Direktiiv meetmete kohta, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus (küberturvalisuse 2. direktiiv) – KKK

Küberturvalisuse direktiiv – esimene ELi küberturvalisust käsitlev õigusakt – on esimene horisontaalne siseturu vahend, mille eesmärk on parandada liidu võrgu- ja infosüsteemide vastupidavust küberturvalisuse riskidele. Vaatamata märkimisväärsetele saavutustele on võrgu- ja infoturbe direktiiv näidanud teatavaid piiranguid. Ühiskonna digiüleminek, mida süvendas COVID-19 kriis, on ohumaastikku laiendanud. Esile on kerkinud uued väljakutsed, mis nõuavad kohandatud ja uuenduslikke lahendusi.

Selleks et oleks võimalik analüüsida võrgu- ja infoturbe direktiivi mõju ja teha kindlaks selle puudused, korraldas komisjon ulatusliku konsulteerimise sidusrühmadega. Komisjon tegi kindlaks järgmised peamised probleemid:

• ELis tegutsevate ettevõtete kübervastupidavusvõime ebapiisav tase
• ebaühtlane vastupanuvõime liikmesriikides ja sektorites
• liikmesriikide ebapiisav ühine arusaam peamistest ohtudest ja probleemidest
• ühise kriisile reageerimise puudumine.

Selle tulemusena ja selleks, et reageerida digiüleminekust ja vastastikusest seotusest tulenevatele kasvavatele ohtudele, tegi komisjon 2020. aasta detsembris ettepaneku tulevikukindlate normide muudetud kogumi kohta, mille suhtes kaasseadusandjad jõudsid 13. mail 2022 poliitilisele kokkuleppele ja võtsid 2022. aasta novembri lõpus ametlikult vastu uue direktiivi.

Alates COVID-19 kriisist on Euroopa majandus muutunud digilahendustest sõltuvamaks kui kunagi varem. Sektorid ja teenused on üha enam omavahel seotud ja üksteisest sõltuvad. Selle tulemusena on suurenenud ja kiiresti arenev küberturvalisuse ohtude maastik: kõik häired, isegi kui need piirdusid esialgu ühe üksuse või sektoriga, võivad avaldada astmelist mõju laiemalt, mis võib kaasa tuua kaugeleulatuva ja pikaajalise negatiivse mõju teenuste osutamisele kogu siseturul.

COVID-19 pandeemia on näidanud meie üha enam üksteisest sõltuvate ühiskondade haavatavust ootamatute riskide ees. See süvendas kehtivas võrgu- ja infoturbe direktiivis juba esile kerkivaid küsimusi ja aitas selle läbivaatamist katalüsaatorina. Seda kriisi silmas pidades oli võrgu- ja infoturbe direktiivi konkreetne muudatus laiendada uue direktiivi kohaldamisala, hõlmates konkreetsemaid tervishoiusektori elemente, nagu näiteks üksused, kes tegelevad ravimite teadus- ja arendustegevusega.

Teise küberturvalisuse direktiivis on sätestatud õiguslikud meetmed küberturvalisuse üldise taseme tõstmiseks ELis, et aidata kaasa siseturu üldisele toimimisele. See tugineb kolmele peamisele sambale, mis olid esimese küberturvalisuse direktiivi aluseks:

