Republika e KosovësRepublika Kosova-Republic of Kosovo

Qeveria-Vlada-Government Ministria e Zhvillimit Ekonomik

Ministarstvo Ekonomskog Razvoja-Ministry of Economic Development______________________________________________________________________________

Dokument konsultimi përDraft Koncept dokumenti për masat e sigurisë se rrjeteve dhe sistemeve te informacionit

1

Përmbledhje e shkurtër rreth Draft Koncept dokumenti për masat e sigurisë se rrjeteve dhe sistemeve te informacionit

___________________________________________________________________________Niveli i pamjaftueshëm i sigurisë në rrjetet dhe sistemet e informacionit , e veçanërisht të atyre që konsiderohen si infrastrukturë kritike, që përfshinë sektorët publik dhe privat të energjisë, transportit ,shëndetësisë , furnizimit me ujë të pijshëm, infrastrukturën e tregut bankar dhe atij financiar si dhe infrastrukturën dixhitale, paraqet rrezik që mund të cenojë funksionimin e tyre dhe të ketë ndikim në ofrimin e shërbimeve apo keqpërdorimin e tyre. Si pasojë mund rezultojnë me humbje të konsiderueshme ekonomike, rrezikim të jetës dhe të sigurisë së qytetarëve. Deri më tani nuk ka pasur ndonjë ndërmarrje të veçantë, nga institucionet apo ofruesit e shërbimeve esenciale apo dixhitale, për ngritjen e masave të sigurisë së rrjeteve dhe sistemeve të informacionit që konsiderohet si infrastrukturë kritike me ç ‘rast shërbimet që ofrohen përmes tyre janë duke funksionuar me rrezikshmëri të lartë.

Prioritetet e deritanishme kanë qenë të orientuara në marrjen e inputeve pozitive që sjell përdorimi i rrjetave dhe sistemeve të informacionit e më pak në marrjen e masave dhe ngritjen e kapaciteteve për krijimin e një niveli të sigurisë me ato të vendeve të BE-së .

Identifikimi i incidenteve dhe mundësia e parandalimit dhe mbrojtjes së tyre është një prej sfidave globale që mund të cenojë edhe Kosovën, gjë që shton nevojën për një bashkëpunim dhe bashkërendim në nivel nacional dhe rajonal në përmbushjen e kushteve dhe plotësimin e standardeve të sigurisë në fushën e rrjetave dhe sistemit të informacionit.

Për shkak të ndikimit ndërsektorial që ka, marrja e masave për një nivel të përbashkët të sigurisë së rrjetave dhe sistemeve të informacionit kërkon një koordinim edhe me sektorët e tjerë si: energjinë, transportin , shëndetësinë dhe sektorin e furnizimit me ujë të pijshëm, infrastrukturën e tregut bankar dhe atij financiar si dhe infrastrukturën dixhitale .

Duke konsideruar rreziqet që mund të ndodhin dhe ndikimet që mund të kenë në rrjetin dhe sistemet e informacionit, Qeveria e Republikës së Kosovës ka hartuar Strategjinë Shtetërore për Sigurinë Kibernetike dhe Planin e Veprimit 2016 – 2019 që është një prej kushteve themelore të plotësuara për transpozimin e NIS direktivës (1148/2016 EU NIS ).

Përgatitja e KD nuk është specifikuar si emërtim në ndonjë dokument strategjik , por si fushë e cila duhet mbuluar është paraparë në objektivat strategjike të Strategjisë Kombëtare për Siguri Kibernetike dhe Plani i veprimit 2016-2019 që ndërlidhet me dokumentin planifikues dhe raportues sipas kërkesave të BE-së -PKZ-MSA Kapitulli 10 Shoqëria e Informacionit dhe Media

Zhvillimi i këtij koncept dokumenti është pjesë e listës së koncept dokumenteve për vitin 2018 të Qeverisë së Republikës së Kosovës.Përmes këtij koncept dokumenti synohet krijimi i një akti ligjor, qëllimi i të cilit është ngritja e nivelit të sigurisë së rrjetit dhe sistemeve të informacionit dhe ngritja e qëndrueshmërisë dhe elasticitetit të tyre ndaj sulmeve të mundshme në nivel nacional dhe global.

