Unatoč svojim značajnim postignućima, Direktiva o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS), koja je otvorila put za znatnu promjenu načina razmišljanja, institucionalnog i regulatornog pristupa kibersigurnosti u mnogim državama članicama, dosad je dokazala svoja ograničenja. Digitalna transformacija društva (pojačana krizom uzrokovanom bolešću COVID-19) proširila je okruženje prijetnji i donosi nove izazove koji zahtijevaju prilagođene i inovativne odgovore.
Sada svaki poremećaj, čak i onaj koji je prvotno ograničen na jedan subjekt ili jedan sektor, može imati kaskadne učinke u širem smislu, što bi moglo dovesti do dalekosežnih i dugotrajnih negativnih učinaka na pružanje usluga na cijelom unutarnjem tržištu.
Kako bi odgovorila na te izazove, kako je najavljeno u Komunikaciji o oblikovanju digitalne budućnosti Europe, Komisija je do kraja 2020. ubrzala preispitivanje Direktive, provela je procjenu učinka i predstavila novi zakonodavni prijedlog.
Ključni elementi prijedloga Komisije
Cilj je novog prijedloga Komisije ukloniti nedostatke iz prethodne Direktive NIS, prilagoditi je trenutačnim potrebama i učiniti ga otpornim na promjene u budućnosti.
U tu svrhu prijedlogom Komisije proširuje se područje primjene postojeće Direktive NIS dodavanjem novih sektora na temelju njihove kritičnosti za gospodarstvo i društvo te uvođenjem jasne gornje granice veličine, što znači da će sva srednja i velika poduzeća u odabranim sektorima biti uključena u područje primjene. Istodobno državama članicama ostavlja određenu fleksibilnost u utvrđivanju manjih subjekata s visokim profilom rizičnosti u području sigurnosti.
Prijedlogom se uklanja i razlika između operatora ključnih usluga i pružatelja digitalnih usluga. Subjekti bi bili razvrstani na temelju njihove važnosti i podijeljeni u ključne i važne kategorije s posljedicom podvrgavanja različitim nadzornim sustavima.
Prijedlogom se jačaju sigurnosni zahtjevi za poduzeća uvođenjem pristupa upravljanju rizicima kojim se osigurava minimalni popis osnovnih sigurnosnih elemenata koje je potrebno primijeniti. Prijedlogom se uvode preciznije odredbe o postupku izvješćivanja o incidentima, sadržaju izvješća i rokovima.
Nadalje, Komisija predlaže rješavanje pitanja sigurnosti lanaca opskrbe i odnosa s dobavljačima zahtijevajući od pojedinačnih poduzeća da riješe kibersigurnosne rizike u lancima opskrbe i odnosima s dobavljačima. Na europskoj razini prijedlogom se jača kibersigurnost lanca opskrbe za ključne informacijske i komunikacijske tehnologije. Države članice u suradnji s Komisijom i ENISA-om provodit će koordinirane procjene rizika ključnih lanaca opskrbe, nadovezujući se na uspješan pristup primijenjen u kontekstu Preporuke Komisije o kibersigurnosti 5G mreža.
Prijedlogom se uvode strože nadzorne mjere za nacionalna tijela, stroži zahtjevi za provedbu i usklađivanje sustava sankcija u državama članicama.
Prijedlogom se jača i uloga Skupine za suradnju u oblikovanju strateških političkih odluka o novim tehnologijama i novim trendovima te se povećava razmjena informacija i suradnja među tijelima država članica. Njime se poboljšava i operativna suradnja, među ostalim u području upravljanja kiberkrizama.
Prijedlogom Komisije uspostavlja se osnovni okvir s odgovornim ključnim akterima za koordinirano otkrivanje ranjivosti za novootkrivene ranjivosti diljem EU-a i stvaranje registra EU-a o tome kojim upravlja Agencija Europske unije za kibersigurnost (ENISA).
Sljedeći koraci
Relevantni sljedeći koraci su:
- Prijedlog će biti predmet pregovora između suzakonodavaca, posebno Vijeća EU-a i Europskog parlamenta.
- Nakon što se prijedlog usuglasi i donese, države članice morat će prenijeti Direktivu NIS2 u roku od 18 mjeseci.
- Komisija mora periodično preispitati Direktivu NIS2 i prvi put izvijestiti o preispitivanju 54 mjeseca nakon stupanja na snagu.
- Europska komisija sa zanimanjem iščekuje provedbu nove strategije za kibersigurnost u nadolazećim mjesecima.
Related content
Policy and legislation | 16 prosinca 2020
-