Kybernetická bezpečnosť sietí a informačných systémov

ZHRNUTIE K DOKUMENTU:

Smernica (EÚ) 2016/1148 – kybernetická bezpečnosť sietí a informačných systémov

AKÝ JE CIEĽ TEJTO SMERNICE?

Navrhuje širokú škálu opatrení na zvýšenie úrovne bezpečnosti sietí a informačných systémov (kybernetickej bezpečnosti*) s cieľom zabezpečiť služby, ktoré sú kľúčové pre hospodárstvo a spoločnosť EÚ. Jej cieľom je zaistiť, aby krajiny EÚ boli dobre pripravené a dokázali zvládnuť a reagovať na kybernetické útoky vďaka týmto opatreniam:

určenie príslušných orgánov,
zriadenie jednotiek pre riešenie počítačových bezpečnostných incidentov (CSIRT) a
priatie národných stratégií v oblasti kybernetickej bezpečnosti.

Taktiež ustanovuje strategickú a technickú spoluprácu na úrovni EÚ.

A napokon pre prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb zavádza povinnosť prijať vhodné bezpečnostné opatrenia a oznamovať závažné incidenty príslušným vnútroštátnym orgánom.

HLAVNÉ BODY

Zlepšenie vnútroštátnych spôsobilostí v oblasti kybernetickej bezpečnosti

Krajiny EÚ musia:

určiť jeden alebo viaceré vnútroštátne príslušné orgány, jednotky CSIRT a jednotné kontaktné miesto (v prípade, že existuje viac ako jeden príslušný orgán),
identifikovať prevádzkovateľov základných služieb v dôležitých odvetviach, ako je energetika, doprava, financie, bankovníctvo, zdravotníctvo, voda a digitálna infraštruktúra, v ktorých by kybernetický útok mohol narušiť poskytovanie základnej služby.

Krajiny EÚ tiež musia zaviesť národnú stratégiu v oblasti kybernetickej bezpečnosti sietí a informačných systémov*zahŕňajúcu nasledovné záležitosti:

pripravenosť na zvládanie a reagovanie na kybernetické útoky,
úlohy, zodpovednosti a vzájomná spolupráca vládnych orgánov a iných aktérov,
vzdelávacie programy, programy na zvyšovanie informovanosti a programy odbornej prípravy,
plánovanie výskumu a vývoja,
plánovanie na identifikáciu rizík.

Vnútroštátne príslušné orgány monitorujú uplatňovanie tejto smernice:

posudzovaním politík prevádzkovateľov základných služieb v oblasti kybernetickej bezpečnosti a ich bezpečnostných politík,
vykonávaním dohľadu nad poskytovateľmi digitálnych služieb,
účasťou na práci skupiny pre spoluprácu (ktorej členmi sú príslušné orgány pre sieťovú a informačnú bezpečnosť (NIS) z jednotlivých krajín EÚ, Európska komisia a Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA)),
informovaním verejnosti v prípade, že je to potrebné na zabránenie incidentu alebo na riešenie prebiehajúceho incidentu, pričom chránia dôvernosť informácií,
vydávaním záväzných pokynov na nápravu nedostatkov v oblasti kybernetickej bezpečnosti.

Úlohou jednotiek CSIRT je:

monitorovať a reagovať na kybernetické bezpečnostné incidenty,
zabezpečovať analýzu rizík a incidentov a získavať informácie o situácii,
zúčastňovať sa na činnosti siete jednotiek CSIRT,
spolupracovať so súkromným sektorom,
podporovať využívanie normalizovanej praxe v oblasti postupov na riešenie incidentov a rizík, ako aj v oblasti klasifikácie incidentov.

