Uvod
U nedavnom članku objavljenom u Pravnoj praksi, naši kolege Jasmin Dizdarević i Nikša Maletić istražuju krajolik zakonodavstva EU-a o kibersigurnosti koji se neprestano razvija. U eri sve većih kibernetičkih prijetnji i digitalizacije, kibernetička sigurnost postala je glavni prioritet Europske unije. Kako bi poboljšao digitalnu otpornost i zaštitio javne i privatne subjekte, EU je uspostavio sveobuhvatan regulatorni okvir. Ovaj post na blogu daje pregled ključnih zakonodavnih inicijativa koje danas oblikuju kibernetičku sigurnost u EU-u rekapitulacijom objavljenog članka.
Ključni propisi EU-a o kibernetičkoj sigurnosti
- Zakon o kibernetičkoj sigurnosti EU-a jača mandat Agencije Europske unije za kibernetičku sigurnost (ENISA) i uspostavlja okvir za certifikaciju kibernetičke sigurnosti za cijelu EU. ENISA ima ključnu savjetodavnu ulogu, provodeći vježbe kibernetičke sigurnosti i izdajući smjernice za smanjenje regulatorne fragmentacije. Prva shema certificiranja stupit će na snagu u veljači 2025., pokrivajući ICT proizvode i usluge, s dodatnim shemama u razvoju za AI, računalstvo u oblaku, 5G i upravljane usluge.
- Direktiva NIS2 zamijenila je svoju prethodnicu poboljšavajući zahtjeve kibernetičke sigurnosti za kritične sektore i nalažući koordinirani pristup izvješćivanju o incidentima i upravljanju rizikom. Odnosi se na subjekte u energetici, prometu, bankarstvu, zdravstvu, digitalnoj infrastrukturi i drugim bitnim industrijama. Obveze uključuju analizu rizika, upravljanje incidentima, sigurnosne kopije, sigurnost opskrbnog lanca i autentifikaciju s više faktora. Zemlje članice EU-a moraju implementirati NIS2 do listopada 2024., ali do početka 2025. nekoliko ih tek treba učiniti.
- Zakon o digitalnoj operativnoj otpornosti (DORA) usredotočen je na financijski sektor uvođenjem strogih zahtjeva za upravljanje rizikom za ICT pružatelje usluga financijskim institucijama. Pokriva banke, institucije za platni promet, pružatelje kripto usluga i kreditne agencije. Ključne odredbe uključuju upravljanje ICT rizikom, izvješćivanje o incidentima, testiranje otpornosti i nadzor pružatelja usluga trećih strana. Financijske institucije moraju prijaviti veće ICT incidente u roku od 24 sata i dostaviti detaljna naknadna izvješća u roku od 72 sata, odnosno jednog mjeseca. DORA je u potpunosti stupila na snagu u siječnju 2025.
- Zakon o kibernetičkoj otpornosti (CRA) usvojen je u listopadu 2024. i ima za cilj jačanje kibernetičke sigurnosti za digitalne proizvode provođenjem načela sigurnosti prema dizajnu tijekom njihova životnog ciklusa. Nalaže proizvođačima i pružateljima usluga osigurati da proizvodi nemaju značajne ranjivosti, nude sigurne konfiguracije i podržavaju sigurnosna ažuriranja. Odnosi se na sve digitalne proizvode koji se prodaju u EU-u, uključujući pametne uređaje i usluge u oblaku. Sukladnost uključuje obvezno prijavljivanje iskorištenih ranjivosti ENISA-i i nacionalnim CSIRT-ovima.
- Direktiva o otpornosti kritičnih subjekata (CER) usmjerena je na povećanje otpornosti sektora kritične infrastrukture kao što su energija, transport, voda, zdravstvena skrb i financije. Zahtijeva od država članica da identificiraju kritične subjekte, procijene rizike i provedu zaštitne mjere. CER osigurava da ti entiteti mogu izdržati i oporaviti se od poremećaja, bilo da su uzrokovani kibernetičkim incidentima, prirodnim katastrofama ili sigurnosnim prijetnjama. Slovenija je među prvim zemljama EU-a implementirala CER kroz svoj Zakon o kritičnoj infrastrukturi.
Zaključak
EU nastavlja usavršavati svoj krajolik kibernetičke sigurnosti, integrirajući pravne, tehničke i financijske mjere za izgradnju sigurnog digitalnog ekosustava. Osim regulative i certifikacije, značajna ulaganja ostvaruju se putem inicijativa kao što je NextGenerationEU, koja podupire gospodarski oporavak i digitalnu otpornost. Osim toga, predložena Zajednička kibernetička jedinica ima za cilj koordinirati odgovor EU-a na kibernetičke incidente velikih razmjera, dodatno jačajući položaj kibernetičke sigurnosti u Europi.