Kibernetska varnost omrežja in informacijskih sistemov

 

POVZETEK:

Direktiva (EU) 2016/1148 – kibernetska varnost omrežja in informacijskih sistemov

KAJ JE NAMEN TE DIREKTIVE?

Ta direktiva predlaga obširen sklop ukrepov za povečanje ravni varnosti omrežja in informacijskih sistemov (kibernetska varnost*) na varne storitve, ki so ključne za gospodarstvo in družbo EU. Njen namen je zagotoviti, da bodo države EU dobro pripravljene za obvladovanje kibernetskih napadov in odzivanje nanje z:

• določitvijo pristojnih organov,
• vzpostavitvijo skupin za odzivanje na incidente na področju računalniške varnosti (skupine CSIRT) in
• sprejemanjem nacionalnih strategij za kibernetsko varnost.

Direktiva vzpostavlja tudi strateško in tehnično sodelovanje na ravni EU.

Za izvajalce bistvenih storitev in ponudnike digitalnih storitev pa uvaja obveznost sprejetja ustreznih varnostnih ukrepov in obveščanja ustreznih nacionalnih organov o resnih incidentih.

KLJUČNE TOČKE

Izboljšanje nacionalnih zmogljivosti na področju kibernetske varnosti

Države EU morajo:

• določiti enega ali več pristojnih nacionalnih organov in skupin CSIRT ter enotno kontaktno točko (v primeru več pristojnih organov);
• določiti izvajalce bistvenih storitev v ključnih sektorjih, kot so energija, promet, finance, bančništvo, zdravstvo, voda in digitalna infrastruktura, kjer bi kibernetski napad lahko prekinil izvajanje bistvene storitve.

Države EU morajo oblikovati tudi nacionalne strategije za kibernetsko varnost za omrežja in informacijske sisteme*, ki zajemajo naslednja vprašanja:

• pripravljenost na obvladovanje kibernetskih napadov in odzivanje nanje;
• vloge, odgovornosti in sodelovanje vlade in drugih strani;
• programi izobraževanja, ozaveščanja in usposabljanja;
• načrtovanje raziskav in razvoja;
• načrtovanje prepoznavanja tveganj.

Pristojni nacionalni organi spremljajo uporabo direktive tako, da:

• ocenjujejo pravila na področju kibernetske varnosti in varnostna pravila izvajalcev bistvenih storitev;
• nadzorujejo ponudnike digitalnih storitev;
• sodelujejo pri delu skupine za sodelovanje (ki jo sestavljajo pristojni organi za varnost omrežij in informacij iz vsake države EU, Evropska komisija in Agencija Evropske unije za varnost omrežij in informacij (ENISA));
• po potrebi obveščajo javnost, da bi preprečili incidente ali obravnavali incident, ki je v teku, pri tem pa spoštujejo zaupnost;
• izdajajo zavezujoča navodila za odpravo pomanjkljivosti na področju kibernetske varnosti.

Skupine CSIRT so odgovorne za:

• spremljanje in odzivanje na incidente v zvezi s kibernetsko varnostjo;
• zagotavljanje analize tveganja in analize incidenta ter spremljanje razmer;
• sodelovanje v mreži skupin CSIRT;
• sodelovanje z zasebnim sektorjem;
• spodbujanje uporabe standardiziranih praks za klasifikacijo incidentov, obvladovanje tveganj in informacij.

Zahteve glede varnosti in priglasitve

Namen direktive je spodbuditi kulturo obvladovanja tveganja. Podjetja, ki delujejo v ključnih sektorjih, morajo oceniti tveganja, ki so jim izpostavljena, in sprejeti ukrepe za zagotovitev kibernetske varnosti. Ta podjetja morajo obvestiti pristojne organe ali skupine CSIRT o vseh zadevnih incidentih, kot so vdori v podatke ali kraje podatkov, ki resno ogrožajo kibernetsko varnost in imajo pomemben negativen vpliv na neprekinjenost ključnih storitev in dobave blaga.

Da bi države EU opredelile incidente, ki jih morajo priglasiti izvajalci bistvenih storitev*, morajo upoštevati trajanje in geografsko razširjenost incidenta ter druge dejavnike, kot je število uporabnikov, ki so odvisni od navedene storitve.

Ponudniki ključnih digitalnih storitev (brskalniki, storitve računalništva v oblaku in spletne tržnice) bodo prav tako morali izpolnjevati zahteve glede varnosti in priglasitve.

Izboljšanje sodelovanja na ravni EU

Direktiva vzpostavlja skupino za sodelovanje, katere naloge vključujejo:

• zagotavljanje smernic za mrežo skupin CSIRT;
• izmenjavo najboljših praks pri določitvi izvajalcev bistvenih storitev;
• pomoč za države EU pri izgradnji zmogljivosti na področju kibernetske varnosti;
• izmenjavo informacij in najboljše prakse pri ozaveščanju in usposabljanju, raziskavah in razvoju;
• izmenjavo informacij in zbiranje najboljše prakse o tveganjih in incidentih;
• obravnavanje načinov priglasitve incidentov.

