Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 32016L1148

Võrgu- ja infosüsteemide küberturvalisus

Viimase läbivaatamise kuupäev:
01/03/2018
Esmane koostamise kuupäev:
04/04/2018
Kokkuvõetud dokumendid:
Autor:
Euroopa Liidu Väljaannete Talitus
Vastutav(ad) üksus(ed):
Sidevõrkude, sisu ja tehnoloogia peadirektoraat

Võrgu- ja infosüsteemide küberturvalisus

 

KOKKUVÕTE:

Direktiiv (EL) 2016/1148 – võrgu- ja infosüsteemide küberturvalisus

MIS ON DIREKTIIVI EESMÄRK?

Määrusega pakutakse mitmeid meetmeid võrgu- ja infosüsteemide turvalisuse (küberturvalisus*) taseme tõstmiseks, et tagada ELi majandusele ja ühiskonnale eluliselt tähtsad teenused. Selle eesmärk on tagada, et ELi riigid on väga hästi ettevalmistunud ja valmis küberrünnakutega toime tulema ja neile reageerima:

Samuti kehtestatakse sellega koostöö ELi tasandil nii strateegilisel kui tehnilisel tasandil.

Lõpuks kehtestatakse oluliste teenuste pakkujatele ja digitaalse teenuse osutajatele kohustus kohaldada asjakohaseid turvameetmeid ja teavitada asjakohaseid asutusi rasketest intsidentidest.

PÕHIPUNKTID

Riikide küberturvalisuse suutlikkuse parandamine

ELi riigid peavad:

  • nimetama ühe või enama riikliku pädeva asutuse ja CSIRTid ning kindlaks määrama ühe ühtse kontaktpunkti (juhul kui on rohkem kui üks pädev asutus);
  • kindlaks määrama oluliste teenuste pakkujad kriitilistes sektorites (nt energia, transport, rahandus, pangandus, tervishoid, vesi) ja digitaalse taristu, kus küberrünnak võib katkestada oluliste teenuste pakkumise.

ELi riigid peavad kehtestama ka võrgu- ja infosüsteemide* riikliku küberturvalisuse strateegia, mis hõlmab järgmisi teemasid:

  • valmisolek küberrünnakutega toime tulemiseks ja neile reageerimiseks;
  • valitsuse ja teiste osaliste ülesanded, vastutus ja koostöö;
  • haridus-, teadlikkuse suurendamise ja koolitusprogrammid;
  • teadus- ja arendustegevuse kavad;
  • riski hindamise kavad.

Riigi pädevad asutused jälgivad direktiivi rakendamist:

  • hinnates küberturvalisust ja oluliste teenuste osutajate turvapõhimõtteid;
  • teostades järelevalvet digitaalse teenuse osutajate üle;
  • osaledes koostöörühma (koosneb iga ELi riigi võrgu- ja infoturbeameti (NIS) pädevate asutuste, Euroopa Komisjoni ja Euroopa Liidu Võrgu- ja Infoturbeameti (ENISA) esindajatest) töös;
  • vajaduse korral üldsust teavitades intsidendi ärahoidmiseks või käimasoleva intsidendi lahendamiseks, samal ajal austades konfidentsiaalsust;
  • andes siduvaid juhiseid, et parandada küberturvalisuse puudujääke.

CSIRTide vastutusalasse kuuluvad:

  • küberturvalisuse intsidentide seire ja nendele reageerimine;
  • riskide ja intsidentide analüüsimine ja teadlikkus olukorrast;
  • osalemine CSIRTide võrgustikus;
  • koostöö erasektoriga;
  • standardtoimingute kasutamise toetamine intsidentide ja riskide käsitlemisel ning teabe liigitamisel.

Turva- ja teatamisnõuded

Direktiivi eesmärgiks on edendada riskihalduse kultuuri. Olulise tähtsusega sektorites tegutsevad ettevõtjad peavad riske hindama ja võtma vastu meetmed küberturvalisuse tagamiseks. Need ettevõtjad peavad teavitama pädevaid asutusi või CSIRTe asjakohastest intsidentidest (nt andmete häkkimisest või vargusest), mis seavad tõsiselt ohtu küberturvalisuse ja millel on oluliselt häiriv mõju kriitiliste teenuste järjepidevusele ja kaupade tarnele.

Selleks, et teha kindlaks, kas olulise teenuse* pakkujal on vaja intsidendist teavitada, peavad ELi riigid arvestama intsidendi kestust, geograafilist ulatust ja teisi tegureid, nagu asjaomasest teenusest sõltuvate kasutajate arvu.

Olulised digitaalse teenuse osutajad (otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad) peavad samuti täitma turva- ja teatamisnõudeid.

Koostöö parandamine ELi tasemel

Direktiiviga luuakse koostöörühm, kelle ülesanneteks on:

  • anda suuniseid CSIRTide võrgustikule;
  • vahetada parimaid tavasid oluliste teenuste pakkujate kindlaksmääramise kohta;
  • aidata ELi riike küberturvalisuse alase suutlikkuse suurendamisel;
  • vahetada teavet ja parimaid tavasid teadlikkuse suurendamise ja koolituse ning teadus- ja arendustegevuse kohta;
  • vahetada teavet ja koguda parimaid tavasid riskide ja intsidentide kohta;
  • arutada intsidentidest teatamise korda.

