Οδηγία σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS2) - Συχνές ερωτήσεις

Η οδηγία NIS —η πρώτη νομοθεσία της ΕΕ για την κυβερνοασφάλεια— είναι το πρώτο οριζόντιο μέσο της εσωτερικής αγοράς που αποσκοπεί στη βελτίωση της ανθεκτικότητας των συστημάτων δικτύου και πληροφοριών στην Ένωση έναντι των κινδύνων κυβερνοασφάλειας. Παρά τα αξιοσημείωτα επιτεύγματά της, η οδηγία NIS έχει δείξει ορισμένους περιορισμούς. Ο ψηφιακός μετασχηματισμός της κοινωνίας, ο οποίος εντάθηκε λόγω της κρίσης COVID-19, έχει διευρύνει το τοπίο των απειλών. Εμφανίστηκαν νέες προκλήσεις, οι οποίες απαιτούν προσαρμοσμένες και καινοτόμες απαντήσεις.

Για να είναι σε θέση να αναλύσει τον αντίκτυπο και να εντοπίσει τις ελλείψεις της οδηγίας NIS, η Επιτροπή διεξήγαγε εκτενή διαβούλευση με τα ενδιαφερόμενα μέρη. Η Επιτροπή εντόπισε τα ακόλουθα κύρια ζητήματα:

• ανεπαρκές επίπεδο κυβερνοανθεκτικότητας των επιχειρήσεων που δραστηριοποιούνται στην ΕΕ
• ασυνεπής ανθεκτικότητα μεταξύ των κρατών μελών και των τομέων
• ανεπαρκής κοινή αντίληψη των κυριότερων απειλών και προκλήσεων μεταξύ των κρατών μελών
• έλλειψη κοινής αντιμετώπισης κρίσεων.

Ως εκ τούτου, και προκειμένου να αντιμετωπιστούν οι αυξανόμενες απειλές λόγω της ψηφιοποίησης και της διασυνδεσιμότητας, τον Δεκέμβριο του 2020 η Επιτροπή πρότεινε ένα αναθεωρημένο σύνολο διαχρονικών κανόνων με στόχο την ενίσχυση του επιπέδου κυβερνοανθεκτικότητας στην Ένωση, επί του οποίου οι συννομοθέτες κατέληξαν σε πολιτική συμφωνία στις 13 Μαΐου 2022 και ενέκριναν επίσημα τη νέα οδηγία στα τέλη Νοεμβρίου 2022.

Μετά την κρίση COVID-19, η ευρωπαϊκή οικονομία εξαρτάται περισσότερο από ποτέ από ψηφιακές λύσεις. Οι τομείς και οι υπηρεσίες καθίστανται όλο και περισσότερο διασυνδεδεμένοι και αλληλεξαρτώμενοι. Αυτό είχε ως αποτέλεσμα ένα αναπτυσσόμενο και ταχέως εξελισσόμενο τοπίο απειλών για την κυβερνοασφάλεια: οποιαδήποτε διαταραχή, ακόμη και αν αρχικά περιοριζόταν σε μία οντότητα ή έναν τομέα, μπορεί να έχει ευρύτερες αλυσιδωτές επιπτώσεις, με πιθανό αποτέλεσμα εκτεταμένες και μακροχρόνιες αρνητικές επιπτώσεις στην παροχή υπηρεσιών σε ολόκληρη την εσωτερική αγορά.

Η πανδημία COVID-19 κατέδειξε την ευπάθεια των ολοένα και πιο αλληλεξαρτώμενων κοινωνιών μας απέναντι σε απροσδόκητους κινδύνους. Ενέτεινε τα ήδη αναδυόμενα ζητήματα στην ισχύουσα οδηγία NIS και χρησίμευσε ως καταλύτης για την αναθεώρησή της. Μια συγκεκριμένη αλλαγή στην οδηγία NIS ενόψει αυτής της κρίσης ήταν η επέκταση του πεδίου εφαρμογής της νέας οδηγίας, καλύπτοντας πιο συγκεκριμένα στοιχεία στον τομέα της υγείας, όπως οντότητες που διεξάγουν δραστηριότητες έρευνας και ανάπτυξης φαρμάκων.

