Uvod
V nedavnem članku, objavljenem v Pravni praksi, naša kolega Jasmin Dizdarević in Nikša Maletić raziskujeta nenehno razvijajočo se pokrajino zakonodaje EU o kibernetski varnosti. V dobi vse večjih kibernetskih groženj in digitalizacije je kibernetska varnost postala glavna prednostna naloga Evropske unije. Za povečanje digitalne odpornosti in zaščito javnih in zasebnih subjektov je EU vzpostavila celovit regulativni okvir. Ta objava v spletnem dnevniku s povzetkom objavljenega članka ponuja pregled ključnih zakonodajnih pobud, ki danes oblikujejo kibernetsko varnost v EU.
Ključni predpisi EU o kibernetski varnosti
- Zakon EU o kibernetski varnosti krepi mandat Agencije Evropske unije za kibernetsko varnost (ENISA) in vzpostavlja vseevropski certifikacijski okvir za kibernetsko varnost. ENISA ima ključno svetovalno vlogo, saj izvaja vaje kibernetske varnosti in izdaja smernice za zmanjšanje regulativne razdrobljenosti. Prva certifikacijska shema bo začela veljati februarja 2025 in bo zajemala izdelke in storitve IKT, z dodatnimi shemami v razvoju za umetno inteligenco, računalništvo v oblaku, 5G in upravljane storitve.
- Direktiva NIS2 je nadomestila svojo predhodnico, tako da je izboljšala zahteve glede kibernetske varnosti za kritične sektorje in zahtevala usklajen pristop k poročanju o incidentih in obvladovanju tveganja. Velja za subjekte v energetiki, prometu, bančništvu, zdravstvu, digitalni infrastrukturi in drugih bistvenih panogah. Obveznosti vključujejo analizo tveganja, upravljanje incidentov, varnostne kopije, varnost dobavne verige in večfaktorsko avtentikacijo. Države članice EU morajo uvesti NIS2 do oktobra 2024, vendar jih mora v začetku leta 2025 več tega še storiti.
- Zakon o odpornosti na digitalno delovanje (DORA) se osredotoča na finančni sektor z uvedbo strogih zahtev glede obvladovanja tveganja za ponudnike IKT, ki služijo finančnim institucijam. Zajema banke, plačilne institucije, ponudnike kripto storitev in kreditne agencije. Ključne določbe vključujejo obvladovanje tveganj IKT, poročanje o incidentih, testiranje odpornosti in nadzor nad ponudniki storitev tretjih oseb. Finančne institucije morajo poročati o večjih incidentih IKT v 24 urah in zagotoviti podrobna nadaljnja poročila v 72 urah oziroma enem mesecu. DORA je začela polno veljati januarja 2025.
- Zakon o kibernetski odpornosti (CRA) je bil sprejet oktobra 2024 in je namenjen krepitvi kibernetske varnosti za digitalne izdelke z uveljavljanjem načel varnosti pri načrtovanju v celotnem življenjskem ciklu. Proizvajalcem in ponudnikom storitev nalaga, da zagotovijo, da so izdelki brez pomembnih ranljivosti, da nudijo varne konfiguracije in podpirajo varnostne posodobitve. Velja za vse digitalne izdelke, ki se tržijo v EU, vključno s pametnimi napravami in storitvami v oblaku. Skladnost vključuje obvezno poročanje o izkoriščenih ranljivostih ENISA in nacionalni skupini CSIRT.
- Direktiva o odpornosti kritičnih subjektov (CER) se osredotoča na izboljšanje odpornosti sektorjev kritične infrastrukture, kot so energija, promet, voda, zdravstvo in finance. Od držav članic zahteva, da identificirajo kritične subjekte, ocenijo tveganja in izvajajo zaščitne ukrepe. CER zagotavlja, da se ti subjekti lahko uprejo in si opomorejo od motenj, ne glede na to, ali jih povzročijo kibernetski incidenti, naravne nesreče ali varnostne grožnje. Slovenija je bila med prvimi državami EU, ki je uvedla CER z Zakonom o kritični infrastrukturi.
Zaključek
EU še naprej izboljšuje svoje okolje kibernetske varnosti z vključevanjem pravnih, tehničnih in finančnih ukrepov za izgradnjo varnega digitalnega ekosistema. Poleg regulacije in certificiranja se znatne naložbe izvajajo prek pobud, kot je NextGenerationEU, ki podpira okrevanje gospodarstva in digitalno odpornost. Poleg tega je cilj predlagane skupne kibernetske enote usklajevati odziv EU na kibernetske incidente velikega obsega, s čimer bi dodatno okrepili držo Evrope na področju kibernetske varnosti.