Për arritjen e qëllimit të lartcekur janë paraparë këto objektiva:

Objektiva 1 – Përmirësimi i kapaciteteve të sigurisë në nivel nacional për fushën e sigurisë së rrjeteve dhe sistemeve të informacionit të përdorura si infrastrukturë kritike.

2

Objektiva 2 – Rritja e bashkëpunimit me vendet e BE-së dhe vendet tjera zbatuese të NIS Direktivës

Objektiva 3 – Masat e sigurisë për menaxhimin e riskut dhe obligimet e Operatorëve të Shërbimeve Esenciale dhe Ofruesit e Shërbimeve Dixhitale për raportimin e incidenteve

Qëllimi i konsultimit

___________________________________

Qëllim kryesor i konsultimit për koncept dokumentit për masat e sigurisë së rrjeteve dhe sistemeve të informacionit është që Organi Propozues, të sigurojë opinionet, rekomandimet nga grupet e caktuara të interesit respektivisht subjektet që merren me ofrimin e shërbimeve esenciale dhe atyre dixhitale përmes rrjeteve dhe sistemeve të informacionit të cilat konsiderohen si infrastrukturë kritike.

Një kontribut të veçantë mund të ofrojnë edhe institucionet që janë të ndërlidhura me këtë fushë të rëndësishme si dhe institucionet ndërkombëtare të vendosura në Kosovë të cilat në një mënyrë apo tjetër janë edhe monitorues të zbatimit të legjislacionit në fuqi. Roli dhe rëndësia e këtyre grupeve të interesit ndikon drejtpërdrejtë në përmbajtjen e koncept dokumentit në fjalë.

Për këto dhe për arsye të tjera, Qeveria e Kosovës, ka konsideruar që forma më e mirë e procesit të politik bërjes në aspektin legjislativ, është konsultimi i hershëm me grupet e interesit, të cilat në një mënyrë apo tjetër, ndikojnë drejtpërdrejtë në përmirësimin e cilësisë së këtij koncept dokumenti.

Në takimet individuale me personat kompetent të sektorëve që i mbulon kjo direktivë e që janë pjesë e grupit punues për hartimin e këtij Koncept Dokumenti, është diskutuar rreth mungesës së ndërmarrjes së masave për ngritjen dhe mbajtjen e nivelit të sigurisë së rrjetave të tyre dhe është shprehur gatishmëria e tyre që përkrahja nga ana e tyre nuk do të mungojë. Pas konsolidimit të draft koncept dokumentit për masat e sigurisë së rrjeteve dhe sistemeve të informacionit kemi proceduar me dërgimin e tij për konsultim paraprak ku janë përfshirë institucionet nga adresari për institucionet përkatëse për konsultim paraprak sipas Nenit 7 të Rregullores së punës së Qeverisë 09/2011 si dhe palët e ndikuara të cilat nuk kanë qenë pjesë e grupit punues. Meqë gjatë afatit të këtij konsultimi nuk kemi marrë asnjë koment, kemi parë të arsyeshme që t’i ftojmë palët në takim publik për të hapur diskutime në lidhje me këtë koncept dokument si dhe pas këtij takimi të procedohet më tutje duke e lançuar këtë draft koncept dokument në platformën online për diskutim publik.

3

Ku dhe si duhet t’i dërgoni kontributet tuaja me shkrim

Afati përfundimtar i dorëzimit të kontributit me shkrim në kuadër të procesit të konsultimit është pesëmbëdhjetë (15) ditë pune.

Të gjitha komentet e pranuara deri në këtë afat do të përmblidhen nga ana e personit përgjegjës të Ministrisë e Zhvillimit Ekonomik

Të gjitha kontributet me shkrim duhet të dorëzohen në formë elektronike në e-mail adresën: hana.jakupi@rks-gov.net me titull “Koncept dokumenti për masat e sigurisë së rrjeteve dhe sistemeve të informacionit”

Ju lutem, që komentet tuaja të ofrohen sipas udhëzimeve të shënuara më poshtë:

Çka duhet të përmbajnë komentetEmri i personit/organizatës që jep komente:Fushat kryesore të veprimit të organizatës:Informatat e kontaktit të personit/organizatës (adresa, email, telefoni):Komentet:Data e dërgimit të komenteve:

Forma e kontributit është e hapur, mirëpo preferohet që kontributet tuaja t’i përfshini në kuadër të tabelës së bashkëngjitur më poshtë në këtë dokument, e cila përfshin çështjet kyçe të këtij dokumenti.

