revidirana direktiva o varnosti omrežij in informacij: nova pravila o kibernetski varnosti omrežij in informacijskih sistemov

Kibernetska varnost vključuje zaščito omrežij in informacijskih sistemov, njihovih uporabnikov in drugih prizadetih posameznikov pred kibernetskimi incidenti in grožnjami. Da bi se odzvali na večjo izpostavljenost Evrope kibernetskim grožnjam, je Direktiva 2022/2555, znana tudi kot revidirana direktiva o varnosti omrežij in informacij, nadomestila svojo predhodnico, Direktivo 2016/1148 ali revidirano direktivo o varnosti omrežij in informacij. VOIS2 povečuje skupno raven ambicij EU na področju kibernetske varnosti s širšim področjem uporabe, jasnejšimi pravili in močnejšimi nadzornimi orodji. Od držav članic zahteva, da okrepijo svoje zmogljivosti na področju kibernetske varnosti, hkrati pa uvedejo ukrepe za obvladovanje tveganj in zahteve glede poročanja subjektom iz več sektorjev ter določijo pravila za sodelovanje, izmenjavo informacij, nadzor in izvrševanje ukrepov za kibernetsko varnost.

Direktiva določa, da mora vsaka država članica sprejeti nacionalno strategijo za kibernetsko varnost, ki vključuje politike za varnost dobavne verige, obvladovanje ranljivosti ter izobraževanje in ozaveščanje o kibernetski varnosti. Države članice morajo pripraviti in redno posodabljati tudi seznam izvajalcev bistvenih storitev, s čimer zagotovijo, da ti subjekti izpolnjujejo zahteve iz direktive. 

Poleg sektorjev, ki jih že zajema VOIS 1, kot so energetika, promet, zdravstveno varstvo, finance, upravljanje voda in digitalna infrastruktura, se ta pravila uporabljajo za ponudnike javnih elektronskih komunikacijskih storitev, več digitalnih storitev, kot so družbene platforme, ravnanje z odpadno vodo in odpadki, proizvodnja kritičnih izdelkov, poštne in kurirske storitve, javna uprava na centralni in regionalni ravni ali vesolje. Praviloma bodo morali srednji in veliki subjekti v teh kritičnih sektorjih sprejeti ustrezne ukrepe za obvladovanje tveganj za kibernetsko varnost in o pomembnih incidentih obvestiti ustrezne nacionalne organe. To so incidenti, ki bi lahko povzročili znatne motnje ali škodo. 

Direktiva vključuje tudi določbe o nadzoru, izvrševanju in prostovoljnih medsebojnih strokovnih pregledih za okrepitev medsebojnega zaupanja in zmogljivosti na področju kibernetske varnosti po vsej EU. Uvaja tudi odgovornost najvišjega vodstva za neskladnost z ukrepi za obvladovanje tveganj za kibernetsko varnost, s čimer je na kibernetsko varnost opozorjeno vodstvo.

Direktiva vzpostavlja mrežo skupin za odzivanje na incidente na področju računalniške varnosti (CSIRT) za izmenjavo informacij o kibernetskih grožnjah in odzivanje na incidente. Te skupine so ključne za ohranjanje situacijskega zavedanja in nudenje pomoči. Za obvladovanje velikih kibernetskih incidentov ali kriz direktiva vzpostavlja evropsko organizacijsko mrežo za povezovanje v kibernetski krizi (EU-CyCLONe). Ta mreža podpira usklajeno upravljanje ter zagotavlja redno izmenjavo informacij med državami članicami in institucijami EU v primeru velikih incidentov in kriz. 

Hkrati je skupina za sodelovanje na področju varnosti omrežij in informacij platforma, vzpostavljena z direktivo o varnosti omrežij in informacij, da bi olajšala strateško sodelovanje in izmenjavo informacij med državami članicami EU, Evropsko komisijo in Agencijo EU za kibernetsko varnost (ENISA). Skupina objavlja nezavezujoče smernice in priporočila v podporo izvajanju direktive o varnosti omrežij in informacij.

Ozadje

VOIS 1 (Direktiva 2016/1148) je bila prva celovita zakonodaja EU, namenjena krepitvi kibernetske varnosti omrežij in informacijskih sistemov za zaščito ključnih storitev za gospodarstvo in družbo EU. Komisija je decembra 2020 predlagala revizijo revidirane direktive o varnosti omrežij in informacijskih sistemov, na podlagi katere je bila sprejeta revidirana direktiva o varnosti omrežij in informacijskih sistemov, ki je začela veljati januarja 2023. Države članice so morale direktivo VOIS 2 prenesti v nacionalno zakonodajo do 17. oktobra 2024. VOIS 2 je razveljavila VOIS 1 z 18. oktobrom 2024.