Οδηγία NIS2
Η οδηγία NIS — η πρώτη νομοθεσία της ΕΕ για την κυβερνοασφάλεια — είναι το πρώτο οριζόντιο μέσο της εσωτερικής αγοράς που αποσκοπεί στη βελτίωση της ανθεκτικότητας των συστημάτων δικτύου και πληροφοριών στην Ένωση έναντι των κινδύνων κυβερνοασφάλειας. Παρά τα αξιοσημείωτα επιτεύγματά της, η οδηγία ΑΔΠ κατέδειξε ορισμένους περιορισμούς. Ο ψηφιακός μετασχηματισμός της κοινωνίας, ο οποίος εντάθηκε από την κρίση COVID-19, έχει διευρύνει το τοπίο των απειλών. Εμφανίστηκαν νέες προκλήσεις, οι οποίες απαιτούν προσαρμοσμένες και καινοτόμες απαντήσεις.
Για να είναι σε θέση να αναλύσει τον αντίκτυπο και να εντοπίσει τις ελλείψεις της οδηγίας ΑΔΠ, η Επιτροπή διεξήγαγε εκτενή διαβούλευση με τα ενδιαφερόμενα μέρη. Η Επιτροπή εντόπισε τα ακόλουθα κύρια ζητήματα:
- ανεπαρκές επίπεδο κυβερνοανθεκτικότητας των επιχειρήσεων που δραστηριοποιούνται στην ΕΕ
- ασυνεπής ανθεκτικότητα μεταξύ των κρατών μελών και των τομέων
- ανεπαρκής κοινή αντίληψη των κυριότερων απειλών και προκλήσεων μεταξύ των κρατών μελών
- έλλειψη κοινής αντιμετώπισης κρίσεων.
Ως εκ τούτου, και προκειμένου να ανταποκριθεί στις αυξανόμενες απειλές λόγω της ψηφιοποίησης και της διασύνδεσης, τον Δεκέμβριο του 2020 η Επιτροπή πρότεινε αναθεωρημένο σύνολο διαχρονικών κανόνων με στόχο την ενίσχυση του επιπέδου ανθεκτικότητας στον κυβερνοχώρο στην Ένωση, επί του οποίου οι συννομοθέτες κατέληξαν σε πολιτική συμφωνία στις 13 Μαΐου 2022 και ενέκριναν επίσημα τη νέα οδηγία στα τέλη Νοεμβρίου 2022.
Μετά την κρίση της νόσου COVID-19, η ευρωπαϊκή οικονομία εξαρτάται περισσότερο από ποτέ από ψηφιακές λύσεις. Οι τομείς και οι υπηρεσίες καθίστανται ολοένα και πιο διασυνδεδεμένοι και αλληλοεξαρτώμενοι. Αυτό έχει οδηγήσει σε ένα αυξανόμενο και ταχέως εξελισσόμενο τοπίο απειλών κατά της κυβερνοασφάλειας: οποιαδήποτε διαταραχή, ακόμη και μια διαταραχή που αρχικά περιορίζεται σε μία οντότητα ή έναν τομέα, μπορεί να έχει αλυσιδωτές επιπτώσεις ευρύτερα, οδηγώντας ενδεχομένως σε εκτεταμένες και μακροχρόνιες αρνητικές επιπτώσεις στην παροχή υπηρεσιών σε ολόκληρη την εσωτερική αγορά.
Η πανδημία COVID-19 κατέδειξε την ευπάθεια των ολοένα και πιο αλληλεξαρτώμενων κοινωνιών μας απέναντι σε απρόβλεπτους κινδύνους. Ενέτεινε τα ήδη αναδυόμενα ζητήματα στην ισχύουσα οδηγία ΑΔΠ και λειτούργησε ως καταλύτης για την αναθεώρησή της. Μια συγκεκριμένη αλλαγή στην οδηγία ΑΔΠ ενόψει αυτής της κρίσης ήταν η επέκταση του πεδίου εφαρμογής της νέας οδηγίας, καλύπτοντας πιο συγκεκριμένα στοιχεία στον τομέα της υγείας, όπως οι οντότητες που διεξάγουν δραστηριότητες έρευνας και ανάπτυξης φαρμάκων.