Çështjet kyçe Komente rreth draftit aktual

Komente shtesë

1

2

4

3

Bashkangjitur me këtë dokumenti gjeni emiri i plotë i politikës / projektligjit….

Republika e Kosovës

Republika Kosova-Republic of KosovoQeveria-Vlada-Government

Ministria e Zhvillimit EkonomikMinistarstvo Ekonomskog Razvoja-Ministry of Economic Development

___________________________________________________________________________

Consultation document on

Draft Concept Document on Network and Information Systems Security Measure

5

Brief summary of Draft Concept Document on Network and Information Systems Security Measure

__________________________________________________________

Insufficient level of network security and information systems, especially those considered critical infrastructure, including public and private energy sectors, transport, healthcare, supply of drinkable water, banking and financial market infrastructure and digital infrastructure, comprises a risk that may threaten their functioning and will have an influence on service provision or their misuse. As a consequence, considerable economic losses, and endangerment of lives and security of citizens may occur.

Taking into consideration that networks and information systems represent an attractive target for wrongdoers, their protection requires special and prompt treatment.

Network and security system protection, and especially the security of those considered “critical information infrastructure” is considered a cross-sectorial phenomenon, and not one confined within the scope of any one specific sector.

Priorities undertaken until now were oriented towards obtaining positive input from network and information system use, and less towards the undertaking of measures to increase capacities and establish e security level similar to those of EU countries.

Identification of incidents and prevention and protection possibilities are some of the global challenges that may also threaten Kosovo, which increases the need for cooperation and coordination at national and regional level, in order to fulfill conditions and accomplish security standards in the sphere of networks and information systems.

Due to its cross-sectorial impact, undertaking measures towards a common network and information system security requires coordination with other sectors, like: energy, transport, healthcare, and the sector of drinkable water supply, banking and financial market infrastructure and digital infrastructure.

6

Considering risks that may occur and impacts on the network and information systems, the Government of the Republic of Kosovo has drafted the State Strategy for Cyber Security and Action Plan 2016-2019, which is one of the basic prerequisites on the transposition of NIS Directive.

Preparation of the Concept Document was not specified as a title in a strategic document, but rather as a field that needs to be covered in terms of strategic objectives of the National Strategy on Cyber Security and Action Plan 2016-2019, which is related to the planning and reporting document as per EU requirements – NIP SAA Chapter 10: Information Society and Media

The drafting of this concept paper is part of the List of Concept Documents for 2018 of the Government of the Republic of Kosovo.

The aim of this concept document is to provide a legal act, the purpose of which is to increase the level of network and information system security, and enhance their reliability and resilience to possible attacks at national and global level.

To achieve the abovementioned purpose, the following objectives are foreseen:

Objective 1 – Enhancement of security capacities at the national level in the sphere of security of networks and information systems used as critical infrastructure.

Objective 2 – Increased cooperation with EU countries and other countries implementing the NIS Directive

Objective 3 – Security measures on risk management and obligations of Operators of Essential Services and Digital Service Providers on incident reporting

The purpose of the consultation__________________________________________________

The main purpose of consultation on the concept document for network security and information security measures is that the Proposing Body, provide opinions, recommendations from particular interest groups, respectively entities that deal with essential and digital services through networks and systems information that is considered critical infrastructure.Special contributions may also be provided by institutions that are related to this important area as well as international institutions established in Kosovo which in one way or another are monitoring the implementation of the legislation in force. The role and importance of these interest groups directly affects the content of the concept paper in question

7

For these and other reasons, the Government of Kosovo has considered that the best form of political making process in the legislative aspect is early consultation with interest groups, which in one way or another directly affect the improvement of the quality of this concept paper.

In individual meetings with competent persons from sectors covered by this directive, which are part of the working group drafting this Concept Document, discussions included the lack of steps for increasing and maintaining the level of security of their networks, and there was an expressed readiness for supporting the process. After the consolidation of the draft concept document on security measures for networks and information systems, we’ve processed its submission for preliminary consultation, which included relevant institutions from Article 7 of the Government Rules of Procedure 09/2011, and affected parties that were not part of the working group. Since within the term set for consultations no comments were received, we found it reasonable to invite parties to a public meeting to open discussions related to this concept document, and to proceed with launching the concept document in the electronic preliminary consultation platform after that meeting.

