O NOVI DIREKTIVI za KIBERNETSKO VARNOST EVROPSKE UNIJE – pomembne točke in pripombe
Zakaj nova direktiva NIS2?
Direktiva o varnosti omrežij in formacij (NIS) je prvi del nove evropske zakonodaje o kibernetski varnosti (sledili bodo konkretni zakonodajni ukrepi), njen poseben cilj pa je bil doseči visoko skupno raven kibernetske varnosti v vseh državah članicah EU. Čeprav se je v zadnjem času povečala zmogljivosti držav članic na področju kibernetske varnosti, je bilo izvajanje NIS1 izvajanje težko, kar je povzročilo razdrobljenost ukrepov na različnih ravneh po notranjem trgu.
Da bi se odzvala na naraščajoče grožnje, ki jih predstavlja digitalizacija, in naraščanje kibernetskih napadov, je Komisija vložila predlog za zamenjavo direktive NIS in s tem okrepitev varnostnih zahtev, pri obravnavi varnosti dobavnih verig, racionalizacije obveznosti poročanja in uvedba strožjih nadzornih ukrepov in strožjih zahteve izvrševanja, vključno z usklajenimi sankcijami po vsej EU. Predlagana širitev področja uporabe, ki ga določa NIS2, z učinkovitim obvezovanjem več subjektov in sektorjev k ukrepom, bo dolgoročno pripomogla k višji ravni kibernetske varnosti v Evropi.
Stara Direktiva NIS ne zagotavlja dovolj jasnosti glede meril za področja uporabe ali nacionalne pristojnosti glede kibernetske varnosti nad ponudniki digitalnih storitev. To je privedlo do situacije, v kateri nekatere vrste subjektov v nekaterih državah članicah niso bile identificirane kot zavezance za uvedbo ukrepov varnosti, zato jim ni bilo potrebno sprejeti varnostnih ukrepov in poročati o incidentih. Na primer, nekatere velike bolnišnice v državah članic ne spadajo na področje uporabe direktive NIS in jim zato ni treba izvajati varnostnih ukrepov, ki iz tega izhajajo, medtem ko v drugi državi članici varnostne zahteve NIS pokrivajo skoraj vse posamezne izvajalce zdravstvenih storitev.
Direktiva NIS državam članicam omogoča široko diskrecijsko pravico pri določanju varnostnih zahtev in poročil o dogodkih za OES. Ocena kaže, da so države članice te zahteve v nekaterih primerih izvajale na bistveno različne načine, kar je dodatno postalo breme za podjetja, ki poslujejo v več državah članicah.
Režim nadzora in izvrševanja direktive NIS1 je pokazal, da je neučinkovit.
Kaj prinaša nova direktiva NIS2?
Predlog NIS2 si je postavil tri splošne cilje:
- Povečati raven kibernetske odpornosti obsežnega nabora podjetij, ki delujejo v Evropski uniji, v vseh ustreznih sektorjih z uvedbo pravil, ki zagotavljajo, da vsi javni in zasebni subjekti na notranjem trgu, ki opravljajo pomembne naloge za gospodarstvo in družbo, kot celote, morajo sprejeti ustrezne ukrepe za kibernetsko varnost. Predlog na primer znatno razširja področje uporabe veljavne direktive z dodajanjem novih sektorjev, kot so telekomunikacije, platforme družbenih medijev in javna uprava (podatkovni list je dodan Direktivi NIS2). Direktiva določa, da bi morali vsi srednji in veliki subjekti, dejavni v sektorjih, zajetih v okviru NIS2, samodejno upoštevati varnostna pravila.