Η οδηγία NIS2 προβλέπει νομικά μέτρα για την ενίσχυση του συνολικού επιπέδου κυβερνοασφάλειας στην ΕΕ, προκειμένου να συμβάλει στη συνολική λειτουργία της εσωτερικής αγοράς. Βασίζεται στους τρεις βασικούς πυλώνες που αποτέλεσαν τη βάση της οδηγίας NIS1:
- Με βάση τη στρατηγική NIS1 για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, προκειμένου να επιτευχθεί υψηλό επίπεδο ετοιμότητας των κρατών μελών, η οδηγία NIS2 απαιτεί από τα κράτη μέλη να εγκρίνουν εθνική στρατηγική κυβερνοασφάλειας. Τα κράτη μέλη υποχρεούνται επίσης να ορίσουν εθνικές ομάδες αντιμετώπισης συμβάντων ασφάλειας υπολογιστών (CSIRT), οι οποίες είναι υπεύθυνες για τη διαχείριση κινδύνων και συμβάντων, αρμόδια εθνική αρχή κυβερνοασφάλειας και ενιαίο σημείο επαφής (SPOC). Το SPOC πρέπει να ασκεί καθήκοντα συνδέσμου για να διασφαλίζει τη διασυνοριακή συνεργασία μεταξύ των αρχών των κρατών μελών με τις αρμόδιες αρχές άλλων κρατών μελών και, κατά περίπτωση, με την Επιτροπή και τον ENISA, καθώς και για να διασφαλίζει τη διατομεακή συνεργασία με άλλες αρμόδιες αρχές εντός του οικείου κράτους μέλους.
- Η οδηγία NIS2 συνεχίζει επίσης το πλαίσιο NIS1 για τη σύσταση της ομάδας συνεργασίας NIS για τη στήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών, καθώς και το δίκτυο CSIRT, το οποίο προωθεί την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία μεταξύ των εθνικών CSIRT.
- Η οδηγία NIS1 διασφαλίζει ότι λαμβάνονται μέτρα κυβερνοασφάλειας σε επτά τομείς, οι οποίοι είναι ζωτικής σημασίας για την οικονομία και την κοινωνία μας και βασίζονται σε μεγάλο βαθμό στις ΤΠΕ, όπως η ενέργεια, οι μεταφορές, οι τράπεζες, οι υποδομές των χρηματοπιστωτικών αγορών, το πόσιμο νερό, η υγειονομική περίθαλψη και οι ψηφιακές υποδομές.
Οι δημόσιες και ιδιωτικές οντότητες που προσδιορίζονται από τα κράτη μέλη ως φορείς εκμετάλλευσης βασικών υπηρεσιών (OES) σε αυτούς τους τομείς υποχρεούνται να διενεργούν αξιολόγηση κινδύνου κυβερνοασφάλειας και να εφαρμόζουν κατάλληλα και αναλογικά μέτρα ασφάλειας. Υποχρεούνται να κοινοποιούν σοβαρά περιστατικά στις αρμόδιες αρχές. Επιπλέον, οι πάροχοι βασικών ψηφιακών υπηρεσιών (πάροχοι ψηφιακών υπηρεσιών ή DSP), όπως οι μηχανές αναζήτησης, οι υπηρεσίες υπολογιστικού νέφους και οι επιγραμμικές αγορές, πρέπει επίσης να συμμορφώνονται με τις απαιτήσεις ασφάλειας και κοινοποίησης δυνάμει της οδηγίας. Ταυτόχρονα, οι τελευταίοι υπόκεινται στο λεγόμενο ρυθμιστικό καθεστώς «light-touch», το οποίο συνεπάγεται ότι οι εν λόγω οντότητες δεν υπόκεινται σε εκ των προτέρων μέτρα εποπτείας.
Η οδηγία NIS2 διευρύνει σημαντικά το πεδίο εφαρμογής των τομέων και εισάγει ένα όριο μεγέθους για τον καθορισμό των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής της και θα πρέπει να αναφέρουν σημαντικά περιστατικά κυβερνοασφάλειας στις εθνικές αρμόδιες αρχές.
