Direktiva o varnosti omrežij in informacij
Direktiva o varnosti omrežij in informacij – prva zakonodaja EU o kibernetski varnosti – je prvi horizontalni instrument notranjega trga, namenjen izboljšanju odpornosti omrežij in informacijskih sistemov v Uniji proti tveganjem za kibernetsko varnost. Direktiva o varnosti omrežij in informacij je kljub svojim pomembnim dosežkom pokazala nekatere omejitve. Digitalna preobrazba družbe, ki jo je okrepila kriza zaradi COVID-19, je razširila okolje groženj. Pojavili so se novi izzivi, ki zahtevajo prilagojene in inovativne odzive.
Da bi Komisija lahko analizirala učinek in opredelila pomanjkljivosti direktive o varnosti omrežij in informacij, je opravila obsežno posvetovanje z zainteresiranimi stranmi. Komisija je opredelila naslednja glavna vprašanja:
- nezadostna raven kibernetske odpornosti podjetij, ki poslujejo v EU
- nedosledna odpornost med državami članicami in sektorji
- nezadostno skupno razumevanje glavnih groženj in izzivov med državami članicami
- pomanjkanje skupnega odziva na krize.
Zato je Komisija, da bi se odzvala na vse večje grožnje zaradi digitalizacije in medsebojne povezanosti, decembra 2020 predlagala revidiran sklop pravil, primernih za prihodnost, katerih namen je okrepiti raven kibernetske odpornosti v Uniji, o čemer sta sozakonodajalca 13. maja 2022 dosegla politični dogovor in konec novembra 2022 uradno sprejela novo direktivo.
Od krize zaradi COVID-19 je evropsko gospodarstvo postalo bolj odvisno od digitalnih rešitev kot kdaj koli prej. Sektorji in storitve postajajo vse bolj medsebojno povezani in medsebojno odvisni. To je privedlo do vse večjih in hitro razvijajočih se groženj kibernetske varnosti: vsaka motnja, tudi tista, ki je bila sprva omejena na en subjekt ali en sektor, ima lahko širše kaskadne učinke, kar bi lahko imelo daljnosežne in dolgotrajne negativne učinke na zagotavljanje storitev na celotnem notranjem trgu.
Pandemija COVID-19 je pokazala ranljivost naših vse bolj soodvisnih družb zaradi nepričakovanih tveganj. Okrepila je že nastajajoča vprašanja v sedanji direktivi o varnosti omrežij in informacij ter je služila kot katalizator za njeno revizijo. Konkretna sprememba direktive o varnosti omrežij in informacij zaradi te krize je bila razširitev področja uporabe nove direktive, ki bi zajemala bolj specifične elemente v zdravstvenem sektorju, kot so subjekti, ki izvajajo raziskovalne in razvojne dejavnosti na področju zdravil.
Direktivao varnosti omrežij in informacij2 določa pravne ukrepe za povečanje splošne ravni kibernetske varnosti v EU, da bi prispevala k splošnemu delovanju notranjega trga. Temelji na treh glavnih stebrih, ki so bili podlaga za direktivo o varnosti omrežij in informacij:
- Da bi se dosegla visoka raven pripravljenosti držav članic, direktiva VOIS2 napodlagi strategije VOIS1 o varnosti omrežij in informacijskih sistemov od držav članic zahteva, da sprejmejo nacionalno strategijo za kibernetsko varnost. Države članice morajo imenovati tudi nacionalne skupine za odzivanje na incidente na področju računalniške varnosti (CSIRT), ki so odgovorne za obvladovanje tveganj in incidentov, pristojni nacionalni organ za kibernetsko varnost in enotno kontaktno točko. Enotna kontaktna točka mora izvajati povezovalno funkcijo, da zagotovi čezmejno sodelovanje med organi držav članic z ustreznimi organi v drugih državah članicah ter po potrebi s Komisijo in agencijo ENISA ter zagotovi medsektorsko sodelovanje z drugimi pristojnimi organi v svoji državi članici.
- Direktiva VOIS2 prav tako nadaljuje okvir VOI1, s katerim je bila ustanovljena skupina za sodelovanje na področju varnosti omrežij in informacij, da bi podprli in olajšali strateško sodelovanje in izmenjavo informacij med državami članicami, ter mrežo skupin CSIRT, ki spodbuja hitro in učinkovito operativno sodelovanje med nacionalnimi skupinami CSIRT.
