{"id":1273,"date":"2021-10-20T12:09:39","date_gmt":"2021-10-20T12:09:39","guid":{"rendered":"https:\/\/www.isoc.si\/?p=1273"},"modified":"2021-10-20T12:09:53","modified_gmt":"2021-10-20T12:09:53","slug":"o-novi-direktivi-za-kibernetsko-varnost-evropske-unije-pomembne-tocke-in-pripombe","status":"publish","type":"post","link":"https:\/\/www.isoc.si\/?p=1273","title":{"rendered":"O NOVI DIREKTIVI za KIBERNETSKO VARNOST  EVROPSKE UNIJE \u2013 pomembne to\u010dke in pripombe"},"content":{"rendered":"\n<p><strong><em>Zakaj nova direktiva NIS2?&nbsp;<\/em><\/strong><\/p>\n\n\n\n<p>Direktiva o varnosti omre\u017eij in formacij (NIS) je prvi del nove evropske zakonodaje o kibernetski varnosti (sledili bodo konkretni zakonodajni ukrepi), njen poseben cilj pa je bil dose\u010di visoko skupno raven kibernetske varnosti v vseh dr\u017eavah \u010dlanicah EU. \u010ceprav se&nbsp;&nbsp;je v zadnjem \u010dasu&nbsp;&nbsp;pove\u010dala zmogljivosti dr\u017eav \u010dlanic na podro\u010dju kibernetske varnosti, je bilo&nbsp;&nbsp;izvajanje&nbsp;&nbsp;NIS1 izvajanje te\u017eko, kar je povzro\u010dilo razdrobljenost&nbsp;&nbsp;ukrepov na razli\u010dnih ravneh po notranjem trgu.<\/p>\n\n\n\n<p>Da bi se odzvala na nara\u0161\u010dajo\u010de gro\u017enje, ki jih predstavlja digitalizacija, in nara\u0161\u010danje kibernetskih napadov, je Komisija vlo\u017eila predlog za zamenjavo direktive NIS in s tem okrepitev varnostnih zahtev, pri obravnavi varnosti dobavnih verig, racionalizacije obveznosti poro\u010danja in uvedba stro\u017ejih nadzornih&nbsp;&nbsp;ukrepov in stro\u017ejih&nbsp;&nbsp;zahteve izvr\u0161evanja, vklju\u010dno z usklajenimi sankcijami po vsej EU. Predlagana \u0161iritev podro\u010dja uporabe, ki ga dolo\u010da NIS2, z u\u010dinkovitim obvezovanjem ve\u010d subjektov in sektorjev k ukrepom, bo dolgoro\u010dno pripomogla k vi\u0161ji ravni kibernetske varnosti v Evropi.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.isoc.si\/wp-content\/uploads\/2021\/10\/Picture-1.png\"><img loading=\"lazy\" decoding=\"async\" width=\"945\" height=\"189\" src=\"https:\/\/www.isoc.si\/wp-content\/uploads\/2021\/10\/Picture-1.png\" alt=\"\" class=\"wp-image-1274\" srcset=\"https:\/\/www.isoc.si\/wp-content\/uploads\/2021\/10\/Picture-1.png 945w, https:\/\/www.isoc.si\/wp-content\/uploads\/2021\/10\/Picture-1-300x60.png 300w, https:\/\/www.isoc.si\/wp-content\/uploads\/2021\/10\/Picture-1-768x154.png 768w\" sizes=\"(max-width: 945px) 100vw, 945px\" \/><\/a><\/figure>\n\n\n\n<p>Stara Direktiva NIS ne zagotavlja dovolj jasnosti glede meril za podro\u010dja uporabe ali nacionalne pristojnosti glede kibernetske varnosti nad ponudniki digitalnih storitev. To je privedlo do situacije, v kateri nekatere vrste subjektov v nekaterih dr\u017eavah \u010dlanicah niso bile identificirane kot zavezance za uvedbo ukrepov varnosti, zato jim ni bilo potrebno sprejeti varnostnih ukrepov in poro\u010dati o incidentih. Na primer, nekatere velike bolni\u0161nice v dr\u017eavah \u010dlanic ne spadajo na podro\u010dje uporabe direktive NIS in jim zato ni treba izvajati varnostnih ukrepov, ki iz tega izhajajo, medtem ko v drugi dr\u017eavi \u010dlanici varnostne zahteve NIS pokrivajo skoraj vse posamezne izvajalce zdravstvenih storitev.<\/p>\n\n\n\n<p>Direktiva NIS dr\u017eavam \u010dlanicam omogo\u010da \u0161iroko diskrecijsko pravico pri dolo\u010danju varnostnih zahtev in poro\u010dil o dogodkih za OES. Ocena ka\u017ee, da so dr\u017eave \u010dlanice te zahteve v nekaterih primerih izvajale na bistveno razli\u010dne na\u010dine, kar je dodatno&nbsp;&nbsp;postalo breme za podjetja, ki poslujejo v ve\u010d dr\u017eavah \u010dlanicah.