Η οδηγία NIS2 έχει ως στόχο να αντιμετωπίσει τις ελλείψεις των προηγούμενων κανόνων, να την προσαρμόσει στις τρέχουσες ανάγκες και να την καταστήσει ανθεκτική στις μελλοντικές εξελίξεις.
Για τον σκοπό αυτό, η οδηγία διευρύνει το πεδίο εφαρμογής των προηγούμενων κανόνων προσθέτοντας νέους τομείς με βάση τον βαθμό ψηφιοποίησης και διασύνδεσής τους και τη σημασία τους για την οικονομία και την κοινωνία, με τη θέσπιση ενός σαφούς κανόνα κατωφλίου μεγέθους — που σημαίνει ότι όλες οι μεσαίες και μεγάλες εταιρείες σε επιλεγμένους τομείς θα συμπεριληφθούν στο πεδίο εφαρμογής. Ταυτόχρονα, αφήνει κάποια διακριτική ευχέρεια στα κράτη μέλη να προσδιορίσουν μικρότερες οντότητες με προφίλ υψηλού κινδύνου ασφάλειας που θα πρέπει επίσης να καλύπτονται από τις υποχρεώσεις της νέας οδηγίας.
Η νέα οδηγία καταργεί επίσης τη διάκριση μεταξύ φορέων εκμετάλλευσης βασικών υπηρεσιών και παρόχων ψηφιακών υπηρεσιών. Οι οντότητες θα ταξινομούνται με βάση τη σημασία τους και θα χωρίζονται σε δύο κατηγορίες: βασικές και σημαντικές οντότητες, οι οποίες θα υπόκεινται σε διαφορετικό εποπτικό καθεστώς.
Ενισχύει και εξορθολογίζει τις απαιτήσεις ασφάλειας και υποβολής εκθέσεων για τις εταιρείες, επιβάλλοντας μια προσέγγιση διαχείρισης κινδύνων, η οποία παρέχει έναν ελάχιστο κατάλογο βασικών στοιχείων ασφαλείας που πρέπει να εφαρμόζονται. Η νέα οδηγία εισάγει ακριβέστερες διατάξεις σχετικά με τη διαδικασία αναφοράς συμβάντων, το περιεχόμενο των αναφορών και τα χρονοδιαγράμματα.
Επιπλέον, το NIS2 αντιμετωπίζει την ασφάλεια των αλυσίδων εφοδιασμού και τις σχέσεις με τους προμηθευτές, απαιτώντας από μεμονωμένες εταιρείες να αντιμετωπίζουν τους κινδύνους κυβερνοασφάλειας στις αλυσίδες εφοδιασμού και στις σχέσεις με τους προμηθευτές. Σε ευρωπαϊκό επίπεδο, η οδηγία ενισχύει την ασφάλεια στον κυβερνοχώρο της αλυσίδας εφοδιασμού για βασικές τεχνολογίες πληροφοριών και επικοινωνιών. Τα κράτη μέλη, σε συνεργασία με την Επιτροπή και τον ENISA, μπορούν να διενεργούν σε επίπεδο Ένωσης συντονισμένες εκτιμήσεις κινδύνου για την ασφάλεια των κρίσιμων αλυσίδων εφοδιασμού, με βάση την επιτυχή προσέγγιση που ακολουθείται στο πλαίσιο της σύστασης της Επιτροπής για την κυβερνοασφάλεια των δικτύων 5G.
Η οδηγία θεσπίζει αυστηρότερα μέτρα εποπτείας για τις εθνικές αρχές, αυστηρότερες απαιτήσεις επιβολής και αποσκοπεί στην εναρμόνιση των καθεστώτων κυρώσεων σε όλα τα κράτη μέλη.
Ενισχύει επίσης τον ρόλο της ομάδας συνεργασίας στη διαμόρφωση στρατηγικών αποφάσεων πολιτικής και αυξάνει την ανταλλαγή πληροφοριών και τη συνεργασία μεταξύ των αρχών των κρατών μελών. Ενισχύει επίσης την επιχειρησιακή συνεργασία στο πλαίσιο του δικτύου CSIRT και ιδρύει το ευρωπαϊκό δίκτυο συνδέσμων για τις κρίσεις στον κυβερνοχώρο (EU-CyCLONe) για τη στήριξη της συντονισμένης διαχείρισης συμβάντων και κρίσεων κυβερνοασφάλειας μεγάλης κλίμακας.