Bezpečnostné a oznamovacie požiadavky

Cieľom smernice je podporovať kultúru riadenia rizika. Podniky pôsobiace v dôležitých odvetviach musia vyhodnocovať riziká, ktoré podstupujú, a prijímať opatrenia na zaistenie kybernetickej bezpečnosti. Tieto spoločnosti sú povinné oznámiť príslušným orgánom alebo jednotkám CSIRT akýkoľvek relevantný incident, ako napríklad hacknutie alebo odcudzenie údajov, ktorý závažným spôsobom narúša kybernetickú bezpečnosť a má závažný rušivý vplyv na kontinuitu kritických služieb a dodávok tovaru.

Pri určovaní, ktoré incidenty majú prevádzkovatelia základných služieb* oznamovať, musia krajiny EÚ zohľadňovať trvanie incidentu a jeho geografické rozšírenie, ako aj iné faktory, napríklad počet používateľov využívajúcich danú službu.

Kľúčoví poskytovatelia digitálnych služieb (napríklad vyhľadávačov, služieb cloud computingu a online trhovísk) taktiež musia dodržiavať bezpečnostné a oznamovacie požiadavky.

Zlepšovanie spolupráce na úrovni EÚ

Smernica zriaďuje skupinu pre spoluprácu, ktorej úlohy zahŕňajú:

poskytovanie usmernenia pre sieť jednotiek CSIRT,
vymieňanie si najlepších postupov pre identifikáciu prevádzkovateľov základných služieb,
pomoc krajinám EÚ pri budovaní spôsobilostí v oblasti kybernetickej bezpečnosti,
vymieňanie si informácií a najlepších postupov v oblasti zvyšovania informovanosti a odbornej prípravy, ako aj v oblasti výskumu a vývoja,
vymieňanie si informácií a zbieranie najlepších postupov v súvislosti s rizikami a incidentmi,
diskutovanie o spôsoboch informovania o oznámených incidentoch.

Taktiež zriaďuje sieť jednotiek CSIRT, ktorá sa skladá zo zástupcov jednotiek CSIRT krajín EÚ a z jednotky reakcie na núdzové počítačové situácie (CERT-EU). Medzi jej úlohy patrí:

vymieňanie si informácií o službách zabezpečovaných jednotkami CSIRT,
vymieňanie si informácií týkajúcich sa kybernetických bezpečnostných incidentov,
poskytovanie podpory krajinám EÚ pri reakcii na cezhraničné incidenty,
prediskutovanie a identifikovanie koordinovanej reakcie na incident hlásený krajinou EÚ,
diskutovanie o ďalších formách operačnej spolupráce, preskúmavanie a identifikovanie ich, a to v súvislosti s:
- kategóriami rizík a incidentov,
- včasnými varovaniami,
- vzájomnou pomocou,
- koordináciou medzi krajinami reagujúcimi na riziká a incidenty, ktoré sa týkajú viac ako jednej krajiny EÚ,
informovanie skupiny pre spoluprácu o svojej činnosti a požadovanie usmernení,
diskutovanie o ponaučeniach z cvičení v oblasti kybernetickej bezpečnosti,
diskutovanie o spôsobilostiach jednotlivých jednotiek CSIRT na ich žiadosť,
vydávanie usmernení k operačnej spolupráci.

Sankcie

Na zabezpečenie dodržiavania ustanovení tejto smernice musia krajiny EÚ ukladať účinné, primerané a odrádzajúce sankcie.

ODKEDY SA SMERNICA UPLATŇUJE?

Uplatňuje sa od 8. augusta 2016. Krajiny EÚ ju musia transponovať do vnútroštátnych právnych predpisov do 9. mája 2018 a prevádzkovateľov základných služieb musia identifikovať do 9. novembra 2018.

KONTEXT

Kybernetická bezpečnosť (Európska komisia)
Kybernetická bezpečnosť: Komisia stupňuje svoju reakciu na kybernetické útoky – tlačové komuniké (Európska komisia)
Smernica o bezpečnosti sietí a informačných systémoch – tlačové komuniké (Európska komisia)
Odolnosť, odrádzanie a obrana: Budovanie silnej kybernetickej bezpečnosti v Európe – prehľad (Európska komisia).

