Direktiva, znana kot NIS2, določa skupni regulativni okvir kibernetske varnosti, katerega namen je povečati raven kibernetske varnosti v Evropski uniji (EU), od držav članic EU zahteva, da okrepijo zmogljivosti kibernetske varnosti ter uvedejo ukrepe za obvladovanje tveganja kibernetske varnosti in poročanje v kritičnih sektorjih, skupaj s pravili o sodelovanju, izmenjavi informacij, nadzoru in izvrševanju.

KLJUČNE TOČKE

Kibernetska varnost pomeni dejavnosti, ki so potrebne za zaščito omrežij in informacijskih sistemov, njihovih uporabnikov in drugih oseb, ki jih prizadenejo kibernetske grožnje.

Kritični sektorji

Direktiva se uporablja predvsem za srednje velike in velike subjekte, ki delujejo v naslednjih zelo kritičnih sektorjih, kot so opredeljeni v Prilogi I:

energija:
- električna energija, vključno s proizvodnimi, distribucijskimi in prenosnimi sistemi ter polnilnimi mesti,
- daljinsko ogrevanje in hlajenje,,
- Nafta,, vključno s cevovodi za proizvodnjo, skladiščenje in prenos,
- plin, vključno s sistemi za oskrbo, distribucijo in prenos ter skladiščenjem, in
- vodik;
letalski, železniški, vodni in cestni promet;
bančne in finančne tržne infrastrukture, kot so kreditne institucije, upravljavci mest trgovanja in centralne nasprotne stranke;
zdravje, vključno z izvajalci zdravstvenih storitev, proizvajalci osnovnih farmacevtskih izdelkov in kritičnih medicinskih pripomočkov ter referenčnimi laboratoriji EU;
pitna voda;
odpadne vode;
digitalna infrastruktura, vključno s ponudniki storitev podatkovnih centrov, storitev računalništva v oblaku, javnih elektronskih komunikacijskih omrežij in javno dostopnih elektronskih komunikacijskih storitev;
storitve, ki jih upravlja IKT (B2B podjetja);
prostor;
javna uprava na centralni in regionalni ravni, razen sodstva, parlamentov in centralnih bank, ne velja pa za subjekte javne uprave, ki izvajajo dejavnosti na področjih nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona.

Velja tudi za druge kritične sektorje, kot so opredeljeni v Prilogi II:

poštne in kurirske storitve;
ravnanje z odpadki,
kemična izdelava, proizvodnja in distribucija;
proizvodnja, predelava in distribucija hrane;
proizvodnja, zlasti medicinskih pripomočkov, računalniških, elektronskih in optičnih izdelkov, nekaterih vrst električne opreme in strojev, motornih vozil in druge transportne opreme;
digitalni ponudniki spletnih tržnic, iskalnikov in socialnih omrežij; in
raziskovalne organizacije.

Nacionalna strategija kibernetske varnosti

Vsaka država članica mora sprejeti nacionalno strategijo za doseganje in vzdrževanje visoke ravni kibernetske varnosti v kritičnih sektorjih, vključno z:

okvirom upravljanja, ki pojasnjuje vloge in odgovornosti ustreznih zainteresiranih strani na nacionalni ravni;
politikami, ki obravnavajo varnost dobavnih verig;
politikami za obvladovanje ranljivosti;
politikami za spodbujanje in razvoj izobraževanja in usposabljanja o kibernetski varnosti; in
ukrepi za izboljšanje ozaveščenosti državljanov o kibernetski varnosti.

Države članice morajo do 17 aprila 2025 oblikovati seznam bistvenih in pomembnih subjektov, skupaj s subjekti, ki zagotavljajo storitve registracije domenskih imen. Ta seznam morajo redno pregledovati in po potrebi posodabljati, nato pa vsaj vsaki 2 leti. Evropska komisija je sprejela smernice o informacijah, ki jih je treba zbrati pri sestavljanju teh seznamov, skupaj s predlogo za to.

Komisija je izdala tudi smernice, ki pojasnjujejo pravila o razmerju med Direktivo (EU) 2022/2555 ter trenutnimi in prihodnjimi sektorskimi pravnimi akti EU, ki obravnavajo ukrepe za obvladovanje tveganja kibernetske varnosti ali zahteve za poročanje o incidentih. Dodatek k smernicam vsebuje neizčrpen seznam sektorskih pravnih aktov, za katere Komisija meni, da spadajo na področje uporabe Direktive (EU) 2022/2555.