Το NIS2 θεσπίζει επίσης ένα βασικό πλαίσιο με υπεύθυνους βασικούς παράγοντες για τη συντονισμένη γνωστοποίηση τρωτών σημείων για τα πρόσφατα ανακαλυφθέντα τρωτά σημεία σε ολόκληρη την ΕΕ και δημιουργεί μια βάση δεδομένων ευπάθειας της ΕΕ για τα δημοσίως γνωστά τρωτά σημεία σε προϊόντα ΤΠΕ και υπηρεσίες ΤΠΕ, η οποία θα λειτουργεί και θα συντηρείται από τον οργανισμό της ΕΕ για την κυβερνοασφάλεια (ENISA).
Το NIS2 καλύπτει οντότητες από τους ακόλουθους τομείς:
Τομείς υψηλής κρισιμότητας: ενέργεια (ηλεκτρική ενέργεια, τηλεθέρμανση και τηλεψύξη, πετρέλαιο, φυσικό αέριο και υδρογόνο)· μεταφορές (αεροπορικές, σιδηροδρομικές, πλωτές και οδικές)· τραπεζικές δραστηριότητες· υποδομές χρηματοπιστωτικών αγορών· υγεία, συμπεριλαμβανομένης της παρασκευής φαρμακευτικών προϊόντων, συμπεριλαμβανομένων των εμβολίων· πόσιμο νερό· λύματα· ψηφιακή υποδομή (διαδικτυακά σημεία ανταλλαγής· Παρόχους υπηρεσιών DNS· Μητρώα ονομάτων TLD· παρόχους υπηρεσιών υπολογιστικού νέφους· παρόχους υπηρεσιών κέντρων δεδομένων· δίκτυα διανομής περιεχομένου· παρόχους υπηρεσιών εμπιστοσύνης· παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών και διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών)· Διαχείριση υπηρεσιών ΤΠΕ (διαχειριζόμενοι πάροχοι υπηρεσιών και πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας), δημόσια διοίκηση και χώρος.
Άλλοι κρίσιμοι τομείς: ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφοράς· διαχείριση αποβλήτων· χημικά προϊόντα· τρόφιμα· κατασκευή ιατροτεχνολογικών προϊόντων, ηλεκτρονικών και ηλεκτρονικών, μηχανημάτων και εξοπλισμού, μηχανοκίνητων οχημάτων, ρυμουλκούμενων και ημιρυμουλκουμένων και λοιπού εξοπλισμού μεταφορών· πάροχοι ψηφιακών υπηρεσιών (επιγραμμικές αγορές, επιγραμμικές μηχανές αναζήτησης και πλατφόρμες υπηρεσιών κοινωνικής δικτύωσης) και ερευνητικοί οργανισμοί.
Η αξιολόγηση των ισχυόντων κανόνων σχετικά με τις απαιτήσεις ασφάλειας και αναφοράς συμβάντων κατέδειξε ότι, σε ορισμένες περιπτώσεις, τα κράτη μέλη έχουν εφαρμόσει τις απαιτήσεις αυτές με σημαντικά διαφορετικούς τρόπους. Αυτό έχει δημιουργήσει πρόσθετη επιβάρυνση για τις εταιρείες που δραστηριοποιούνται σε περισσότερα του ενός κράτη μέλη.
Επιπλέον, όσον αφορά τις απαιτήσεις κυβερνοασφάλειας, θέλουμε να είμαστε βέβαιοι ότι όλες οι εταιρείες αντιμετωπίζουν το απαραίτητο βασικό σύνολο στοιχείων στις πολιτικές τους για τη διαχείριση κινδύνων στον κυβερνοχώρο.
Για τον λόγο αυτό, η NIS2 περιλαμβάνει κατάλογο 10 βασικών στοιχείων που όλες οι εταιρείες πρέπει να αντιμετωπίσουν ή να εφαρμόσουν στο πλαίσιο των μέτρων που λαμβάνουν, συμπεριλαμβανομένου του χειρισμού συμβάντων, της ασφάλειας της αλυσίδας εφοδιασμού, του χειρισμού και της αποκάλυψης τρωτών σημείων, της χρήσης κρυπτογραφίας και, κατά περίπτωση, της κρυπτογράφησης.