Direktiva vzpostavlja tudi mrežo CSIRT, ki jo sestavljajo predstavniki skupin CSIRT iz držav EU in skupine za odzivanje na računalniške grožnje (CERT-EU). Naloge mreže so:

• izmenjavati informacije o storitvah CSIRT;
• izmenjavati informacije o incidentih na področju kibernetske varnosti;
• podpirati države EU pri odzivanju na čezmejne incidente;
• obravnavati in opredeliti usklajen odziv na incident, ki ga priglasi država EU;
• obravnavati, preučiti in določiti nadaljnje oblike operativnega sodelovanja, vključno s:
  • kategorijami tveganj in incidentov;
  • zgodnjim opozarjanjem;
  • medsebojno pomočjo;
  • usklajevanjem držav članic pri odzivanju na tveganja in incidente, ki vplivajo na več držav EU;
• obveščati skupine za sodelovanje o svojih dejavnostih in zaprositi za usmeritve;
• obravnavati izkušnje, pridobljene pri vajah v zvezi s kibernetsko varnostjo;
• obravnavati zmogljivosti posameznih sistemov CSIRT na njihovo zahtevo;
• izdajati smernice o operativnem sodelovanju.

Kazni

Države EU morajo izvajati učinkovite, sorazmerne in odvračilne kazni, da bi zagotovile, da so pogoji iz te direktive izpolnjeni.

OD KDAJ SE TA DIREKTIVA UPORABLJA?

Ta direktiva se uporablja od 8. avgusta 2016. Države EU jo morajo vključiti v nacionalno zakonodajo do 9. maja 2018, izvajalce bistvenih storitev pa določiti do 9. novembra 2018.

OZADJE

• Kibernetska varnost (Evropska komisija),
• Kibernetska varnost: Komisija krepi svoj odziv na kibernetske napade – sporočilo za medije (Evropska komisija),
• Direktiva o sistemih varnosti omrežij in informacijskih sistemov – sporočilo za medije (Evropska komisija),
• Odpornost, odvračanje in obramba: okrepitev kibernetske varnosti v Evropi – podatkovni list (Evropska komisija).

KLJUČNI POJMI

GLAVNI DOKUMENT

Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1–30).

POVEZANI DOKUMENTI

Izvedbena uredba Komisije (EU) 2018/151 z dne 30. januarja 2018 o določitvi pravil za uporabo Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta v zvezi z dodatno specifikacijo elementov, ki jih morajo upoštevati ponudniki digitalnih storitev pri obvladovanju tveganj za varnost omrežij in informacijskih sistemov, in parametrov za določanje, ali ima incident pomemben vpliv (UL L 26, 31.1.2018, str. 48–51).

Izvedbeni sklep Komisije (EU) 2017/179 z dne 1. februarja 2017 o postopkovnih ureditvah, potrebnih za delovanje skupine za sodelovanje v skladu s členom 11(5) Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 28, 2.2.2017, str. 73–77).

Sporočilo Komisije Evropskemu parlamentu in Svetu – Kako kar najbolje izkoristiti direktivo o varnosti omrežij in informacij – za učinkovito izvajanje Direktive (EU) 2016/1148 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (COM(2017) 476 final 2 z dne 4. oktobra 2017).

Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36–58).

Skupno sporočilo Evropskemu parlamentu in Svetu – Odpornost, odvračanje in obramba: okrepitev kibernetske varnosti za EU (JOIN(2017) 450 final z dne 13. septembra 2017).

Delovni dokument služb Komisije – Ocena strategije za kibernetsko varnost EU iz leta 2013 (SWD(2017) 295 final z dne 13. septembra 2017).

Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (UL L 257, 28.8.2014, str. 73–114).

Sklep Sveta 2013/488/EU z dne 23. septembra 2013 o varnostnih predpisih za varovanje tajnih podatkov EU (UL L 274, 15.10.2013, str. 1–50).

Nadaljnje spremembe Sklepa 2013/488/EU so vključene v izvirni dokument. Ta prečiščena različica ima samo dokumentarno vrednost.

Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne 12. avgusta 2013 o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, 14.8.2013, str. 8–14).

Uredba (EU) št. 526/2013 Evropskega parlamenta in Sveta z dne 21. maja 2013 o agenciji Evropske unije za varnost omrežij in informacij (ENISA) in razveljavitvi Uredbe (ES) št. 460/2004 (UL L 165, 18.6.2013, str. 41–58).

Glej prečiščeno različico.

Skupno sporočilo Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij – Strategija Evropske unije za kibernetsko varnost: odprt, varen in zanesljiv kibernetski prostor (JOIN(2013) 1 final z dne 7. februarja 2013).

Zadnja posodobitev 01.03.2018