- Direktiva o varnosti omrežij in informacij1 zagotavlja, da se ukrepi za kibernetsko varnost sprejmejo v sedmih sektorjih, ki so bistveni za naše gospodarstvo in družbo ter so močno odvisni od IKT, kot so energetika, promet, bančništvo, infrastrukture finančnega trga, pitna voda, zdravstveno varstvo in digitalna infrastruktura.
Javni in zasebni subjekti, ki so jih države članice opredelile kot izvajalce bistvenih storitev v teh sektorjih, morajo izvesti oceno tveganja za kibernetsko varnost ter uvesti ustrezne in sorazmerne varnostne ukrepe. O resnih incidentih morajo obvestiti pristojne organe. Poleg tega morajo ponudniki ključnih digitalnih storitev (ponudniki digitalnih storitev ali ponudniki digitalnih storitev), kot so iskalniki, storitve računalništva v oblaku in spletne tržnice, izpolnjevati tudi zahteve glede varnosti in obveščanja iz Direktive. Hkrati za slednje velja tako imenovana „lahka“ regulativna ureditev, ki pomeni, da za te subjekte ne veljajo predhodni nadzorni ukrepi.
Direktiva VOIS2 znatno razširja področje uporabe sektorjev in uvaja prag velikosti, da se opredeli, kateri subjekti spadajo na njeno področje uporabe in bi morali o pomembnih kibernetskih incidentih poročati pristojnim nacionalnim organom.
Cilj direktive VOIS2 je odpraviti pomanjkljivosti prejšnjih pravil, jih prilagoditi trenutnim potrebam in zagotoviti, da bo kos izzivom prihodnosti.
V ta namen Direktiva razširja področje uporabe prejšnjih pravil z dodajanjem novih sektorjev glede na njihovo stopnjo digitalizacije in medsebojne povezanosti ter glede na to, kako pomembni so za gospodarstvo in družbo, in sicer z uvedbo jasnega pravila o pragu velikosti, kar pomeni, da bodo v področje uporabe vključena vsa srednja in velika podjetja v izbranih sektorjih. Hkrati državam članicam dopušča določeno diskrecijsko pravico, da opredelijo manjše subjekte z visokim profilom varnostnega tveganja, za katere bi morale veljati tudi obveznosti iz nove direktive.
Nova direktiva odpravlja tudi razlikovanje med izvajalci bistvenih storitev in ponudniki digitalnih storitev. Subjekti bi bili razvrščeni glede na njihov pomen in razdeljeni v dve kategoriji: bistveni in pomembni subjekti, za katere bo veljala drugačna nadzorna ureditev.
Z uvedbo pristopa k obvladovanju tveganj, ki določa minimalni seznam osnovnih varnostnih elementov, ki jih je treba uporabiti, krepi in racionalizira zahteve glede varnosti in poročanja za podjetja. Nova direktiva uvaja natančnejše določbe o postopku poročanja o incidentih, vsebini poročil in rokih.
Poleg tega NIS2 obravnava varnost dobavnih verig in odnose z dobavitelji, saj od posameznih podjetij zahteva, da obravnavajo tveganja za kibernetsko varnost v dobavnih verigah in odnosih z dobavitelji. Direktiva na evropski ravni krepi kibernetsko varnost dobavne verige za ključne informacijske in komunikacijske tehnologije. Države članice lahko v sodelovanju s Komisijo in agencijo ENISA na ravni Unije izvedejo usklajene ocene varnostnega tveganja kritičnih dobavnih verig na podlagi uspešnega pristopa, sprejetega v okviru Priporočila Komisije o kibernetski varnosti omrežij 5G.
Direktiva uvaja strožje nadzorne ukrepe za nacionalne organe, strožje zahteve glede izvrševanja in je namenjena uskladitvi režimov sankcij v državah članicah.
Prav tako krepi vlogo skupine za sodelovanje pri oblikovanju strateških političnih odločitev ter povečuje izmenjavo informacij in sodelovanje med organi držav članic. Prav tako krepi operativno sodelovanje v okviru mreže skupine CSIRT in vzpostavlja evropsko mrežo organizacij za povezovanje kibernetskih kriz (EU-CyCLONe) za podporo usklajenemu upravljanju obsežnih kibernetskih incidentov in kriz.
