Kibernetska varnost omrežja in informacijskih sistemov

 

POVZETEK:

Direktiva (EU) 2016/1148 – kibernetska varnost omrežja in informacijskih sistemov

KAJ JE NAMEN TE DIREKTIVE?

Ta direktiva predlaga obširen sklop ukrepov za povečanje ravni varnosti omrežja in informacijskih sistemov (kibernetska varnost*) na varne storitve, ki so ključne za gospodarstvo in družbo EU. Njen namen je zagotoviti, da bodo države EU dobro pripravljene za obvladovanje kibernetskih napadov in odzivanje nanje z:

Direktiva vzpostavlja tudi strateško in tehnično sodelovanje na ravni EU.

Za izvajalce bistvenih storitev in ponudnike digitalnih storitev pa uvaja obveznost sprejetja ustreznih varnostnih ukrepov in obveščanja ustreznih nacionalnih organov o resnih incidentih.

KLJUČNE TOČKE

Izboljšanje nacionalnih zmogljivosti na področju kibernetske varnosti

Države EU morajo:

Države EU morajo oblikovati tudi nacionalne strategije za kibernetsko varnost za omrežja in informacijske sisteme*, ki zajemajo naslednja vprašanja:

Pristojni nacionalni organi spremljajo uporabo direktive tako, da:

Skupine CSIRT so odgovorne za:

Zahteve glede varnosti in priglasitve

Namen direktive je spodbuditi kulturo obvladovanja tveganja. Podjetja, ki delujejo v ključnih sektorjih, morajo oceniti tveganja, ki so jim izpostavljena, in sprejeti ukrepe za zagotovitev kibernetske varnosti. Ta podjetja morajo obvestiti pristojne organe ali skupine CSIRT o vseh zadevnih incidentih, kot so vdori v podatke ali kraje podatkov, ki resno ogrožajo kibernetsko varnost in imajo pomemben negativen vpliv na neprekinjenost ključnih storitev in dobave blaga.

Da bi države EU opredelile incidente, ki jih morajo priglasiti izvajalci bistvenih storitev*, morajo upoštevati trajanje in geografsko razširjenost incidenta ter druge dejavnike, kot je število uporabnikov, ki so odvisni od navedene storitve.

Ponudniki ključnih digitalnih storitev (brskalniki, storitve računalništva v oblaku in spletne tržnice) bodo prav tako morali izpolnjevati zahteve glede varnosti in priglasitve.

Izboljšanje sodelovanja na ravni EU

Direktiva vzpostavlja skupino za sodelovanje, katere naloge vključujejo:

Direktiva vzpostavlja tudi mrežo CSIRT, ki jo sestavljajo predstavniki skupin CSIRT iz držav EU in skupine za odzivanje na računalniške grožnje (CERT-EU). Naloge mreže so:

Kazni

Države EU morajo izvajati učinkovite, sorazmerne in odvračilne kazni, da bi zagotovile, da so pogoji iz te direktive izpolnjeni.

OD KDAJ SE TA DIREKTIVA UPORABLJA?

Ta direktiva se uporablja od 8. avgusta 2016. Države EU jo morajo vključiti v nacionalno zakonodajo do 9. maja 2018, izvajalce bistvenih storitev pa določiti do 9. novembra 2018.

OZADJE

KLJUČNI POJMI

Kibernetska varnost: zmožnost omrežja in informacijskih sistemov, da preprečijo dogodek, ki ogroža razpoložljivost, avtentičnost, celovitost ali zaupnost digitalnih podatkov ali storitev, ki jih ti sistemi zagotavljajo.
Omrežja in informacijski sistem: elektronsko komunikacijsko omrežje ali vsaka naprava ali skupina med seboj povezanih naprav, ki obdeluje digitalne podatke, ter digitalni podatki, ki se shranjujejo, obdelujejo, pridobivajo ali prenašajo.
Bistvene storitve: zasebna podjetja ali javni subjekti s pomembno vlogo v družbi ali gospodarstvu, na primer oskrba z vodo, storitev oskrbe z električno energijo itd.

GLAVNI DOKUMENT

Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1–30).

POVEZANI DOKUMENTI

Izvedbena uredba Komisije (EU) 2018/151 z dne 30. januarja 2018 o določitvi pravil za uporabo Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta v zvezi z dodatno specifikacijo elementov, ki jih morajo upoštevati ponudniki digitalnih storitev pri obvladovanju tveganj za varnost omrežij in informacijskih sistemov, in parametrov za določanje, ali ima incident pomemben vpliv (UL L 26, 31.1.2018, str. 48–51).

Izvedbeni sklep Komisije (EU) 2017/179 z dne 1. februarja 2017 o postopkovnih ureditvah, potrebnih za delovanje skupine za sodelovanje v skladu s členom 11(5) Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 28, 2.2.2017, str. 73–77).

Sporočilo Komisije Evropskemu parlamentu in Svetu – Kako kar najbolje izkoristiti direktivo o varnosti omrežij in informacij – za učinkovito izvajanje Direktive (EU) 2016/1148 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (COM(2017) 476 final 2 z dne 4. oktobra 2017).

Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36–58).

Skupno sporočilo Evropskemu parlamentu in Svetu – Odpornost, odvračanje in obramba: okrepitev kibernetske varnosti za EU (JOIN(2017) 450 final z dne 13. septembra 2017).

Delovni dokument služb Komisije – Ocena strategije za kibernetsko varnost EU iz leta 2013 (SWD(2017) 295 final z dne 13. septembra 2017).

Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (UL L 257, 28.8.2014, str. 73–114).

Sklep Sveta 2013/488/EU z dne 23. septembra 2013 o varnostnih predpisih za varovanje tajnih podatkov EU (UL L 274, 15.10.2013, str. 1–50).

Nadaljnje spremembe Sklepa 2013/488/EU so vključene v izvirni dokument. Ta prečiščena različica ima samo dokumentarno vrednost.

Direktiva 2013/40/EU Evropskega parlamenta in Sveta z dne 12. avgusta 2013 o napadih na informacijske sisteme in nadomestitvi Okvirnega sklepa Sveta 2005/222/PNZ (UL L 218, 14.8.2013, str. 8–14).

Uredba (EU) št. 526/2013 Evropskega parlamenta in Sveta z dne 21. maja 2013 o agenciji Evropske unije za varnost omrežij in informacij (ENISA) in razveljavitvi Uredbe (ES) št. 460/2004 (UL L 165, 18.6.2013, str. 41–58).

Glej prečiščeno različico.

Skupno sporočilo Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij – Strategija Evropske unije za kibernetsko varnost: odprt, varen in zanesljiv kibernetski prostor (JOIN(2013) 1 final z dne 7. februarja 2013).

Zadnja posodobitev 01.03.2018