Direktiva o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (Direktiva NIS2) – najčešća pitanja

Direktiva NIS prvi je horizontalni instrument unutarnjeg tržišta namijenjen poboljšanju otpornosti mrežnih i informacijskih sustava u Uniji na kibersigurnosne rizike. Unatoč znatnim postignućima, Direktiva NIS pokazala je određena ograničenja. Digitalna transformacija društva, koju je pojačala kriza uzrokovana bolešću COVID-19, proširila je okruženje prijetnji. Pojavili su se novi izazovi koji zahtijevaju prilagođene i inovativne odgovore.

Kako bi mogla analizirati učinak i utvrditi nedostatke Direktive NIS, Komisija je provela opsežno savjetovanje s dionicima. Komisija je utvrdila sljedeća glavna pitanja:

• nedovoljna razina kiberotpornosti poduzeća koja posluju u EU-u
• nedosljedna otpornost u državama članicama i sektorima
• nedovoljno zajedničko razumijevanje glavnih prijetnji i izazova među državama članicama
• nedostatak zajedničkog odgovora na krizu.

Kao rezultat toga, kako bi se odgovorilo na sve veće prijetnje zbog digitalizacije i međusobne povezanosti, Komisija je u prosincu 2020. predložila revidirani skup pravila otpornih na buduće promjene u cilju jačanja razine kiberotpornosti u Uniji, o kojima su suzakonodavci 13. svibnja 2022. postigli politički dogovor, a krajem studenoga 2022. službeno su donijeli novu direktivu.

Od krize uzrokovane bolešću COVID-19 europsko gospodarstvo sve više ovisi o digitalnim rješenjima nego ikad prije. Sektori i usluge postaju sve više međusobno povezani i međuovisni. To je dovelo do rastućeg i brzog razvoja kibersigurnosnih prijetnji: svaki poremećaj, čak i onaj koji je prvotno ograničen na jedan subjekt ili jedan sektor, može imati kaskadne učinke u širem smislu, što bi moglo dovesti do dalekosežnih i dugotrajnih negativnih učinaka na pružanje usluga na cijelom unutarnjem tržištu.

Pandemija bolesti COVID-19 pokazala je ranjivost naših sve ovisnijih društava suočenih s neočekivanim rizicima. Pojačala je već nova pitanja u postojećoj Direktivi o sigurnosti mrežnih i informacijskih sustava te je poslužila kao katalizator za njezinu reviziju. Konkretna promjena Direktive NIS s obzirom na ovu krizu bila je proširenje područja primjene nove Direktive, obuhvaćajući konkretnije elemente u zdravstvenom sektoru, kao što su subjekti koji provode aktivnosti istraživanja i razvoja lijekova.

Direktivom NIS2 predviđenesu pravne mjere za povećanje ukupne razine kibersigurnosti u EU-u kako bi se doprinijelo cjelokupnom funkcioniranju unutarnjeg tržišta. Temelji se na tri glavna stupa na kojima se temelji Direktiva NIS1:

1. Na temelju strategije NIS1 o sigurnosti mrežnih i informacijskih sustava, kako bi se postigla visoka razina pripravnosti država članica, Direktivom NIS2 od država članica zahtijeva se da donesu nacionalnu strategiju za kibersigurnost. Države članice dužne su imenovati i nacionalne timove za odgovor na računalne sigurnosne incidente (CSIRT-ove) koji su odgovorni za rješavanje rizika i incidenata, nadležno nacionalno tijelo za kibersigurnost i jedinstvenu kontaktnu točku (SPOC). Jedinstvena kontaktna točka mora izvršavati funkciju povezivanja kako bi se osigurala prekogranična suradnja između tijela država članica s relevantnim tijelima u drugim državama članicama i, prema potrebi, s Komisijom i ENISA-om te kako bi se osigurala međusektorska suradnja s drugim nadležnim tijelima u svojoj državi članici.
2. Direktivom NIS2 nastavlja se i okvir NIS1 kojim se uspostavlja skupina za suradnju u području mrežne i informacijske sigurnosti kako bi se poduprla i olakšala strateška suradnja i razmjena informacija među državama članicama te mreža CSIRT-ova, kojom se promiče brza i učinkovita operativna suradnja među nacionalnim CSIRT-ovima.
3. Direktivom NIS1 osigurava se da se mjere kibersigurnosti poduzimaju u sedam sektora, koji su ključni za naše gospodarstvo i društvo i koji se u velikoj mjeri oslanjaju na IKT, kao što su energetika, promet, bankarstvo, infrastruktura financijskog tržišta, pitka voda, zdravstvena skrb i digitalna infrastruktura.