Samuti luuakse sellega CSIRTide võrgustik, mis koosneb ELi riikide CSIRTSide ja infoturbeintsidentidega tegeleva rühma (CERT-EU) esindajatest. Selle ülesanded on järgmised:

  • vahetada teavet CSIRTi teenuste kohta;
  • vahetada teavet küberturvalisusega seotud intsidentide kohta;
  • toetada ELi riike piiriülestele intsidentidele reageerimisel;
  • arutada ja teha kindlaks koordineeritud reageerimine ELi riigi poolt teatatud intsidendile;
  • arutada, uurida ja teha kindlaks täiendavaid operatiivkoostöö vorme, sealhulgas seoses järgmisega:
    • riskide ja intsidentide kategooriad;
    • varajased hoiatused;
    • vastastikune abi;
    • riikidevaheline koostöö juhtudeks, kui liikmesriigid reageerivad riskidele ja intsidentidele, mis mõjutavad enamat kui ühte ELi riiki;
  • teavitada koostöörühma oma tegevusest ja taotleda sellega seonduvaid suuniseid;
  • arutada küberturvalisusega seotud õppustelt saadud kogemusi;
  • arutada üksiku CSIRTi taotlusel kõnealuse CSIRTi suutlikkust;
  • anda suuniseid operatiivkoostöö kohta.

Karistused

ELi riikide poolt kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad, et tagada käesoleva direktiivi tingimuste rakendamine.

MIS AJAST DIREKTIIVI KOHALDATAKSE?

Direktiivi kohaldatakse alates 8. augustist 2016. ELi riigid peavad selle oma siseriiklikusse õigusesse üle võtma 9. maiks 2018 ja oluliste teenuste osutajad kindlaks määrama 9. novembriks 2018.

TAUST

PÕHIMÕISTED

Küberturvalisus: võrgu- ja infosüsteemide võime takistada tegevust, mis seab ohtu nende süsteemide kaudu pakutavate digitaalsete andmete või teenuste kättesaadavuse, autentsuse, tervikluse ja konfidentsiaalsuse.
Võrgu- ja infosüsteem: elektrooniline sidevõrk või seade või omavahel ühendatud seadmete rühm, mis töötleb digitaalseid andmeid, ning ka digitaalsed andmed, mida salvestatakse, töödeldakse, saadakse päringutega või edastatakse.
Olulised teenused: era- või avaliku sektori ettevõtjad, kelle on majanduses ja ühiskonnas tähtis roll (nt veevarustus, elektrienergia teenused jne).

PÕHIDOKUMENT

Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (ELT L 194, 19.7.2016, lk 1–30)

SEONDUVAD DOKUMENDID

Komisjoni 30. jaanuari 2018. aasta rakendusmäärus (EL) 2018/151, millega nähakse ette Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/1148 kohaldamise eeskirjad, et täpsustada elemendid, mida digitaalse teenuse osutajad peavad võrgu- ja infosüsteemide turvalisust ohustavate riskide haldamiseks arvesse võtma, ja parameetrid, mille põhjal tehakse kindlaks intsidendi mõju olulisus (ELT L 26, 31.1.2018, lk 48–51)

Komisjoni 1. veebruari 2017. aasta rakendusotsus (EL) 2017/179, millega kehtestatakse koostöörühma toimimiseks vajalik menetluskord vastavalt Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/1148 (meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus) artikli 11 lõikele 5 (ELT L 28, 2.2.2017, lk 73–77)

Komisjoni teatis Euroopa Parlamendile ja nõukogule: Parimate tulemuste saavutamine võrgu- ja infoturbe direktiivi rakendamisel – jõupingutused direktiivi (EL) 2016/1148 (meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus) tulemuslikuks rakendamiseks (COM(2017) 476 final 2, 4.10.2017)

Komisjoni 13. septembri 2017. aasta soovitus (EL) 2017/1584 koordineeritud reageerimise kohta ulatuslike küberturvalisuse intsidentide ja kriiside korral (ELT L 239, 19.9.2017, lk 36–58)

Ühisteatis Euroopa Parlamendile ja nõukogule – Vastupidavusvõime, heidutus ja kaitse: tugeva küberturvalisuse tagamine ELis (JOIN(2017) 450 final, 13.9.2017)

Komisjoni talituste töödokument – ELi 2013. aasta küberturvalisuse strateegia hindamine (SWD(2017) 295 final, 13.9.2017)

Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73–114)

Nõukogu 23. septembri 2013. aasta otsus 2013/488/EL ELi salastatud teabe kaitseks vajalike julgeolekueeskirjade kohta (ELT L 274, 15.10.2013, lk 1–50).

Otsuse 2013/488/EL hilisemad muudatused on algdokumenti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus.

Euroopa Parlamendi ja nõukogu 12. augusti 2013. aasta direktiiv 2013/40/EL, milles käsitletakse infosüsteemide vastu suunatud ründeid ja millega asendatakse nõukogu raamotsus 2005/222/JSK (ELT L 218, 14.8.2013, lk 8–14)

Euroopa Parlamendi ja nõukogu 21. mai 2013. aasta määrus (EL) nr 526/2013, mis käsitleb Euroopa Liidu Võrgu- ja Infoturbeametit (ENISA) ning millega tunnistatakse kehtetuks määrus (EÜ) nr 460/2004 (ELT L 165, 18.6.2013, lk 41–58)

Ühisteatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele – Euroopa Liidu küberjulgeoleku strateegia: avatud, ohutu ja turvaline küberruum (JOIN(2013) 1 final, 7.2.2013)

Viimati muudetud: 01.03.2018

Üles