1. Tuginedes võrgu- ja infosüsteemide turvalisuse esimese küberturvalisuse strateegiale, nõutakse teise küberturvalisuse direktiivis liikmesriikide valmisoleku kõrge taseme saavutamiseks, et liikmesriigid võtaksid vastu riikliku küberturvalisuse strateegia. Liikmesriigid peavad määrama ka riiklikud küberturbe intsidentidele reageerimise rühmad (CSIRTid), kes vastutavad riskide ja intsidentide käsitlemise eest, pädeva riikliku küberturvalisuse asutuse ja ühtse kontaktpunkti. Ühtne kontaktpunkt peab täitma sidepidamisfunktsiooni, et tagada piiriülene koostöö liikmesriikide ametiasutuste ja teiste liikmesriikide asjaomaste asutuste vahel ning vajaduse korral komisjoni ja ENISAga ning tagada valdkondadevaheline koostöö oma liikmesriigi teiste pädevate asutustega.
2. Teise küberturvalisuse direktiiviga jätkatakse ka võrgu- ja infoturbe 1. raamistikku, millega luuakse võrgu- ja infoturbe koostöörühm, et toetada ja hõlbustada strateegilist koostööd ja teabevahetust liikmesriikide vahel, ning CSIRTide võrgustikku, mis edendab kiiret ja tõhusat operatiivkoostööd riiklike CSIRTide vahel.
3. Küberturvalisuse 1. direktiiviga tagatakse, et küberturvalisuse meetmeid võetakse seitsmes sektoris, mis on meie majanduse ja ühiskonna jaoks üliolulised ning sõltuvad suurel määral IKTst, nagu energeetika, transport, pangandus, finantsturutaristud, joogivesi, tervishoid ja digitaalne taristu.

Avaliku ja erasektori üksused, kelle liikmesriigid on määratlenud oluliste teenuste operaatoritena nendes sektorites, peavad läbi viima küberturvalisuse riskihindamise ning kehtestama asjakohased ja proportsionaalsed turvameetmed. Nad peavad teatama tõsistest vahejuhtumitest asjaomastele asutustele. Lisaks peavad peamiste digiteenuste osutajad (digitaalse teenuse osutajad või digiteenuse osutajad), näiteks otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad, täitma ka direktiivist tulenevaid turva- ja teavitamisnõudeid. Samal ajal kohaldatakse viimaste suhtes nn leebe reguleerimiskorda, mis tähendab, et nende üksuste suhtes ei kohaldata eeljärelevalvemeetmeid.

Teise küberturvalisuse direktiiviga laiendatakse märkimisväärselt sektorite kohaldamisala ja kehtestatakse suuruskünnis, et määrata kindlaks, millised üksused kuuluvad selle kohaldamisalasse, ning neilt nõutaks olulistest küberturvalisuse intsidentidest teatamist riiklikele pädevatele asutustele.

Teise küberturvalisuse direktiivi eesmärk on kõrvaldada varasemates eeskirjades esinevad puudused, kohandada seda praegustele vajadustele ja muuta see tulevikukindlaks.

Selleks laiendatakse direktiiviga varasemate eeskirjade kohaldamisala, lisades uusi sektoreid, mis põhinevad nende digitaliseerimise ja omavahelise seotuse astmel ning kui olulised need on majanduse ja ühiskonna jaoks, kehtestades selge künnise reegli, mis tähendab, et kohaldamisalasse lisatakse kõik valitud sektorite keskmise suurusega ja suured ettevõtjad. Samal ajal jätab see liikmesriikidele teatava kaalutlusõiguse teha kindlaks väiksemaid kõrge turvariski profiiliga üksusi, kelle suhtes tuleks samuti kohaldada uue direktiivi kohustusi.

Uue direktiiviga kaotatakse ka oluliste teenuste operaatorite ja digitaalse teenuse osutajate eristamine. Üksused liigitatakse nende tähtsuse alusel ja jagatakse kahte kategooriasse: elutähtsad ja olulised üksused, kelle suhtes kohaldatakse erinevat järelevalvekorda.

Sellega tugevdatakse ja ühtlustatakse ettevõtjatele esitatavaid turbe- ja aruandlusnõudeid, kehtestades riskijuhtimise lähenemisviisi, mis sisaldab minimaalset loetelu põhilistest turvaelementidest, mida tuleb kohaldada. Uue direktiiviga kehtestatakse täpsemad sätted intsidentidest teatamise protsessi, teadete sisu ja tähtaegade kohta.

