Boj proti kibernetskemu kriminalu: razlaga novih predpisov EU za kibernetsko varnost

Parlament je podprl nove zakone, ki bodo v EU okrepili kibernetsko varnost ključnih sektorjev. Kako vas bodo zaščitili?

Zaščita prek kibernetskimi grožnjami je v času pospešene digitalizacije na vseh področjih postala nujna za normalno delovanje družbe.

Kibernetski napadi imajo lahko zelo hude posledice. Novembra 2022 je zato Evropski parlament posodobil evropsko zakonodajo, ki spodbuja investicije v kibernetsko varnost osnovnih storitev in kritične infrastrukture ter krepi vseevropske predpise. Parlament je 22. novembra 2022 podal svojo dokončno odobritev predpisov, ki izboljšujejo zaščito ključne infrastrukture EU, vključno z digitalno infrastrukturo. Zakonodaja uvaja strožja merila za ocene tveganja in poročanja za ključne akterje v 11 ključnih sektorjih.

Več o tem, kako EU oblikuje digitalno preobrazbo

Strožje zahteve glede kibernetske varnosti direktiva NIS2

Direktiva za visoko skupno raven kibernetske varnosti v Uniji (NIS2) vpeljuje nove predpise, ki bodo pripomogli k visoki enotni ravni kibernetske varnosti širom EU – tako za podjetja kot države. Prav tako krepi zahteve glede kibernetske varnosti za srednje in velike organizacije, ki delujejo v ključnih sektorjih.

Posodobitev direktive NIS, ta je bila pripravljena leta 2016, je namenjena izboljšanju jasnosti in izvedbe določil ter prilagajanju hitrim spremembam na tem področju. Pokriva več sektorjev in dejavnosti kot prej, tudi varnost dobavnih verig, ter ureja postopke glede obveznega poročanja.

Parlament je končni predlog potrdil 10. novembra 2022. Sedaj ga morajo potrditi še države v Svetu, nato ga bodo morale države vpeljati v 21 mesecih.

Preverite, katere so glavne in rastoče kibernetske grožnje.

Direktiva pokriva več sektorjev

Nova zakonodaja širi razpon sektorjev in dejavnosti, ki so ključni za gospodarstvo in družbo, vključno z energijo, prometom, bančništvom, zdravstvom, digitalno infrastrukturo, javno upravo in vesoljskimi programi. Ne pokriva pa državne in javne varnosti, policije ali sodstva. Zakonodaja se nanaša na javno upravo na centralni in regionalni ravni, ne pa tudi na parlamente in centralne banke.

Ukrepe za upravljanje kibernetske varnosti bo moralo upoštevati več organizacij in sektorjev, med drugim dobavitelji storitev elektronskih komunikacij, platforme za družbene medije, proizvajalci ključnih izdelkov (vključno z medicinskimi pripomočki) ter ponudniki poštnih in kurirskih storitev.

Strožje zahteve za države

Zakonodaja prinaša strožje obveze glede kibernetske varnosti za države EU, kar se tiče nadzora. Izboljšuje uveljavljanje teh obveznosti, med drugim z usklajevanjem sankcij po vseh državah. Njen namen je tudi izboljšanje sodelovanja med evropskimi državami, tudi ob velikih incidentih, znotraj agencije EU za kibernetsko varnost (ENISA).

Akt o kibernetski odpornosti: izboljšanje varnosti digitalnih izdelkov

Vedno več vsakodnevnih izdelkov je digitaliziranih (na primer naprave za opazovanje dojenčkov, digitalni domofoni ali Wi-Fi usmerjevalniki), zaradi česar so občutljivejši na kibernetske napade. Da bi zagotovila varnost izdelkov, pripravlja EU akt o kibernetski odpornosti, katerega namen je zagotoviti enotne in obvezne zahteve za kibernetsko varnost za izdelke, ki so povezane z drugimi napravami ali omrežji.

Parlament je septembra 2023 sprejel svoje stališče in je pripravljen na pogajanja o končni obliki zakonodaje s Svetom. Evropski poslanci predlagajo, da se seznam sistemov in izdelkov, ki bodo morali doseči strožje varnostne zahteve, razširi. Na seznam želijo uvrstiti brskalnike, upravitelje gesel in pametnih domov ter pametne ure in igrače. Evropski poslanci prav tako želijo, da so varnostne posodobitve nameščene samodejno in ločeno od funkcionalnih posodobitev.

Zaščita finančnega sistema EU - DORA

Finančni sektor se vse bolj zanaša na programsko opremo in digitalne procese, zato potrebuje tudi vse boljšo zaščito. Akt o digitalni operativni odpornosti bo zagotovil boljšo odpornost evropskega finančnega sektorja proti hudim motnjam delovanja in kibernetskim napadom. Parlament je svojo dokončno potrditev predpisov podal 10. novembra.

Ti predpisi vpeljujejo in harmonizirajo zahteve glede digitalne operativne odpornosti za sektor finančnih storitev v EU in obvezujejo podjetja, da zagotovijo, da lahko vzdržijo, se odzovejo na in si opomorejo po vseh motnjah in grožnjah, povezanih z informacijsko in komunikacijsko tehnologijo.

Novi predpisi se nanašajo na vsa podjetja, ki nudijo finančne storitve - denimo banke, posredniki plačil, ponudniki elektronskega denarja, investicijske družbe, ponudniki kriptosredstev in tudi ključni ponudniki storitev na teh področjih.

Državni organi bodo morali nadzorovati in zagotoviti vpeljavo predpisov.

Več o tem, kako EU oblikuje digitalno preobrazbo

• Predpisi o umetni inteligenci
• Evropska strategija za podatke
• Akt o digitalnih storitvah in akt o digitalnih trgih
• Tveganja na področju kriptovalut

Več

• Na kratko: Visoka enotna varnost kibernetske varnosti - NIS2
• Zakonodajni vozni red: NIS2
• Na kratko: Akt o digitalni operativni odpornosti (DORA)
• Zakonodajni vozni red: DORA
• Zakonodajni vozni red: akt o kibernetski odpornosti
• Na kratko: akt o kibernetski odpornosti
• (odpre se na novem zavihku) Sporočilo za javnost: Komisija pozdravlja politični dogovor glede novih pravil o kibernetski varnosti omrežij in informacijskih sistemov
• (odpre se na novem zavihku) Evropski svet: Digitalne finance

Sorodni članki

• Koristi za ljudi, gospodarstvo in okolje