<\/p>\n\n\n\n<p>Re\u017eim nadzora in izvr\u0161evanja direktive NIS1&nbsp;je pokazal, da je neu\u010dinkovit.<\/p>\n\n\n\n<p><strong><em>Kaj prina\u0161a nova direktiva NIS2?<\/em><\/strong><\/p>\n\n\n\n<p>Predlog NIS2 si je&nbsp;postavil&nbsp;tri splo\u0161ne cilje:<\/p>\n\n\n\n<ul><li>Pove\u010dati raven kibernetske odpornosti obse\u017enega nabora podjetij, ki delujejo v Evropski uniji, v vseh ustreznih sektorjih z uvedbo pravil, ki zagotavljajo, da vsi javni in zasebni subjekti na notranjem trgu, ki opravljajo pomembne naloge za gospodarstvo in dru\u017ebo,\u00a0\u00a0kot celote, morajo sprejeti ustrezne ukrepe za kibernetsko varnost. Predlog na primer znatno raz\u0161irja podro\u010dje uporabe veljavne direktive z dodajanjem novih sektorjev, kot so telekomunikacije, platforme dru\u017ebenih medijev in javna uprava (podatkovni list je dodan Direktivi NIS2). Direktiva dolo\u010da, da bi morali vsi srednji in veliki subjekti, dejavni v sektorjih, zajetih v okviru NIS2, samodejno upo\u0161tevati varnostna pravila.\u00a0<\/li><li>Izbolj\u0161ati raven skupne ozave\u0161\u010denosti o razmerah v EU in kolektivno sposobnost priprave in odziva na naslednje: i) sprejetjem ukrepov za pove\u010danje ravni zaupanja med pristojnimi organi; ii) z izmenjavo ve\u010d informacij o incidentih in gro\u017enjah; in iii) dolo\u010danje pravil in postopkov v primeru velikega incidenta ali krize. Predlagana nova pravila izbolj\u0161ujejo na\u010din, kako EU prepre\u010duje, obravnava in se odziva na obse\u017ene incidente in krize na podro\u010dju kibernetske varnosti z uvedbo jasnih odgovornosti, ustreznega na\u010drtovanja in ve\u010d sodelovanja v\u00a0\u00a0EU. Revidirana direktiva bi vzpostavila okvir EU za krizno upravljanje, ki od dr\u017eav \u010dlanic zahteva, da sprejmejo na\u010drt in imenujejo nacionalne pristojne organe, odgovorne za sodelovanje pri odzivanju na incidente in krize na podro\u010dju kibernetske varnosti na ravni EU. Predlagana direktiva vzpostavlja mre\u017eo organizacij za zvezo EU-kibernetske krize (EU-CyCLONe). Za zagotovitev doslednosti in skladnosti s sorodno zakonodajo EU so se\u00a0\u00a0pri pregledu direktive NIS2 upo\u0161tevali\u00a0\u00a0zlasti naslednje tri pobude Komisije:<ul><li>pregled Direktive o odpornosti kriti\u010dnih subjektov (CER), ki je bila predlagana skupaj s predlogom NIS2, s ciljem izbolj\u0161ati odpornost kriti\u010dnih subjektov na fizi\u010dne gro\u017enje v \u0161tevilnih sektorjih. Predlog raz\u0161irja podro\u010dje uporabe in globino veljavne direktive iz leta 2008, vklju\u010dno z zajemanjem desetih sektorjev: energetika, promet, ban\u010dni\u0161tvo, infrastruktura finan\u010dnih trgov, zdravstvo, pitna voda, odpadna voda, digitalna infrastruktura, javna uprava in prostor;<\/li><li>pobuda o zakonu o digitalni operativni odpornosti za finan\u010dni sektor (DORA);<\/li><li>pobuda o kodeksu omre\u017eja o kibernetski varnosti s sektorskimi pravili za \u010dezmejne tokove elektri\u010dne energije\u00a0<\/li><\/ul><\/li><\/ul>\n\n\n\n<ul><li>Kar zadeva finan\u010dni sektor, bi predlog DORA zagotovil pravno jasnost glede tega, kako in kako se uporabljajo digitalne operativne dolo\u010dbe, zlasti za \u010dezmejne finan\u010dne subjekte, in bi odpravil potrebo, da dr\u017eave \u010dlanice posami\u010dno izbolj\u0161ajo pravila, standarde in pri\u010dakovanja glede operativne odpornosti. kibernetska varnost kot odgovor na trenutno omejeno pokritost pravil EU in splo\u0161no naravo direktive NIS1. Hkrati je pomembno ohraniti trden odnos za izmenjavo informacij med finan\u010dnim sektorjem in drugimi