Lisaks käsitletakse teises küberturvalisuse direktiivis tarneahelate ja tarnijasuhete turvalisust, nõudes, et üksikud ettevõtjad tegeleksid küberturvalisuse riskidega tarneahelates ja tarnijasuhetes. Euroopa tasandil tugevdatakse direktiiviga peamiste info- ja kommunikatsioonitehnoloogiate tarneahela küberturvalisust. Liikmesriigid võivad koostöös komisjoni ja ENISAga teha liidu tasandil elutähtsate tarneahelate turvariskide koordineeritud hindamisi, tuginedes 5G-võrkude küberturvalisust käsitleva komisjoni soovituse raames võetud edukale lähenemisviisile.

Direktiiviga kehtestatakse liikmesriikide ametiasutustele rangemad järelevalvemeetmed, rangemad jõustamisnõuded ning eesmärk on ühtlustada karistuste korda liikmesriikides.

Samuti suurendab see koostöörühma rolli strateegiliste poliitiliste otsuste kujundamisel ning suurendab teabe jagamist ja koostööd liikmesriikide ametiasutuste vahel. Samuti tõhustatakse operatiivkoostööd CSIRTi võrgustikus ja luuakse Euroopa küberkriiside sideorganisatsioonide võrgustik (EU-CyCLONe), et toetada laiaulatuslike küberturvalisuse intsidentide ja kriiside koordineeritud haldamist.

Küberturvalisuse 2. direktiiviga luuakse ka peamiste vastutavate osalejatega alusraamistik haavatavuse koordineeritud avalikustamiseks hiljuti avastatud nõrkuste puhul kogu ELis ning luuakse ELi haavatavuse andmebaas IKT-toodete ja -teenuste avalikult teadaolevate nõrkade kohtade kohta, mida haldab ja haldab ELi küberturvalisuse amet (ENISA).

Teine küberturvalisuse direktiiv hõlmab järgmiste sektorite üksusi:

Kriitilise tähtsusega sektorid: energia (elekter, kaugküte ja -jahutus, nafta, gaas ja vesinik); transport (õhu-, raudtee-, vee- ja maanteetransport); pangandus; finantsturu infrastruktuurid; tervishoid, sealhulgas farmaatsiatoodete, sealhulgas vaktsiinide tootmine; joogivesi; reovesi; digitaalne taristu (internetivahetuspunktid; DNS-teenuse osutajad; Tippdomeeni nimeregistrid; pilvandmetöötluse teenuste osutajad; andmekeskuse teenuseosutajad; sisuedastusvõrgud; usaldusteenuse osutajad; üldkasutatavate elektroonilise side võrkude ja üldkasutatavate elektrooniliste sideteenuste pakkujad); IKT-teenuste haldamine (juhitavad teenuseosutajad ja hallatud turvateenuste osutajad), avalik haldus ja kosmos.

Muud kriitilise tähtsusega sektorid: posti- ja kulleriteenused; jäätmekäitlus; kemikaalid; toit; meditsiiniseadmete, arvutite ja elektroonika, masinate ja seadmete, mootorsõidukite, haagiste ja poolhaagiste ning muude transpordivahendite tootmine; digitaalsed teenuseosutajad (veebiturud, veebipõhised otsingumootorid ja sotsiaalvõrgustike teenuste platvormid) ja teadusasutused.

Kehtivate turva- ja intsidentidest teatamise nõudeid käsitlevate eeskirjadehindamine on näidanud, et mõnel juhul on liikmesriigid neid nõudeid märkimisväärselt erinevalt rakendanud. See on tekitanud lisakoormuse rohkem kui ühes liikmesriigis tegutsevatele ettevõtjatele.

Lisaks soovime küberturvalisuse nõuete osas olla kindlad, et kõik ettevõtted tegelevad oma küberturvalisuse riskijuhtimispoliitikas vajalike põhielementidega.

