Küberturvalisuse 2. direktiiv: võrgu- ja infosüsteemide turvamine

Küberturvalisus hõlmab võrgu- ja infosüsteemide, nende kasutajate ja muude mõjutatud isikute kaitsmist küberintsidentide ja -ohtude eest. Selleks et reageerida Euroopa suuremale avatusele küberohtudele, asendati direktiiviga 2022/2555, mida tuntakse ka küberturvalisuse 2. direktiivina, selle eelkäija, direktiiv 2016/1148 või küberturvalisuse 1. Küberturvalisuse 2. direktiiviga suurendatakse ELi ühiseid küberturvalisuse ambitsioone laiema kohaldamisala, selgemate eeskirjade ja tugevamate järelevalvevahendite kaudu. Selles nõutakse, et liikmesriigid suurendaksid oma küberturvalisuse alast suutlikkust, kehtestades samal ajal riskijuhtimismeetmed ja aruandlusnõuded rohkemate sektorite üksustele ning kehtestades eeskirjad koostöö, teabe jagamise, järelevalve ja küberturvalisuse meetmete täitmise tagamise kohta.

Direktiiviga nähakse ette, et iga liikmesriik võtab vastu riikliku küberturvalisuse strateegia, mis hõlmab tarneahela turvalisuse, nõrkuste haldamise ning küberturvalisuse alase hariduse ja teadlikkuse poliitikat. Samuti peavad liikmesriigid koostama oluliste teenuste operaatorite loetelu ja seda korrapäraselt ajakohastama, tagades, et need üksused täidavad direktiivi nõudeid.

Lisaks esimese küberturvalisuse direktiiviga juba hõlmatud sektoritele (energeetika, transport, tervishoid, rahandus, veemajandus ja digitaristu) kohaldatakse uusi norme ka üldkasutatava elektroonilise side teenuste osutajate, rohkemate digiteenuste (nt sotsiaalplatvormid), jäätme- ja reoveekäitluse, kriitilise tähtsusega toodete tootmise, posti- ja kulleriteenuste ning avaliku halduse suhtes nii kesk- kui ka piirkondlikul tasandil, samuti kosmosesektori suhtes. Reeglina peavad nende kriitilise tähtsusega sektorite keskmise suurusega ja suured üksused võtma asjakohaseid küberturvalisuse riskijuhtimismeetmeid ja teavitama asjaomaseid riiklikke asutusi olulistest intsidentidest. Need on intsidendid, mis võivad põhjustada märkimisväärseid häireid või kahju.

Direktiiv sisaldab ka sätteid järelevalve, jõustamise ja vabatahtlike vastastikuste eksperdihinnangute kohta, et suurendada vastastikust usaldust ja küberturvalisuse alast suutlikkust kogu ELis. Samuti kehtestatakse sellega kõrgema juhtkonna vastutus küberturvalisuse riskijuhtimismeetmete mittejärgimise eest, juhtides seeläbi juhatuse tähelepanu küberturvalisusele.

Direktiiviga luuakse küberturbe intsidentide lahendamise üksuste (CSIRTide) võrgustik, et vahetada teavet küberohtude kohta ja reageerida intsidentidele. Need meeskonnad on väga olulised olukorrateadlikkuse säilitamiseks ja abi pakkumiseks. Ulatuslike küberintsidentide või -kriiside ohjamiseks luuakse direktiiviga Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU-CyCLONe). See võrgustik toetab koordineeritud juhtimist ning tagab suuremahuliste intsidentide ja kriiside korral korrapärase teabevahetuse liikmesriikide ja ELi institutsioonide vahel. 

Samal ajal on võrgu- ja infoturbe koostöörühm võrgu- ja infoturbe direktiiviga loodud platvorm, et hõlbustada strateegilist koostööd ja teabevahetust ELi liikmesriikide, Euroopa Komisjoni ja Euroopa Liidu Küberturvalisuse Ameti (ENISA) vahel. Rühm avaldab võrgu- ja infoturbe direktiivi rakendamise toetamiseks mittesiduvaid suuniseid ja soovitusi.

Taustteave

Küberturvalisuse 1. direktiiv (direktiiv 2016/1148) oli esimene terviklik ELi õigusakt, mille eesmärk oli suurendada võrgu- ja infosüsteemide küberturvalisust, et kaitsta ELi majanduse ja ühiskonna jaoks elutähtsaid teenuseid. 2020. aasta detsembris tegi komisjon ettepaneku vaadata läbi küberturvalisuse 1. direktiiv, mille tulemusena võeti vastu küberturvalisuse 2. direktiiv, mis jõustus 2023. aasta jaanuaris. Liikmesriikidel oli küberturvalisuse 2. direktiivi siseriiklikku õigusesse ülevõtmiseks aega kuni 17. oktoobrini 2024. Teise küberturvalisuse direktiiviga tunnistati esimene küberturvalisuse direktiiv kehtetuks alates 18. oktoobrist 2024.