Europska unija posljednjih je godina ojačala svoje napore kako bi kroz zakonodavni okvir, ali i pomoć članicama, ojačala kibernetičku otpornost cijele Unije.
Tako s današnjim danom na snagu stupaju čak dvije europske direktive i jedna uredba, koje imaju za cilj upravo jačanje kibernetičke otpornosti. No, to će biti moguće samo ako ih sve članice EU na vrijeme implementiraju. O čemu se točno radi?
Prije svega, na snagu stupa EU direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti (2022/2555), kolokvijalno nazvana i Direktiva NIS 2. Radi se o direktivi koja donesena 14. prosinca 2022. godine, a na snagu stupa 16. siječnja 2023. godine. Ali, zemlje članice imaju čak 21 mjesec vremena da usvoje tu direktivu i objave mjere za usklađivanje s NIS 2 Direktivom. U prijevodu, trebaju izmijeniti i prilagoditi svoje zakonodavstvo novim europskim pravilima. Dok se to ne dogodi, na snazi je postojeći zakonodavni okvir, a to je u Hrvatskoj Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga.
Direktiva određuje minimalna pravila za regulatorni okvir i utvrđuje mehanizme za učinkovitu suradnju između relevantnih tijela u svakoj državi članici. Njime se ažurira popis sektora i aktivnosti koji podliježu obvezama vezanim uz kibernetičku sigurnost te se predviđaju pravni lijekovi i sankcije kako bi se osigurala provedba.
Direktiva NIS 2, uz već postojeće operatore ključnih usluga i davatelje digitalnih usluga, obuhvaća i subjekte iz energetike, prometa, bankarstva, financijskog tržišta, zdravstva, subjekte koji upravljaju sustavima pitke vode, otpadnih voda, digitalnom infrastrukturom, uslugama IKT-a za poslovne korisnike i javnom upravom. No, uključeni su važni subjekti u drugim kritičnim sektorima kao što su poštanske i kurirske usluge, gospodarenje otpadom, izrada i distribucija kemikalija, proizvodnja i distribucija hrane, pružatelji digitalnih usluga i slično.
Zanimljivo, Direktiva se neće primjenjivati na subjekte koji obavljaju aktivnosti u područjima kao što su obrana ili nacionalna sigurnost, javna sigurnost i provođenje zakona, ali i da su pravosuđe, parlamenti i središnje banke također isključeni iz obaveza koje proizlaze iz Direktive.
Uz Direktivu NIS 2 na snagu stupa i tzv. CER Direktiva, odnosno Direktiva o otpornosti kritičnih subjekata (2022/2557) koja pruža okvir za digitalnu i fizičku otpornost pružatelja kritičnih usluga. Kako se navodi u Direktivi, cilj je uklanjanje slabih točaka i jačanje otpornosti kritičnih subjekata (oni koji pružaju osnovne usluge koje su ključne za održavanje važnih društvenih funkcija, gospodarskih aktivnosti, javnog zdravlja i sigurnosti te okoliša).
Države članice morat će imati nacionalnu strategiju za povećanje otpornosti kritičnih subjekata, provoditi procjenu rizika najmanje svake četiri godine i identificirati kritične subjekte koji pružaju osnovne usluge. Kritični subjekti morat će identificirati relevantne rizike koji mogu značajno poremetiti pružanje osnovnih usluga, poduzeti odgovarajuće mjere kako bi osigurali njihovu otpornost i obavijestiti nadležna tijela o ometajućim incidentima.
Direktiva također utvrđuje pravila za identifikaciju kritičnih entiteta od posebnog europskog značaja. Kako su pojasnili, kritični subjekt smatra se od posebnog europskog značaja ako pruža bitnu uslugu za šest ili više država članica. U tom slučaju, države članice mogu zatražiti od Komisije da organizira savjetodavnu misiju ili Komisija može sama predložiti, uz suglasnost dotične države članice, procjenu mjera koje je dotični subjekt uveo kako bi ispunio obveze koje proizlaze iz iz direktive.
Osim već spomenutih direktiva, donesena je i DORA – Uredba o digitalnoj operativnoj otpornosti za financijski sektor kojoj je cilj jačanje informacijske i kibernetičke sigurnosti u financijskom sektoru kako bi se održala operativna otpornost uslijed ozbiljnih poremećaja u radu. Prije svega, odnosi se na subjekte koji posluju u financijskom sektoru te one subjekte koje im pružaju usluge povezane s IKT-om.
Sad su na potezu zemlje članice, pa tako i Hrvatska, koje uz izmjene ili dopune zakona, moraju pronaći i sredstva za ispunjavanje uvjeta iz direktivi.