Η οδηγία NIS2 προβλέπει νομικά μέτρα για την ενίσχυση του συνολικού επιπέδου κυβερνοασφάλειας στην ΕΕ, προκειμένου να συμβάλει στη συνολική λειτουργία της εσωτερικής αγοράς. Βασίζεται στους 3 κύριους πυλώνες που αποτέλεσαν τη βάση της οδηγίας NIS1:

1. Με βάση τη στρατηγική NIS1 για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, προκειμένου να επιτευχθεί υψηλό επίπεδο ετοιμότητας των κρατών μελών, η οδηγία NIS2 απαιτεί από τα κράτη μέλη να εγκρίνουν εθνική στρατηγική κυβερνοασφάλειας. Τα κράτη μέλη υποχρεούνται επίσης να ορίσουν εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRT), οι οποίες είναι υπεύθυνες για τον χειρισμό κινδύνων και περιστατικών, αρμόδια εθνική αρχή κυβερνοασφάλειας και ενιαίο σημείο επαφής (SPOC). Το SPOC πρέπει να ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας μεταξύ των αρχών των κρατών μελών με τις σχετικές αρχές σε άλλα κράτη μέλη και, κατά περίπτωση, με την Επιτροπή και τον ENISA, καθώς και για τη διασφάλιση της διατομεακής συνεργασίας με άλλες αρμόδιες αρχές εντός του οικείου κράτους μέλους.
2. Η οδηγία NIS2 συνεχίζει επίσης το πλαίσιο NIS1 για τη σύσταση της ομάδας συνεργασίας NIS με σκοπό τη στήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών, καθώς και το δίκτυο CSIRT, το οποίο προωθεί την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία μεταξύ των εθνικών CSIRT.
3. Η οδηγία NIS1 διασφαλίζει ότι λαμβάνονται μέτρα κυβερνοασφάλειας σε επτά τομείς, οι οποίοι είναι ζωτικής σημασίας για την οικονομία και την κοινωνία μας και βασίζονται σε μεγάλο βαθμό στις ΤΠΕ, όπως η ενέργεια, οι μεταφορές, οι τράπεζες, οι υποδομές των χρηματοπιστωτικών αγορών, το πόσιμο νερό, η υγειονομική περίθαλψη και οι ψηφιακές υποδομές.

Οι δημόσιες και ιδιωτικές οντότητες που προσδιορίζονται από τα κράτη μέλη ως φορείς εκμετάλλευσης βασικών υπηρεσιών στους εν λόγω τομείς υποχρεούνται να διενεργούν εκτίμηση κινδύνων για την κυβερνοασφάλεια και να εφαρμόζουν κατάλληλα και αναλογικά μέτρα ασφάλειας. Υποχρεούνται να κοινοποιούν σοβαρά περιστατικά στις αρμόδιες αρχές. Επιπλέον, οι πάροχοι βασικών ψηφιακών υπηρεσιών (πάροχοι ψηφιακών υπηρεσιών ή DSP), όπως οι μηχανές αναζήτησης, οι υπηρεσίες υπολογιστικού νέφους και οι επιγραμμικές αγορές, πρέπει επίσης να συμμορφώνονται με τις απαιτήσεις ασφάλειας και κοινοποίησης βάσει της οδηγίας. Ταυτόχρονα, οι τελευταίες υπόκεινται στο λεγόμενο «ελαφρύ» ρυθμιστικό καθεστώς, το οποίο συνεπάγεται ότι οι εν λόγω οντότητες δεν υπόκεινται σε εκ των προτέρων εποπτικά μέτρα.

Η οδηγία NIS2 διευρύνει σημαντικά το πεδίο εφαρμογής των τομέων και θεσπίζει κατώτατο όριο μεγέθους για τον καθορισμό των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής της και θα υποχρεούνται να αναφέρουν σημαντικά περιστατικά κυβερνοασφάλειας στις εθνικές αρμόδιες αρχές.

Η οδηγία NIS2 έχει ως στόχο να αντιμετωπίσει τις ελλείψεις των προηγούμενων κανόνων, να την προσαρμόσει στις τρέχουσες ανάγκες και να την καταστήσει ανθεκτική στις μελλοντικές εξελίξεις.