- Izboljšati raven skupne ozaveščenosti o razmerah v EU in kolektivno sposobnost priprave in odziva na naslednje: i) sprejetjem ukrepov za povečanje ravni zaupanja med pristojnimi organi; ii) z izmenjavo več informacij o incidentih in grožnjah; in iii) določanje pravil in postopkov v primeru velikega incidenta ali krize. Predlagana nova pravila izboljšujejo način, kako EU preprečuje, obravnava in se odziva na obsežne incidente in krize na področju kibernetske varnosti z uvedbo jasnih odgovornosti, ustreznega načrtovanja in več sodelovanja v EU. Revidirana direktiva bi vzpostavila okvir EU za krizno upravljanje, ki od držav članic zahteva, da sprejmejo načrt in imenujejo nacionalne pristojne organe, odgovorne za sodelovanje pri odzivanju na incidente in krize na področju kibernetske varnosti na ravni EU. Predlagana direktiva vzpostavlja mrežo organizacij za zvezo EU-kibernetske krize (EU-CyCLONe). Za zagotovitev doslednosti in skladnosti s sorodno zakonodajo EU so se pri pregledu direktive NIS2 upoštevali zlasti naslednje tri pobude Komisije:
- pregled Direktive o odpornosti kritičnih subjektov (CER), ki je bila predlagana skupaj s predlogom NIS2, s ciljem izboljšati odpornost kritičnih subjektov na fizične grožnje v številnih sektorjih. Predlog razširja področje uporabe in globino veljavne direktive iz leta 2008, vključno z zajemanjem desetih sektorjev: energetika, promet, bančništvo, infrastruktura finančnih trgov, zdravstvo, pitna voda, odpadna voda, digitalna infrastruktura, javna uprava in prostor;
- pobuda o zakonu o digitalni operativni odpornosti za finančni sektor (DORA);
- pobuda o kodeksu omrežja o kibernetski varnosti s sektorskimi pravili za čezmejne tokove električne energije
- Kar zadeva finančni sektor, bi predlog DORA zagotovil pravno jasnost glede tega, kako in kako se uporabljajo digitalne operativne določbe, zlasti za čezmejne finančne subjekte, in bi odpravil potrebo, da države članice posamično izboljšajo pravila, standarde in pričakovanja glede operativne odpornosti. kibernetska varnost kot odgovor na trenutno omejeno pokritost pravil EU in splošno naravo direktive NIS1. Hkrati je pomembno ohraniti trden odnos za izmenjavo informacij med finančnim sektorjem in drugimi sektorji, ki jih zajema NIS2. V ta namen so v skladu s predlogom DORA vsi obstoječi finančni nadzorniki, evropski nadzorni organi (evropski nadzorni organi)
Pripombe na NIS2 ISOC.ORG, ki jih jih Evropske ISOC chapters/organizacije niso podprli:
Sistem domenskih imen (DNS) igra ključno vlogo pri lažji navigaciji po internetu z uporabo sistema skupnih globalnih identifikatorjev, na katere so lahko odvisni sistemi in uporabniki po vsem svetu, da jih le te pripeljejo tja, kjer želijo uporabiti kakšno internetno storitev. Storitve DNS to storijo tako, da ustvarijo datoteko kot pomenski zemljevid, ki uporabnikom omogoča krmarjenje po omrežju z uporabo samo imen domen (npr. kompromisni predlog NIS 2 z dne 21. septembra je navajal vse ponudnike storitev DNS vzdolž DNS verige reševanja, vključno z: (1) operaterji korenskih imenskih strežnikov, (2) domeno najvišje ravni (TLD) i; in (3) verodostojni imenski strežniki za domenska imena in z rekurzivnim razreševanjem domen. V NIS 2 se zahteva, da storitve DNS v obsegu predloga izpolnjujejo določena poročila in varnostne zahteve politike (zahteva se nanaša le na informacijo o vzdrževalcu in lastnik DNS strežnika, ki je varnostna zahteva).