NIS2 vzpostavlja tudi osnovni okvir z odgovornimi ključnimi akterji za usklajeno razkrivanje ranljivosti za novo odkrite ranljivosti po vsej EU in vzpostavlja podatkovno zbirko EU o ranljivostih za javno znane ranljivosti v izdelkih IKT in storitvah IKT, ki jo bo upravljala in vzdrževala Agencija EU za kibernetsko varnost (ENISA).
NIS2 zajema subjekte iz naslednjih sektorjev:
Sektorji visoke kritičnosti: energija (električna energija, daljinsko ogrevanje in hlajenje, nafta, plin in vodik); promet (zračni, železniški, vodni in cestni); bančništvo; infrastrukture finančnega trga; zdravje, vključno s proizvodnjo farmacevtskih izdelkov, vključno s cepivi; pitna voda; odpadno vodo; digitalna infrastruktura (internetne točke za izmenjavo; Ponudniki storitev DNS; Registri imen vrhnjih domen; ponudniki storitev računalništva v oblaku; ponudniki storitev podatkovnih centrov; omrežja za dostavo vsebin; ponudniki skrbniških storitev; ponudniki javnih elektronskih komunikacijskih omrežij in javno dostopnih elektronskih komunikacijskih storitev); Upravljanje storitev IKT (upravljani ponudniki storitev in ponudniki upravljanih varnostnih storitev), javna uprava in vesolje.
Drugi kritični sektorji: poštne in kurirske storitve; ravnanje z odpadki; kemikalije; živila; proizvodnja medicinskih pripomočkov, računalnikov in elektronike, strojev in opreme, motornih vozil, priklopnikov in polpriklopnikov ter druge prevozne opreme; digitalni ponudniki (spletne tržnice, spletni iskalniki in storitvene platforme za socialno mreženje) in raziskovalne organizacije.
Ocena veljavnih pravil o zahtevah glede varnosti in poročanja o incidentih je pokazala, da so države članice v nekaterih primerih te zahteve izvajale na precej različne načine. To je ustvarilo dodatno breme za podjetja, ki poslujejo v več kot eni državi članici.
Poleg tega želimo biti v zvezi z zahtevami glede kibernetske varnosti prepričani, da vsa podjetja v svojih politikah obvladovanja tveganj na področju kibernetske varnosti obravnavajo potrebne ključne elemente.
Zato NIS2 vključuje seznam desetih ključnih elementov, ki jih morajo vsa podjetja obravnavati ali izvajati v okviru ukrepov, ki jih sprejmejo, vključno z obvladovanjem incidentov, varnostjo dobavne verige, ravnanjem z ranljivostmi in razkritjem, uporabo kriptografije in po potrebi šifriranjem.
Kar zadeva poročanje o incidentih, moramo najti pravo ravnovesje med potrebo po hitrem poročanju, da bi se izognili morebitnemu širjenju incidentov, in potrebo po poglobljenem poročanju, da bi pridobili dragocene izkušnje, pridobljene pri posameznih incidentih. Nova direktiva predvideva večstopenjski pristop k poročanju o incidentih. Prizadeta podjetja imajo od trenutka, ko se prvič seznanijo z incidentom, na voljo 24 ur, da skupini CSIRT ali pristojnemu nacionalnemu organu predložijo zgodnje opozorilo, ki bi jim omogočilo tudi, da zaprosijo za pomoč (smernice ali operativne nasvete o izvajanju morebitnih blažilnih ukrepov), če to zahtevajo. Zgodnjemu opozorilu bi moralo najpozneje en mesec pozneje slediti obvestilo o incidentu v 72 urah po seznanitvi z incidentom in končno poročilo.
Nova direktiva o varnosti omrežij in informacijskih sistemov postavlja nadzor in izvrševanje v središče nalog pristojnih organov ter vzpostavlja skladen okvir za vse nadzorne in izvršilne dejavnosti v državah članicah.
Za okrepitev nadzora, ki prispeva k zagotavljanju učinkovite skladnosti, NIS2 določa minimalni seznam nadzornih sredstev, s katerimi lahko pristojni organi nadzirajo bistvene in pomembne subjekte. Ti vključujejo redne in ciljno usmerjene revizije, preglede na kraju samem in zunaj njega, zahteve za informacije ter dostop do dokumentov ali dokazov.
Poleg tega nova direktiva uvaja razlikovanje nadzornih režimov med bistvenimi in pomembnimi subjekti, da se zagotovi pravično ravnotežje obveznosti za subjekte in pristojne organe.