Javni i privatni subjekti koje su države članice utvrdile kao operatore ključnih usluga u tim sektorima dužni su provesti procjenu kibersigurnosnog rizika i uvesti odgovarajuće i razmjerne sigurnosne mjere. Od njih se zahtijeva da obavijeste nadležna tijela o ozbiljnim incidentima. Nadalje, pružatelji ključnih digitalnih usluga (pružatelji digitalnih usluga ili pružatelji digitalnih usluga), kao što su tražilice, usluge računalstva u oblaku i internetska tržišta, moraju ispunjavati i zahtjeve u pogledu sigurnosti i obavješćivanja iz Direktive. Istodobno, potonji podliježu takozvanom „laganom” regulatornom režimu, što podrazumijeva da ti subjekti ne podliježu ex ante nadzornim mjerama.

Direktivom NIS2 znatno se proširuje područje primjene sektora i uvodi prag veličine kako bi se definiralo koji su subjekti obuhvaćeni njezinim područjem primjene te bi se od njih zahtijevalo da nacionalnim nadležnim tijelima prijavljuju značajne kibersigurnosne incidente.

Cilj je Direktive NIS2 ukloniti nedostatke prethodnih pravila, prilagoditi ih trenutačnim potrebama i učiniti ih otpornima na promjene u budućnosti.

U tu svrhu Direktivom se proširuje područje primjene prethodnih pravila dodavanjem novih sektora na temelju stupnja digitalizacije i međusobne povezanosti te njihove važnosti za gospodarstvo i društvo uvođenjem jasnog pravila o pragu veličine, što znači da će sva srednja i velika poduzeća u odabranim sektorima biti uključena u područje primjene. Istodobno državama članicama ostavlja određeno diskrecijsko pravo da utvrde manje subjekte s visokim profilom sigurnosnog rizika koji bi također trebali biti obuhvaćeni obvezama iz nove Direktive.

Novom se Direktivom uklanja i razlika između operatora ključnih usluga i pružatelja digitalnih usluga. Subjekti bi se razvrstali na temelju njihove važnosti i podijelili u dvije kategorije: ključni i važni subjekti, koji će podlijegati različitim nadzornim sustavima.

Njome se jačaju i pojednostavnjuju zahtjevi u pogledu sigurnosti i izvješćivanja za poduzeća uvođenjem pristupa upravljanju rizicima kojim se osigurava minimalni popis osnovnih sigurnosnih elemenata koje je potrebno primijeniti. Novom Direktivom uvode se preciznije odredbe o postupku izvješćivanja o incidentima, sadržaju izvješća i rokovima.

Nadalje, Direktiva NIS2 bavi se sigurnošću lanaca opskrbe i odnosa s dobavljačima zahtijevajući od pojedinačnih poduzeća da riješe kibersigurnosne rizike u lancima opskrbe i odnosima s dobavljačima. Na europskoj razini Direktivom se jača kibersigurnost lanca opskrbe za ključne informacijske i komunikacijske tehnologije. Države članice mogu u suradnji s Komisijom i ENISA-om provoditi koordinirane procjene sigurnosnih rizika ključnih lanaca opskrbe na razini Unije, nadovezujući se na uspješan pristup primijenjen u kontekstu Preporuke Komisije o kibersigurnosti 5G mreža.

Direktivom se uvode strože nadzorne mjere za nacionalna tijela, stroži zahtjevi za provedbu i usklađivanje sustava sankcija u državama članicama.

Njome se također jača uloga skupine za suradnju u oblikovanju strateških političkih odluka te se povećava razmjena informacija i suradnja među tijelima država članica. Njome se također jača operativna suradnja unutar mreže CSIRT-ova i uspostavlja europska mreža organizacija za vezu u kiberkrizama (EU-CyCLONe) kako bi se poduprlo koordinirano upravljanje kiberincidentima i kiberkrizama velikih razmjera.

Direktivom NIS2 uspostavlja se i osnovni okvir s odgovornim ključnim akterima za koordinirano otkrivanje ranjivosti za novootkrivene ranjivosti diljem EU-a te se stvara baza podataka EU-a o ranjivostima za javno poznate ranjivosti IKT proizvoda i IKT usluga kojom će upravljati i održavati Agencija EU-a za kibersigurnost (ENISA).