Για τον σκοπό αυτό, η οδηγία επεκτείνει το πεδίο εφαρμογής των προηγούμενων κανόνων προσθέτοντας νέους τομείς με βάση τον βαθμό ψηφιοποίησης και διασύνδεσής τους και το πόσο κρίσιμοι είναι για την οικονομία και την κοινωνία, θεσπίζοντας έναν σαφή κανόνα ορίου μεγέθους — πράγμα που σημαίνει ότι όλες οι μεσαίες και μεγάλες επιχειρήσεις σε επιλεγμένους τομείς θα συμπεριληφθούν στο πεδίο εφαρμογής. Ταυτόχρονα, αφήνει κάποια διακριτική ευχέρεια στα κράτη μέλη να εντοπίζουν μικρότερες οντότητες με προφίλ υψηλού κινδύνου για την ασφάλεια, οι οποίες θα πρέπει επίσης να καλύπτονται από τις υποχρεώσεις της νέας οδηγίας.

Η νέα οδηγία καταργεί επίσης τη διάκριση μεταξύ φορέων εκμετάλλευσης βασικών υπηρεσιών και παρόχων ψηφιακών υπηρεσιών. Οι οντότητες θα ταξινομούνται με βάση τη σημασία τους και θα χωρίζονται σε δύο κατηγορίες: βασικές και σημαντικές οντότητες, οι οποίες θα υπόκεινται σε διαφορετικό εποπτικό καθεστώς.

Ενισχύει και εξορθολογίζει τις απαιτήσεις ασφάλειας και υποβολής εκθέσεων για τις εταιρείες, επιβάλλοντας μια προσέγγιση διαχείρισης κινδύνου, η οποία παρέχει έναν ελάχιστο κατάλογο βασικών στοιχείων ασφάλειας που πρέπει να εφαρμόζονται. Η νέα οδηγία εισάγει ακριβέστερες διατάξεις σχετικά με τη διαδικασία αναφοράς συμβάντων, το περιεχόμενο των αναφορών και τα χρονοδιαγράμματα.

Επιπλέον, η NIS2 αντιμετωπίζει την ασφάλεια των αλυσίδων εφοδιασμού και των σχέσεων με τους προμηθευτές, απαιτώντας από τις μεμονωμένες εταιρείες να αντιμετωπίζουν τους κινδύνους κυβερνοασφάλειας στις αλυσίδες εφοδιασμού και τις σχέσεις με τους προμηθευτές. Σε ευρωπαϊκό επίπεδο, η οδηγία ενισχύει την κυβερνοασφάλεια της αλυσίδας εφοδιασμού για βασικές τεχνολογίες πληροφοριών και επικοινωνιών. Τα κράτη μέλη, σε συνεργασία με την Επιτροπή και τον ENISA, μπορούν να διενεργούν συντονισμένες σε επίπεδο Ένωσης εκτιμήσεις κινδύνου για την ασφάλεια κρίσιμων αλυσίδων εφοδιασμού, με βάση την επιτυχή προσέγγιση που υιοθετήθηκε στο πλαίσιο της σύστασης της Επιτροπής για την κυβερνοασφάλεια των δικτύων 5G.

Η οδηγία θεσπίζει αυστηρότερα εποπτικά μέτρα για τις εθνικές αρχές, αυστηρότερες απαιτήσεις επιβολής και αποσκοπεί στην εναρμόνιση των καθεστώτων κυρώσεων σε όλα τα κράτη μέλη.

Ενισχύει επίσης τον ρόλο της ομάδας συνεργασίας στη διαμόρφωση στρατηγικών αποφάσεων πολιτικής και αυξάνει την ανταλλαγή πληροφοριών και τη συνεργασία μεταξύ των αρχών των κρατών μελών. Ενισχύει επίσης την επιχειρησιακή συνεργασία στο πλαίσιο του δικτύου CSIRT και δημιουργεί το ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για κρίσεις στον κυβερνοχώρο (EU-CyCLONe) για τη στήριξη της συντονισμένης διαχείρισης περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας.