Kar zadeva izvrševanje, so države članice doslej na splošno nepripravljene uporabiti kazni za subjekte, ki niso uvedli varnostnih ukrepov ali poročali o incidentih. To ima lahko negativne posledice za kibernetsko odpornost subjektov. Da bi bilo izvrševanje učinkovito, nova direktiva vzpostavlja skladen okvir za sankcije po vsej Uniji. Zato določa minimalni seznam upravnih sankcij za kršitve obveznosti obvladovanja tveganj na področju kibernetske varnosti in poročanja iz direktive o varnosti omrežij in informacij 2. Te sankcije vključujejo zavezujoča navodila, izvajanje priporočil revizije varnosti, zagotovitev skladnosti varnostnih ukrepov z zahtevami VOI in upravne globe. V zvezi z upravnimi globami nova direktiva o varnosti omrežij in informacij razlikuje med bistvenimi in pomembnimi subjekti. Kar zadeva bistvene subjekte, morajo države članice določiti določeno raven upravnih glob, zlasti največ 10 000 000 EUR ali 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, pri čemer se upošteva višji znesek. Kar zadeva pomembne subjekte, NIS2 od držav članic zahteva, da določijo najvišjo globo v višini najmanj 7 000 000 EUR ali vsaj 1,4 % skupnega svetovnega letnega prometa v predhodnem poslovnem letu, pri čemer se upošteva višji znesek.
Pristojni organi bi morali pri izvajanju svojih izvršilnih pooblastil ustrezno upoštevati posebne okoliščine vsakega primera, kot so narava, teža in trajanje kršitve, povzročena škoda ali nastale izgube, namernost ali malomarnost kršitve.
Za zagotovitev dejanske odgovornosti za ukrepe za kibernetsko varnost na organizacijski ravni VOI2 uvaja določbe o odgovornosti fizičnih oseb na višjih vodstvenih položajih v subjektih, ki spadajo na področje uporabe nove direktive o varnosti omrežij in informacij.
Nova pravila izboljšujejo način, na katerega EU preprečuje velike kibernetske incidente in krize, jih obravnava in se odziva nanje. To storijo z uvedbo jasnih odgovornosti, ustreznega načrtovanja in večjega sodelovanja EU. NIS2 od držav članic zahteva, da imenujejo nacionalne organe, odgovorne za obvladovanje kibernetskih kriz, uvedejo nacionalne obsežne načrte za odzivanje na kibernetske incidente in krize ter vzpostavijo evropsko mrežo organizacij za stike za kibernetsko krizo (EU-CYCLONe), da bi podprle usklajeno upravljanje obsežnih kibernetskih incidentov in kriz na operativni ravni. Ta mreža je ključni element, ki prispeva k vzpostavitvi okvira EU za obvladovanje kibernetskih kriz, ki ga je Komisija predstavila leta 2017 s Priporočilom o usklajenem odzivu na obsežne incidente in krize.
Praviloma se šteje, da so bistveni in pomembni subjekti v pristojnosti države članice, v kateri imajo sedež. Če ima subjekt sedež v več kot eni državi članici, bi moral spadati v pristojnost vsake od teh držav članic. Pristojni organi vsake od teh držav članic bi morali sodelovati, si medsebojno pomagati in po potrebi izvajati skupne nadzorne ukrepe. Obstaja več izjem od tega pravila:
- ponudniki javnih elektronskih komunikacijskih omrežij ali ponudnikov ali javno dostopnih elektronskih komunikacijskih storitev bi bili v pristojnosti države članice, v kateri zagotavljajo svoje storitve.
- subjekti javne uprave bi bili v pristojnosti države članice, ki jih je ustanovila.
- nekatere vrste subjektov bi bile v pristojnosti države članice, v kateri imajo glavni sedež v Uniji. Ti subjekti vključujejo ponudnike storitev sistema domenskih imen, najvišje registre domenskih imen, subjekte, ki zagotavljajo storitve registracije domenskih imen, ponudnike storitev računalništva v oblaku, ponudnike storitev podatkovnih centrov, ponudnike omrežij za dostavo vsebin, ponudnike upravljanih storitev, ponudnike upravljanih varnostnih storitev ter ponudnike spletnih tržnic, spletnih iskalnikov in platform za socialno mreženje. S tem se zagotovi, da se taki subjekti ne soočajo s številnimi različnimi pravnimi zahtevami, saj v posebej velikem obsegu opravljajo čezmejne storitve. Za učinkovit nadzor bodo države članice od teh vrst subjektov med drugim zahtevale, da uradno obvestijo, kje je glavni sedež subjekta in njegove druge pravne poslovne enote v Uniji ali, če nimajo sedeža v Uniji, kraj, kjer je imenovan zastopnik subjekta. Agencija ENISA bi morala vzpostaviti in vzdrževati register z informacijami, ki jih na tej podlagi zagotovijo države članice.
