Nova pravila za jačanje kibersigurnosti i sigurnosti podataka u institucijama, tijelima, uredima i agencijama Unije

U kontekstu pandemije bolesti COVID-19 i sve većih geopolitičkih izazova neophodan je zajednički pristup kibersigurnosti i sigurnosti podataka. Imajući to na umu, Komisija je predložila Uredbu o kibersigurnosti i Uredbu o sigurnosti podataka. Utvrđivanjem zajedničkih prioriteta i okvira tim će se pravilima dodatno ojačati međuinstitucijska suradnja i kultura sigurnosti u Uniji, a izloženost rizicima smanjiti na najmanju moguću mjeru.

Uredba o kibersigurnosti

Predloženom Uredbom o kibersigurnosti utvrdit će se okvir za upravljanje rizicima, opće upravljanje i kontrolu u području kibersigurnosti. Na temelju toga osnovat će se Međuinstitucijski odbor za kibersigurnost, ojačati kapacitete u području kibersigurnosti te potaknuti redovite procjene kibersigurnosne razvijenosti i bolja kiberhigijena. Proširit će se i mandat tima za hitne računalne intervencije za institucije, tijela, urede i agencije Europske unije (CERT-EU), kao koordinacijskog čvorišta za razmjenu informacija i podataka o prijetnjama i odgovor na incidente, središnjeg savjetodavnog tijela i pružatelja usluga.

Ključni elementi Prijedloga uredbe o kibersigurnosti:

• jačanje mandata CERT-EU-a i osiguravanje sredstava potrebnih za njegov rad
• uvođenje zahtjeva da sve institucije, tijela, uredi i agencije Unije:
• imaju okvir za upravljanje rizicima, opće upravljanje i kontrolu u području kibersigurnosti
• provode osnovne kibersigurnosne mjere za otklanjanje utvrđenih rizika
• provode redovite procjene kibersigurnosne razvijenosti
• utvrde plan za poboljšanje kibersigurnosti, koji treba odobriti vodstvo subjekta
• bez nepotrebne odgode razmjenjuju informacije o incidentima s CERT-EU-om.
• osnivanje Međuinstitucijskog odbora za kibersigurnost radi poticanja i praćenja provedbe Uredbe i usmjeravanja rada CERT-EU-a
• preimenovanje CERT-EU-a iz „tima za hitne računalne intervencije” u „centar za kibersigurnost”, u skladu s razvojem događaja u državama članicama i svijetu, pri čemu će se skraćeni naziv „CERT-EU” zadržati radi prepoznatljivosti.

Uredba o sigurnosti podataka

Predloženom Uredbom o sigurnosti podataka utvrdit će se minimalni skup pravila i standarda u području sigurnosti podataka za sve institucije, tijela, urede i agencije Unije radi bolje i dosljedne zaštite od novih prijetnji njihovim podacima. Ta nova pravila bit će stabilan temelj za sigurnu razmjenu podataka među institucijama, tijelima, uredima i agencijama Unije te s državama članicama, na temelju standardiziranih praksi i mjera za zaštitu protoka podataka.

Ključni elementi Prijedloga uredbe o sigurnosti podataka:

• osnivanjem međuinstitucijske koordinacijske skupine za sigurnost podataka omogućiti učinkovito upravljanje radi poticanja suradnje svih institucija, tijela, ureda i agencija Unije
• utvrditi zajednički pristup kategorizaciji podataka na temelju razine povjerljivosti
• modernizirati politike sigurnosti podataka, u potpunosti vodeći računa o digitalnoj transformaciji i radu na daljinu
• racionalizirati postojeće prakse i povećati kompatibilnost između odgovarajućih sustava i uređaja.

Kontekst

U rezoluciji iz ožujka 2021. Vijeće Europske unije naglasilo je važnost čvrstog i dosljednog sigurnosnog okvira za zaštitu cjelokupnog osoblja, podataka, komunikacijskih mreža, informacijskih sustava i postupaka donošenja odluka u Uniji. To se može postići samo povećanjem otpornosti institucija, tijela, ureda i agencija Unije i poboljšanjem njihove kulture sigurnosti.

Nakon strategije EU-a za sigurnosnu uniju i strategije EU-a za kibersigurnost, danas predloženom Uredbom o kibersigurnosti osigurat će se usklađenost s postojećim politikama Unije u području kibersigurnosti i s postojećim europskim propisima:

• Direktivom o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS) i budućom Direktivom o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (Direktiva NIS 2), koje je Komisija predložila u prosincu 2020.
• Aktom o kibersigurnosti
• Preporukom Komisije o uspostavljanju Zajedničke jedinice za kibersigurnost
• Preporukom Komisije o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera.

S obzirom na sve veće količine osjetljivih neklasificiranih podataka i klasificiranih podataka EU-a s kojima rade institucije, tijela, uredi i agencije Unije, cilj je predložene Uredbe o sigurnosti podataka poboljšati zaštitu podataka racionalizacijom različitih pravnih okvira institucija, tijela i agencija Unije u tom području. Prijedlog je u skladu sa sljedećim:

• strategijom EU-a za sigurnosnu uniju, kojom se Unija obvezuje sveobuhvatno dopunjivati rad država članica u svim područjima sigurnosti
• Strateškim programom za razdoblje 2019.–2024. koji je Europsko vijeće donijelo u lipnju 2019., čiji je glavni element zaštita naših društava od uvijek novih prijetnji podacima kojima rukuju institucije, tijela i agencije Unije
• zaključcima Vijeća za opće poslove iz prosinca 2019., u kojima se institucije, tijela i agencije Unije poziva da, uz potporu država članica, osmisle i provedu sveobuhvatan skup mjera kojima će se zajamčiti njihova sigurnost.

Više informacija dostupno je na poveznicama:

Prijedlog uredbe Europskog parlamenta i Vijeća o mjerama za visoku razinu kibersigurnosti u institucijama, tijelima, uredima i agencijama Unije  

Prijedlog uredbe Europskog parlamenta i Vijeća o sigurnosti podataka u institucijama, tijelima, uredima i agencijama Unije