nežinota, tokiomis kaip nauji brovimosi į sistemas būdai, išpuolių kryptys ar užpuolikai, pažeidžiamos vietos ir pavojai; |
|
(12) |
šis reglamentas turėtų būti taikomas nuo dienos, einančios po Direktyvos (ES) 2016/1148 perkėlimo į nacionalinę teisę termino; |
|
(13) |
šiame reglamente nustatytos priemonės atitinka Direktyvos (ES) 2016/1148 22 straipsnyje nurodyto Tinklų ir informacinių sistemų saugumo komiteto nuomonę, |
PRIĖMĖ ŠĮ REGLAMENTĄ:
1 straipsnis
Dalykas
Šiame reglamente patikslinami elementai, į kuriuos turi atsižvelgti skaitmeninių paslaugų teikėjai, kai nustato ir taiko priemones, kad užtikrintų tinklų ir informacinių sistemų, kuriais naudodamiesi siūlo Direktyvos (ES) 2016/1148 III priede nurodytas paslaugas, tam tikrą saugumo lygį, ir parametrai, į kuriuos reikia atsižvelgti sprendžiant, ar incidentas daro didelį poveikį tų paslaugų teikimui.
2 straipsnis
Saugumo elementai
1. Direktyvos (ES) 2016/1148 16 straipsnio 1 dalies a punkte nurodytas sistemų ir įrenginių saugumas yra tinklų ir informacinių sistemų ir jų fizinės aplinkos saugumas, kurį sudaro šie elementai:
|
a) |
sistemingas tinklų ir informacinių sistemų valdymas, t. y. parengtos informacinių sistemų schemos ir nustatytos tinkamos taisyklės, kuriomis reglamentuojamas informacijos saugumo valdymas, įskaitant rizikos analizę, žmogiškuosius išteklius, operacijų saugumą, saugumo architektūrą, saugų viso duomenų ir sistemų ciklo valdymą ir, kai tinkama, šifravimą bei jo valdymą; |
|
b) |
fizinis ir aplinkos saugumas, t. y. rinkinys priemonių, kuriomis skaitmeninių paslaugų teikėjų tinklų ir informacinės sistemos nuo žalos apsaugomos taikant visų pavojų rizikos vertinimu pagrįstą metodą, pavyzdžiui, saugantis nuo pavojų dėl sistemos gedimo, žmogaus klaidos, piktavališko veiksmo ar gamtos reiškinių; |
|
c) |
tiekimo saugumas, t. y. nustatytos ir taikomos tinkamos taisyklės, kad būtų užtikrinamas paslaugoms teikti reikiamų ypatingos svarbos išteklių prieinamumas ir prireikus atsekamumas; |
|
d) |
prieigos prie tinklų ir informacinių sistemų kontrolė, t. y. rinkinys priemonių, kuriomis užtikrinama, kad fizinė ir loginė prieiga prie tinklų ir informacinių sistemų, įskaitant tinklų ir informacinių sistemų administravimo saugumą, būtų leidžiama ir ribojama laikantis veiklos ir saugumo reikalavimų. |
2. Direktyvos (ES) 2016/1148 16 straipsnio 1 dalies b punkte nurodyto incidentų valdymo priemonės, kurių imasi skaitmeninių paslaugų teikėjai, apima:
|
a) |
įtvirtintus ir išbandytus incidentų nustatymo procesus ir procedūras, kad neįprasti įvykiai būtų laiku pastebėti ir apie juos būtų žinoma; |
|
b) |
pranešimų apie incidentus teikimo ir informacinių sistemų silpnų ir pažeidžiamų vietų nustatymo procesus ir taisykles; |
|
c) |
reagavimą laikantis nustatytų procedūrų ir pranešimų apie priemonių taikymo rezultatus teikimą; |
|
d) |
incidento sunkumo įvertinimą, analizuojant incidentą sukauptų žinių dokumentavimą ir aktualios informacijos rinkimą siekiant gauti įrodymų ir nuolat tobulinti priemones. |
