NIS Direktiva Implementacija izazovi i otvorena pitanja Doc

  • Slides: 26
Download presentation
NIS Direktiva: Implementacija, izazovi i otvorena pitanja Doc. dr. sc. Tihomir Katulić Katedra za

NIS Direktiva: Implementacija, izazovi i otvorena pitanja Doc. dr. sc. Tihomir Katulić Katedra za pravnu informatiku Pravni fakultet Sveučilišta u Zagrebu

SADRŽAJ • Malo o općem stanju informacijske sigurnosti • Pravni okvir informacijske sigurnosti u

SADRŽAJ • Malo o općem stanju informacijske sigurnosti • Pravni okvir informacijske sigurnosti u EU • . . . i ponešto o hrvatskim naporima • Osvrt na Direktivu o mrežnoj i informacijskoj sigurnosti

Izvori: • ENISA – European Network Information Security Agency • Pregled prijetnji informacijskoj sigurnosti

Izvori: • ENISA – European Network Information Security Agency • Pregled prijetnji informacijskoj sigurnosti • EUROPol • Internet Organized Crime Assessment 2016 • Octopus Cybercrime zajednica Vijeća Europe • Podaci iz industrije

Krovni dokumenti EU o kibersigurnosti • Strategija kibernetičke sigurnosti EU 2013 • Europski sigurnosni

Krovni dokumenti EU o kibersigurnosti • Strategija kibernetičke sigurnosti EU 2013 • Europski sigurnosni plan (Security Agenda) 20152020 • Drugi politički dokumenti

EU Strategija kibernetičke sigurnosti 2013 • Jačanje otpornosti na kibernetičke napade • Sprečavanje širenja

EU Strategija kibernetičke sigurnosti 2013 • Jačanje otpornosti na kibernetičke napade • Sprečavanje širenja kibernetičkog kriminaliteta • Razvoj zajedničke europske politike kibernetičke zaštite • Razvoj industrijskih i tehnoloških resursa • Razvoj smislene međunarodne regulacije kibernetičkog prostora s pozicija temeljnih europskih vrijednosti

Europski sigurnosni plan 2015 -2020 • Implementacija politika informacijske sigurnosti • Razvoj aktivnosti usmjerenih

Europski sigurnosni plan 2015 -2020 • Implementacija politika informacijske sigurnosti • Razvoj aktivnosti usmjerenih protiv kompjutorskog kriminaliteta, osobito na području: • Elektroničkog plaćanja i financijskih instrumenata • Međunarodne suradnje • Identifikacija i zaštita ključnih sustava • Koji su to ključni sustavi?

Drugi politički dokumenti • Komunikacija EK o jačanju europskog sustava otpornosti na kibernetičke napade

Drugi politički dokumenti • Komunikacija EK o jačanju europskog sustava otpornosti na kibernetičke napade i poticanju razvoja kompetitivne i inovativne industrije kibernetičke sigurnosti • EK želi zajedničku edukaciju, trening i vježbe tijela za osiguranje informacijske sigurnosti • Stvaranje zajedničkog tržišta za proizvode i usluge s područja informacijske sigurnosti • Poticanje javno-privatnog partnerstva s ciljem unapređenja razvoja i inovacija na području EU

Informacijska sigurnost u hrvatskom pravu • Zakon o informacijskoj sigurnosti (NN 79/2007) • Zakon

Informacijska sigurnost u hrvatskom pravu • Zakon o informacijskoj sigurnosti (NN 79/2007) • Zakon o sigurnosno-obavještajnom sustavu Republike Hrvatske (NN 79/06) • Zakon o tajnosti podataka(NN 79/07, 86/12) • Zakon o kritičnim infrastrukturama ( NN 56/13) • Zakon o državnoj informacijskoj infrastrukturi (NN 92/14) • Uredba o mjerama informacijske sigurnosti (NN 79/07) • Nacionalna strategija kibernetičke sigurnosti Republike Hrvatske (NN 108/15)

Uredba o mjerama informacijske sigurnosti (NN 79/07) • Za zaštitu neklasificiranih podataka, tijela i

Uredba o mjerama informacijske sigurnosti (NN 79/07) • Za zaštitu neklasificiranih podataka, tijela i pravne osobe i primjenjuju odgovarajući skup mjera informacijske sigurnosti, sukladno normama za upravljanje informacijskom sigurnošću, HRN ISO/IEC 27001 i HRN ISO/IEC 17799. • Područja informacijske sigurnosti za koja se propisuju mjere i standardi informacijske sigurnosti su: Ø 1. sigurnosna provjera, Ø 2. fizička sigurnost, Ø 3. sigurnost podatka, Ø 4. sigurnost informacijskog sustava i Ø 5. sigurnost poslovne suradnje.

