You are here
Home > Novosti > Zajedno za kibernetičku otpornost Europske unije

Zajedno za kibernetičku otpornost Europske unije

by Jakov Kiš - 0

Danas stupaju na snagu dvije europske direktive i jedna uredba za jačanje kibernetičke otpornosti EU.

Kakvi su izazovi pred hrvatskim administrativnim i institucionalnim strukturama?

Koje zadatke treba riješiti u sljedećih 21 mjesec?

Europska unija je 6. srpnja 2016. godine donijela DIREKTIVA (EU) 2016/1148 EUROPSKOG PARLAMENTA I VIJEĆA o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (Network and Information Security, NIS). To je bio prvi zajednički zakon koji jamči visoku razinu kibernetičke sigurnosti za kritičnu infrastrukturu.

Procesi digitalne transformacije uvode tehnologiju u poslovanje i svakodnevni život. Time su se povećali rizici i pokazalo se da je važno ažurirati NIS direktivu.

Stoga je donesena DIREKTIVA (EU) 2022/2555 EUROPSKOG PARLAMENTA I VIJEĆA od 14. prosinca 2022.  o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/ 2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) koja stupa na snagu 16. siječnja 2023. godine. Rok za provedbu transpozicije je 21 mjesec odnosno države članice moraju do 17. listopada 2024. godine usvojiti i objaviti mjere za usklađivanje s NIS 2 Direktivom. Transpozicija podrazumijeva  prijenos prava i obveza iz direktive u nacionalno zakonodavstvo što uključuje usvajanje obveznih odredaba nacionalnog prava ili ukidanje odnosno izmjenu i dopunu postojećih propisa. Do transpozicije Direktive NIS 2 u Republici Hrvatskoj i dalje je na snazi  Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, kao akt kojim je transponirana Direktiva NIS iz 2016. godine.

Ciljevi Direktive NIS 2 su proširenje opsega primjene na nove sektore i nove dionike, jačanje nadzora sankcijama i kvalitetnija i učinkovitija suradnja među državama članicama.

Umjesto operatora ključnih usluga i davatelja digitalnih usluga (NIS direktiva), Direktiva NIS 2 razlikuje ključne i važne subjekte. Područje primjene po sektorima proširit će se na veći dio gospodarstva.

KLJUČNI SUBJEKTI – sektori:VAŽNI SUBJEKTI – dr. kritični sektori:
1. Energetika
2. Promet
3. Bankarstvo
4. Infrastruktura financijskog tržišta
5. Zdravlje
6. Voda za piće
7. Otpadne vode
8. Digitalna infrastruktura
9. Upravljanje uslugama IKT-a (B2B)
10. Javna uprava
11. Svemir		1. Poštanske i kurirske usluge
2. Gospodarenje otpadom
3. Izrada, proizvodnja i distribucija kemikalija
4. Proizvodnja, prerada i distribucija hrane
5. Proizvodnja
6. Pružatelji digitalnih usluga
7. Istraživanje
Prikaz ključnih i važnih subjekata po sektorima prema Direktivi NIS 2

Države članice:

  • dužne su osigurati adekvatno funkcioniranje i opremljenost CSIRT/CERT[i],  
  • ako treba uz pomoć ENISA (Europske Agencije za kibernetičku sigurnost) osigurati da svaki CSIRT:
    • ima odgovarajuća sredstva za učinkovito izvršavanje svojih zadaća,
    • da sudjeluje u mrežama međunarodne suradnje, 
    • da obavlja praćenje kibernetičkih prijetnji, ranjivosti i incidenata na nacionalnoj razini.

Zajedno s Direktivom NIS 2 donesena je CER Direktiva – Direktiva o otpornosti kritičnih subjekata (Directive on Critical Entities Resilience (CER); DIREKTIVA (EU) 2022/2557 EUROPSKOG PARLAMENTA I VIJEĆA od 14. prosinca 2022. o otpornosti kritičnih subjekata i o stavljanju izvan snage Direktive Vijeća 2008/114/EZ koja pruža okvir za digitalnu i fizičku otpornost pružatelja kritičnih usluga. Cilj CER Direktive  je uklanjanje slabih točaka i jačanje otpornosti kritičnih subjekata. Kritični su subjekti oni koji pružaju osnovne usluge koje su ključne za održavanje važnih društvenih funkcija, gospodarskih aktivnosti, javnog zdravlja i sigurnosti te okoliša.

Obje direktive jačaju temelje fizičke i digitalne sigurnosti, čime se osigurava otporno gospodarstvo i društvo svake članice, pa tako i Europske unije.

Uz ove dvije direktive donesena je i DORA – Uredba o digitalnoj operativnoj otpornosti za financijski sektor (Digital Operational Resiliency Act (DORA) – Akt o digitalnoj operativnoj otpornosti); UREDBA (EU) 2022/2554 od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011. Cilj Uredbe je jačanje informacijske i kibernetičke sigurnosti u financijskom sektoru kako bi se održala operativna otpornost uslijed ozbiljnih poremećaja u radu. Odnosi se na subjekte koji posluju u financijskom sektoru te na treće strane koje im pružaju usluge povezane s IKT-om.

Nova NIS 2 primjenjivat će se i na financijske institucije (ključni sektor – bankarstvo) s time da je DORA lex specialis. NIS 2 Direktiva ima zadaću osigurati otpornost kritičnih subjekata u pogledu kibernetičke sigurnosti, a DORA ojačati sigurnost financijskih subjekata.

Države članice morat će osigurati koordiniranu provedbu tih triju akata.

[i] CSIRT je kratica za Computer Security Incident Response Team, odnosno tijelo nadležno za prevenciju i zaštitu od incidenata, za koju se u Republici Hrvatskoj koristi i kratica CERT (Computer Emergency Response Team) prema definiciji iz Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, NN 64/2018)

Jakov Kiš
Top
More in Novosti
[UPOZORENJE] Euro doček 2023.

Nacionalni CERT upozorava na phishing kampanje koje su aktualne uslijed ažuriranja i usklađenosti bankarskih sustava s eurom. Određene bankarske usluge,...

Close