Όσον αφορά την αναφορά συμβάντων, πρέπει να επιτύχουμε τη σωστή ισορροπία μεταξύ της ανάγκης για ταχεία αναφορά, προκειμένου να αποφευχθεί η πιθανή εξάπλωση των περιστατικών, και της ανάγκης για διεξοδική υποβολή εκθέσεων προκειμένου να αντληθούν πολύτιμα διδάγματα από μεμονωμένα περιστατικά. Η νέα οδηγία προβλέπει μια προσέγγιση πολλαπλών σταδίων για την αναφορά περιστατικών. Οι επηρεαζόμενες εταιρείες έχουν στη διάθεσή τους 24 ώρες από τη στιγμή που λαμβάνουν γνώση ενός περιστατικού για να υποβάλουν έγκαιρη προειδοποίηση στην CSIRT ή στην αρμόδια εθνική αρχή, η οποία θα τους επέτρεπε επίσης να ζητήσουν βοήθεια (καθοδήγηση ή επιχειρησιακές συμβουλές σχετικά με την εφαρμογή πιθανών μέτρων μετριασμού), εφόσον το ζητήσουν. Η έγκαιρη προειδοποίηση θα πρέπει να ακολουθείται από κοινοποίηση συμβάντος εντός 72 ωρών από τη στιγμή που έλαβε γνώση του συμβάντος και τελική έκθεση το αργότερο ένα μήνα αργότερα.
Η νέα οδηγία NIS θέτει την εποπτεία και την επιβολή στο επίκεντρο των καθηκόντων των αρμόδιων αρχών και θέτει ένα συνεκτικό πλαίσιο για όλες τις δραστηριότητες εποπτείας και επιβολής σε όλα τα κράτη μέλη.
Προκειμένου να ενισχυθεί η εποπτεία που συμβάλλει στη διασφάλιση της αποτελεσματικής συμμόρφωσης, η NIS2 παρέχει έναν ελάχιστο κατάλογο εποπτικών μέσων μέσω των οποίων οι αρμόδιες αρχές μπορούν να εποπτεύουν βασικές και σημαντικές οντότητες. Σε αυτούς περιλαμβάνονται τακτικοί και στοχευμένοι έλεγχοι, επιτόπιοι και μη επιτόπιοι έλεγχοι, αίτημα παροχής πληροφοριών και πρόσβαση σε έγγραφα ή αποδεικτικά στοιχεία.
Επιπλέον, η νέα οδηγία θεσπίζει διαφοροποίηση των εποπτικών καθεστώτων μεταξύ βασικών και σημαντικών οντοτήτων, με σκοπό τη διασφάλιση δίκαιης ισορροπίας των υποχρεώσεων τόσο για τις οντότητες όσο και για τις αρμόδιες αρχές.
Όσον αφορά την επιβολή, μέχρι στιγμής υπάρχει γενική απροθυμία σε όλα τα κράτη μέλη να επιβάλλουν κυρώσεις σε οντότητες που δεν εφαρμόζουν μέτρα ασφαλείας ή δεν αναφέρουν συμβάντα. Αυτό μπορεί να έχει αρνητικές συνέπειες για την ανθεκτικότητα των οντοτήτων στον κυβερνοχώρο. Προκειμένου να καταστεί αποτελεσματική η επιβολή, η νέα οδηγία θεσπίζει ένα συνεκτικό πλαίσιο για τις κυρώσεις σε ολόκληρη την Ένωση. Ως εκ τούτου, θεσπίζει έναν ελάχιστο κατάλογο διοικητικών κυρώσεων για την παραβίαση των υποχρεώσεων διαχείρισης κινδύνων και υποβολής εκθέσεων στον τομέα της κυβερνοασφάλειας που ορίζονται στην οδηγία NIS2. Οι κυρώσεις αυτές περιλαμβάνουν δεσμευτικές οδηγίες, εντολή εφαρμογής των συστάσεων ελέγχου ασφαλείας, εντολή ευθυγράμμισης των μέτρων ασφαλείας με τις απαιτήσεις ΑΔΠ και διοικητικά πρόστιμα. Όσον αφορά τα διοικητικά πρόστιμα, η νέα οδηγία NIS κάνει διάκριση μεταξύ βασικών και σημαντικών οντοτήτων. Όσον αφορά τις βασικές οντότητες, απαιτεί από τα κράτη μέλη να προβλέπουν ένα ορισμένο επίπεδο διοικητικών προστίμων, ιδίως μέγιστο ποσό τουλάχιστον 10 000 000 EUR ή 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο από τα δύο είναι υψηλότερο. Όσον αφορά τις σημαντικές οντότητες, η NIS2 απαιτεί από τα κράτη μέλη να προβλέπουν μέγιστο πρόστιμο ύψους τουλάχιστον 7 000 000 EUR ή τουλάχιστον 1,4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Κατά την άσκηση των εξουσιών επιβολής, οι αρμόδιες αρχές θα πρέπει να λαμβάνουν δεόντως υπόψη τις ιδιαίτερες περιστάσεις κάθε περίπτωσης, όπως η φύση, η σοβαρότητα και η διάρκεια της παράβασης, η ζημία που προκλήθηκε ή οι ζημίες που προκλήθηκαν, ο εκ προθέσεως ή εξ αμελείας χαρακτήρας της παράβασης.