Sel põhjusel sisaldab teine küberturvalisuse direktiiv loetelu kümnest põhielemendist, millega kõik ettevõtjad peavad tegelema või mida nad peavad rakendama võetavate meetmete raames, sealhulgas intsidentide käsitlemine, tarneahela turvalisus, haavatavuse käsitlemine ja avalikustamine, krüptograafia kasutamine ja vajaduse korral krüpteerimine.

Mis puudutab intsidentidest teatamist, siis peame leidma õige tasakaalu kiire teatamise vajaduse vahel, et vältida intsidentide võimalikku levikut, ja vajaduse vahel põhjaliku aruandluse järele, et saada üksikutest intsidentidest väärtuslikke õppetunde. Uue direktiiviga nähakse ette mitmeetapiline lähenemisviis intsidentidest teatamisele. Mõjutatud ettevõtjatel on 24 tundi pärast seda, kui nad saavad intsidendist teada, esitada CSIRTile või pädevale riiklikule asutusele varajane hoiatus, mis võimaldaks neil paluda abi (suuniseid või operatiivnõustamist võimalike leevendusmeetmete rakendamise kohta), kui nad seda taotlevad. Varajasele hoiatusele peaks järgnema intsidendist teatamine 72 tunni jooksul pärast intsidendist teada saamist ja lõpparuanne hiljemalt üks kuu hiljem.

Uues võrgu- ja infoturbe direktiivis seatakse järelevalve ja jõustamine pädevate asutuste ülesannete keskmesse ning kehtestatakse sidus raamistik kõigi järelevalve- ja jõustamistoimingute jaoks kõigis liikmesriikides.

Selleks et tugevdada järelevalvet, mis aitab tagada nõuetele vastavuse, näeb teine küberturvalisuse direktiiv ette minimaalse loetelu järelevalvevahenditest, mille kaudu pädevad asutused võivad teostada järelevalvet elutähtsate ja oluliste üksuste üle. Need hõlmavad korrapäraseid ja sihipäraseid auditeid, kohapealseid ja väliseid kontrolle, teabe taotlemist ning juurdepääsu dokumentidele või tõenditele.

Lisaks on uues direktiivis sätestatud elutähtsate ja oluliste üksuste järelevalvekorra eristamine, et tagada nii üksuste kui ka pädevate asutuste kohustuste õiglane tasakaal.

Mis puudutab jõustamist, siis seni on liikmesriigid üldiselt vastumeelsusele kohaldada karistusi üksuste suhtes, kes ei ole kehtestanud turvameetmeid või teatanud intsidentidest. Sellel võivad olla negatiivsed tagajärjed üksuste kübervastupidavusvõimele. Jõustamise tõhustamiseks luuakse uue direktiiviga karistuste ühtne raamistik kogu liidus. Seepärast kehtestatakse küberturvalisuse direktiivis sätestatud küberturvalisuse riskijuhtimis- ja aruandluskohustuste rikkumise eest määratavate halduskaristuste miinimumloetelu. Need sanktsioonid hõlmavad siduvaid juhiseid, julgeolekuauditi soovituste rakendamist, julgeolekumeetmete vastavusseviimist võrgu- ja infoturbe nõuetega ning haldustrahve. Seoses haldustrahvidega eristatakse uues võrgu- ja infoturbe direktiivis elutähtsaid ja olulisi üksusi. Elutähtsate üksuste puhul nõutakse selles, et liikmesriigid näeksid ette teataval tasemel haldustrahvid, mille maksimummäär on vähemalt 10,000,000 eurot või 2 % eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem. Oluliste üksuste puhul nõutakse teise küberturvalisuse direktiiviga, et liikmesriigid näeksid ette trahvi, mis on vähemalt 7,000,000 eurot või vähemalt 1,4 % eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

Täitevolituste kasutamisel peaksid pädevad asutused võtma nõuetekohaselt arvesse iga juhtumi konkreetseid asjaolusid, nagu rikkumise laad, raskusaste ja kestus, tekitatud kahju või tekkinud kahju, rikkumise tahtlik või hooletus.

