×
Napredno iskanje Iskalnik po sodni praksi
Portal TFL

TFL Vsebine / TFLGlasnik

Novosti v EU-ju na področju kibernetske varnosti: od NIS 2 do kibernetske solidarnosti

O PUBLIKACIJI in AVTORJU
ŠTEVILKA in LETO IZDAJE
Kazalo 27 / 2023
AVTOR
Jaka Kosmač, univ. dipl. prav., državni revizor, Računsko sodišče Republike Slovenije
Datum
10.10.2023
Rubrika
Članki
Vir
Revija SIR*IUS št. 5/2023
Pravna podlaga
Pravna podlaga
Povezave
Podsistem TAX
Podsistem FIN
Podsistem LEX
Povzetek
Direktiva NIS je bila prvi akt, ki je področje kibernetske varnosti urejal na ravni EU-ja. Šest let kasneje je bila sprejeta nova direktiva – NIS 2, s katero želi EU dodatno izboljšati kibernetsko odpornost in odzivnost javnega in zasebnega sektorja ter Unije kot celote. Z direktivo NIS 2 je tudi uradno vzpostavljena Evropska organizacijska mreža za povezovanje v kibernetski krizi (EU-CyCLONe),ki podpira usklajeno upravljanje velikih kibernetskih incidentov. Direktiva razširja seznam zavezancev, deli jih na bistvene in pomembne subjekte, ki bodo dolžni v 24 urah poročati o varnostnih incidentih ter v enem mesecu o incidentu in vzroku ter vpeljanih in načrtovanih ukrepih za odpravljanje tveganj. Podobno kot Splošna uredba o varstvu podatkov – GDPR tudi direktiva NIS 2 predvideva visoke globe za kršitev določil. Poleg direktive NIS 2 sta bili decembra 2022 na sektorskem področju sprejeti še Direktiva o odpornosti kritičnih subjektov (direktiva CER) in Uredba o digitalni operativni odpornosti za finančni sektor. Aktivnosti EU-ja na področju zagotavljanja varnega in odpornega kibernetskega prostora se nadaljujejo tudi v letu 2023. Evropska komisija je aprila sprejela predlog Akta EU o kibernetski solidarnosti, da bi se okrepila zmogljivost v EU-ju za odkrivanje pomembnih in obsežnih kibernetskih groženj in napadov ter odzivanje nanje.
BESEDILO

1. UVOD

Direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (v nadaljevanju: direktiva NIS 2),1 sprejeta decembra 2022, je zagotovo največji normativni napredek na področju urejanja kibernetske varnosti v EU-ju zadnje obdobje. Gre za ambiciozen dokument, ki nadomešča Direktivo o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (v nadaljevanju: direktivo NIS) 2 – ta je veljala za prvi zakonodajni akt o kibernetski varnosti na ravni EU-ja in je bila hkrati tudi glavni steber strategije EU-ja za kibernetsko varnost. Direktiva NIS je bila tako kot kasneje direktiva NIS 2 sprejeta na podlagi 114. člena Pogodbe o delovanju EU,3 katerega cilj je vzpostavitev in delovanje notranjega trga z okrepitvijo ukrepov za približevanje nacionalnih pravil. Večja harmonizacija med nacionalnimi pravili je tudi eden izmed razlogov za potrebo po spremembah in sprejemu direktive NIS 2. Kot izhaja iz preambule direktive NIS 2, se zahteve glede kibernetske varnosti, ki jih morajo izpolnjevati subjekti, ki opravljajo storitve ali izvajajo gospodarsko pomembne dejavnosti, med državami članicami močno razlikujejo. Te razlike lahko povzročajo dodatne stroške, pa tudi tveganja in s tem ustvarjajo težave predvsem za tiste subjekte, ki poslujejo v več državah članicah. Ob pregledu izvajanja direktive NIS so se pokazale velike razlike med državami članicami. Razlike so bile tudi na področju uporabe direktive NIS, saj je bila razmejitev področja uporabe v precejšnji meri prepuščena presoji držav članic, ki so določila direktive NIS v svojo zakonodajo prenesle zelo različno. Pravila na področju kibernetske varnosti so tako omogočala številne rešitve, ki so se med državami članicami razlikovale ali bile celo v nasprotju med seboj. Zelo široko polje proste presoje je direktiva NIS državam članicam prepustila tudi v zvezi z obveznostmi glede varnosti in poročanja o incidentih, ki so se kasneje v praksi na nacionalni ravni izvajale zelo različno. Podobne razlike so nastale pri izvajanju določb o nadzoru in izvrševanju.4