Προκειμένου να διασφαλιστεί πραγματική λογοδοσία για τα μέτρα κυβερνοασφάλειας σε οργανωτικό επίπεδο, η NIS2 θεσπίζει διατάξεις σχετικά με την ευθύνη των φυσικών προσώπων που κατέχουν ανώτερες διοικητικές θέσεις στις οντότητες που εμπίπτουν στο πεδίο εφαρμογής της νέας οδηγίας NIS.
Οι νέοι κανόνες βελτιώνουν τον τρόπο με τον οποίο η ΕΕ προλαμβάνει, χειρίζεται και ανταποκρίνεται σε συμβάντα και κρίσεις κυβερνοασφάλειας μεγάλης κλίμακας. Αυτό επιτυγχάνεται με την εισαγωγή σαφών αρμοδιοτήτων, κατάλληλου σχεδιασμού και περισσότερης συνεργασίας σε επίπεδο ΕΕ. Η NIS2 απαιτεί από τα κράτη μέλη να διορίσουν εθνικές αρχές αρμόδιες για τη διαχείριση κρίσεων στον κυβερνοχώρο, να εισαγάγουν εθνικά μεγάλης κλίμακας σχέδια αντιμετώπισης περιστατικών κυβερνοασφάλειας και αντιμετώπισης κρίσεων και να δημιουργήσουν το ευρωπαϊκό δίκτυο οργανισμών σύνδεσης για τις κρίσεις στον κυβερνοχώρο (EU-CYCLONe) για τη στήριξη της συντονισμένης διαχείρισης συμβάντων και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο σε επιχειρησιακό επίπεδο. Το δίκτυο αυτό αποτελεί βασική συνιστώσα που συμβάλλει στη θέσπιση του πλαισίου της ΕΕ για τη διαχείριση κρίσεων στον κυβερνοχώρο, το οποίο σκιαγραφήθηκε από την Επιτροπή το 2017 με τη σύσταση σχετικά με τη συντονισμένη αντίδραση σε συμβάντα και κρίσεις μεγάλης κλίμακας.
Κατάκανόνα, οι βασικές και σημαντικές οντότητες θεωρούνται ότι υπάγονται στη δικαιοδοσία του κράτους μέλους στο οποίο είναι εγκατεστημένες. Εάν η οντότητα είναι εγκατεστημένη σε περισσότερα του ενός κράτη μέλη, θα πρέπει να υπάγεται στη δικαιοδοσία καθενός από αυτά τα κράτη μέλη. Οι αρμόδιες αρχές καθένα από αυτά τα κράτη μέλη θα πρέπει να συνεργάζονται, να παρέχουν αμοιβαία συνδρομή μεταξύ τους και, κατά περίπτωση, να προβαίνουν σε κοινές εποπτικές δράσεις. Υπάρχουν αρκετές εξαιρέσεις σε αυτόν τον κανόνα:
- οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή παρόχων ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών εμπίπτουν στη δικαιοδοσία του κράτους μέλους στο οποίο παρέχουν τις υπηρεσίες τους.