Selleks et tagada tegelik aruandekohustus küberturvalisuse meetmete eest organisatsiooni tasandil, kehtestatakse teise küberturvalisuse direktiiviga sätted, mis käsitlevad uue küberturvalisuse direktiivi kohaldamisalasse kuuluvates üksustes kõrgema juhtkonna ametikohtadel olevate füüsiliste isikute vastutust.

Uued normid parandavad seda, kuidas EL hoiab ära, käsitleb ja reageerib ulatuslikele küberturvalisuse intsidentidele ja kriisidele. Nad teevad seda, kehtestades selged kohustused, asjakohase planeerimise ja suurema ELi koostöö. Teises küberturvalisuse direktiivis nõutakse liikmesriikidelt küberkriiside ohjamise eest vastutavate riiklike asutuste nimetamist, riiklike suuremahuliste küberturvalisuse intsidentide ja kriisidele reageerimise kavade kehtestamist ning Euroopa küberkriiside sideorganisatsioonide võrgustiku (EU-CYCLONe) loomist, et toetada suuremahuliste küberturvalisuse intsidentide ja kriiside koordineeritud haldamist operatiivtasandil. See võrgustik on oluline komponent, mis aitab luua ELi küberkriisiohje raamistikku, mille komisjon esitas 2017. aastal soovitusega koordineeritud reageerimise kohta laiaulatuslikele intsidentidele ja kriisidele.

Üldjuhul loetakse elutähtsad ja olulised üksused selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus nad on asutatud. Kui üksus on asutatud rohkem kui ühes liikmesriigis, peaks ta kuuluma iga kõnealuse liikmesriigi jurisdiktsiooni alla. Pädevad asutused peaksid tegema koostööd, andma üksteisele vastastikust abi ja võtma vajaduse korral ühiseid järelevalvemeetmeid. Sellest reeglist on mitu erandit:

• üldkasutatavate elektroonilise side võrkude pakkujad või teenuseosutajad või üldkasutatavad elektroonilise side teenused kuuluksid selle liikmesriigi jurisdiktsiooni alla, kus nad oma teenuseid osutavad.
• avaliku halduse asutused kuuluksid nende asutanud liikmesriigi jurisdiktsiooni alla.
• teatavat liiki üksused kuuluksid selle liikmesriigi jurisdiktsiooni alla, kus on nende peamine tegevuskoht liidus. Nende üksuste hulka kuuluvad domeeninimede süsteemi teenuse osutajad, tippdomeeninimede registrid, domeeninimede registreerimise teenuseid osutavad üksused, pilvandmetöötluse teenuse osutajad, andmekeskuste teenuseosutajad, sisuedastusvõrgu pakkujad, hallatavate teenuseosutajate ja hallatavate turvateenuste pakkujad ning internetipõhiste kauplemiskohtade, veebipõhiste otsingumootorite ja suhtlusvõrgustike platvormide pakkujad. Selle eesmärk on tagada, et sellised üksused ei seisaks silmitsi paljude erinevate õiguslike nõuetega, kuna nad osutavad teenuseid piiriüleselt eriti suurel määral. Tõhusa järelevalve eesmärgil nõuavad liikmesriigid seda liiki üksustelt, et nad teataksid muu hulgas üksuse peamise tegevuskoha ja tema muude liidus asuvate juriidiliste üksuste kohta või, kui nad ei ole asutatud liidus, üksuse esindaja määramise koha. ENISA-lt nõutaks registri loomist ja pidamist liikmesriikide poolt selle alusel esitatud teabega.

ELi koostöö edeneb, võimaldades liikmesriikidel ühiselt tegutseda ja tegeleda tekkivate julgeolekuriskidega, mis tulenevad käimasolevast digiüleminekust.

