Direktiva (EU) 2022/2555, znana kot NIS2, določa skupni regulativni okvir za kibernetsko varnost, katerega cilj je izboljšati raven kibernetske varnosti v Evropski uniji (EU), in od držav članic EU zahteva, da okrepijo zmogljivosti za kibernetsko varnost ter uvedejo ukrepe za obvladovanje tveganj na področju kibernetske varnosti in poročanje v kritičnih sektorjih, skupaj s pravili o sodelovanju, izmenjavi informacij, nadzoru in izvrševanju.
KLJUČNE TOČKE
Kibernetska varnost se nanaša na dejavnosti, potrebne za zaščito omrežij in informacijskih sistemov, uporabnikov teh sistemov in drugih ljudi, ki jih prizadenejo kibernetske grožnje.
Kritični sektorji
Direktiva se uporablja predvsem za srednje velike in velike subjekte, ki delujejo v naslednjih sektorjih visoke kritičnosti, kot so opredeljeni v Prilogi I:
energija;
električna energija, vključno s proizvodnimi, distribucijskimi in prenosnimi sistemi ter polnilnimi postajami,
daljinsko ogrevanje in hlajenje,
nafta, vključno s proizvodnimi, skladiščnimi in prenosnimi cevovodi,
plin, vključno s sistemi za oskrbo, distribucijo in prenos ter skladiščenjem, in
vodik;
promet po zraku, železnici, vodi in cesti;
bančne in finančne tržne infrastrukture, kot so kreditne institucije, upravljavci trgovalnih mest in centralne nasprotne stranke;
zdravje, vključno z izvajalci zdravstvenega varstva, proizvajalci osnovnih farmacevtskih izdelkov in kritičnih medicinskih pripomočkov ter referenčnimi laboratoriji EU;
pitna voda;
odpadna voda;
digitalna infrastruktura, vključno s ponudniki storitev podatkovnih centrov, storitev računalništva v oblaku, javnih elektronskih komunikacijskih omrežij in javno dostopnih elektronskih komunikacijskih storitev;
storitve, ki jih upravlja IKT (med podjetji);
prostor;
javna uprava na centralni in regionalni ravni, razen sodstva, parlamentov in centralnih bank; direktiva se ne uporablja za subjekte javne uprave, ki izvajajo dejavnosti na področju nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona.
Velja tudi za druge kritične sektorje, kot so opredeljeni v Prilogi II:
poštne in kurirske storitve;
ravnanje z odpadki,
kemična izdelava, proizvodnja in distribucija;
proizvodnja, predelava in distribucija hrane;
proizvodnja, zlasti medicinskih pripomočkov, računalniških, elektronskih in optičnih izdelkov, nekaterih vrst električne opreme in strojev, motornih vozil in druge prevozne opreme;
digitalni ponudniki spletnih tržnic, iskalnikov in socialnih omrežij; in
raziskovalne organizacije.
Nacionalna strategija kibernetske varnosti
Vsaka država članica mora sprejeti nacionalno strategijo za doseganje in vzdrževanje visoke ravni kibernetske varnosti v kritičnih sektorjih, vključno z:
z okvirom upravljanja, ki pojasnjuje vloge in odgovornosti ustreznih deležnikov na nacionalni ravni;
s politikami, ki obravnavajo varnost dobavnih verig;
s politikami za obvladovanje ranljivosti;
s politikami za spodbujanje in razvoj izobraževanja in usposabljanja na področju kibernetske varnosti; in
ukrepi za izboljšanje ozaveščenosti državljanov o kibernetski varnosti.
Države članice morajo do vzpostaviti seznam bistvenih in pomembnih subjektov ter subjektov, ki zagotavljajo storitve registracije domenskih imen. Ta seznam morajo redno pregledovati in po potrebi posodabljati, nato pa vsaj vsaki dve leti. Evropska komisija je sprejela smernice glede informacij, ki jih je treba zbrati pri pripravi teh seznamov, skupaj s predlogo za to.
Komisija je izdala tudi smernice, ki pojasnjujejo pravila o razmerju med Direktivo (EU) 2022/2555 in veljavnimi ter prihodnjimi sektorskimi pravnimi akti EU, ki obravnavajo ukrepe za obvladovanje tveganj na področju kibernetske varnosti ali zahteve glede poročanja o incidentih. Dodatek k smernicam vsebuje neizčrpen seznam sektorskih pravnih aktov, za katere Komisija meni, da spadajo na področje uporabe člena 4 Direktive (EU) 2022/2555.