Sodelovanje EU se nadaljuje tako, da se državam članicam omogoči skupno ukrepanje in obvladovanje nastajajočih varnostnih tveganj, ki jih predstavlja sedanja digitalna preobrazba.
Natančneje, države članice bodo lahko skupaj nadzorovale izvajanje pravil EU in si medsebojno pomagale v primeru čezmejnih nepravilnosti, vzpostavile bolj strukturiran dialog z zasebnim sektorjem in usklajevale razkrivanje šibkih točk, ugotovljenih v programski in strojni opremi, ki se prodaja na notranjem trgu. Prav tako bodo lahko usklajeno ocenjevali varnostna tveganja in grožnje, povezane z novimi tehnologijami, kot je bilo prvič storjeno pri 5G.
Države članice se bodo opirale na sodelovanje EU za izboljšanje nacionalnih zmogljivosti z izmenjavo osebja med organi in medsebojnimi strokovnimi pregledi. Obstoječe skupine, zlasti skupina za sodelovanje, ki združuje nacionalne organe za kibernetsko varnost, in mreža skupin za odzivanje na incidente na področju računalniške varnosti (CSIRT) bodo prispevale k nadaljnjemu sodelovanju na strateški in tehnični ravni.
Direktiva o varnosti omrežij in informacij je tesno povezana z dvema drugima pobudama, tj. direktivo o odpornosti kritičnih subjektov in uredbo o digitalni operativni odpornosti v finančnem sektorju (akt o digitalni operativni odpornosti, DORA).
Področje uporabe VOI 2 in direktive o odpornosti kritičnih subjektov sta bila v veliki meri usklajena, da se zagotovi celovita obravnava fizične in kibernetske odpornosti kritičnih subjektov. Za subjekte, opredeljene kot kritični subjekti v skladu z direktivo o CER, bodo začele veljati tudi obveznosti glede kibernetske varnosti iz direktive o varnosti omrežij in informacijskih sistemov. Poleg tega morajo pristojni nacionalni organi v skladu z direktivama CER in NIS2 redno sodelovati in si izmenjevati ustrezne informacije, kot so tveganja, kibernetske grožnje in incidenti ter nekibernetska tveganja, grožnje in incidenti. Skupina za sodelovanje v okviru NIS2 se bo morala redno in vsaj enkrat letno sestajati s skupino za odpornost kritičnih subjektov, ustanovljeno v skladu z direktivo o CER.
Kar zadeva finančni sektor, medtem ko nova direktiva o varnosti omrežij in informacij vključuje kreditne institucije, upravljavce mest trgovanja in centralne nasprotne stranke v okviru njenega področja uporabe, se bo za te subjekte v zvezi z upravljanjem tveganj na področju kibernetske varnosti in obveznostmi poročanja uporabljala DORA. Hkrati je pomembno ohraniti tesen odnos za izmenjavo informacij med finančnim sektorjem in drugimi sektorji, ki jih zajema VOI 2. V ta namen bi lahko v okviru DORA evropski nadzorni organi za finančni sektor in nacionalni pristojni organi finančnega sektorja sodelovali v razpravah skupine za sodelovanje na področju varnosti omrežij in informacij. Poleg tega bi se pristojni organi DORA lahko posvetovali z enotno kontaktno točko (SPOC) in skupinami CSIRT, ustanovljenimi v okviru NIS2, ter jim izmenjali ustrezne informacije. Pristojni organi, enotne kontaktne točke ali skupine CSIRT, ustanovljene v okviru NIS2, bi od pristojnih organov v okviru DORA prejeli tudi podrobnosti o večjih incidentih, povezanih z IKT. Poleg tega bi morale države članice finančni sektor še naprej vključevati v svoje strategije za kibernetsko varnost, nacionalne skupine CSIRT pa lahko v svoje dejavnosti vključijo finančni sektor.
Državečlanice bodo morale direktivo prenesti do 17. oktobra 2024 (21 mesecev po začetku veljavnosti VOI2). Komisija mora nato redno pregledovati delovanje Direktive in o tem prvič poročati Parlamentu in Svetu do 17. oktobra 2027.