Täpsemalt saavad liikmesriigid ühiselt teostada järelevalvet ELi eeskirjade rakendamise üle ja üksteist vastastikku abistada piiriüleste kuritarvituste korral, pidada struktureeritumat dialoogi erasektoriga ning koordineerida siseturul müüdava tarkvara ja riistvara nõrkuste avalikustamist. Samuti saavad nad kooskõlastatult hinnata uute tehnoloogiatega seotud turvariske ja -ohte, nagu seda tehti esimest korda 5G-ga.

Liikmesriigid toetuvad ELi koostööle, et parandada riiklikku suutlikkust ametiasutuste vahelise personalivahetuse ja vastastikuste eksperdihinnangute kaudu. Olemasolevad rühmad, eelkõige riikide küberturvalisuse eest vastutavaid asutusi koondav koostöörühm ja küberturbe intsidentidele reageerimise rühmade võrgustik (CSIRTid) aitavad kaasa koostöö edendamisele nii strateegilisel kui ka tehnilisel tasandil.

Teise küberturvalisuse direktiiv on tihedalt seotud kahe teise algatusega: kriitilise tähtsusega üksuste vastupidavusvõime direktiiviga ja finantssektori digitaalse tegevuskerksuse määrusega (digitaalse tegevuskerksuse õigusakt, DORA).

Teise küberturvalisuse direktiivi ja kriitilise tähtsusega üksuste vastupidavusvõime direktiivi kohaldamisala on suures osas ühtlustatud, et tagada kriitilise tähtsusega üksuste füüsilise ja kübervastupidavusvõime põhjalik käsitlemine. Üksuste suhtes, mis on CER-direktiivi alusel määratletud kriitilise tähtsusega üksustena, kohaldatakse ka küberturvalisuse 2. direktiivis sätestatud küberturvalisuse kohustusi. Peale selle peavad CERi ning küberturvalisuse 2. direktiivi kohased riiklikud pädevad asutused tegema koostööd ja vahetama korrapäraselt asjakohast teavet, näiteks riskide, küberohtude ja -intsidentide ning muude riskide, ohtude ja intsidentide kohta. Teise küberturvalisuse direktiivi kohane koostöörühm peab kohtuma korrapäraselt ja vähemalt kord aastas CERi direktiivi alusel loodud kriitilise tähtsusega üksuste vastupidavusvõime töörühmaga.

Kui finantssektoripuhul hõlmab uus võrgu- ja infoturbe direktiiv selle kohaldamisalasse kuuluvaid krediidiasutusi, kauplemiskohtade korraldajaid ja keskseid vastaspooli, siis DORAt kohaldatakse nende üksuste suhtes seoses küberturvalisuse riskijuhtimis- ja aruandluskohustustega. Samal ajal on oluline säilitada tugevad suhted teabevahetuseks finantssektori ja teiste küberturvalisusega hõlmatud sektorite vahel. Selleks saaksid DORA raames Euroopa finantssektori järelevalveasutused ja finantssektori riiklikud pädevad asutused osaleda võrgu- ja infoturbe koostöörühma aruteludes. Lisaks saaksid DORA pädevad asutused konsulteerida ja jagada asjakohast teavet teise küberturvalisuse direktiivi alusel loodud ühtse kontaktpunkti (SPOC) ja CSIRTiga. Pädevad asutused, ühtsed kontaktpunktid või teise küberturvalisuse direktiivi alusel loodud CSIRTid saaksid DORA raames pädevatelt asutustelt ka andmeid IKTga seotud oluliste intsidentide kohta. Lisaks peaksid liikmesriigid jätkama finantssektori kaasamist oma küberturvalisuse strateegiatesse ning riiklikud CSIRTid võivad oma tegevuses hõlmata finantssektorit.

Liikmesriigid peavad direktiivi üle võtma 17. oktoobriks 2024 (21 kuud pärast teise küberturvalisuse jõustumist). Seejärel peab komisjon direktiivi toimimise korrapäraselt läbi vaatama ja esitama selle kohta Euroopa Parlamendile ja nõukogule esimest korda aruande 17. oktoobriks 2027.