Where and how to send your written contributions_____________________________________

The deadline for submitting a written contribution in the framework of the consultation process is fifteen (15) working days.All comments received by this deadline will be summarized by the responsible person of the Ministry of Economic Development

All written contributions must be submitted electronically at the following e-mail address: hana.jakupi@rks-gov.net entitled "Concept document on Network and Information Systems Security Measures”

What should contain the comments

8

Name of person / organization that provides comments:The main areas of the organization:Information of contact person / organization (address, email, phone):Comments:Date of submitting of comments:

Form of inputs is open, but preferable is to include your comments within the table which is attached below to this document, which includes the key issues of this document.

Key issues Comments in regard to actual draft

Additional Comments

1

2

3

Attached to this document please find the ……………………..

Republika e Kosovës Republika Kosova-Republic of Kosovo Qeveria-Vlada-Government Ministria e Zhvillimit Ekonomik

Ministarstvo Ekonomskog Razvoja-Ministry of Economic Development_____________________________________________________________________

9

Dokument konsultacije o

Nacrt Konceptnog dokumenta o merama sigurnosti mreža i informacionih sistema

Kratak pregled o Nacrt Konceptnog dokumenta o merama sigurnosti mreža i informacionih sistema

_____________________________________________________

Nedovoljan nivo sigurnosti mreža i informacionih sistema, posebno onih koje se smatraju kritičnom infrastrukturom, a koje obuhvataju javni i privatni sektor energije, transporta, zdravstva, snabdevanja vodom za piće, infrastrukturu bankarskog i finansijskog tržišta kao i digitalnu infrastrukturu, nosi sa sobom opasnosti koje mogu sprečiti njihovo funkcionisanje i uticati na pružanje usluga ili njihovu zloupotrebu. Posledično se mogu pretrpeti značajni ekonomski gubici, ugroziti život i sigurnost građana.

Imajući u vidu da mreže i informacioni sistemi predstavljaju atraktivnu metu zlonamernih stranaka, samim tim i njihova zaštita iziskuje posebno i brzo postupanje.

Zaštita mreža i informacionih sistema i posebno onoga što predstavlja ,,kritičnu informacionu infrastrukturu‘’ treba smatrati međusektorskom pojavom, a ne samo pojavom ograničenom na neke sektore.

Do sada institucije ili pružaoci osnovnih ili digitalnih usluga nisu pokretali neku posebnu inicijativu da se podignu mere sigurnosti mreže i informacionih sistema, koje se smatraju kritičnom infrastrukturom pri čemu usluge koje se pružaju njima funkcionišu uz vrlo visok stepen ugroženosti.

10

Dosadašnji prioriteti bili su usredsređeni na prikupljanje pozitivnih doprinosa koje nosi sa sobom korišćenje mreža i informacionih sistema a mnogo manje na preduzimanje mera i podizanje kapaciteta za stvaranje nivoa sigurnosti koji odgovara zemljama EU.

Identifikovanje incidenata i mogućnost njihovog sprečavanja i zaštite jedan je od globalnih izazova koji može pretiti i Kosovu, što samo povećava potrebu za saradnjom i koordinacijom na nacionalnom i regionalnom nivou kada govorimo o ispunjavanju uslova i standarda sigurnosti u oblasti mreža i informacionih sistema.

Imajući u vidu međusektorski uticaj koji ima, preduzimanje mera za zajednički nivo sigurnosti mreža i informacionih sistema iziskuje koordinaciju i sa drugim sektorima, kao što su: energetika, transport, zdravstvo i sektor snabdevanja pijaćom vodom, infrastruktura bankarskog i finansijskog tržišta i digitalna infrastruktura.

Nakon što je razmotrila rizike koji mogu nastupiti i uticaje koji mogu nastati u mreži i informacionim sistemima, Vlada Republike Kosovo je izradila Državnu strategiju kibernetičke bezbednosti i Akcioni plan za period od 2016 – 2019. kao jedan od osnovnih ispunjenih uslova u vezi sa transponovanjem direktive.

Priprema KD nije konkretno navedena u nekom strateškom dokumentu, već kao oblast koja treba da bude pokrivena treba da bude predviđena strateškim ciljevima Nacionalne strategije kibernetičke sigurnosti i Akcionim planom za period od 2016-2019. godine u vezi sa planom i izveštajem shodno zahtevima EU -NPS-SSP Poglavlje 10 Informaciono društvo i mediji.

