Παρά τα αξιοσημείωτα επιτεύγματά της, η οδηγία για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (οδηγία NIS), η οποία προετοίμασε το έδαφος για μια σημαντική αλλαγή της νοοτροπίας, της θεσμικής και κανονιστικής προσέγγισης όσον αφορά την ασφάλεια στον κυβερνοχώρο σε πολλά κράτη μέλη, έχει ήδη αποδείξει τους περιορισμούς της. Ο ψηφιακός μετασχηματισμός της κοινωνίας (που εντατικοποιήθηκε από την κρίση COVID-19) έχει διευρύνει το τοπίο των απειλών και δημιουργεί νέες προκλήσεις, οι οποίες απαιτούν προσαρμοσμένες και καινοτόμες απαντήσεις.
Τώρα, οποιαδήποτε διαταραχή, ακόμη και μια διαταραχή που αρχικά περιορίζεται σε μία οντότητα ή έναν τομέα, μπορεί να έχει αλυσιδωτές επιπτώσεις ευρύτερα, οδηγώντας ενδεχομένως σε εκτεταμένες και μακροχρόνιες αρνητικές επιπτώσεις στην παροχή υπηρεσιών σε ολόκληρη την εσωτερική αγορά.
Για την αντιμετώπιση αυτών των προκλήσεων, όπως ανακοινώθηκε στην ανακοίνωση για τη διαμόρφωση του ψηφιακού μέλλοντος της Ευρώπης, η Επιτροπή επιτάχυνε την επανεξέταση της οδηγίας έως το τέλος του 2020, διενήργησε εκτίμηση επιπτώσεων και υπέβαλε νέα νομοθετική πρόταση.
Βασικά στοιχεία της πρότασης της Επιτροπής
Η νέα πρόταση της Επιτροπής αποσκοπεί στην αντιμετώπιση των ελλείψεων της προηγούμενης οδηγίας ΑΔΠ, ώστε να προσαρμοστεί στις τρέχουσες ανάγκες και να καταστεί ανθεκτική στο μέλλον.
Για τον σκοπό αυτό, η πρόταση της Επιτροπής διευρύνει το πεδίο εφαρμογής της ισχύουσας οδηγίας ΑΔΠ προσθέτοντας νέους τομείς με βάση την κρισιμότητα τους για την οικονομία και την κοινωνία και θεσπίζοντας σαφές ανώτατο όριο μεγέθους — πράγμα που σημαίνει ότι όλες οι μεσαίες και μεγάλες εταιρείες σε επιλεγμένους τομείς θα συμπεριληφθούν στο πεδίο εφαρμογής. Ταυτόχρονα, αφήνει κάποια ευελιξία στα κράτη μέλη να εντοπίζουν μικρότερες οντότητες με προφίλ υψηλού κινδύνου ασφάλειας.
Η πρόταση καταργεί επίσης τη διάκριση μεταξύ φορέων εκμετάλλευσης βασικών υπηρεσιών και παρόχων ψηφιακών υπηρεσιών. Οι οντότητες θα ταξινομούνται με βάση τη σημασία τους και θα χωρίζονται αντίστοιχα σε βασικές και σημαντικές κατηγορίες, με συνέπεια να υπόκεινται σε διαφορετικά εποπτικά καθεστώτα.
Η πρόταση ενισχύει τις απαιτήσεις ασφάλειας για τις εταιρείες, επιβάλλοντας μια προσέγγιση διαχείρισης κινδύνων που παρέχει έναν ελάχιστο κατάλογο βασικών στοιχείων ασφαλείας που πρέπει να εφαρμόζονται. Η πρόταση εισάγει ακριβέστερες διατάξεις σχετικά με τη διαδικασία αναφοράς συμβάντων, το περιεχόμενο των αναφορών και τα χρονοδιαγράμματα.
Επιπλέον, η Επιτροπή προτείνει την αντιμετώπιση της ασφάλειας των αλυσίδων εφοδιασμού και των σχέσεων με τους προμηθευτές, απαιτώντας από μεμονωμένες εταιρείες να αντιμετωπίζουν τους κινδύνους κυβερνοασφάλειας στις αλυσίδες εφοδιασμού και στις σχέσεις με τους προμηθευτές. Σε ευρωπαϊκό επίπεδο, η πρόταση ενισχύει την ασφάλεια στον κυβερνοχώρο της αλυσίδας εφοδιασμού για βασικές τεχνολογίες πληροφοριών και επικοινωνιών. Τα κράτη μέλη, σε συνεργασία με την Επιτροπή και τον ENISA, θα διενεργούν συντονισμένες εκτιμήσεις κινδύνου των κρίσιμων αλυσίδων εφοδιασμού, με βάση την επιτυχή προσέγγιση που υιοθετήθηκε στο πλαίσιο της σύστασης της Επιτροπής για την κυβερνοασφάλεια των δικτύων 5G.
Η πρόταση εισάγει αυστηρότερα μέτρα εποπτείας για τις εθνικές αρχές, αυστηρότερες απαιτήσεις επιβολής και αποσκοπεί στην εναρμόνιση των καθεστώτων κυρώσεων σε όλα τα κράτη μέλη.
Η πρόταση ενισχύει επίσης τον ρόλο της ομάδας συνεργασίας στη διαμόρφωση στρατηγικών αποφάσεων πολιτικής για τις αναδυόμενες τεχνολογίες και τις νέες τάσεις και αυξάνει την ανταλλαγή πληροφοριών και τη συνεργασία μεταξύ των αρχών των κρατών μελών. Ενισχύει επίσης την επιχειρησιακή συνεργασία, μεταξύ άλλων όσον αφορά τη διαχείριση κρίσεων στον κυβερνοχώρο.
Η πρόταση της Επιτροπής θεσπίζει ένα βασικό πλαίσιο με υπεύθυνους βασικούς παράγοντες σχετικά με τη συντονισμένη γνωστοποίηση τρωτών σημείων για τα πρόσφατα ανακαλυφθέντα τρωτά σημεία σε ολόκληρη την ΕΕ και τη δημιουργία μητρώου της ΕΕ σχετικά με το μητρώο που διαχειρίζεται ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA).
Επόμενα βήματα
Οι σχετικές δράσεις των επόμενων βημάτων είναι οι εξής:
- Η πρόταση θα αποτελέσει αντικείμενο διαπραγματεύσεων μεταξύ των συννομοθετών, ιδίως του Συμβουλίου της ΕΕ και του Ευρωπαϊκού Κοινοβουλίου.
- Μόλις η πρόταση εγκριθεί και εγκριθεί, τα κράτη μέλη θα πρέπει να μεταφέρουν την οδηγία NIS2 στο εθνικό τους δίκαιο εντός 18 μηνών.
- Η Επιτροπή πρέπει να επανεξετάζει περιοδικά την οδηγία NIS2 και να υποβάλλει έκθεση για πρώτη φορά σχετικά με την επανεξέταση 54 μήνες μετά την έναρξη ισχύος.
- Η Ευρωπαϊκή Επιτροπή προσβλέπει στην εφαρμογή της νέας στρατηγικής για τον κυβερνοχώρο τους επόμενους μήνες.
Related content
Policy and legislation | 16 Δεκέμβριος 2020
-