Η NIS2 θεσπίζει επίσης ένα βασικό πλαίσιο με υπεύθυνους βασικούς παράγοντες για τη συντονισμένη γνωστοποίηση τρωτών σημείων για τρωτά σημεία που ανακαλύφθηκαν πρόσφατα σε ολόκληρη την ΕΕ και δημιουργεί μια βάση δεδομένων τρωτών σημείων της ΕΕ για δημοσίως γνωστά τρωτά σημεία σε προϊόντα ΤΠΕ και υπηρεσίες ΤΠΕ, την οποία θα διαχειρίζεται και θα συντηρεί ο οργανισμός της ΕΕ για την κυβερνοασφάλεια (ENISA).

Η NIS2 καλύπτει οντότητες από τους ακόλουθους τομείς:

Τομείς υψηλής κρισιμότητας: ενέργεια (ηλεκτρική ενέργεια, τηλεθέρμανση και τηλεψύξη, πετρέλαιο, φυσικό αέριο και υδρογόνο)· μεταφορές (αεροπορικές, σιδηροδρομικές, πλωτές και οδικές)· τραπεζικές εργασίες· υποδομές χρηματοπιστωτικών αγορών· υγεία, συμπεριλαμβανομένης της παρασκευής φαρμακευτικών προϊόντων, συμπεριλαμβανομένων των εμβολίων· πόσιμο νερό· λύματα· ψηφιακές υποδομές (σημεία ανταλλαγής στο διαδίκτυο· πάροχοι υπηρεσιών DNS· μητρώα ονομάτων TLD· παρόχους υπηρεσιών υπολογιστικού νέφους· πάροχοι υπηρεσιών κέντρων δεδομένων· δίκτυα διανομής περιεχομένου· πάροχοι υπηρεσιών εμπιστοσύνης· παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών και διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών)· Διαχείριση υπηρεσιών ΤΠΕ (πάροχοι διαχειριζόμενων υπηρεσιών και πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας), δημόσια διοίκηση και διάστημα.

Άλλοι κρίσιμοι τομείς: ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφοράς· διαχείριση αποβλήτων· χημικές ουσίες· τρόφιμα· κατασκευή ιατροτεχνολογικών προϊόντων, ηλεκτρονικών υπολογιστών και ηλεκτρονικών ειδών, μηχανημάτων και εξοπλισμού, μηχανοκίνητων οχημάτων, ρυμουλκούμενων και ημιρυμουλκούμενων οχημάτων και λοιπού εξοπλισμού μεταφορών· ψηφιακούς παρόχους (επιγραμμικές αγορές, επιγραμμικές μηχανές αναζήτησης και πλατφόρμες υπηρεσιών κοινωνικής δικτύωσης) και ερευνητικούς οργανισμούς.

Η αξιολόγηση των ισχυόντων κανόνων σχετικά με τις απαιτήσεις ασφάλειας και αναφοράς συμβάντων κατέδειξε ότι, σε ορισμένες περιπτώσεις, τα κράτη μέλη έχουν εφαρμόσει τις εν λόγω απαιτήσεις με σημαντικά διαφορετικούς τρόπους. Αυτό έχει δημιουργήσει πρόσθετη επιβάρυνση για τις εταιρείες που δραστηριοποιούνται σε περισσότερα από ένα κράτη μέλη.

Επιπλέον, όσον αφορά τις απαιτήσεις κυβερνοασφάλειας, θέλουμε να είμαστε βέβαιοι ότι όλες οι εταιρείες αντιμετωπίζουν το απαραίτητο βασικό σύνολο στοιχείων στις πολιτικές τους για τη διαχείριση κινδύνων κυβερνοασφάλειας.

Για τον λόγο αυτό, η NIS2 περιλαμβάνει έναν κατάλογο 10 βασικών στοιχείων που όλες οι εταιρείες πρέπει να αντιμετωπίσουν ή να εφαρμόσουν στο πλαίσιο των μέτρων που λαμβάνουν, συμπεριλαμβανομένου του χειρισμού περιστατικών ασφάλειας της εφοδιαστικής αλυσίδας ,, του χειρισμού και της αποκάλυψης τρωτών σημείων, της χρήσης κρυπτογράφησης και, κατά περίπτωση, της κρυπτογράφησης.