HLAVNÉ POJMY

Kybernetická bezpečnosť: schopnosť sietí a informačných systémov odolávať konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť digitálnych údajov alebo služieb poskytovaných prostredníctvom týchto systémov.

Sieť a informačný systém: elektronická komunikačná sieť alebo zariadenie resp. skupina vzájomne prepojených zariadení, ktoré spracúvajú digitálne údaje, ako aj digitálne údaje, ktoré sa ukladajú, spracúvajú, získavajú alebo prenášajú.

Základné služby: súkromné firmy alebo verejné subjekty, ktoré plnia dôležitú úlohu v spoločnosti a hospodárstve, napríklad zabezpečujú dodávku vody, služby v oblasti elektrickej energie atď.

HLAVNÝ DOKUMENT

Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1 – 30)

SÚVISIACE DOKUMENTY

Vykonávacie nariadenie Komisie (EÚ) 2018/151 z 30. januára 2018, ktorým sa stanovujú pravidlá uplatňovania smernice Európskeho parlamentu a Rady (EÚ) 2016/1148, pokiaľ ide o bližšiu špecifikáciu prvkov, ktoré musia poskytovatelia digitálnych služieb zohľadňovať pri riadení rizík v oblasti bezpečnosti sietí a informačných systémov, a parametrov na posudzovanie toho, či má incident závažný vplyv (Ú. v. EÚ L 26, 31.1.2018, s. 48 – 51)

Vykonávacie rozhodnutie Komisie (EÚ) 2017/179 z 1. februára 2017, ktorým sa stanovujú procesné opatrenia potrebné na fungovanie skupiny pre spoluprácu podľa článku 11 ods. 5 smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 28, 2.2.2017, s. 73 – 77)

Oznámenie Komisie Európskemu parlamentu a Rade: Čo najlepšie využívanie sietí a informačných systémov – smerom k účinnej implementácii smernice 2016/1148/EÚ, pokiaľ ide o opatrenia na dosiahnutie vysokej všeobecnej úrovne bezpečnosti sietí a informačných systémov v EÚ [COM(2017) 476 final 2, 4.10.2017]

Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36 – 58)

Spoločné oznámenie Európskemu parlamentu a Rade – Odolnosť, odrádzanie a obrana: budovanie silnej kybernetickej bezpečnosti pre EÚ [JOIN(2017) 450 final, 13.9.2017]

Pracovný dokument útvarov Komisie – Hodnotenie stratégie EÚ v oblasti kybernetickej bezpečnosti na rok 2013 [SWD(2017) 295 final, 13.9.2017]

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014, s. 73 – 114)

Následné zmeny a opravy nariadenia (EÚ) č. 910/2014 boli zapracované do pôvodného dokumentu. Toto konsolidované znenie slúži len na dokumentačné účely.

Rozhodnutie Rady 2013/488/EÚ z 23. septembra 2013 o bezpečnostných predpisoch na ochranu utajovaných skutočností EÚ (Ú. v. EÚ L 274, 15.10.2013, s. 1 – 50)

Pozri konsolidované znenie.

Smernica Európskeho parlamentu a Rady 2013/40/EÚ z 12. augusta 2013 o útokoch na informačné systémy, ktorou sa nahrádza rámcové rozhodnutie Rady 2005/222/SVV (Ú. v. EÚ L 218, 14.8.2013, s. 8 – 14)

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 526/2013 z 21. mája 2013 o Agentúre Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA) a o zrušení nariadenia (ES) č. 460/2004 (Ú. v. EÚ L 165, 18.6.2013, s. 41 – 58)

Spoločné oznámenie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov – Stratégia kybernetickej bezpečnosti Európskej únie: Otvorený, bezpečný a chránený kybernetický priestor [JOIN(2013) 1 final, 7.2.2013]

Posledná aktualizácia 01.03.2018