sektorji, ki jih zajema NIS2. V ta namen so v skladu s predlogom DORA vsi obstoje\u010di&nbsp;&nbsp;finan\u010dni nadzorniki, evropski nadzorni organi (evropski nadzorni organi)<\/li><\/ul>\n\n\n\n<p><strong><em>Pripombe na NIS2 ISOC.ORG<\/em><\/strong>, ki jih jih Evropske ISOC chapters\/organizacije niso podprli:<\/p>\n\n\n\n<p>Sistem domenskih imen (DNS) igra klju\u010dno vlogo pri la\u017eji navigaciji po internetu z uporabo sistema skupnih globalnih identifikatorjev, na katere so lahko odvisni sistemi in uporabniki po vsem svetu,&nbsp;&nbsp;da jih&nbsp;&nbsp;le te pripeljejo tja, kjer \u017eelijo uporabiti kak\u0161no&nbsp;&nbsp;internetno storitev. Storitve DNS to storijo tako, da ustvarijo datoteko kot pomenski zemljevid, ki uporabnikom omogo\u010da krmarjenje po omre\u017eju z uporabo samo imen domen (npr. kompromisni predlog NIS 2 z dne 21. septembra&nbsp;&nbsp;je navajal vse ponudnike storitev DNS vzdol\u017e DNS verige re\u0161evanja, vklju\u010dno z: (1) operaterji korenskih imenskih stre\u017enikov, (2) domeno najvi\u0161je ravni (TLD) i; in (3) verodostojni imenski stre\u017eniki za domenska imena in&nbsp;&nbsp;z rekurzivnim&nbsp;&nbsp;razre\u0161evanjem domen.&nbsp;&nbsp;V&nbsp;&nbsp;NIS 2 se&nbsp;&nbsp;zahteva, da storitve DNS v obsegu predloga izpolnjujejo dolo\u010dena poro\u010dila in varnostne zahteve politike (zahteva se nana\u0161a le na informacijo o vzdr\u017eevalcu in lastnik DNS stre\u017enika, ki je varnostna zahteva).<\/p>\n\n\n\n<p>Te zahteve vklju\u010dujejo poro\u010danje o incidentu, imenovanje zastopnika seveda z veljavnostjo na obmo\u010dju EU. Izjema so majhni in mikro subjekti. Glede na tipi\u010dno velikost DNS storitev, bi bilo&nbsp;&nbsp;zelo malo subjektov upravi\u010denih do oprostitev v kategoriji malih in mikro subjektov. Registri domen najvi\u0161je ravni v obsegu&nbsp;&nbsp;so tudi&nbsp;&nbsp;v zahtevah&nbsp;&nbsp;NIS 2 glede informacij o lastniku.&nbsp;&nbsp;Domene najvi\u0161je ravni (TLD) se nahajajo blizu vrha DNS -ja (tki mno\u017eica root stre\u017enikov),&nbsp;&nbsp;&nbsp;in jih je mogo\u010de prepoznati po zadnjem segmentu a ime domene (npr. .com, .org, .net ali .uk). Register TLD je zbirka teh imen domen registriran pod eno od teh TLD s kazalci na sekundarnih stre\u017enikov, ki skrbijo za informacije o nadaljnji razvejanosti te TLD . Upravljavci registrov TLD so neposredno odgovorni za registracijo domenskih imen (kot register) ali prek mre\u017ee preprodajalcev imen domen (registratorjev). Operaterji registra TLD predvsem upravljajo i z ustvarjanjem, podpisovanjem in objavo potrebnih tehni\u010dnih informacij ter&nbsp;&nbsp;prenos na naslednjo stopnjo (sekundarni stre\u017enik)&nbsp;&nbsp;v hierarhiji imen DNS. Ko so podatki o obmo\u010djih zastareli ali neto\u010dni, povezave, ki povezujejo TLD z njegovo osnovno potro\u0161ni\u0161ka imena domen se zlomijo, zaradi \u010desar se promet usmeri v neto\u010dno ali zastarelo omre\u017eje naslovi. To ustvarja varnostna tveganja, ker lahko&nbsp;&nbsp;uporabnike odpeljejo na negotove omre\u017ene naslove, kjer lahko postanejo \u017ertev zlorabe. \u0160ibka politika registracije zlorablja Sistem domenskih imen (DNS), ki&nbsp;&nbsp;igra klju\u010dno vlogo pri la\u017eji navigaciji po internetu z uporabo sistema skupnih globalnih identifikatorjev, na katere so lahko odvisni sistemi in uporabniki po vsem svetu,&nbsp;&nbsp;da jih pripeljete tja, kjer posku\u0161ajo iti na internet. Storitve DNS to storijo tako, da ustvarijo datoteko&nbsp;&nbsp;tki. pomenski zemljevid, ki uporabnikom omogo\u010da la\u017eje krmarjenje po omre\u017eju (Na obmo\u010dju EU deluje le en