Pravilima će se osigurati sigurnija i snažnija Europa znatnim širenjem sektora i vrste subjekata obuhvaćenih njezinim područjem primjene te jačanjem sigurnosnih zahtjeva za poduzeća.
Nedavne prijetnje povećale su potrebu za brzim i zajedničkim jačanjem kibersigurnosti EU-a za zaštitu građana i poduzeća. Ključno je i da ključni sektori i infrastruktura ostanu sigurni i otporni. Rješavanjem tih izazova Direktivom NIS 2 zamjenjuju se pravila o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS), koja je bila prvo zakonodavstvo na razini EU-a o kibersigurnosti kojim se u mnogim državama članicama utire put inovativnijem regulatornom pristupu kibersigurnosti.
Zaštita dodatnih ključnih sektora
Veća međusobna povezanost i digitalizacija određenih sektora dovode do više kiberprijetnji. Osiguravanjem da više sektora i subjekata mora poduzeti mjere upravljanja kibersigurnosnim rizicima povećat će se razina kibersigurnosti u Europi. Direktivom NIS 2 sada su obuhvaćeni dodatni sektori koji su ključni za gospodarstvo i društvo, uključujući pružatelje javnih elektroničkih komunikacijskih mreža i usluga, usluge podatkovnih centara, gospodarenje otpadnim vodama i otpadom, proizvodnju ključnih proizvoda, poštanske i kurirske usluge te tijela javne uprave. Pravilima je obuhvaćen i zdravstveni sektor u širem smislu, primjerice uključivanjem istraživanja i razvoja lijekova ili proizvodnje farmaceutskih proizvoda. Države članice imat će određeno diskrecijsko pravo pri utvrđivanju manjih subjekata visokog sigurnosnog profila koji bi trebali biti uključeni u područje primjene Direktive.
Poboljšani sigurnosni zahtjevi za poduzeća
Direktivom NIS 2 jačaju se i zahtjevi za upravljanje kibersigurnosnim rizicima koje poduzeća moraju poštovati. Kao i u skladu s Direktivom NIS, poduzeća će morati poduzeti odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibersigurnosnim rizicima te sprečavanje i smanjenje učinka mogućih incidenata. Taj zahtjev postaje mnogo konkretniji u okviru Direktive NIS 2 s popisom usmjerenih mjera, uključujući, među ostalim, odgovor na incidente i upravljanje krizama, postupanje s ranjivostima i njihovo otkrivanje, politike i postupke za procjenu učinkovitosti mjera upravljanja kibersigurnosnim rizicima ili kibersigurnosnu higijenu i osposobljavanje.
Kako bi se povećala razmjena informacija i suradnja u upravljanju kiberkrizama na nacionalnoj razini i razini EU-a, Direktivom se pojednostavnjuju obveze izvješćivanja o incidentima preciznijim odredbama o izvješćivanju, sadržaju i vremenskom okviru. Nadalje, postoje strože nadzorne mjere za nacionalna tijela, kao i stroži zahtjevi za provedbu, zajedno s popisom administrativnih sankcija, uključujući novčane kazne za kršenje obveza upravljanja kibersigurnosnim rizicima i izvješćivanja.
Sljedeći koraci
Države članice imat će 21 mjesec za prenošenje Direktive NIS 2 u nacionalno zakonodavstvo. Tijekom tog razdoblja države članice donose i objavljuju mjere potrebne za usklađivanje s ovom Direktivom.
Vijeće je u prosincu 2022. donijelo preporuku o koordinacijskom pristupu na razini Unije za jačanje otpornosti kritične infrastrukture, u kojoj se države članice pozivaju da ubrzaju pripreme za prenošenje i primjenu Direktive NIS 2 i Direktive o otpornosti kritičnih subjekata (CER).
Okolnosti spora
Kibersigurnost je prioritet Komisije i temelj digitalne i povezane Europe.
Direktiva NIS, koja je stupila na snagu 2016., bila je prvi zakonodavni akt o kibersigurnosti na razini EU-a te je pomogla u postizanju zajedničke visoke razine sigurnosti mrežnih i informacijskih sustava u cijeloj Uniji. Direktivom NIS obuhvaćeno je nekoliko sektora, uključujući energetiku, promet, bankarstvo i financije, zdravstvo, opskrbu pitkom vodom i njezinu distribuciju te digitalnu infrastrukturu. Njome su obuhvaćeni i pružatelji digitalnih usluga, posebno pružatelji usluga u oblaku, internetska tržišta i internetske tražilice.
U okviru svojeg ključnog cilja politike da Europu učini spremnom za digitalno doba Komisija je u prosincu 2020. predložila reviziju Direktive NIS. Aktom EU-a o kibersigurnosti koji je na snazi od 2019. Europa je opremljena okvirom za kibersigurnosnu certifikaciju proizvoda, usluga i postupaka te je ojačan mandat Agencije EU-a za kibersigurnost (ENISA). Komisija je u rujnu 2022. donijela Prijedlog akta o kiberotpornosti kojim se utvrđuju kibersigurnosni zahtjevi za proizvode s digitalnim elementom, koji obuhvaćaju i hardver i softver.