TFL Vsebine / TFLGlasnik

1. OZADJE

Ob koncu leta 2022 sta Evropski parlament in Svet sprejela dve ključni in tesno povezani direktivi za zaščito t. i. kritičnih subjektov, torej organizacij, ki zagotavljajo bistvene storitve, ključne za ohranitev ključnih družbenih funkcij, gospodarskih dejavnosti, javnega zdravja in varnosti ter okolja. Ti direktivi sta:

1. Direktiva (EU) 2022/2555 evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, ki spreminja Uredbo (EU) št. 910/2014 in Direktivo (EU) 2018/1972 ter razveljavlja Direktivo (EU) 2016/1148, (v nadaljevanju: direktiva NIS 2) je bila sprejeta za zagotovitev visoke skupne ravni kibernetske varnosti v celotni Evropski uniji.

2. Direktiva (EU) 2022/2557 evropskega parlamenta in Sveta z dne 14. decembra 2022 o odpornosti kritičnih subjektov, ki razveljavlja Direktivo Sveta 2008/114/ES, (v nadaljevanju: direktiva CeR) dopolnjuje oziroma razširja direktivo NIS 2 z določitvijo obveznosti za druge posebne ukrepe za neprekinjeno opravljanje storitev, ki so bistvene za ohranjanje ključnih družbenih funkcij ali gospodarskih

Direktiva CER dopolnjuje direktivo NIS 2. Medtem ko se ta osredotoča na kibernetsko varnost in odpornost, direktiva CER obravnava fizično in nekibernetsko odpornost kritičnih subjektov. Direktivi skupaj zagotavljata celosten pristop k zaščiti izvajalcev bistvenih storitev.

Na področju finančnih storitev sta direktivi CER in NIS 2 poleg tega tesno povezani z Uredbo (EU) 2022/2554 evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (v nadaljevanju: uredba DORA), ki določa enotne zahteve glede varnosti omrežnih in informacijskih sistemov, ki podpirajo poslovne procese finančnih subjektov.

Direktiva CER bo 17. oktobra 2024 nadomestila Direktivo 2008/114/ES o ugotavljanju in določanju evropske kritične infrastrukture ter o oceni potrebe za izboljšanje njene zaščite (v nadaljevanju: direktiva ECI), ki je bila v slovensko zakonodajo prenesena z Zakonom o kritični infrastrukturi (v nadaljevanju: ZKI),¹ na podlagi zakona pa je bilo pripravljeno tudi Navodilo za ocenjevanje tveganj za delovanje kritične infrastrukture Republike Slovenije². Direktiva ECI in slovenski ZKI se osredotočata predvsem na zaščito kritične infrastrukture v sektorjih energije in prometa. Nova direktiva CER je bila potrebna zaradi povečane kompleksnosti in medsebojne povezanosti kritične infrastrukture, pojava novih groženj in izkušenj, pridobljenih pri izvajanju direktive ECI. Njen cilj je razširiti obseg zaščitenih sektorjev, izboljšati nacionalno zmogljivost in spodbujati sodelovanje med državami članicami za izboljšanje odpornosti kritičnih subjektov na motnje.

2. KLJUČNI ROKI

2.1. Splošni ključni roki direktive CER

17. oktober 2024 – rok, do katerega mora Republika Slovenija evropsko komisijo obvestiti o sankcijah, ki se uporabljajo za kršitve nacionalnih ukrepov, sprejetih na podlagi direktive CER.³

17. januar 2026 – rok do katerega mora Republika Slovenija sprejeti strategijo za okrepitev odgovornosti kritičnih subjektov in pripraviti oceno tveganj.⁴

17. julij 2026 – rok, do katerega mora Republika Slovenija določiti kritične subjekte, ki so zavezanci po direktivi CeR.⁵

2.2. Ključni datumi in roki za zavezance po direktivi CER

Prejem uradnega obvestila o identifikaciji za status kritičnega subjekta s strani države: 1 mesec po določitvi.⁶

Izvedba izdelave ocene tveganja za kritični subjekt: 9 mesecev po določitvi.⁷

Sprejem ukrepov za skladnost z direktivo CeR: 10 mesecev po določitvi.⁸

3. KLJUČNE ZAHTEVE DIREKTIVE CER ZA REPUBLIKO SLOVENIJO

3.1. Strategija za okrepitev odpornosti kritičnih subjektov

Direktiva CER zahteva, da mora Republika Slovenija sprejeti strategijo za okrepitev odpornosti kritičnih subjektov (v nadaljevanju: strategija), ki mora poleg nacionalnih elementov upoštevati tudi čezmejno in medsektorsko odvisnost. Strategija naj bi vključevala strateške cilje, okvir upravljanja, opise ukrepov za krepitev odpornosti, opise postopka prepoznave kritičnih subjektov in opise ukrepov za podporo kritičnim subjektom. Prav tako naj bi opredeljevala koordinacijo med pristojnimi organi za izmenjavo informacij o kibernetskih in nekibernetskih tveganjih ter opisala ukrepe za olajšanje izpolnjevanja obveznosti malih in srednjih podjetij s statusom kritičnih subjektov.⁹

