Akcijski plan za kibernetičku sigurnost bolnica i pružatelja zdravstvene zaštite predstavljen je 15. siječnja 2025. godine kao odgovor na rastući broj kibernetičkih prijetnji koje ugrožavaju zdravstveni sektor, uključujući učestale napade ucjenjivačkim kodom (ransomware) koji izazivaju ozbiljne smetnje u pružanju medicinskih usluga.
Predviđena su četiri ključna prioriteta Akcijskog plana: poboljšanje prevencije kibernetičkih incidenata, unapređenje europskih sposobnosti za otkrivanje i prepoznavanje prijetnji u zdravstvenom sektoru, ubrzavanje odgovora na napade radi ublažavanja posljedica te odvraćanje napada na zdravstveni sustav. Jedan od glavnih ciljeva je uspostava Europskog centra za podršku kibernetičkoj sigurnosti u zdravstvu, koji će bolnicama i pružateljima zdravstvene zaštite nuditi smjernice, alate i obuke.
Akt o kibernetičkoj solidarnosti (Cyber Solidarity Act - CSoA) je uredba (EU) 2025/38 Europskog parlamenta i Vijeća donesena 19. prosinca 2024. godine kojom se utvrđuju mjere za povećanje solidarnosti i kapaciteta u Europskoj uniji za otkrivanje kibernetičkih prijetnji te pripremu i odgovor na kibernetičke incidente.
Ovim Aktom uspostavit će se europski sustav uzbunjivanja u području kibernetičke sigurnosti, mehanizam za izvanredne kibernetičke sigurnosne situacije i europski mehanizam za istraživanje kibernetičkih sigurnosnih incidenata.
Aktom o kibernetičkoj solidarnosti povećat će se i financiranje djelovanja u području kibernetičke sigurnosti u okviru programa Digitalna Europa za razdoblje 2025. - 2027. godine.
Akt o kibernetičkoj otpornosti (Cyber Resilience Act - CRA) je uredba (EU) 2024/2847 Europskog parlamenta i Vijeća donesena 23. listopada 2024. godine kojoj je cilj povećanje razine kibernetičke sigurnosti za proizvode s digitalnim elementima.
Ovim Aktom utvrđuju se pravila za stavljanje na tržište proizvoda s digitalnim elementima kako bi se osigurala kibernetička sigurnost takvih proizvoda. Također, definiraju se bitni zahtjevi za projektiranje, razvoj i proizvodnju proizvoda s digitalnim elementima, ali i obveze gospodarskih subjekata u pogledu tih proizvoda s obzirom na kibernetičku sigurnost.
Akt o kibernetičkoj otpornosti stupio je na snagu u prosincu 2024. godine, a u potpunosti će se početi primjenjivati od prosinca 2027. godine.
Provedbena uredba Komisije (EU) 2024/2690 donesena je 17. listopada 2024. godine, a njome su utvrđena pravila za primjenu EU NIS2 direktive u pogledu tehničkih i metodoloških zahtjeva za mjere upravljanja kibernetičkim sigurnosnim rizicima te dodatne specifikacije slučajeva u kojima se incident smatra značajnim za subjekte unutar sektora digitalne infrastrukture od značaja za Europsku uniju.
Ova Uredba odnosi se na pružatelje usluga DNS-a, registre naziva vršnih domena, pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnog centra, pružatelje mreža za isporuku sadržaja, pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga, pružatelje internetskih tržišta, internetskih tražilica i platformi za usluge društvenih mreža te pružatelje usluga povjerenja.
Delegirana uredba Komisije (EU) 2024/1366 donesena je 11. ožujka 2024. godine i njome se dopunjuje Uredba (EU) 2019/943 Europskog parlamenta i Vijeća o unutarnjem tržištu električne energije uspostavom mrežnog kodeksa sa sektorskim pravilima za aspekte kibernetičke sigurnosti prekograničnih protoka električne energije.
Uredba dopunjuje i odredbe EU NIS2 direktive s ciljem uvođenja koordiniranih postupaka za učinkovitu prekograničnu suradnju nadležnih tijela odgovornih za električnu energiju i nadležnih tijela odgovornih za kibernetičku sigurnost.
Ovom se Uredbom uspostavlja mrežni kodeks kojim se utvrđuju sektorska pravila za kibernetičke sigurnosne aspekte prekograničnih protoka električne energije, uključujući pravila o zajedničkim minimalnim zahtjevima, planiranju, praćenju, izvještavanju i upravljanju krizama.
Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije - EU NIS2 direktiva donesena je 14. prosinca 2022. godine i njome se uspostavlja jedinstveni pravni okvir za očuvanje kibernetičke sigurnosti u 18 ključnih sektora u Europskoj uniji.
Cilj donošenja EU NIS2 direktive je podizanje razine kibernetičke sigurnosti te uvođenje mjera upravljanja rizicima i zahtjeva za obavještavanje o značajnim kibernetičkim incidentima subjekata te uspostava pravila za suradnju, razmjenu informacija, nadzor i provedbu mjera kibernetičke sigurnosti.
U hrvatsko zakonodavstvo prenesena je Zakonom o kibernetičkoj sigurnosti („Narodne novine“, br. 14/24.) i Uredbom o kibernetičkoj sigurnosti („Narodne novine“, br. 135/24.).
Akt o kibernetičkoj sigurnosti (Cybersecurity Act - CSA) je uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibernetičku sigurnost) te o kibernetičkoj sigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije.
Ovim Aktom jača se uloga ENISA-e i uspostavlja okvir za kibernetičku sigurnosnu certifikaciju proizvoda i usluga. Aktom o kibernetičkoj sigurnosti uvodi se okvir za kibernetičku sigurnosnu certifikaciju na razini EU-a za IKT proizvode, usluge i procese.
Poduzeća koja posluju u EU-u imat će koristi od toga da svoje IKT proizvode, procese i usluge moraju certificirati samo jednom i da njihovi certifikati budu priznati u cijeloj Europskoj uniji.
Ovaj Akt u hrvatsko zakonodavstvo prenesen je Zakonom o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije) („Narodne novine“, br. 63/22.) kojim je Zavod za sigurnost informacijskih sustava utvrđen kao Nacionalno tijelo za kibernetičku sigurnosnu certifikaciju u Republici Hrvatskoj.
Ciljane izmjene i dopune Akta o kibernetičkoj sigurnosti donesene su 15. siječnja 2025. godine kako bi omogućile buduće donošenje europskih programa certifikacije za upravljane sigurnosne usluge koje obuhvaćaju područja kao što su odgovor na incidente, penetracijsko testiranje, revizije sigurnosti i savjetovanje.