Zakon o kritičnim infrastrukturama ( NN 56/13) Kritična infrastruktura? ◦ Sustavi, mreže i objekti

Zakon o kritičnim infrastrukturama ( NN 56/13) Kritična infrastruktura? ◦ Sustavi, mreže i objekti od nacionalne važnosti čiji prekid djelovanja ili prekid isporuke roba kao i usluga može imati ozbiljne posljedice na nacionalnu sigurnost, život i zdravlje ljudi, imovinu i okoliš, sigurnost i ekonomsku stabilnost kao i neprekidno funkcioniranje vlasti.

NIS Direktiva • Glavni ciljevi: • Države članice trebaju usvojiti nacionalne strategije mrežne i

NIS Direktiva • Glavni ciljevi: • Države članice trebaju usvojiti nacionalne strategije mrežne i informacijske sigurnosti • Osniva se Radna grupa za razmjenu informacija i stratešku suradnju • Države članice dužne su osnovati nacionalne CERT/CSIRT timove te EU CSIRT kontaktno mjesto • Uvode se obveze notifikacije sigurnosnih incidenata i druge sigurnosne obveze

Podizanje razine kompetencija na području informacijske sigurnosti • Utvrđivanje strateških ciljeva i prioriteta •

Podizanje razine kompetencija na području informacijske sigurnosti • Utvrđivanje strateških ciljeva i prioriteta • Procjena rizika i identifikacija mjera na području pripreme, odgovora na incidente i povrata podataka u slučaju napada • Suradnja između javnog i privatnog sektora, trening i edukacija, istraživanje i razvoj • Izrada popisa tijela koja sudjeluju u implementaciji strategije, nadležnih tijela te CSIRT-ova

Neposredni ciljevi • Osigurati višu razinu paneuropske suradnje • Osigurati primjenu dobre prakse upravljanja

Neposredni ciljevi • Osigurati višu razinu paneuropske suradnje • Osigurati primjenu dobre prakse upravljanja sigurnosnim rizicima • Uvesti obvezu prijave sigurnosnih incidenata za davatelje tzv. ključnih usluga (essential services)

Uvođenje mjera upravljanja rizicima • Sprečavanje rizika • Tehničke i organizacijske mjere proporcionalne i

Uvođenje mjera upravljanja rizicima • Sprečavanje rizika • Tehničke i organizacijske mjere proporcionalne i prilagođene rizicima • Osiguranje mrežnih i informacijskih sustava • Mjere trebaju osigurati adekvatnu razinu sigurnosti mreža i informacijskih sustava sukladno rizicima • Postupanje po incidentima • Mjere trebaju spriječiti ili minimizirati utjecaj incidenata na kritične informacijske sustave

Esencijalne (ključne) usluge • Tko su davatelji takvih usluga, koji su kriteriji za njihovo

Esencijalne (ključne) usluge • Tko su davatelji takvih usluga, koji su kriteriji za njihovo određenje? • Kritične za društvenu i ekonomsku aktivnost • Ovisne o umreženim informacijskim sustavima • Remećenje ili uskrata pristupa tim uslugama ozbiljno ugrožava gospodarske interese i društvenu aktivnost (kriteriji: broj pogođenih korisnika, geografska rasprostranjenost i dužina napada) • Pravni status davatelja usluga nije presudan faktor u procjeni

Ključne usluge? • Energetsko tržište, transport, bankarstvo, financijske usluge i tržišta, zdravstvo, pristup i

Ključne usluge? • Energetsko tržište, transport, bankarstvo, financijske usluge i tržišta, zdravstvo, pristup i distribucija vodi i razne digitalne usluge • Energetske usluge – transport i distribucija nafte, plina i električne energije • Transportne usluge – zrak, željeznica, pomorski, riječni i cestovni promet • Financije – banke, kreditne kartice i elektronička plaćanja, tržišta kapitala, službeni registri i regulatorna tijela

Obveze operatora ključnih usluga • Odgovarajuće tehničke i organizacijske mjere za upravljanje rizicima u

Obveze operatora ključnih usluga • Odgovarajuće tehničke i organizacijske mjere za upravljanje rizicima u vezi mrežnih i informacijskih sustava • Odgovarajuće mjere za sprečavanje i smanjenje utjecaja incidenata na rad ključnih usluga • Obveza obavještavanja bez odgađanja nadležnog tijela ili CSIRTa o otkriću incidenta koji može imati utjecaj na pružane ključne usluge

Digitalne usluge • Kako se davatelji digitalnih usluga razlikuju od davatelja esencijalnih usluga? •

Digitalne usluge • Kako se davatelji digitalnih usluga razlikuju od davatelja esencijalnih usluga? • Odnose se na davatelje pristupa internetu, tražilice, elektroničku trgovinu • Odgovorni za primjenu dodatnih mjera • Fizička i lokacijska zaštita informacijskih sustava • Postupak odgovora na sigurnosne incidente • Osiguranje daljnjeg davanja usluga • Revizija informacijske sigurnosti • Osiguranje primjene standarda informacijske sigurnosti