- οι φορείς δημόσιας διοίκησης εμπίπτουν στη δικαιοδοσία του κράτους μέλους που τους ίδρυσε.
- ορισμένα είδη οντοτήτων θα υπάγονται στη δικαιοδοσία του κράτους μέλους στο οποίο έχουν την κύρια εγκατάστασή τους στην Ένωση. Οι οντότητες αυτές περιλαμβάνουν παρόχους υπηρεσιών συστήματος ονομάτων τομέα, μητρώα ονομάτων τομέα, οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, παρόχους υπηρεσιών υπολογιστικού νέφους, παρόχους υπηρεσιών κέντρων δεδομένων, παρόχους δικτύων διανομής περιεχομένου, παρόχους διαχειριζόμενων υπηρεσιών υπηρεσιών ασφαλείας, παρόχους διαχειριζόμενων υπηρεσιών ασφάλειας, καθώς και παρόχους επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης και πλατφορμών κοινωνικής δικτύωσης. Με τον τρόπο αυτό διασφαλίζεται ότι οι εν λόγω οντότητες δεν αντιμετωπίζουν πληθώρα διαφορετικών νομικών απαιτήσεων, δεδομένου ότι παρέχουν υπηρεσίες σε διασυνοριακό επίπεδο σε ιδιαίτερα υψηλό βαθμό. Για τους σκοπούς της αποτελεσματικής εποπτείας, τα εν λόγω είδη οντοτήτων θα υποχρεούνται από τα κράτη μέλη να κοινοποιούν, μεταξύ άλλων, τον τόπο όπου είναι η κύρια εγκατάσταση της οντότητας καθώς και τις άλλες νομικές εγκαταστάσεις της στην Ένωση ή, εάν δεν είναι εγκατεστημένες στην Ένωση, τον τόπο στον οποίο έχει οριστεί ο αντιπρόσωπος της οντότητας. Ο ENISA θα πρέπει να δημιουργήσει και να τηρεί μητρώο με τις πληροφορίες που παρέχονται σε αυτή τη βάση από τα κράτη μέλη.
Η συνεργασία της ΕΕ προωθείται επιτρέποντας στα κράτη μέλη να ενεργούν από κοινού και να αντιμετωπίζουν τους αναδυόμενους κινδύνους για την ασφάλεια που συνεπάγεται ο εν εξελίξει ψηφιακός μετασχηματισμός.
Πιο συγκεκριμένα, τα κράτη μέλη θα είναι σε θέση να εποπτεύουν από κοινού την εφαρμογή των κανόνων της ΕΕ και να αλληλοβοηθούνται σε περίπτωση διασυνοριακών αθέμιτων πρακτικών, να έχουν πιο διαρθρωμένο διάλογο με τον ιδιωτικό τομέα και να συντονίζουν την αποκάλυψη των τρωτών σημείων που εντοπίζονται στο λογισμικό και το υλισμικό που πωλείται σε ολόκληρη την εσωτερική αγορά. Θα είναι επίσης σε θέση να εργάζονται με συντονισμένο τρόπο για την αξιολόγηση των κινδύνων και των απειλών για την ασφάλεια που σχετίζονται με τις νέες τεχνολογίες, όπως γίνεται για πρώτη φορά με το 5G.
Τα κράτη μέλη θα αξιοποιήσουν τη συνεργασία της ΕΕ για τη βελτίωση των εθνικών ικανοτήτων μέσω ανταλλαγών προσωπικού μεταξύ αρχών και αξιολογήσεων από ομοτίμους. Οι υφιστάμενες ομάδες, ιδίως η ομάδα συνεργασίας που συγκεντρώνει τις εθνικές αρχές κυβερνοασφάλειας και το δίκτυο ομάδων αντιμετώπισης συμβάντων ασφάλειας υπολογιστών (CSIRT) θα συμβάλουν στην προώθηση της συνεργασίας, αντίστοιχα, τόσο σε στρατηγικό όσο και σε τεχνικό επίπεδο.
Η οδηγία NIS2 συνδέεται στενά με δύο άλλες πρωτοβουλίες, την οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER) και τον κανονισμό για την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα (πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα, DORA).