Izrada ovog koncepta je deo Liste konceptnih dokumenata za 2018. godine Vlade Republike Kosovo.

Namera je da se ovim konceptnim dokumentom uspostavi pravni akt, koji treba da podigne nivo sigurnosti mreže i informacionih sistema i podigne njihovu potencijalnu održivost i fleksibilnost na nacionalnom i globalnom nivou.

Sledeći ciljevi se predviđaju za postizanje gorenavedenog cilja:

Cilj 1 – Poboljšanje sigurnosnih kapaciteta na nacionalnom nivou na polju bezbednosti mreže i informacionih sistema koji se koriste kao kritična infrastruktura.

Cilj 2 – Podizanje saradnje sa zemljama EU i drugim zemljama koje sprovode Direktivu NIS

Cilj 3 – Mere sigurnosti za upravljanje rizikom i obavezama OOU i ODU u vezi sa prijavljivanjem incidenata

11

Cilj konsultacije________________________________

Glavni cilj konsultacija o konceptnom dokumentu za mjere sigurnosti mreže i mjerama sigurnosti informacija je da Organ za predlaganje daje mišljenja, preporuke od pojedinih interesnih grupa, odnosno entiteta koji se bave bitnim i digitalnim uslugama putem informacija o mrežama i sistemima koji se smatraju kritičnom infrastrukturom .Posebne doprinose mogu takođe obezbijediti institucije koje se odnose na ovu važnu oblast, kao i međunarodne institucije osnovane na Kosovu, koje na jedan ili drugi način prate primjenu važećih zakona. Uloga i značaj ovih interesnih grupa direktno utiču na sadržaj konceptnog dokumentaIz ovih i drugih razloga, Vlada Kosova je smatrala da je najbolji oblik političkog procesa pravljenja zakonodavnog aspekta rane konsultacije sa interesnim grupama, koje na jedan ili drugi način direktno utiču na poboljšanje kvaliteta ovog koncepta.

Na individualnim sastancima sa nadležnim licima iz sektora koje obuhvata ova direktiva a koji su bili deo radne grupe za izradu ovog Konceptnog dokumenta, diskutovano je o nepreduzimanju mera za podizanje i zadržavanje nivoa sigurnosti njihovih mreža a isti su izneli svoju spremnost da pruže svoju svesrdnu podršku. Po konsolidovaju nacrta konceptnog dokumenta o merama sigurnosti mreža i informacionih sistema, isti smo prosledili na prethodne konsultacije, koje su uključivale institucije iz imenika institucija koje treba da budu uključene u prethodne konsultacije u skladu sa članom 7 Poslovnika o radu Vlade 09/2011 kao i sve strane na koje isti utiče a koje su bile u sastavu radne grupe. Pošto u roku predviđenom za održavanje ovih konsultacija nismo dobili nijedan komentar, smatrali smo za shodnim da strane pozovemo na javni skup kako bismo otvorili diskusiju u vezi sa ovim konceptnim dokumentom i kako bismo nakon ovog sastanka objavili nacrt ovog konceptnog dokumenta na online platformi za održavanje javnih rasprava.

Gde i kao treva da pošaljete vaše pisane doprinose___________________________________________

Rok za podnošenje pismenog doprinosa u okviru procesa konsultacija je petnaest (15) radnih dana.Svi komentari dobijeni ovim rokom biće rezimirani od strane odgovorne osobe Ministarstva za ekonomski razvojSvi pismeni doprinosi se moraju dostaviti elektronskim putem na sledećoj adresi elektronske pošte: hana.jakupi@rks-gov.net pod nazivom "Konceptni dokument o merama bezbednosti mrežnih i informacionih sistema"

12

Šta treba da sadrže komentariIme lica/organizacije koje daje komentare:Glavne oblasti delovanja organizacije:Informacie za kontakt lica/organizacije (adresa, email, telefon):Komentari:Datum slanja komentara:

Način doprinosa je otvoren, ali je poželjno da se vaši doprinosi uključe u tabeli u prilogu u nastavku ovog dokumenta, koji obuhvata ključna pitanja ovog dokumenta.

Ključna pitanja Komentari o trenutnom nacrtu

Dodatni komentari

1

2

3

Molimo vas, u prilogu vam dostavljamo .....................

13