Direktiva NIS 2 je kot odgovor na pomanjkljivosti direktive NIS na področju kibernetske varnosti v EU-ju prinesla številne novosti, da bi bila uspešneje zagotavljena visoka skupna raven kibernetske varnosti v EU-ju. Bistveno je razširila nabor sektorjev, med katerimi bodo zdaj tudi subjekti, ki pod direktivo NIS niso bili predmet regulacije, na primer proizvajalci in distributerji kemikalij in medicinskih pripomočkov, predelovalci hrane, proizvajalci avtomobilov, ponudniki družbenih omrežij, ponudniki poštnih in kurirskih storitev ter številni drugi. Direktiva NIS 2 zavezancev ne deli na izvajalce bistvenih storitev 5 in ponudnike digitalnih storitev, 6 ampak subjekte deli le na bistvene in na pomembne subjekte, za katere veljajo enake vsebinske obveznosti, le da so bistveni subjekti podvrženi strožjim obveznostim glede nadzora in izvrševanja, prav tako so za prekrške bistvenih subjektov predpisane visoke globe. Direktiva NIS 2 bistvenim in pomembnim subjektom nalaga nove obveznosti za obvladovanje tveganj kibernetske varnosti, poročanje o kibernetskih incidentih in izmenjavo informacij. Pomembna novost direktive NIS 2 je uvedba odgovornosti vodstvenih organov bistvenih in pomembnih subjektov, ki so odgovorni za odobritev ukrepov za obvladovanje tveganj za kibernetsko varnost in nadzor nad njihovim izvajanjem ter za kršitve navedenih obveznosti. Države članice morajo direktivo NIS 2 v nacionalno zakonodajo prenesti do 17. oktobra 2024. Poleg direktive NIS 2 je bila decembra 2022 sprejeta tudi Direktiva o odpornosti kritičnih subjektov (v nadaljevanju: Direktiva CER).7 Konec decembra pa je bila sprejeta Uredba o digitalni operativni odpornosti za finančni sektor (v nadaljevanju: DORA). 8 Direktiva NIS 2 je bila z omenjenima predpisoma, ki sta del sektorske zakonodaje, usklajena, s čimer sta zagotovljeni pravna jasnost in skladnost določb vseh treh predpisov.

Aktivnosti in pripravljenost evropske komisije, da izboljša kibernetsko varnost v EU-ju, se s tem niso končale. Nadaljevala jih je tudi v letu 2023, ko je aprila sprejela predlog Akta EU o kibernetski solidarnosti,9 s katerim želi doseči izboljšanje pripravljenosti, odkrivanja in odzivanja na kibernetske incidente v EU-ju.

Pričujoči prispevek je sestavljen iz več delov. V uvodu je kratek pregled aktivnosti EU-ja na področju kibernetske varnosti. V druge in tretjem poglavju so podrobneje opisane rešitve direktive NIS 2 in Akta EU o kibernetski solidarnosti. Zaključek pa povzema ugotovitve, možne vplive in možnosti za nadaljnje raziskave ter omejitve.

2.DIREKTIVA NIS 2

2.1. (Dolga) pot do nove zakonodaje in razlogi za spremembe

Januarja 2023 je začela veljati direktiva NIS 2, ki predstavlja novo, doslej najambicioznejše poglavje EU-ja na področju kibernetske varnosti. Vendarle ne smemo pozabiti, da je pot do implementacije določil nove direktive še dolga. Države članice imajo 21 mesecev časa za prenos direktive NIS 2 v nacionalno zakonodajo, kar pomeni, da bodo nova določila v praksi začela veljati šele v drugi polovici oktobra 2024, marsikatere obveznosti, ki jih predvideva direktiva NIS 2, pa bodo zavezanci uvedli oziroma dolžni izpolniti šele v letu 2025. 10 Pot do nove zakonodaje v EU-ju je dolga (Slika 1: Postopek sprejema direktive), saj je po predložitvi predloga potrebnih veliko usklajevanj in potrjevanj. Od vložitve predloga direktive NIS 2, s katerim se je 16. decembra 2020 začel zakonodajni postopek, do njenega končnega sprejema 14. decembra 2022 sta pretekli dve leti. Pri tem je pomembno poudariti, da je bilo treba že pred tem pripraviti predlog direktive. Sprejemanje zakonodaje je dolgotrajen postopek ne glede na področje, ki ga ta ureja.