Όσον αφορά την αναφορά περιστατικών, πρέπει να επιτύχουμε τη σωστή ισορροπία μεταξύ της ανάγκης για ταχεία αναφορά, προκειμένου να αποφευχθεί η πιθανή εξάπλωση περιστατικών, και της ανάγκης για διεξοδική αναφορά, ώστε να αντληθούν πολύτιμα διδάγματα από μεμονωμένα περιστατικά. Η νέα οδηγία προβλέπει μια προσέγγιση πολλαπλών σταδίων για την αναφορά συμβάντων. Οι πληγείσες εταιρείες έχουν στη διάθεσή τους 24 ώρες από τη στιγμή που αντιλαμβάνονται για πρώτη φορά ένα περιστατικό για να υποβάλουν έγκαιρη προειδοποίηση στην CSIRT ή στην αρμόδια εθνική αρχή, η οποία θα τους επιτρέψει επίσης να ζητήσουν βοήθεια (καθοδήγηση ή επιχειρησιακές συμβουλές σχετικά με την εφαρμογή πιθανών μέτρων μετριασμού) εάν το ζητήσουν. Η έγκαιρη προειδοποίηση θα πρέπει να ακολουθείται από κοινοποίηση συμβάντος εντός 72 ωρών από τη στιγμή που έλαβε γνώση του συμβάντος και τελική έκθεση το αργότερο ένα μήνα αργότερα.

Η νέα οδηγία NIS θέτει την εποπτεία και την επιβολή στο επίκεντρο των καθηκόντων των αρμόδιων αρχών και θέτει ένα συνεκτικό πλαίσιο για όλες τις δραστηριότητες εποπτείας και επιβολής σε όλα τα κράτη μέλη.

Προκειμένου να ενισχυθεί η εποπτεία που συμβάλλει στη διασφάλιση της αποτελεσματικής συμμόρφωσης, η NIS2 προβλέπει έναν ελάχιστο κατάλογο εποπτικών μέσων μέσω των οποίων οι αρμόδιες αρχές μπορούν να εποπτεύουν βασικές και σημαντικές οντότητες. Σε αυτούς περιλαμβάνονται τακτικοί και στοχευμένοι έλεγχοι, επιτόπιοι και μη επιτόπιοι έλεγχοι, αίτημα παροχής πληροφοριών και πρόσβαση σε έγγραφα ή αποδεικτικά στοιχεία.

Επιπλέον, η νέα οδηγία θεσπίζει διαφοροποίηση των εποπτικών καθεστώτων μεταξύ βασικών και σημαντικών οντοτήτων, με σκοπό τη διασφάλιση δίκαιης ισορροπίας των υποχρεώσεων τόσο για τις οντότητες όσο και για τις αρμόδιες αρχές.

Όσον αφορά την επιβολή, μέχρι στιγμής υπάρχει συνολική απροθυμία σε όλα τα κράτη μέλη να επιβάλλουν κυρώσεις σε οντότητες που δεν εφαρμόζουν μέτρα ασφαλείας ή δεν αναφέρουν συμβάντα. Αυτό μπορεί να έχει αρνητικές συνέπειες για την κυβερνοανθεκτικότητα των οντοτήτων. Προκειμένου να καταστεί αποτελεσματική η επιβολή, η νέα οδηγία θεσπίζει ένα συνεκτικό πλαίσιο κυρώσεων σε ολόκληρη την Ένωση. Ως εκ τούτου, θεσπίζει έναν ελάχιστο κατάλογο διοικητικών κυρώσεων για παραβίαση των υποχρεώσεων διαχείρισης κινδύνων και υποβολής εκθέσεων στον τομέα της κυβερνοασφάλειας που ορίζονται στην οδηγία NIS2. Οι κυρώσεις αυτές περιλαμβάνουν δεσμευτικές οδηγίες, εντολή εφαρμογής των συστάσεων ελέγχου ασφάλειας, εντολή ευθυγράμμισης των μέτρων ασφάλειας με τις απαιτήσεις ΑΔΠ και διοικητικά πρόστιμα. Όσον αφορά τα διοικητικά πρόστιμα, η νέα οδηγία NIS κάνει διάκριση μεταξύ βασικών και σημαντικών οντοτήτων. Όσον αφορά τις βασικές οντότητες, απαιτεί από τα κράτη μέλη να προβλέπουν ορισμένο επίπεδο διοικητικών προστίμων, ιδίως κατ’ ανώτατο όριο τουλάχιστον 10.000.000 ευρώ ή 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Όσον αφορά τις σημαντικές οντότητες, η NIS2 απαιτεί από τα κράτη μέλη να προβλέπουν μέγιστο πρόστιμο ύψους τουλάχιστον 7 000 000 EUR ή τουλάχιστον 1,4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, όποιο είναι υψηλότερο.