NIS2 obuhvaća subjekte iz sljedećih sektora:

Sektori visoke kritičnosti: energija (električna energija, centralizirano grijanje i hlađenje, nafta, plin i vodik); prijevoz (zračni, željeznički, vodeni i cestovni); bankarstvo; infrastrukture financijskog tržišta; zdravlje, uključujući proizvodnju farmaceutskih proizvoda, uključujući cjepiva; voda za piće; otpadne vode; digitalna infrastruktura (internetska razmjena točaka; Pružatelji DNS usluga; Registri naziva vršnih domena; pružatelji usluga računalstva u oblaku; pružatelji usluga podatkovnog centra; mreže za isporuku sadržaja; davatelji usluga povjerenja; pružatelji javnih elektroničkih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga); Upravljanje uslugama IKT-a (pružatelji usluga kojima se upravlja i pružatelji upravljanih sigurnosnih usluga), javna uprava i svemir.

Ostali ključni sektori: poštanske i kurirske usluge; gospodarenje otpadom; kemikalije; hrana; proizvodnja medicinskih proizvoda, računala i elektronike, strojeva i opreme, motornih vozila, prikolica i poluprikolica te ostale prijevozne opreme; digitalni pružatelji (internetska tržišta, internetske tražilice i platforme za usluge društvenih mreža) i istraživačke organizacije.

Evaluacija postojećih pravila o sigurnosnim zahtjevima i zahtjevima za izvješćivanje o incidentima pokazala je da su u nekim slučajevima države članice te zahtjeve provele na znatno različite načine. To je stvorilo dodatno opterećenje za poduzeća koja posluju u više od jedne države članice.

Nadalje, kad je riječ o kibersigurnosnim zahtjevima, želimo biti sigurni da se sva poduzeća bave potrebnim temeljnim skupom elemenata u svojim politikama upravljanja kibersigurnosnim rizicima.

Iz tog razloga NIS2 uključuje popis 10 ključnih elemenata koje sva poduzeća moraju riješiti ili provesti u okviru mjera koje poduzimaju, uključujući postupanje s incidentima, sigurnost lanca opskrbe, postupanje s ranjivostima i otkrivanje ranjivosti, upotrebu kriptografije i, prema potrebi, šifriranje.

Kad je riječ o izvješćivanju o incidentima, moramo uspostaviti pravu ravnotežu između potrebe za brzim izvješćivanjem kako bi se izbjeglo potencijalno širenje incidenata i potrebe za detaljnim izvješćivanjem kako bi se izvukle vrijedne pouke iz pojedinačnih incidenata. Novom Direktivom predviđa se višestruki pristup izvješćivanju o incidentima. Pogođena poduzeća imaju 24 sata od trenutka kada postanu svjesna incidenta da dostave rano upozorenje CSIRT-u ili nadležnom nacionalnom tijelu, što bi im omogućilo da zatraže pomoć (smjernice ili operativni savjeti o provedbi mogućih mjera ublažavanja) ako to zatraže. Nakon ranog upozorenja trebala bi uslijediti obavijest o incidentu u roku od 72 sata od saznanja o incidentu i završno izvješće najkasnije mjesec dana kasnije.

Novom Direktivom NIS nadzor i provedba stavljaju se u središte zadaća nadležnih tijela te se uspostavlja dosljedan okvir za sve nadzorne i provedbene aktivnosti u državama članicama.

Kako bi se ojačao nadzor koji pomaže osigurati učinkovitu usklađenost, NIS2 osigurava minimalni popis nadzornih sredstava putem kojih nadležna tijela mogu nadzirati ključne i važne subjekte. To uključuje redovite i ciljane revizije, provjere na licu mjesta i provjere na licu mjesta, zahtjeve za informacijama te pristup dokumentima ili dokazima.

Osim toga, novom se Direktivom uspostavlja razlikovanje nadzornih sustava između ključnih i važnih subjekata kako bi se osigurala pravedna ravnoteža obveza i za subjekte i za nadležna tijela.