Skupine za odzivanje na incidente na področju računalniške varnosti

Skupine za odzivanje na incidente na področju računalniške varnosti (CSIRT) ponujajo tehnično pomoč subjektom, vključno s:

spremljanjem in analiziranjem kibernetskih groženj, ranljivosti in incidentov na nacionalni ravni;
zagotavljanjem zgodnjih opozoril, opozoril, objav in informacij zadevnim subjektom in drugim zainteresiranim stranem o kibernetskih grožnjah, ranljivostih in incidentih, če je mogoče v skoraj realnem času;
odzivanjem na incidente in zagotavljanjem pomoči, kjer je primerno;
zbiranjem in analiziranjem forenzičnih podatkov ter zagotavljanjem dinamične analize tveganja in incidentov ter zavedanja o situaciji na področju kibernetske varnosti; in
zagotavljanjem, na zahtevo, proaktivnega skeniranja omrežja in informacijskega sistema za odkrivanje ranljivosti s potencialno pomembnim vplivom.

Mreža CSIRT

Direktiva vzpostavlja mrežo nacionalnih skupin CSIRT za spodbujanje hitrega in učinkovitega operativnega sodelovanja.

Usklajeno razkritje ranljivost

Države članice morajo:

imenovati eno od svojih skupin CSIRT za usklajevanje razkritja ranljivosti, ki so odkrita v izdelkih ali storitvah IKT; in
zagotoviti, da lahko ljudje v državah članicah anonimno prijavijo ranljivosti, če se to zahteva.

Agencija Evropske unije za kibernetsko varnost (ENISA) bo razvila in vzdrževala bazo podatkov o ranljivostih.

Skupina za sodelovanje

Direktiva vzpostavlja skupino za sodelovanje za podporo in olajšanje strateškega sodelovanja in izmenjave informacij. Sestavljajo ga predstavniki držav članic, Komisije in ENISA. Po potrebi lahko skupina za sodelovanje k sodelovanju pri svojem delu povabi Evropski parlament in predstavnike ustreznih zainteresiranih strani.

Evropska mreža povezovalnih organizacij za kibernetske krize

Evropska povezovalna mreža organizacij za kibernetsko krizo (EU-CyCLONe) je mreža, ki jo sestavljajo predstavniki organov držav članic za upravljanje kibernetske krize skupaj s Komisijo v primerih, ko potencialni ali trajajoči obsežen kibernetski incident pomembno vpliva ali bo verjetno imel pomemben vpliv na sektorje, ki jih zajema direktiva. V drugih primerih bo Komisija pri dejavnostih mreže sodelovala kot opazovalka.

Mreža podpira usklajeno upravljanje obsežnih incidentov na področju kibernetske varnosti in kriz na operativni ravni ter zagotavlja redno izmenjavo informacij med državami članicami ter institucijami, organi in agencijami EU.

Mreža je med drugim zadolžena za:

usklajevanje upravljanja obsežnih incidentov in kriz na področju kibernetske varnosti ter podporo pri odločanju na politični ravni;
povečanje pripravljenosti;
razvijanje skupnega zavedanja situacije; in
ocenjevanje posledic in vpliva obsežnih incidentov in kriz na področju kibernetske varnosti ter predlaganje možnih ukrepov za njihovo ublažitev.

Poročanje

Subjekti morajo obvestiti svojo skupino CSIRT ali ustrezni organ o vsakem incidentu, ki:

lahko povzroči ali je zmožen povzročiti resne motnje v delovanju ali finančno izgubo za subjekt;
je vplival ali bi lahko vplival na druge s povzročitvijo znatne materialne ali nematerialne škode.

Poleg tega bo ENISA v sodelovanju s Komisijo in skupino za sodelovanje pripravila dvoletno poročilo o stanju kibernetske varnosti v EU, ki bo predloženo tudi Parlamentu.

Nadzor in izvrševanje

Direktiva določa pravna sredstva in sankcije za zagotavljanje izvrševanja.

Medsebojni strokovni pregledi

Medsebojni strokovni pregledi so vzpostavljeni z namenom učenja iz skupnih izkušenj, krepitve medsebojnega zaupanja, doseganja visoke skupne ravni kibernetske varnosti ter krepitve zmogljivosti in politik držav članic na področju kibernetske varnosti, potrebnih za izvajanje te direktive. Ti pregledi vključujejo fizične ali virtualne obiske na kraju samem in izmenjavo informacij izven kraja. Sodelovanje v teh strokovnih pregledih je prostovoljno.

OD KDAJ SE TA PRAVILA UPORABLJAJO?

Direktivo je treba v nacionalno zakonodajo prenesti do 17. oktobra 2024. Ta pravila se uporabljajo od 18. oktobra 2024.