Κατά την άσκηση των εξουσιών επιβολής, οι αρμόδιες αρχές θα πρέπει να λαμβάνουν δεόντως υπόψη τις ιδιαίτερες περιστάσεις κάθε περίπτωσης, όπως η φύση, η σοβαρότητα και η διάρκεια της παράβασης, η προκληθείσα ζημία ή οι προκληθείσες ζημίες, ο εκ προθέσεως ή εξ αμελείας χαρακτήρας της παράβασης.

Προκειμένου να διασφαλιστεί η πραγματική λογοδοσία για τα μέτρα κυβερνοασφάλειας σε οργανωτικό επίπεδο, η NIS2 εισάγει διατάξεις σχετικά με την ευθύνη των φυσικών προσώπων που κατέχουν ανώτερες διοικητικές θέσεις στις οντότητες που εμπίπτουν στο πεδίο εφαρμογής της νέας οδηγίας NIS.

Οι νέοι κανόνες βελτιώνουν τον τρόπο με τον οποίο η ΕΕ προλαμβάνει, χειρίζεται και αντιδρά σε μεγάλης κλίμακας περιστατικά και κρίσεις κυβερνοασφάλειας. Αυτό επιτυγχάνεται με τη θέσπιση σαφών αρμοδιοτήτων, κατάλληλου σχεδιασμού και μεγαλύτερης συνεργασίας σε επίπεδο ΕΕ. Η NIS2 απαιτεί από τα κράτη μέλη να ορίσουν εθνικές αρχές αρμόδιες για τη διαχείριση κρίσεων στον κυβερνοχώρο, θεσπίζει εθνικά σχέδια αντιμετώπισης περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας και θεσπίζει το ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για τις κρίσεις στον κυβερνοχώρο (EU-CYCLONe) για τη στήριξη της συντονισμένης διαχείρισης περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας σε επιχειρησιακό επίπεδο. Το δίκτυο αυτό αποτελεί βασική συνιστώσα που συμβάλλει στη θέσπιση του πλαισίου της ΕΕ για τη διαχείριση κρίσεων στον κυβερνοχώρο, το οποίο περιγράφηκε από την Επιτροπή το 2017 με τη σύσταση για τη συντονισμένη αντιμετώπιση περιστατικών και κρίσεων μεγάλης κλίμακας.

Κατά κανόνα, οι βασικές και σημαντικές οντότητες θεωρείται ότι υπάγονται στη δικαιοδοσία του κράτους μέλους στο οποίο είναι εγκατεστημένες. Εάν η οντότητα είναι εγκατεστημένη σε περισσότερα από ένα κράτη μέλη, θα πρέπει να υπάγεται στη δικαιοδοσία καθενός από αυτά τα κράτη μέλη. Οι αρμόδιες αρχές καθενός από αυτά τα κράτη μέλη θα πρέπει να συνεργάζονται, να παρέχουν αμοιβαία συνδρομή μεταξύ τους και, κατά περίπτωση, να αναλαμβάνουν κοινές εποπτικές δράσεις. Υπάρχουν αρκετές εξαιρέσεις σε αυτόν τον κανόνα:

• οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή οι πάροχοι ή οι διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών θα υπάγονται στη δικαιοδοσία του κράτους μέλους στο οποίο παρέχουν τις υπηρεσίες τους.
• οι φορείς δημόσιας διοίκησης θα υπάγονται στη δικαιοδοσία του κράτους μέλους που τους έχει ιδρύσει.
• ορισμένα είδη οντοτήτων θα υπάγονται στη δικαιοδοσία του κράτους μέλους στο οποίο έχουν την κύρια εγκατάστασή τους στην Ένωση. Στις οντότητες αυτές περιλαμβάνονται οι πάροχοι υπηρεσιών συστήματος ονομάτων τομέα, τα μητρώα ονομάτων τομέα ανωτάτου επιπέδου, οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, οι πάροχοι υπηρεσιών υπολογιστικού νέφους, οι πάροχοι υπηρεσιών κέντρων δεδομένων, οι πάροχοι δικτύων διανομής περιεχομένου, οι πάροχοι διαχειριζόμενων υπηρεσιών, οι πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας, καθώς και οι πάροχοι επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης και πλατφορμών κοινωνικής δικτύωσης. Με τον τρόπο αυτό διασφαλίζεται ότι οι εν λόγω οντότητες δεν αντιμετωπίζουν πληθώρα διαφορετικών νομικών απαιτήσεων, καθώς παρέχουν υπηρεσίες σε διασυνοριακό επίπεδο σε ιδιαίτερα υψηλό βαθμό. Για τους σκοπούς της αποτελεσματικής εποπτείας, αυτά τα είδη οντοτήτων θα υποχρεούνται από τα κράτη μέλη να κοινοποιούν, μεταξύ άλλων, τον τόπο στον οποίο βρίσκεται η κύρια εγκατάσταση της οντότητας, καθώς και οι άλλες νομικές εγκαταστάσεις της στην Ένωση ή, εάν δεν είναι εγκατεστημένες στην Ένωση, τον τόπο στον οποίο ορίζεται ο εκπρόσωπος της οντότητας. Ο ENISA θα πρέπει να δημιουργήσει και να τηρεί μητρώο με τις πληροφορίες που παρέχονται σε αυτή τη βάση από τα κράτη μέλη.

Η συνεργασία της ΕΕ προωθείται επιτρέποντας στα κράτη μέλη να ενεργούν από κοινού και να αντιμετωπίζουν τους αναδυόμενους κινδύνους για την ασφάλεια που ενέχει ο εν εξελίξει ψηφιακός μετασχηματισμός.

Ειδικότερα, τα κράτη μέλη θα είναι σε θέση να εποπτεύουν από κοινού την εφαρμογή των κανόνων της ΕΕ και να αλληλοβοηθούνται σε περίπτωση διασυνοριακών αθέμιτων πρακτικών, να διεξάγουν πιο διαρθρωμένο διάλογο με τον ιδιωτικό τομέα και να συντονίζουν τη γνωστοποίηση των τρωτών σημείων που εντοπίζονται στο λογισμικό και το υλισμικό που πωλούνται σε ολόκληρη την εσωτερική αγορά. Θα είναι επίσης σε θέση να εργάζονται με συντονισμένο τρόπο για την αξιολόγηση των κινδύνων και των απειλών για την ασφάλεια που σχετίζονται με τις νέες τεχνολογίες, όπως έγινε για πρώτη φορά με το 5G.

Τα κράτη μέλη θα αξιοποιήσουν τη συνεργασία της ΕΕ για τη βελτίωση των εθνικών ικανοτήτων μέσω ανταλλαγών προσωπικού μεταξύ αρχών και αξιολογήσεων από ομοτίμους. Οι υφιστάμενες ομάδες, ιδίως η ομάδα συνεργασίας που συγκεντρώνει τις εθνικές αρχές κυβερνοασφάλειας και το δίκτυο ομάδων αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRT), θα συμβάλουν στην προώθηση της συνεργασίας, αντίστοιχα, τόσο σε στρατηγικό όσο και σε τεχνικό επίπεδο.

Η οδηγία NIS2 συνδέεται στενά με δύο άλλες πρωτοβουλίες, την οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER) και τον κανονισμό για την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα (πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα, DORA) .