Kibernetska varnost pa je področje, ki se zaradi hitrega razvoja tehnologije razvija in spreminja najhitreje oziroma med najhitrejšimi, zato je še toliko pomembneje, da je ob pripravi sprememb opravljen temeljit razmislek o novih pravilih, saj bo sicer novosprejeta zakonodaja ob uveljavitvi oziroma prenosu v nacionalne zakonodaje že zaostala za prakso, številni izzivi pa bodo ostali. Glede na to, da je Evropska komisija predlog vložila že 16. decembra 2020, kar je le dobri dve leti po tem, ko so morale države članice v svojo zakonodajo prenesti določila direktive NIS, bi lahko ocenili, da je hitro zaznala potrebo po spremembah na tem področju in sprožila postopke, da bi se čim prej spremenilo obravnavanje kibernetske varnosti v EU-ju in državah članicah. Še posebno glede na to, da je v direktivi NIS predvideno, 11 da evropska komisija redno pregleduje delovanje direktive NIS ter o tem poroča Evropskemu parlamentu in Svetu, in sicer prvo poročilo predloži do 9. maja 2021. Kljub siceršnjim uspehom direktive NIS so bile pri pregledu njenega izvajanja ugotovljene pomanjkljivosti, zaradi katerih ni bilo mogoče učinkovito obravnavati aktualnih in prihodnjih izzivov na področju kibernetske varnosti. 12 Med razlogi in potrebami za sprejem nove direktive so bile predvsem razlike med državami članicami pri implementaciji določil direktive NIS. Te povzročajo razdrobljenost notranjega trga ter negativno vplivajo na čezmejno poslovanje in raven kibernetske odpornosti. Poleg tega je pregled izvajanja direktive pokazal naslednje težave: a) nizko stopnjo kibernetske odpornosti podjetij, ki delujejo v EU-ju; b) nedosledno odpornost v državah članicah in sektorjih; c) nizko stopnjo skupnega zavedanja stanja in pomanjkanje skupnega kriznega odzivanja. V praksi je to pomenilo, da na primer nekatere večje bolnišnice v državah članicah niso spadale na področje uporabe direktive NIS, zato niso bile zavezane k izvajanju varnostnih ukrepov, ki jih je ta nalagala. Po drugi strani pa so bili v drugi državi članici skoraj vsi posamezni izvajalci v zdravstvenem sektorju zavezani k spoštovanju pravil direktive NIS. Potrebo po nenehnem izboljševanju kibernetske varnosti in odpornosti EU-ja ter odziva na kibernetske incidente, zlasti v kritičnih sektorjih, kot so zdravstvo, bančništvo in pravni sistemi, je potrdila tudi pandemija Covida 19 (Giannakoulias, 2023).

Pandemija je okrepila digitalno transformacijo družbe in razširila število groženj, ki zahtevajo prilagojene in inovativne odzive. Vsaka motnja, tudi tista, ki je sprva omejena na en subjekt ali en sektor, ima lahko kaskadne učinke v širšem smislu, kar povzroči daljnosežne in dolgotrajne negativne učinke pri zagotavljanju storitev na celotnem notranjem trgu (Evropska komisija, 2020).

Cilj direktive NIS 2 je bil z določitvijo pravil za delovanje usklajenega regulativnega okvira, z določitvijo mehanizmov za učinkovito sodelovanje med pristojnimi organi držav članic, s posodobitvijo oziroma dopolnitvijo seznama sektorjev, za katere velja direktiva NIS 2, ter z določitvijo učinkovitih pravnih sredstev in izvršilnih ukrepov odpraviti pomembne razlike med državami članicami. 13

Slika1: Postopek sprejemanja direktive

* trialog – v okviru rednega zakonodajnega postopka evropske unije je trialog neformalno medinstitucionalno pogajanje, na katerem sodelujejo predstavniki evropskega parlamenta, sveta evropske unije in evropske komisije. Cilj trialoga je doseči začasen sporazum o zakonodajnem predlogu, ki je sprejemljiv za Parlament in tudi za Svet, ki sta sozakonodajalca. Ta začasni sporazum je nato treba sprejeti po formalnih postopkih vsake od teh institucij.

Vir: Evropski parlament.

Celoten članek je dostopen za naročnike!

BREZPLAČNI PREIZKUS

Tax-Fin-Lex d.o.o.
pravno-poslovni portal,
založništvo in
izobraževanja

Tax-Fin-Lex d.o.o.
Železna cesta 18
1000 Ljubljana
Slovenija

T: +386 1 4324 243
E: info@tax-fin-lex.si

PONUDBA

Predstavitev portala
Zakonodaja
Sodna praksa
Strokovne publikacije
Komentarji zakonov
Zgledi knjiženj
Priročniki
Obveščanja o zakonodajnih novostih
TFL AI

CENIK

TFL IZOBRAŽEVANJA

Koledar izobraževanj

TFL SVETOVANJE

Svetovanje

TFL BREZPLAČNO

Brezplačne storitve
Preizkusite portal TFL
E-dnevnik Lex-Novice
E-tednik TFL Glasnik
Dodatni članki

MOJ TFL

Moji paketi
Moja izobraževanja
Priljubljeni dokumenti
Moji komentarji

PODPORA

Najpogostejša vprašanja
Video pomoč
Pišite nam

O TFL

O nas
Vizitka
Najuglednejši
Kontakt

Facebook Twitter LinkedIn Instagram YouTube E-mail

CERTIFIKATI IN EU PROJEKTI

 
x - Dialog title
dialog window