Skip to main content
Shaping Europe’s digital future
News article | Objava

Nova strožja pravila o kibernetski varnosti za varnejše digitalno okolje EU

Danes so z direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji) začela veljati nova pravila EU o kibernetski varnosti v sektorjih, ki so najpomembnejši za delovanje gospodarstva in družbe.

graphic showing a lock projected on a microchip

iStock photo Getty images Plus

Pravila bodo zagotovila varnejšo in močnejšo Evropo, saj bodo znatno razširila sektorje in vrste subjektov, ki spadajo na njeno področje uporabe, ter okrepila varnostne zahteve za podjetja.

Nedavne grožnje so okrepile potrebo po hitrem in skupnem povečanju kibernetske varnosti EU za zaščito državljanov in podjetij. Ključno je tudi, da kritični sektorji in infrastruktura ostanejo varni in odporni. Z obravnavanjem teh izzivov direktiva VOIS 2 nadomešča pravila o varnosti omrežij in informacijskih sistemov (direktiva o varnosti omrežij in informacij), ki so bila prva vseevropska zakonodaja o kibernetski varnosti, ki je utrla pot bolj inovativnemu regulativnemu pristopu h kibernetski varnosti v številnih državah članicah.

Zaščita dodatnih ključnih sektorjev

Večja medsebojna povezanost in digitalizacija nekaterih sektorjev povzročata več kibernetskih groženj. Z zagotavljanjem, da bo moralo več sektorjev in subjektov sprejeti ukrepe za obvladovanje tveganj za kibernetsko varnost, se bo povečala raven kibernetske varnosti v Evropi. Direktiva VOIS 2 zdaj zajema dodatne sektorje, ki so ključni za gospodarstvo in družbo, vključno s ponudniki javnih elektronskih komunikacijskih omrežij in storitev, storitvami podatkovnih centrov, ravnanjem z odpadno vodo in odpadki, proizvodnjo kritičnih izdelkov, poštnimi in kurirskimi storitvami ter subjekti javne uprave. Pravila zajemajo tudi zdravstveni sektor na splošno, na primer z vključitvijo raziskav in razvoja zdravil ali proizvodnje farmacevtskih izdelkov. Države članice bodo imele določeno diskrecijsko pravico pri opredelitvi manjših subjektov z visokim varnostnim profilom, ki bi jih bilo treba vključiti v področje uporabe Direktive.

Izboljšane varnostne zahteve za podjetja

Direktiva VOIS 2 prav tako krepi zahteve za obvladovanje tveganj na področju kibernetske varnosti, ki jih morajo izpolnjevati podjetja.  Tako kot v skladu z direktivo o varnosti omrežij in informacij bodo morala podjetja sprejeti ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za kibernetsko varnost ter preprečevanje in zmanjševanje vpliva morebitnih incidentov. Ta zahteva je veliko konkretnejša v okviru direktive VOIS 2 s seznamom usmerjenih ukrepov, ki med drugim vključujejo odzivanje na incidente in krizno upravljanje, obvladovanje in razkrivanje šibkih točk, politike in postopke za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost ali higieno in usposabljanje na področju kibernetske varnosti.

Da bi se povečala izmenjava informacij in sodelovanje pri obvladovanju kibernetskih kriz na nacionalni ravni in ravni EU, Direktiva racionalizira obveznosti poročanja o incidentih z natančnejšimi določbami o poročanju, vsebini in časovnem razporedu. Poleg tega obstajajo strožji nadzorni ukrepi za nacionalne organe ter strožje zahteve glede izvrševanja, skupaj s seznamom upravnih sankcij, vključno z globami za kršitev obveznosti obvladovanja tveganj za kibernetsko varnost in poročanja.

Prihodnji ukrepi

Države članice bodo imele na voljo 21 mesecev za prenos direktive VOIS2 v nacionalno zakonodajo. V tem času države članice sprejmejo in objavijo predpise, potrebne za uskladitev s to direktivo.

Svet je decembra 2022 sprejel priporočilo o usklajevalnem pristopu na ravni Unije za krepitev odpornosti kritične infrastrukture, v katerem so države članice pozvane, naj pospešijo pripravljalno delo za prenos in uporabo VOIS 2 in direktive o odpornosti kritičnih subjektov. 

Ozadje

Kibernetska varnost je prednostna naloga Komisije in temelj digitalne in povezane Evrope.

Prvi vseevropski zakon o kibernetski varnosti, tj. direktiva o varnosti omrežij in informacij, ki je začela veljati leta 2016, je pripomogel k doseganju skupne visoke ravni varnosti omrežij in informacijskih sistemov po vsej EU. Direktiva o varnosti omrežij in informacij je zajemala več sektorjev, vključno z energetiko, prometom, bančništvom in financami, zdravstvom, oskrbo s pitno vodo in njeno distribucijo ter digitalno infrastrukturo. Zajemala je tudi ponudnike digitalnih storitev, zlasti ponudnike storitev v oblaku, spletne tržnice in spletne iskalnike.

Komisija je decembra 2020 v okviru svojega ključnega cilja politike, ki je Evropo pripraviti na digitalno dobo, napovedala revizijo navedene direktive. Akt EU o kibernetski varnosti, ki velja od leta 2019, je Evropi zagotovil okvir za certificiranje kibernetske varnosti proizvodov, storitev in postopkov ter razširil pristojnosti Agencije EU za kibernetsko varnost (ENISA). Komisija je septembra 2022 sprejela predlog akta o kibernetski odpornosti, ki določa zahteve glede kibernetske varnosti za izdelke z digitalnim elementom, ki zajema strojno in programsko opremo.

Več informacij

Informativni pregled o direktivi o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva VOIS 2)

Vprašanja in odgovori:  Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (direktiva VOIS 2)

Celotno pravno besedilo direktive