3.2. Nacionalna ocena tveganj

Republika Slovenija naj bi poleg tega pripravila posebno oceno tveganj, ki naj bi vključevala splošno oceno tveganja ter več sektorsko specifičnih ocen tveganj po zahtevah različnih sektorskih aktov EU-ja, na primer na področju oskrbe s plinom¹⁰ in električno energijo¹¹. Skupna ocena tveganj naj bi vključevala relevantna naravna tveganja in tveganja, ki jih povzroči človek, vključno s tveganji medsektorske in čezmejne narave, nesrečami, naravnimi nesrečami, izrednimi razmerami v javnem zdravju in hibridnimi grožnjami ali drugimi antagonističnimi grožnjami, vključno s terorističnimi kaznivimi dejanji,12 infiltracijo kriminala in sabotažo.

ocena tveganj naj bi predstavljala eno izmed izhodišč za prepoznavo kritičnih subjektov – organizacij, ki so zavezanci po novi direktivi CER13. Poleg ocene tveganj naj bi države članice upoštevale, ali določena organizacija opravlja eno ali več bistvenih storitev, deluje v državi članici in oziroma ali ima kritično infrastrukturo na njenem ozemlju.14 Države članice morajo tudi oceniti, ali bi imel morebitni incident pomembne moteče učinke na izvajanje ene ali več bistvenih storitev.

3.3. Pristojni organ in enotna kontaktna točka

Pristojni organ za izvajanje uredbe CER v Republiki Sloveniji bo v večini sektorjev predvidoma Ministrstvo za obrambo. Pri tem bo verjetno tesno sodelovalo z Uradom vlade Republike Slovenije za informacijsko varnost (v nadaljevanju: URSIV), ki v skladu z veljavnim zakonom o informacijski varnosti15 (v nadaljevanju: (ZInfV) koordinira delovanje sistema kibernetske varnosti. Trenutno je namreč v pripravi tudi povezani in na NIS 2 temelječi zakon ZInfV-1, ki mora biti po zahtevah evropskega parlamenta in Sveta prav tako sprejet do 17. oktobra 2024.16 Pričakovati je tesno sodelovanje z mrežo skupin nacionalnih skupin za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (v nadaljevanju: CSIRT).

Izjema pri pristojnosti bodo predvidoma sektorji bančništva17 in infrastrukture finančnega trga,18 kjer se direktiva CeR pri določitvi pristojnih organov navezuje na uredbo DoRA,19 ta pa za posamezne vrste finančnih institucij določa različne pristojne organe.

Komisija bo v pomoč državam članicam in njihovim pristojnim organom ustanovila tudi posebno skupino za podporo kritičnim subjektom.20

3.4. Podpora kritičnim subjektom

Pristojni organi naj bi izvajali različne aktivnosti za podporo kritičnim subjektom, na primer razvijali gradiva s smernicami in metodologije, pomagali pri organizaciji vaj za preskušanje njihove odpornosti ter omogočili svetovanja in usposabljanja za osebje kritičnih subjektov. V Republiki Sloveniji so gradiva za tovrstno podporo v času nastajanja tega članka razmeroma skromna, gradiva v angleškem in nemškem jeziku pa so na primer na voljo na spletnih straneh nemškega pristojnega organa Bundesamt für Sicherheit in der Informationstechnik.21

3.5. Nadzor nad izvrševanjem zahtev direktive CER

3.5.1. INŠPEKCIJSKI PREGLEDI

Pristojni organ naj bi med drugim prevzel pristojnosti za izvajanje inšpekcijskih pregledov kritične infrastrukture in prostorov, ki jih kritični subjekt uporablja za opravljanje svojih bistvenih storitev tako na kraju samem kot z nadzorom na daljavo. Njegove pristojnosti naj bi vključevale tudi izvajanje ali naročilo revizij v zvezi s kritičnimi subjekti.22

3.5.2. PREDLOŽITEV INFORMACIJ IN REVIZIJSKIH POROČIL

Pristojni organ bo od kritičnih subjektov lahko tudi neposredno zahteval načrt za odpornost ali druge dokumente, ki opisujejo ukrepe za izvajanje odpornosti, da bo lahko ocenil, ali ukrepi, ki so jih ti subjekti sprejeli za zagotovitev svoje odpornosti, izpolnjujejo zahteve direktive CER.23 Poleg tega bo lahko zahteval dokaze o učinkovitem izvajanju teh ukrepov, vključno z rezultati revizije, ki jo je opravil neodvisen in usposobljen revizor, ki ga je izbral navedeni subjekt, revizija pa je bila opravljena na njegove stroške.²⁴

3.5.3. SANKCIJE

Pravila o sankcijah, ki se uporabljajo za kršitve nacionalnih ukrepov, sprejetih na podlagi direktive CER, bo sprejela Republika Slovenija na nacionalni ravni. Sprejela naj bi tudi vse potrebne ukrepe za zagotovitev, da se bodo sankcije izvajale. Direktiva CER zahteva, da naj bi bile sankcije učinkovite, sorazmerne in odvračilne. Republika Slovenja naj bi evropsko komisijo o ukrepih uradno obvestila do 17. oktobra 2024.

Celoten članek je dostopen za naročnike!