Skupine za odzivanje na incidente računalniške varnosti (CSIRT) nudijo tehnično pomoč subjektom, vključno:
s spremljanjem in analizo kibernetskih groženj, ranljivosti in incidentov na nacionalni ravni;
z zagotavljanjem zgodnjih opozoril, opozoril, obvestil in informacij zadevnim subjektom in drugim deležnikom o kibernetskih grožnjah, ranljivostih in incidentih, če je mogoče v skoraj realnem času;
odzivanjem na incidente in zagotavljanjem pomoči, kjer je primerno;
zbiranjem in analiziranjem forenzičnih podatkov ter zagotavljanjem dinamične analize tveganja in incidentov ter zavedanja o situaciji na področju kibernetske varnosti; in
z odzivanjem na incidente in zagotavljanjem pomoči, kjer je to primerno;
Mreža CSIRT
Direktiva vzpostavlja mrežo nacionalnih skupin CSIRT za spodbujanje hitrega in učinkovitega operativnega sodelovanja.
Direktiva vzpostavlja skupino za sodelovanje za podporo in olajšanje strateškega sodelovanja in izmenjave informacij. Sestavljajo ga predstavniki držav članic, Komisije in ENISA. Po potrebi lahko skupina za sodelovanje k sodelovanju pri svojem delu povabi Evropski parlament in predstavnike ustreznih zainteresiranih strani.
Evropsko mrežo organizacij za zvezo v kibernetskih krizah (EU-CyCLONe) sestavljajo predstavniki organov držav članic za upravljanje kibernetskih kriz, skupaj s Komisijo v primerih, ko ima ali bo verjetno imel potencialni ali tekoči obsežen kibernetski incident znaten vpliv na sektorje, ki jih zajema direktiva. V drugih primerih bo Komisija sodelovala pri dejavnostih mreže kot opazovalka.
Omrežje podpira usklajeno upravljanje obsežnih kibernetskih incidentov in kriz na operativni ravni ter zagotavlja redno izmenjavo informacij med državami članicami ter institucijami, organi, uradi in agencijami EU.
Mreža je med drugim zadolžena za:
usklajevanje upravljanja obsežnih incidentov in kriz na področju kibernetske varnosti ter podporo pri odločanju na politični ravni;
povečanje pripravljenosti;
razvijanje skupnega zavedanja situacije; in
ocenjevanje posledic in vpliva obsežnih incidentov in kriz na področju kibernetske varnosti ter predlaganje možnih ukrepov za njihovo ublažitev.
Ukrepi za obvladovanje tveganj na področju kibernetske varnosti
Subjekti morajo sprejeti ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj na področju kibernetske varnosti. Katalog ukrepov med drugim vključuje analizo tveganj in varnostne politike informacijskih sistemov, ravnanje z incidenti, neprekinjeno poslovanje, obnovo po nesrečah in krizno upravljanje, varnost dobavne verige, ravnanje z ranljivostmi in njihovo razkritje, osnovne higienske prakse, politike in postopke glede uporabe kriptografije (in šifriranja, kjer je to primerno), varnost človeških virov in uporabo rešitev za večfaktorsko ali neprekinjeno avtentikacijo. Ti ukrepi morajo temeljiti na pristopu, ki upošteva vse nevarnosti.
Upravni organi morajo te ukrepe odobriti in nadzorovati njihovo izvajanje ter so lahko odgovorni za kršitve.
Poročanje
Subjekti morajo obvestiti svojo skupino CSIRT ali ustrezni organ o vsakem incidentu, ki:
je povzročil ali bi lahko povzročil resne operativne motnje ali finančno izgubo za subjekt;
je prizadel ali bi lahko prizadel druge s povzročitvijo znatne materialne ali nematerialne škode.
Poleg tega bo ENISA skupaj s Komisijo in skupino za sodelovanje pripravila dvoletno poročilo o stanju kibernetske varnosti v EU, ki bo predloženo tudi Parlamentu.
Nadzor in izvrševanje
Direktiva določa pravna sredstva in sankcije za zagotavljanje izvrševanja.
Medsebojni strokovni pregledi
Medsebojni pregledi so vzpostavljeni z namenom učenja iz skupnih izkušenj, krepitve medsebojnega zaupanja, doseganja visoke skupne ravni kibernetske varnosti ter krepitve zmogljivosti in politik držav članic na področju kibernetske varnosti, potrebnih za izvajanje te direktive. Ti pregledi vključujejo obiske na kraju samem ali virtualne obiske ter izmenjavo informacij zunaj kraja. Sodelovanje v teh strokovnih pregledih je prostovoljno.