OZADJE

Direktiva bo 18. oktobra 2024 razveljavila Direktivo (EU) 2016/1148 (glej povzetek).

Več informacij je na voljo na strani:

Kibernetska varnost (Evropska komisija)
Kibernetska varnost: Kako se EU spoprijema s kibernetskimi grožnjami (Evropski svet, Svet Evropske unije)
Kako se EU odziva na krize in krepi odpornost (Evropski svet, Svet Evropske unije)
Digitalna prihodnost Evrope (Evropski svet, Svet Evropske unije)

GLAVNI DOKUMENT

Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80–152).

Nadaljnje spremembe Direktive (EU) 2022/2555 so vključene v izvirno različico. Ta prečiščena različica ima samo dokumentarno vrednost.

POVEZANI DOKUMENTI

Sporočilo Komisije – Smernice Komisije o uporabi člena 3(4) Direktive (EU) 2022/2555 (Direktiva NIS 2) 2023/C 324/02 (UL C 324, 14.9.2023, str. 2–7).

Sporočilo Komisije – Smernice Komisije o uporabi člena 4(1) in (2) Direktive (EU) 2022/2555 (Direktiva NIS 2) 2023/C 328/02 (UL C 328, 18.9.2023, str. 2–10).

Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, 27.12.2022, str. 1–79).

Direktiva (EU) 2022/2557 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o odpornosti kritičnih subjektov in razveljavitvi Direktive Sveta 2008/114/ES (UL L 333, 27.12.2022, str. 164–198).

Uredba (EU) 2021/696 Evropskega parlamenta in Sveta z dne 28. aprila 2021 o vzpostavitvi Vesoljskega programa Unije in ustanovitvi Agencije Evropske unije za vesoljski program ter razveljavitvi uredb (EU) št. 912/2010, (EU) št. 1285/2013 in (EU) št. 377/2014 in Sklepa št. 541/2014/EU (UL L 170, 12.5.2021, str. 69–148).

Uredba (EU) 2021/694 Evropskega parlamenta in Sveta z dne 29. aprila 2021 o vzpostavitvi programa Digitalna Evropa in razveljavitvi Uredbe (EU) št. 2015/2240 (UL L 166, 11.5.2021, str. 1–34).

Glej prečiščeno različico.

Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15–69).

Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019 – Kibernetska varnost omrežij 5G (UL L 88, 29.3.2019, str. 42–47).

Uredba (EU) 2018/1139 Evropskega parlamenta in Sveta z dne 4. julija 2018 o skupnih pravilih na področju civilnega letalstva in ustanovitvi Agencije Evropske unije za varnost v letalstvu ter spremembi uredb (ES) št. 2111/2005, (ES) št. 1008/2008, (EU) št. 996/2010, (EU) št. 376/2014 ter direktiv 2014/30/EU in 2014/53/EU Evropskega parlamenta in Sveta ter razveljavitvi uredb (ES) št. 552/2004 in (ES) št. 216/2008 Evropskega parlamenta in Sveta ter Uredbe Sveta (EGS) št. 3922/91 (UL L 212, 22.8.2018, str. 1–122).

Glej prečiščeno različico.

Izvedbeni sklep Sveta (EU) 2018/1993 z dne 11. decembra 2018 o enotni ureditvi EU za politično odzivanje na krize (UL L 320, 17.12.2018, str. 28–34).

Direktiva (EU) 2018/1972 Evropskega parlamenta in Sveta z dne 11. decembra 2018 o Evropskem zakoniku o elektronskih komunikacijah (prenovitev) (UL L 321, 17.12.2018, str. 36–214).

Glej prečiščeno različico.

Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36–58).

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1–88).

Glej prečiščeno različico.

Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (UL L 257, 28.8.2014, str. 73–114).

Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne 12. avgusta 2013 o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, 14.8.2013, str. 8–14).

Sklep št. 1313/2013/EU Evropskega parlamenta in Sveta z dne 17. decembra 2013 o mehanizmu Unije na področju civilne zaščite (UL L 347, 20.12.2013, str. 924–947).

Glej prečiščeno različico.

Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1–14).

Glej prečiščeno različico.

Uredba (ES) št. 300/2008 Evropskega parlamenta in Sveta z dne 11. marca 2008 o skupnih pravilih na področju varovanja civilnega letalstva in o razveljavitvi Uredbe (ES) št. 2320/2002 (UL L 97, 9.4.2008, str. 72–84).

Glej prečiščeno različico.

Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37–47).

Glej prečiščeno različico.

Zadnja posodobitev 03.05.2024

Top

All