3. Direktyvos (ES) 2016/1148 16 straipsnio 1 dalies c punkte nurodytas veiklos tęstinumo valdymas yra organizacijos gebėjimas užtikrinti nenutrūkstamą paslaugų teikimą arba prireikus atkurti tinkamą nustatytą jo lygį po veiklą sutrikdžiusio incidento ir apima:
|
a) |
nenumatytų atvejų plano sudarymą remiantis poveikio veiklai analize ir taikymą siekiant užtikrinti skaitmeninių paslaugų teikėjų teikiamų paslaugų tęstinumą; planas reguliariai tikrinamas ir išbandomas, pavyzdžiui, per pratybas; |
|
b) |
veiklos atkūrimo po ekstremaliųjų įvykių pajėgumą, kuris reguliariai tikrinamas ir išbandomas, pavyzdžiui, per pratybas. |
4. Direktyvos (ES) 2016/1148 16 straipsnio 1 dalies d punkte nurodyta stebėsena, auditas ir bandymai apima nustatytas ir taikomas taisykles, pagal kurias:
|
a) |
suplanuota seka atliekamas stebėjimas arba matavimai siekiant įvertinti, ar tinklų ir informacinės sistemos veikia taip, kaip numatyta; |
|
b) |
inspektuojama ir tikrinama, ar laikomasi standarto arba gairių rinkinio, ar įrašai tikslūs, ar pasiekti veiksmingumo ir efektyvumo tikslai; |
|
c) |
vykdomas procesas tinklų ir informacinės sistemos saugumo mechanizmų, naudojamų duomenims apsaugoti ir funkcionalumui išlaikyti, ydoms išsiaiškinti. Toks procesas apima techninius procesus ir personalą, atliekantį operacijas. |
5. Direktyvos (ES) 2016/1148 16 straipsnio 1 dalies e punkte nurodyti tarptautiniai standartai yra tarptautinės standartizacijos institucijos patvirtinti standartai, apibrėžti Europos Parlamento ir Tarybos reglamento (ES) Nr. 1025/2012 (2) 2 straipsnio 1 dalies a punkte. Vadovaujantis Direktyvos (ES) 2016/1148 19 straipsniu, galima taikyti ir europinius ar tarptautiniu mastu pripažintus standartus ir specifikacijas, kurie yra svarbūs tinklų ir informacinių sistemų saugumui, taip pat esamus nacionalinius standartus.
6. Skaitmeninių paslaugų teikėjai užtikrina tinkamą dokumentaciją, kad kompetentinga institucija galėtų patikrinti, ar laikomasi 1, 2, 3, 4 ir 5 dalyse nustatytų saugumo elementų.
3 straipsnis
Parametrai, į kuriuos turi būti atsižvelgiama siekiant nustatyti, ar incidentas daro didelį poveikį
1. Nustatydamas Direktyvos (ES) 2016/1148 16 straipsnio 4 dalies a punkte nurodytą naudotojų, kuriuos paveikė incidentas, visų pirma naudotojų, kurių pačių paslaugų teikimas priklauso nuo tos paslaugos, skaičių skaitmeninių paslaugų teikėjas turi gebėti apytiksliai apskaičiuoti:
|
a) |
paveiktų fizinių ir juridinių asmenų, su kuriais sudaryta paslaugos teikimo sutartis, skaičių arba |
|
b) |
paveiktų naudotojų, pasinaudojusių paslauga, skaičių, pagrįstą visų pirma ankstesniais srauto duomenimis. |
2. Direktyvos (ES) 2016/1148 16 straipsnio 4 dalies b punkte nurodyta incidento trukmė yra laikotarpis nuo tinkamo paslaugos teikimo, apibrėžiamo prieinamumo, autentiškumo, vientisumo ir konfidencialumo savybėmis, sutrikdymo iki atkūrimo momento.
