Küberturvalisuse 2. direktiiv: uued võrgu- ja infosüsteemide küberturvalisuse normid

Küberturvalisus hõlmab võrgu- ja infosüsteemide, nende kasutajate ja muude mõjutatud isikute kaitsmist küberintsidentide ja -ohtude eest. Selleks et reageerida Euroopa suurenenud kokkupuutele küberohtudega, asendati direktiiviga 2022/2555, mida tuntakse ka küberturvalisuse 2. direktiivina, selle eelkäija direktiiv 2016/1148 ehk küberturvalisuse 1. direktiiv. Küberturvalisuse 2. direktiiv suurendab ELi ühiseid küberturvalisuse ambitsioone laiema kohaldamisala, selgemate eeskirjade ja tugevamate järelevalvevahendite kaudu. Selles nõutakse, et liikmesriigid suurendaksid oma küberturvalisuse alast suutlikkust, kehtestades samal ajal riskijuhtimismeetmed ja aruandlusnõuded rohkemate sektorite üksustele ning kehtestades küberturvalisuse meetmete koostöö, teabevahetuse, järelevalve ja täitmise tagamise eeskirjad.

Direktiiviga nähakse ette, et iga liikmesriik võtab vastu riikliku küberturvalisuse strateegia, mis hõlmab tarneahela turvalisuse, nõrkuste haldamise ning küberturvalisuse alase hariduse ja teadlikkuse poliitikat. Samuti peavad liikmesriigid koostama oluliste teenuste operaatorite nimekirja ja seda korrapäraselt ajakohastama, tagades, et need üksused täidavad direktiivi nõudeid. 

Lisaks küberturvalisuse 1. direktiiviga juba hõlmatud sektoritele, nagu energeetika, transport, tervishoid, rahandus, veemajandus ja digitaristu, kohaldatakse neid norme üldkasutatavate elektroonilise side teenuste osutajate, rohkemate digiteenuste, nagu sotsiaalplatvormid, reovee- ja jäätmekäitlus, elutähtsate toodete tootmine, posti- ja kulleriteenused, avaliku halduse suhtes nii kesk- kui ka piirkondlikul tasandil või kosmosevaldkonnas. Reeglina peavad nende kriitilise tähtsusega sektorite keskmise suurusega ja suured üksused võtma asjakohaseid küberturvalisuse riskijuhtimismeetmeid ja teavitama asjaomaseid riiklikke asutusi olulistest intsidentidest. Need on vahejuhtumid, mis võivad põhjustada olulisi häireid või kahjustusi. 

Direktiiv sisaldab ka sätteid järelevalve, täitmise tagamise ja vabatahtlike vastastikuste eksperdihinnangute kohta, et suurendada vastastikust usaldust ja küberturvalisuse alast suutlikkust kogu ELis. Samuti kehtestatakse sellega tippjuhtkonna vastutus küberturvalisuse riskijuhtimismeetmete mittejärgimise eest, juhtides sellega juhtorgani tähelepanu küberturvalisusele.

Direktiiviga luuakse küberohtude alase teabe vahetamiseks ja intsidentidele reageerimiseks küberturbe intsidentide lahendamise üksuste (CSIRTide) võrgustik. Need meeskonnad on äärmiselt olulised olukorrateadlikkuse säilitamiseks ja abi pakkumiseks. Ulatuslike küberturvalisuse intsidentide või kriiside ohjamiseks luuakse direktiiviga Euroopa küberkriisi kontaktasutuste võrgustik (EU-CyCLONe). See võrgustik toetab koordineeritud haldamist ning tagab liikmesriikide ja ELi institutsioonide vahelise korrapärase teabevahetuse ulatuslike intsidentide ja kriiside korral. 

Samal ajal on võrgu- ja infoturbe koostöörühm võrgu- ja infoturbe direktiiviga loodud platvorm, et hõlbustada strateegilist koostööd ja teabevahetust ELi liikmesriikide, Euroopa Komisjoni ja Euroopa Liidu Küberturvalisuse Ameti (ENISA) vahel. Töörühm avaldab mittesiduvaid suuniseid ja soovitusi, et toetada küberturvalisuse direktiivi rakendamist.

Taustteave

Küberturvalisuse 1. direktiiv (direktiiv 2016/1148) oli esimene terviklik ELi õigusakt, mille eesmärk oli suurendada võrgu- ja infosüsteemide küberturvalisust, et kaitsta ELi majanduse ja ühiskonna jaoks elutähtsaid teenuseid. 2020. aasta detsembris tegi komisjon ettepaneku vaadata läbi küberturvalisuse 1. direktiiv, mille tulemusena võeti vastu küberturvalisuse 2. direktiiv, mis jõustus 2023. aasta jaanuaris. Liikmesriikidel oli küberturvalisuse 2. direktiivi siseriiklikku õigusesse ülevõtmiseks aega 17. oktoobrini 2024. Teise küberturvalisuse direktiiviga tunnistati esimene küberturvalisuse direktiiv kehtetuks alates 18. oktoobrist 2024.

Komisjon on algatanud rikkumismenetluse, saates ametlikud kirjad 23 liikmesriigile, kes ei ole küberturvalisuse 2. direktiivi oma siseriiklikku õigusesse 17. oktoobriks 2024 täielikult üle võtnud. Liikmesriigid peavad reageerima ja viima direktiivi ülevõtmise lõpule. Kui nad seda ei tee, võib komisjon esitada põhjendatud arvamuse, mis on ametlik nõue järgida ELi õigust. Jätkuv nõuete täitmata jätmine võib lõpuks viia selleni, et juhtum antakse Euroopa Liidu Kohtusse, kes võib määrata rahalisi karistusi.