Kad je riječ o provedbi, dosad je u državama članicama općenito bilo nesklono primjeni sankcija na subjekte koji nisu uspostavili sigurnosne mjere ili prijavili incidente. To može imati negativne posljedice na kiberotpornost subjekata. Kako bi provedba bila učinkovita, novom se Direktivom uspostavlja dosljedan okvir za sankcije diljem Unije. Stoga se utvrđuje minimalni popis administrativnih sankcija za kršenje obveza upravljanja kibersigurnosnim rizicima i izvješćivanja o njima utvrđenih u Direktivi NIS2. Te sankcije uključuju obvezujuće upute, nalog za provedbu preporuka sigurnosne revizije, nalog za usklađivanje sigurnosnih mjera sa zahtjevima za NIS i upravne novčane kazne. Kad je riječ o upravnim novčanim kaznama, u novoj Direktivi NIS razlikuju se ključni i važni subjekti. Kad je riječ o ključnim subjektima, njome se od država članica zahtijeva da predvide određenu razinu administrativnih novčanih kazni, posebno najviše 10 000 000 EUR ili 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome koji je iznos veći. Kad je riječ o važnim subjektima, Direktivom NIS2 od država članica zahtijeva se da predvide novčanu kaznu od najmanje 7 000 000 EUR ili najmanje 1,4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome koji je iznos veći.

Pri izvršavanju svojih provedbenih ovlasti nadležna tijela trebala bi uzeti u obzir posebne okolnosti svakog slučaja, kao što su priroda, težina i trajanje povrede, prouzročena šteta ili nastali gubici, namjerna ili nepažnja kršenja.

Kako bi se osigurala stvarna odgovornost za mjere kibersigurnosti na organizacijskoj razini, Direktivom NIS2 uvode se odredbe o odgovornosti fizičkih osoba na višim rukovodećim položajima u subjektima obuhvaćenima područjem primjene nove Direktive NIS.

Novim pravilima poboljšava se način na koji EU sprječava, rješava i odgovara na kiberincidente i kiberkrize velikih razmjera. To čine uvođenjem jasnih odgovornosti, odgovarajućim planiranjem i većom suradnjom na razini EU-a. Direktivom NIS2 od država članica zahtijeva se da imenuju nacionalna tijela odgovorna za upravljanje kiberkrizama, uvode se nacionalni planovi za odgovor na kiberincidente i kiberkrize velikih razmjera te uspostavlja europska mreža organizacija za vezu za kiberkrize (EU-CYCLONe) kako bi se poduprlo koordinirano upravljanje kiberincidentima i kiberkrizama velikih razmjera na operativnoj razini. Ta je mreža ključna sastavnica koja doprinosi uspostavi okvira EU-a za upravljanje kiberkrizama koji je Komisija utvrdila 2017. Preporukom o koordiniranom odgovoru na incidente i krize velikih razmjera.

U pravilu se smatra da su ključni i važni subjekti u nadležnosti države članice u kojoj imaju poslovni nastan. Ako subjekt ima poslovni nastan u više od jedne države članice, trebao bi biti u nadležnosti svake od tih država članica. Nadležna tijela svaka od tih država članica trebala bi surađivati, pružati uzajamnu pomoć jedna drugoj i, prema potrebi, provoditi zajedničke nadzorne mjere. Postoji nekoliko iznimaka od ovog pravila:

• pružatelji javnih elektroničkih komunikacijskih mreža ili pružatelja ili javno dostupnih elektroničkih komunikacijskih usluga bili bi u nadležnosti države članice u kojoj pružaju svoje usluge.
• tijelajavne uprave bila bi u nadležnosti države članice koja ih je osnovala.
• određene vrste subjekata bile bi u nadležnosti države članice u kojoj imaju glavni poslovni nastan u Uniji. Ti subjekti uključuju pružatelje usluga sustava naziva domena, registre naziva vršnih domena, subjekte koji pružaju usluge registracije naziva domena, pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnog centra, pružatelje mreža za isporuku sadržaja, pružatelje upravljanih usluga, pružatelje usluga kojima se upravlja, kao i pružatelje internetskih tržišta, internetskih tražilica i platformi društvenih mreža. Time se osigurava da se ti subjekti ne suočavaju s mnoštvom različitih pravnih zahtjeva jer pružaju usluge preko granica u posebno velikoj mjeri. Za potrebe učinkovitog nadzora države članice od tih će vrsta subjekata zahtijevati da, među ostalim, obavijeste o tome gdje je glavni poslovni nastan subjekta i njegove druge pravne poslovne jedinice u Uniji ili, ako nemaju poslovni nastan u Uniji, mjesto na kojem je imenovan predstavnik subjekta. Od ENISA-e bi se zahtijevalo da uspostavi i vodi registar s informacijama koje su na temelju toga dostavile države članice.