root DNS stre\u017enik od 13 (zrcalnih stre\u017enikov), ki so razporejeni po celem svetu, tako, da ogro\u017eenost glede funkcioniranja DNS in prepri\u010dljiva. Zahteve po TSP pa so primerne, detajli bodo dolo\u010deni skozi akti, ki<br>bodo sledili)&nbsp;z uporabo le imen domen&nbsp;&nbsp;DNS, ki jih odpelje&nbsp;&nbsp;do domen&nbsp;&nbsp;(kar dokazujejo primeri imen domen), ki se uporabljajo do naprav znanih, kot botnet poveljni\u0161ko -nadzorni centri za napade. Predlog NIS 2 v registre TLD postavlja zahteve za zbiranje registracije domenskih imen podatkov z izvajanjem tehni\u010dnih in organizacijskih ukrepov. Poleg tega bodo registri TLD imeli le&nbsp;&nbsp;72 ur \u010dasa, da odgovorijo na zahteve zakonitih prosilcev za dostop do razkritja domene podatki o registraciji imena. V predlogu NIS 2 za majhno ali mikro zaupanje ni nobenih izjem ponudniki storitev.<\/p>\n\n\n\n<p>Ponudniki storitev zaupanja (TSP) zagotavljajo in vzdr\u017eujejo digitalna potrdila, ki se uporabljajo za ustvarjanje in potrditev elektronskih podpisov ter overitev podpisnikov in spletnih mest. Igrajo odlo\u010dilno vlogo pri preverjanju identitete ljudi in podjetij na internetu. Zanesljiva uporaba digitalnih potrdil pove\u010duje zaupanje interneta in je med drugim omogo\u010dil rast storitev e -uprave ter ob\u010dutljivo zdravstveno in finan\u010dno stanje storitev po vsej EU. Najnovej\u0161i kompromisni predlog NIS 2 vklju\u010duje TSP na podro\u010dju uporabe Direktive in jih opredeli kot bistvene subjekte.&nbsp;&nbsp;V tej&nbsp;&nbsp;kategoriji digitalnih Kot bistveni subjekti bi za TSP bodo veljali predhodni in naknadni \u010das za nadzor , kar pomeni, da bi morali ponudniki storitev zaupanja sistemati\u010dno dokumentirati svojo skladnost z varnostnimi zahtevami direktive. V sistemu NIS 2 ni izjem za male ponudnike storitev ali ponudnike mikro zaupanja, ki bodo glede teh zahtev morda prizadeti.&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Zakaj nova direktiva NIS2?&nbsp; Direktiva o varnosti omre\u017eij in formacij (NIS) je prvi del nove evropske zakonodaje o kibernetski varnosti (sledili bodo konkretni zakonodajni ukrepi), njen poseben cilj pa je bil dose\u010di visoko skupno raven kibernetske varnosti v vseh dr\u017eavah \u010dlanicah EU. \u010ceprav se&nbsp;&nbsp;je v zadnjem \u010dasu&nbsp;&nbsp;pove\u010dala zmogljivosti dr\u017eav \u010dlanic na podro\u010dju kibernetske varnosti, je  <a href=\"https:\/\/www.isoc.si\/?p=1273\">Read more&#8230;<\/a><\/p>\n","protected":false},"author":101010,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.isoc.si\/index.php?rest_route=\/wp\/v2\/posts\/1273"}],"collection":[{"href":"https:\/\/www.isoc.si\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.isoc.si\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.isoc.si\/index.php?rest_route=\/wp\/v2\/users\/101010"}],"replies":[{"embeddable":true,"href":"https:\/\/www.isoc.si\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1273"}],"version-history":[{"count":2,"href":"https:\/\/www.isoc.si\/index.php?rest_route=\/wp\/v2\/posts\/1273\/revisions"}],"predecessor-version":[{"id":1276,"href":"https:\/\/www.isoc.si\/index.php?rest_route=\/wp\/v2\/posts\/1273\/revisions\/1276"}],"wp:attachment":[{"href":"https:\/\/www.isoc.si\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1273"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.isoc.si\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1273"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.isoc.si\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1273"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}