Το πεδίο εφαρμογής της οδηγίας NIS 2 και της οδηγίας για την ανθεκτικότητα των κρίσιμων οντοτήτων (οδηγία CER) έχουν ευθυγραμμιστεί σε μεγάλο βαθμό προκειμένου να διασφαλιστεί ότι η φυσική ανθεκτικότητα και η κυβερνοανθεκτικότητα των κρίσιμων οντοτήτων αντιμετωπίζονται με ολοκληρωμένο τρόπο. Οι οντότητες που προσδιορίζονται ως κρίσιμες οντότητες βάσει της οδηγίας CER θα υπόκεινται επίσης στις υποχρεώσεις κυβερνοασφάλειας της οδηγίας NIS2. Επιπλέον, οι εθνικές αρμόδιες αρχές δυνάμει των οδηγιών CER και NIS2 πρέπει να συνεργάζονται και να ανταλλάσσουν σε τακτική βάση σχετικές πληροφορίες, όπως σχετικά με κινδύνους, κυβερνοαπειλές και περιστατικά, καθώς και σχετικά με κινδύνους, απειλές και περιστατικά εκτός κυβερνοχώρου. Η ομάδα συνεργασίας στο πλαίσιο της NIS2 θα πρέπει να συνεδριάζει σε τακτική βάση και τουλάχιστον μία φορά ετησίως με την ομάδα για την ανθεκτικότητα των κρίσιμων οντοτήτων που συστάθηκε δυνάμει της οδηγίας CER.

Όσον αφορά τον χρηματοπιστωτικό τομέα, ενώ η νέα οδηγία NIS περιλαμβάνει πιστωτικά ιδρύματα, διαχειριστές τόπων διαπραγμάτευσης και κεντρικούς αντισυμβαλλομένους που εμπίπτουν στο πεδίο εφαρμογής της, ο DORA θα εφαρμόζεται στις εν λόγω οντότητες όσον αφορά τις υποχρεώσεις διαχείρισης κινδύνων κυβερνοασφάλειας και υποβολής εκθέσεων. Ταυτόχρονα, είναι σημαντικό να διατηρηθεί μια ισχυρή σχέση για την ανταλλαγή πληροφοριών μεταξύ του χρηματοπιστωτικού τομέα και των άλλων τομέων που καλύπτονται από την NIS 2. Για τον σκοπό αυτό, στο πλαίσιο του DORA ,, οι ευρωπαϊκές εποπτικές αρχές (ΕΕΑ) για τον χρηματοπιστωτικό τομέα και οι εθνικές αρμόδιες αρχές του χρηματοπιστωτικού τομέα θα μπορούν να συμμετέχουν στις συζητήσεις της ομάδας συνεργασίας NIS. Επιπλέον, οι αρμόδιες αρχές DORA θα μπορούν να συμβουλεύονται και να ανταλλάσσουν σχετικές πληροφορίες με το ενιαίο σημείο επαφής (SPOC) και τις CSIRT που έχουν συσταθεί στο πλαίσιο της NIS2. Οι αρμόδιες αρχές, τα SPOC ή οι CSIRT που έχουν συσταθεί στο πλαίσιο της NIS2 θα λαμβάνουν επίσης λεπτομέρειες για σημαντικά συμβάντα που σχετίζονται με τις ΤΠΕ από τις αρμόδιες αρχές στο πλαίσιο του DORA. Επιπλέον, τα κράτη μέλη θα πρέπει να συνεχίσουν να περιλαμβάνουν τον χρηματοπιστωτικό τομέα στις στρατηγικές τους για την κυβερνοασφάλεια και οι εθνικές CSIRT μπορούν να καλύπτουν τον χρηματοπιστωτικό τομέα στις δραστηριότητές τους.

Τα κράτη μέλη θα πρέπει να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο έως τις 17 Οκτωβρίου 2024 (21 μήνες από την έναρξη ισχύος της οδηγίας NIS2). Στη συνέχεια, η Επιτροπή πρέπει να επανεξετάζει περιοδικά τη λειτουργία της οδηγίας και να υποβάλει σχετική έκθεση για πρώτη φορά έως τις 17 Οκτωβρίου 2027 στο Κοινοβούλιο και το Συμβούλιο.