Directive Time Frame

Directive Time Frame

Zaključak • Informacijska sigurnost postaje politički prioritet EU. Sigurnost esencijalnih i digitalnih usluga je

Zaključak • Informacijska sigurnost postaje politički prioritet EU. Sigurnost esencijalnih i digitalnih usluga je od životne važnosti za EU • Nova pravila prouzročit će dodatne troškove i administrativne terete za davatelje esencijalnih i digitalnih usluga • Rast kibernetičkog kriminaliteta zahtjeva adekvatan regulatorni odgovor. • Direktiva kao pravni instrument ostavlja previše prostora državama članicama • Nedostaju kvalitetna sredstva kontrole implementacije

Hvala na pažnji! tihomir@pravo. hr

Hvala na pažnji! tihomir@pravo. hr

DIREKTIVA O PRAVU NA PRISTUP BRANIOCU DIREKTIVA 201348DIREKTIVA O PRAVU NA PRISTUP BRANIOCU DIREKTIVA 201348
Teorije meunarodnih odnosa i evropska integracija Otvorena pitanjaTeorije meunarodnih odnosa i evropska integracija Otvorena pitanja
Otvorena pitanja rjeavanja problema povrata imovine ili naknadeOtvorena pitanja rjeavanja problema povrata imovine ili naknade
I IMPLEMENTACIJA NOVIH DIREKTIVA EU KROZ NOVI ZAKONI IMPLEMENTACIJA NOVIH DIREKTIVA EU KROZ NOVI ZAKON
IMPLEMENTACIJA EUROPSKIH DIREKTIVA U ZAKONODAVSTVO RH PODRUJE DRVNEIMPLEMENTACIJA EUROPSKIH DIREKTIVA U ZAKONODAVSTVO RH PODRUJE DRVNE
I IMPLEMENTACIJA NOVIH DIREKTIVA EU KROZ NOVI ZAKONI IMPLEMENTACIJA NOVIH DIREKTIVA EU KROZ NOVI ZAKON
STRATEGIJSKI MENADMENT IMPLEMENTACIJA STRATEGIJE Implementacija strategije ima dvaSTRATEGIJSKI MENADMENT IMPLEMENTACIJA STRATEGIJE Implementacija strategije ima dva
EUROKODOVI U BOSNI I HERCEGOVINI IMPLEMENTACIJA I IZAZOVIEUROKODOVI U BOSNI I HERCEGOVINI IMPLEMENTACIJA I IZAZOVI
Miodrag Stojkovic Nis 20032008 Struktura DNK Nis 20032008Miodrag Stojkovic Nis 20032008 Struktura DNK Nis 20032008
Pitanja iz podruja izvravanja proraunafinancijskog plana 12 pitanjaPitanja iz podruja izvravanja proraunafinancijskog plana 12 pitanja
Dativ i lokativ padena pitanja Promotri padena pitanjaDativ i lokativ padena pitanja Promotri padena pitanja
KONCEPT ISPITNIH PITANJA Kosti Milica N 4 PitanjaKONCEPT ISPITNIH PITANJA Kosti Milica N 4 Pitanja
Konstrukcija anketnih pitanja pravila za postavljanje pitanja AkademskaKonstrukcija anketnih pitanja pravila za postavljanje pitanja Akademska
Made by EGZON GASHI Lijepa pametna otvorena duhovitaMade by EGZON GASHI Lijepa pametna otvorena duhovita
HIPERINFLACIJA Otvorena inflacija stalni i slobodni rast cenaHIPERINFLACIJA Otvorena inflacija stalni i slobodni rast cena
HIPERINFLACIJA Otvorena inflacija stalni i slobodni rast cenaHIPERINFLACIJA Otvorena inflacija stalni i slobodni rast cena
Srpsko fiskalno drutvo Porez na dohodak graana otvorenaSrpsko fiskalno drutvo Porez na dohodak graana otvorena
Otvorena vrata Ime kole Datum Dobro doli roditeljiOtvorena vrata Ime kole Datum Dobro doli roditelji
Uvodjenje otvorene nauke na univerzitete u Srbiji OtvorenaUvodjenje otvorene nauke na univerzitete u Srbiji Otvorena
KOLA OTVORENA RODITELJIMA Osnovna kola Stubike toplice ZaKOLA OTVORENA RODITELJIMA Osnovna kola Stubike toplice Za
ETSI Doc CYBER16006023 r Deconstructing the EU NISETSI Doc CYBER16006023 r Deconstructing the EU NIS
UINCI DIREKTIVA Dr sc Snjeana Vasiljevi 1 11232020UINCI DIREKTIVA Dr sc Snjeana Vasiljevi 1 11232020
Posljedice transpozicije Treeg energetskog paketa EU direktiva naPosljedice transpozicije Treeg energetskog paketa EU direktiva na
Zkon o prevenci zvanch havri direktiva SEVESO naizujeZkon o prevenci zvanch havri direktiva SEVESO naizuje