Suradnja EU-a napreduje tako što se državama članicama omogućuje zajedničko djelovanje i rješavanje novih sigurnosnih rizika koje predstavlja digitalna transformacija koja je u tijeku.

Konkretnije, države članice moći će zajednički nadzirati provedbu pravila EU-a i uzajamno si pomagati u slučaju prekograničnih zlouporaba, voditi strukturiraniji dijalog s privatnim sektorom i koordinirati otkrivanje ranjivosti u softveru i hardveru koji se prodaju na unutarnjem tržištu. Također će moći koordinirano raditi na procjeni sigurnosnih rizika i prijetnji povezanih s novim tehnologijama, kao što je prvi put učinjeno s 5G mrežom.

Državečlanice oslanjat će se na suradnju EU-a kako bi poboljšale nacionalne sposobnosti razmjenom osoblja među nadležnim tijelima i stručnim pregledima. Postojeće skupine, posebno skupina za suradnju koja okuplja nacionalna tijela za kibersigurnost i timovi za odgovor na računalne sigurnosne incidente (CSIRT-ovi) pridonijet će unapređenju suradnje na strateškoj i tehničkoj razini.

Direktiva NIS2 usko je povezana s dvjema drugim inicijativama, Direktivom o otpornosti kritičnih subjekata (CER) i Uredbom o digitalnoj operativnoj otpornosti za financijski sektor (Akt o digitalnoj operativnoj otpornosti, DORA).

Područje primjene Direktive NIS 2 i Direktive o otpornosti kritičnih subjekata (Direktiva CER) uvelike je usklađeno kako bi se osiguralo sveobuhvatno rješavanje pitanja fizičke i kiberotpornosti kritičnih subjekata. Subjekti utvrđeni kao kritični subjekti na temelju Direktive CER također će podlijegati kibersigurnosnim obvezama iz Direktive NIS2. Nadalje, nacionalna nadležna tijela u skladu s Direktivom CER i Direktivom NIS2 moraju redovito surađivati i razmjenjivati relevantne informacije, kao što su informacije o rizicima, kiberprijetnjama i incidentima te o rizicima, prijetnjama i incidentima koji nisu povezani s kiberprostorom. Skupina za suradnju u okviru Direktive NIS2 morat će se redovito, a najmanje jednom godišnje, sastajati sa Skupinom za otpornost kritičnih subjekata uspostavljenom na temelju Direktive CER.

Kad je riječ o financijskom sektoru, iako nova Direktiva NIS uključuje kreditne institucije, operatere mjesta trgovanja i središnje druge ugovorne strane obuhvaćene njezinim područjem primjene, DORA će se primjenjivati na te subjekte u pogledu obveza upravljanja kibersigurnosnim rizicima i izvješćivanja o njima. Istodobno je važno održati snažan odnos za razmjenu informacija između financijskog sektora i drugih sektora obuhvaćenih Direktivom NIS 2. U tu bi svrhu u okviru DORA-e europska nadzorna tijela (ESA) za financijski sektor i nadležna tijela financijskog sektora mogla sudjelovati u raspravama skupine za suradnju u području NIS-a. Nadalje, nadležna tijela DORA-e mogla bi konzultirati i razmjenjivati relevantne informacije s jedinstvenom kontaktnom točkom (SPOC-ovi) i CSIRT-ovima uspostavljenima na temelju sustava NIS2. Nadležna tijela, jedinstvene kontaktne točke ili CSIRT-ovi uspostavljeni u skladu s Direktivom NIS2 također bi od nadležnih tijela primali pojedinosti o velikim IKT incidentima u skladu s DORA-om. Nadalje, države članice trebale bi nastaviti uključivati financijski sektor u svoje strategije za kibersigurnost, a nacionalni CSIRT-ovi mogu u svoje aktivnosti obuhvaćati financijski sektor.

Države članice morat će prenijeti Direktivu do 17. listopada 2024. (21 mjesec od stupanja na snagu Direktive NIS2). Komisija zatim mora periodično preispitati funkcioniranje Direktive i o tome prvi put do 17. listopada 2027. izvijestiti Parlament i Vijeće.