Te zahteve vključujejo poročanje o incidentu, imenovanje zastopnika seveda z veljavnostjo na območju EU. Izjema so majhni in mikro subjekti. Glede na tipično velikost DNS storitev, bi bilo zelo malo subjektov upravičenih do oprostitev v kategoriji malih in mikro subjektov. Registri domen najvišje ravni v obsegu so tudi v zahtevah NIS 2 glede informacij o lastniku. Domene najvišje ravni (TLD) se nahajajo blizu vrha DNS -ja (tki množica root strežnikov), in jih je mogoče prepoznati po zadnjem segmentu a ime domene (npr. .com, .org, .net ali .uk). Register TLD je zbirka teh imen domen registriran pod eno od teh TLD s kazalci na sekundarnih strežnikov, ki skrbijo za informacije o nadaljnji razvejanosti te TLD . Upravljavci registrov TLD so neposredno odgovorni za registracijo domenskih imen (kot register) ali prek mreže preprodajalcev imen domen (registratorjev). Operaterji registra TLD predvsem upravljajo i z ustvarjanjem, podpisovanjem in objavo potrebnih tehničnih informacij ter prenos na naslednjo stopnjo (sekundarni strežnik) v hierarhiji imen DNS. Ko so podatki o območjih zastareli ali netočni, povezave, ki povezujejo TLD z njegovo osnovno potrošniška imena domen se zlomijo, zaradi česar se promet usmeri v netočno ali zastarelo omrežje naslovi. To ustvarja varnostna tveganja, ker lahko uporabnike odpeljejo na negotove omrežne naslove, kjer lahko postanejo žrtev zlorabe. Šibka politika registracije zlorablja Sistem domenskih imen (DNS), ki igra ključno vlogo pri lažji navigaciji po internetu z uporabo sistema skupnih globalnih identifikatorjev, na katere so lahko odvisni sistemi in uporabniki po vsem svetu, da jih pripeljete tja, kjer poskušajo iti na internet. Storitve DNS to storijo tako, da ustvarijo datoteko tki. pomenski zemljevid, ki uporabnikom omogoča lažje krmarjenje po omrežju (Na območju EU deluje le en root DNS strežnik od 13 (zrcalnih strežnikov), ki so razporejeni po celem svetu, tako, da ogroženost glede funkcioniranja DNS in prepričljiva. Zahteve po TSP pa so primerne, detajli bodo določeni skozi akti, ki
bodo sledili) z uporabo le imen domen DNS, ki jih odpelje do domen (kar dokazujejo primeri imen domen), ki se uporabljajo do naprav znanih, kot botnet poveljniško -nadzorni centri za napade. Predlog NIS 2 v registre TLD postavlja zahteve za zbiranje registracije domenskih imen podatkov z izvajanjem tehničnih in organizacijskih ukrepov. Poleg tega bodo registri TLD imeli le 72 ur časa, da odgovorijo na zahteve zakonitih prosilcev za dostop do razkritja domene podatki o registraciji imena. V predlogu NIS 2 za majhno ali mikro zaupanje ni nobenih izjem ponudniki storitev.
Ponudniki storitev zaupanja (TSP) zagotavljajo in vzdržujejo digitalna potrdila, ki se uporabljajo za ustvarjanje in potrditev elektronskih podpisov ter overitev podpisnikov in spletnih mest. Igrajo odločilno vlogo pri preverjanju identitete ljudi in podjetij na internetu. Zanesljiva uporaba digitalnih potrdil povečuje zaupanje interneta in je med drugim omogočil rast storitev e -uprave ter občutljivo zdravstveno in finančno stanje storitev po vsej EU. Najnovejši kompromisni predlog NIS 2 vključuje TSP na področju uporabe Direktive in jih opredeli kot bistvene subjekte. V tej kategoriji digitalnih Kot bistveni subjekti bi za TSP bodo veljali predhodni in naknadni čas za nadzor , kar pomeni, da bi morali ponudniki storitev zaupanja sistematično dokumentirati svojo skladnost z varnostnimi zahtevami direktive. V sistemu NIS 2 ni izjem za male ponudnike storitev ali ponudnike mikro zaupanja, ki bodo glede teh zahtev morda prizadeti.