Izvedbena uredba (EU) 2024/2690 določa pravila za uporabo Direktive (EU) 2022/2555 glede tehničnih in metodoloških zahtev ukrepov za obvladovanje tveganj na področju kibernetske varnosti in podrobneje opredeljuje primere, v katerih se incident šteje za pomembnega:
v zvezi s ponudniki storitev sistema domenskih imen,
v zvezi z registri domenskih imen najvišje ravni,
v zvezi s ponudniki storitev računalništva v oblaku,
v zvezi s ponudniki storitev podatkovnih centrov,
v zvezi s ponudniki omrežij za dostavo vsebin,
v zvezi s ponudniki upravljanih storitev,
v zvezi s ponudniki upravljanih varnostnih storitev,
v zvezi s ponudniki spletnih tržnic, spletnih iskalnikov in platform družbenih omrežij ter
ponudniki storitev zaupanja.
Razveljavitev
Direktiva (EU) 2022/2555 je razveljavila Direktivo (EU) 2016/1148 (glej vpovzetek) z dne , Izvedbena uredba (EU) 2024/2690 pa je razveljavila Izvedbeno uredbo (EU) 2018/151, ki je določala pravila za uporabo Direktive (EU) 2016/1148.
OD KDAJ SE TA PRAVILA UPORABLJAJO?
Direktivo je bilo treba prenesti v nacionalno zakonodajo do . Pravila se uporabljajo od .
Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, , str. 80).
Nadaljnje spremembe Direktive (EU) 2022/2555 so vključene v izvirno različico. Ta prečiščena različica ima samo dokumentarno vrednost.
POVEZANI DOKUMENTI
Izvedbena uredba Komisije (EU) 2024/2690 z dne o določitvi pravil za uporabo Direktive (EU) 2022/2555 glede tehničnih in metodoloških zahtev za ukrepe za obvladovanje tveganj na področju kibernetske varnosti in nadaljnji opredelitvi primerov, v katerih se incident šteje za pomembnega v zvezi s ponudniki storitev DNS, registri imen TLD, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebin, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, ponudniki spletnih tržnic, spletnih iskalnikov in platform družbenih omrežij ter ponudniki storitev zaupanja (UL L 2024/2690, ).
Sporočilo Komisije – Smernice Komisije o uporabi člena 3(4) Direktive (EU) 2022/2555 (Direktiva NIS 2) 2023/C 324/02 (UL C 324, , str. 2).
Sporočilo Komisije – Smernice Komisije o uporabi člena 4(1) in (2) Direktive (EU) 2022/2555 (Direktiva NIS 2) 2023/C 328/02 (UL C 328, , str. 2).
Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L 333, , str. 1).
Direktiva (EU) 2022/2557 Evropskega parlamenta in Sveta z dne o odpornosti kritičnih subjektov in razveljavitvi Direktive Sveta 2008/114/ES (UL L 333, , str. 164).
Uredba (EU) 2021/696 Evropskega parlamenta in Sveta z dne o vzpostavitvi Vesoljskega programa Unije in ustanovitvi Agencije Evropske unije za vesoljski program ter razveljavitvi uredb (EU) št. 912/2010, (EU) št. 1285/2013 in (EU) št. 377/2014 in Sklepa št. 541/2014/EU (UL L 170, , str. 69).
Uredba (EU) 2021/694 Evropskega parlamenta in Sveta z dne o vzpostavitvi programa Digitalna Evropa in razveljavitvi Uredbe (EU) št. 2015/2240 (UL L 166, , str. 1).
Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, , str. 15).
Priporočilo Komisije (EU) 2019/534 z dne – Kibernetska varnost omrežij 5G (UL L 88, , str. 42).
Uredba (EU) 2018/1139 Evropskega parlamenta in Sveta z dne o skupnih pravilih na področju civilnega letalstva in ustanovitvi Agencije Evropske unije za varnost v letalstvu ter spremembi uredb (ES) št. 2111/2005, (ES) št. 1008/2008, (EU) št. 996/2010, (EU) št. 376/2014 ter direktiv 2014/30/EU in 2014/53/EU Evropskega parlamenta in Sveta ter razveljavitvi uredb (ES) št. 552/2004 in (ES) št. 216/2008 Evropskega parlamenta in Sveta ter Uredbe Sveta (EGS) št. 3922/91 (UL L 212, , str. 1).
Izvedbeni sklep Sveta (EU) 2018/1993 z dne o enotni ureditvi EU za politično odzivanje na krize (UL L 320, , str. 28).
Priporočilo Komisije (EU) 2017/1584 z dne o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, , str. 36).
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, , str. 1).
Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (UL L 257, , str. 73).
Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, , str. 8).
Sklep št. 1313/2013/EU Evropskega parlamenta in Sveta z dne o mehanizmu Unije na področju civilne zaščite (UL L 347, , str. 924).
Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, , str. 1).
Uredba (ES) št. 300/2008 Evropskega parlamenta in Sveta z dne o skupnih pravilih na področju varovanja civilnega letalstva in o razveljavitvi Uredbe (ES) št. 2320/2002 (UL L 97, , str. 72).
Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, , str. 37).