Το πεδίο εφαρμογής της NIS 2 και της οδηγίας για την ανθεκτικότητα των κρίσιμων οντοτήτων (οδηγία CER) έχουν ευθυγραμμιστεί σε μεγάλο βαθμό ώστε να διασφαλιστεί ότι η φυσική ανθεκτικότητα και η ανθεκτικότητα στον κυβερνοχώρο των κρίσιμων οντοτήτων αντιμετωπίζονται με ολοκληρωμένο τρόπο. Οι οντότητες που προσδιορίζονται ως κρίσιμες οντότητες βάσει της οδηγίας CER θα υπόκεινται επίσης στις υποχρεώσεις κυβερνοασφάλειας που απορρέουν από την οδηγία NIS2. Επιπλέον, οι εθνικές αρμόδιες αρχές στο πλαίσιο των οδηγιών CER και NIS2 πρέπει να συνεργάζονται και να ανταλλάσσουν σε τακτική βάση σχετικές πληροφορίες, όπως για τους κινδύνους, τις κυβερνοαπειλές και τα συμβάντα, καθώς και για τους κινδύνους, τις απειλές και τα συμβάντα που δεν σχετίζονται με τον κυβερνοχώρο. Η ομάδα συνεργασίας στο πλαίσιο της NIS2 θα πρέπει να συνεδριάζει σε τακτική βάση και τουλάχιστον μία φορά ετησίως με την ομάδα ανθεκτικότητας κρίσιμων οντοτήτων που συστάθηκε δυνάμει της οδηγίας CER.
Όσον αφορά τον χρηματοπιστωτικό τομέα, ενώ η νέα οδηγία NIS περιλαμβάνει πιστωτικά ιδρύματα, διαχειριστές τόπων διαπραγμάτευσης και κεντρικούς αντισυμβαλλομένους που εμπίπτουν στο πεδίο εφαρμογής της, το DORA θα εφαρμόζεται στις εν λόγω οντότητες όσον αφορά τις υποχρεώσεις διαχείρισης κινδύνων κυβερνοασφάλειας και υποβολής εκθέσεων. Ταυτόχρονα, είναι σημαντικό να διατηρηθεί μια ισχυρή σχέση για την ανταλλαγή πληροφοριών μεταξύ του χρηματοπιστωτικού τομέα και των άλλων τομέων που καλύπτονται από την ΑΔΠ 2. Για τον σκοπό αυτό, στο πλαίσιο του DORA, οι Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ) για τον χρηματοπιστωτικό τομέα και τον χρηματοπιστωτικό τομέα οι εθνικές αρμόδιες αρχές θα μπορούν να συμμετέχουν στις συζητήσεις της ομάδας συνεργασίας για την ασφάλεια δικτύων και πληροφοριών. Επιπλέον, οι αρμόδιες αρχές DORA θα είναι σε θέση να συμβουλεύονται και να ανταλλάσσουν σχετικές πληροφορίες με το ενιαίο σημείο επαφής (SPOC) και τις CSIRT που έχουν συσταθεί βάσει της NIS2. Οι αρμόδιες αρχές, τα SPOC ή οι CSIRT που έχουν συσταθεί βάσει της NIS2 θα λαμβάνουν επίσης λεπτομέρειες για σημαντικά συμβάντα που σχετίζονται με τις ΤΠΕ από τις αρμόδιες αρχές στο πλαίσιο του DORA. Επιπλέον, τα κράτη μέλη θα πρέπει να συνεχίσουν να περιλαμβάνουν τον χρηματοπιστωτικό τομέα στις στρατηγικές τους για την κυβερνοασφάλεια και οι εθνικές CSIRT μπορούν να καλύπτουν τον χρηματοπιστωτικό τομέα στις δραστηριότητές τους.
Τα κράτη μέλη θα πρέπει να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο έως τις 17 Οκτωβρίου 2024 (21 μήνες από την έναρξη ισχύος της NIS2). Στη συνέχεια, η Επιτροπή πρέπει να επανεξετάζει περιοδικά τη λειτουργία της οδηγίας και να υποβάλλει σχετική έκθεση για πρώτη φορά έως τις 17 Οκτωβρίου 2027 στο Κοινοβούλιο και το Συμβούλιο.