3. Išnagrinėjęs Direktyvos (ES) 2016/1148 16 straipsnio 4 dalies c punkte nurodytą geografinę teritorijos, kurią paveikė incidentas, aprėptį, skaitmeninių paslaugų teikėjai turi galėti nustatyti, ar incidentas paveikė jo paslaugų teikimą konkrečiose valstybėse narėse.
4. Direktyvos (ES) 2016/1148 16 straipsnio 4 dalies d punkte nurodytas paslaugos veikimo sutrikdymo mastas išmatuojamas pagal vieną ar kelias toliau nurodytas savybes, kurios pablogėjo dėl incidento: duomenų arba susijusių paslaugų prieinamumas, autentiškumas, vientisumas arba konfidencialumas.
5. Nustatydamas Direktyvos (ES) 2016/1148 16 straipsnio 4 dalies e punkte nurodytą poveikio ekonominei ir visuomeninei veiklai mastą, skaitmeninių paslaugų teikėjas, remdamasis tokiais rodikliais, kaip sutartinių santykių su klientais pobūdis arba, kai tinkama, potencialus paveiktų naudotojų skaičius, turi galėti padaryti išvadą, ar dėl incidento naudotojai patyrė didelių materialių arba nematerialių nuostolių, susijusių su sveikata, viešuoju saugumu arba turtine žala.
6. Taikant 1, 2, 3, 4 ir 5 dalis, iš skaitmeninių paslaugų teikėjų nereikalaujama rinkti papildomos informacijos, prie kurios jie neturi prieigos.
4 straipsnis
Didelis incidento poveikis
1. Laikoma, kad incidentas daro didelį poveikį, jei susiklosto bent viena iš šių situacijų:
|
a) |
skaitmeninių paslaugų teikėjo teikiama paslauga buvo neprieinama ilgiau nei 5 000 000 naudotojo valandų, o naudotojo valanda yra šešiasdešimt minučių paslauga negalėjusių naudotis naudotojų Sąjungoje skaičius; |
|
b) |
dėl incidento nukentėjo saugomų, perduodamų ar tvarkomų duomenų arba atitinkamų paslaugų, teikiamų skaitmeninių paslaugų teikėjo ar gaunamų per jo tinklų ir informacinę sistemą, prieinamumas, autentiškumas, vientisumas ar konfidencialumas ir tai paveikė daugiau kaip 100 000 naudotojų Sąjungoje; |
|
c) |
dėl incidento kilo rizika viešajam saugumui ir saugai arba gyvybei; |
|
d) |
incidentas padarė turtinę žalą bent vienam naudotojui Sąjungoje, jeigu tam naudotojui padaryta žala viršija 1 000 000 EUR. |
2. Remdamasi geriausios praktikos pavyzdžiais, kuriuos Bendradarbiavimo grupė sukaupė vykdydama savo užduotis pagal Direktyvos (ES) 2016/1148 11 straipsnio 3 dalį, ir diskusijomis pagal tos direktyvos 11 straipsnio 3 dalies m punktą, Komisija gali peržiūrėti 1 dalyje nustatytas ribas.
5 straipsnis
Įsigaliojimas
1. Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
2. Jis taikomas nuo 2018 m. gegužės 10 d.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Briuselyje 2018 m. sausio 30 d.
Komisijos vardu
Pirmininkas
Jean-Claude JUNCKER
(1) OL L 194, 2016 7 19, p. 1.
(2) 2012 m. spalio 25 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1025/2012 dėl Europos standartizacijos, kuriuo iš dalies keičiamos Tarybos direktyvos 89/686/EEB ir 93/15/EEB ir Europos Parlamento ir Tarybos direktyvos 94/9/EB, 94/25/EB, 95/16/EB, 97/23/EB, 98/34/EB, 2004/22/EB, 2007/23/EB, 2009/23/EB ir 2009/105/EB ir panaikinamas Tarybos sprendimas 87/95/EEB ir Europos Parlamento ir Tarybos sprendimas Nr. 1673/2006/EB (OL L 316, 2012 11 14, p. 12).