Skip to main content
Shaping Europe’s digital future
News article | Publikacija

Pokretanje novih strožih pravila o kibersigurnosti za sigurnije digitalno okruženje EU-a

Danas su na snagu stupila nova pravila EU-a o kibersigurnosti sektora koji su najznačajniji za funkcioniranje gospodarstva i društva Direktivom o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (Direktiva NIS 2).

graphic showing a lock projected on a microchip

iStock photo Getty images Plus

Pravilima će se osigurati sigurnija i snažnija Europa znatnim širenjem sektora i vrste subjekata obuhvaćenih njezinim područjem primjene te jačanjem sigurnosnih zahtjeva za poduzeća.

Nedavne prijetnje povećale su potrebu za brzim i zajedničkim jačanjem kibersigurnosti EU-a za zaštitu građana i poduzeća. Ključno je i da ključni sektori i infrastruktura ostanu sigurni i otporni. Rješavanjem tih izazova Direktivom NIS 2 zamjenjuju se pravila o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS), koja je bila prvo zakonodavstvo na razini EU-a o kibersigurnosti kojim se u mnogim državama članicama utire put inovativnijem regulatornom pristupu kibersigurnosti.

Zaštita dodatnih ključnih sektora

Veća međusobna povezanost i digitalizacija određenih sektora dovode do više kiberprijetnji. Osiguravanjem da više sektora i subjekata mora poduzeti mjere upravljanja kibersigurnosnim rizicima povećat će se razina kibersigurnosti u Europi. Direktivom NIS 2 sada su obuhvaćeni dodatni sektori koji su ključni za gospodarstvo i društvo, uključujući pružatelje javnih elektroničkih komunikacijskih mreža i usluga, usluge podatkovnih centara, gospodarenje otpadnim vodama i otpadom, proizvodnju ključnih proizvoda, poštanske i kurirske usluge te tijela javne uprave. Pravilima je obuhvaćen i zdravstveni sektor u širem smislu, primjerice uključivanjem istraživanja i razvoja lijekova ili proizvodnje farmaceutskih proizvoda. Države članice imat će određeno diskrecijsko pravo pri utvrđivanju manjih subjekata visokog sigurnosnog profila koji bi trebali biti uključeni u područje primjene Direktive.

Poboljšani sigurnosni zahtjevi za poduzeća

Direktivom NIS 2 jačaju se i zahtjevi za upravljanje kibersigurnosnim rizicima koje poduzeća moraju poštovati.  Kao i u skladu s Direktivom NIS, poduzeća će morati poduzeti odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibersigurnosnim rizicima te sprečavanje i smanjenje učinka mogućih incidenata. Taj zahtjev postaje mnogo konkretniji u okviru Direktive NIS 2 s popisom usmjerenih mjera, uključujući, među ostalim, odgovor na incidente i upravljanje krizama, postupanje s ranjivostima i njihovo otkrivanje, politike i postupke za procjenu učinkovitosti mjera upravljanja kibersigurnosnim rizicima ili kibersigurnosnu higijenu i osposobljavanje.

Kako bi se povećala razmjena informacija i suradnja u upravljanju kiberkrizama na nacionalnoj razini i razini EU-a, Direktivom se pojednostavnjuju obveze izvješćivanja o incidentima preciznijim odredbama o izvješćivanju, sadržaju i vremenskom okviru. Nadalje, postoje strože nadzorne mjere za nacionalna tijela, kao i stroži zahtjevi za provedbu, zajedno s popisom administrativnih sankcija, uključujući novčane kazne za kršenje obveza upravljanja kibersigurnosnim rizicima i izvješćivanja.

Sljedeći koraci

Države članice imat će 21 mjesec za prenošenje Direktive NIS 2 u nacionalno zakonodavstvo. Tijekom tog razdoblja države članice donose i objavljuju mjere potrebne za usklađivanje s ovom Direktivom.

Vijeće je u prosincu 2022. donijelo preporuku o koordinacijskom pristupu na razini Unije za jačanje otpornosti kritične infrastrukture, u kojoj se države članice pozivaju da ubrzaju pripreme za prenošenje i primjenu Direktive NIS 2 i Direktive o otpornosti kritičnih subjekata (CER). 

Okolnosti spora

Kibersigurnost je prioritet Komisije i temelj digitalne i povezane Europe.

Direktiva NIS, koja je stupila na snagu 2016., bila je prvi zakonodavni akt o kibersigurnosti na razini EU-a te je pomogla u postizanju zajedničke visoke razine sigurnosti mrežnih i informacijskih sustava u cijeloj Uniji. Direktivom NIS obuhvaćeno je nekoliko sektora, uključujući energetiku, promet, bankarstvo i financije, zdravstvo, opskrbu pitkom vodom i njezinu distribuciju te digitalnu infrastrukturu. Njome su obuhvaćeni i pružatelji digitalnih usluga, posebno pružatelji usluga u oblaku, internetska tržišta i internetske tražilice.

U okviru svojeg ključnog cilja politike da Europu učini spremnom za digitalno doba Komisija je u prosincu 2020. predložila reviziju Direktive NIS. Aktom EU-a o kibersigurnosti koji je na snazi od 2019. Europa je opremljena okvirom za kibersigurnosnu certifikaciju proizvoda, usluga i postupaka te je ojačan mandat Agencije EU-a za kibersigurnost (ENISA). Komisija je u rujnu 2022. donijela Prijedlog akta o kiberotpornosti kojim se utvrđuju kibersigurnosni zahtjevi za proizvode s digitalnim elementom, koji obuhvaćaju i hardver i softver.

Više podataka

Informativni članak o Direktivi o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (Direktiva NIS 2)

Pitanja i odgovori:  Direktiva o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (Direktiva NIS 2)

Cjeloviti pravni tekst Direktive