Direktiva NIS 2: nova pravila o kibersigurnosti mrežnih i informacijskih sustava

Kibersigurnost uključuje zaštitu mrežnih i informacijskih sustava (NIS), njihovih korisnika i drugih pogođenih pojedinaca od kiberincidenata i prijetnji. Kako bi se odgovorilo na povećanu izloženost Europe kiberprijetnjama, Direktiva 2022/2555, poznata i kao Direktiva NIS2, zamijenila je svoju prethodnicu, Direktivu 2016/1148 ili Direktivu NIS1. Direktivom NIS 2 povećava se zajednička razina ambicije EU-a u području kibersigurnosti s pomoću šireg područja primjene, jasnijih pravila i jačih alata za nadzor. Njome se od država članica zahtijeva da poboljšaju svoje kibersigurnosne sposobnosti te da istodobno uvedu mjere upravljanja rizicima i zahtjeve za izvješćivanje subjekata iz više sektora te uspostave pravila za suradnju, razmjenu informacija, nadzor i provedbu kibersigurnosnih mjera.

Direktivom se nalaže da svaka država članica donese nacionalnu strategiju za kibersigurnost, koja uključuje politike za sigurnost lanca opskrbe, upravljanje ranjivostima te obrazovanje i podizanje razine osviještenosti o kibersigurnosti. Države članice također moraju uspostaviti i redovito ažurirati popis operatora ključnih usluga kako bi osigurale da ti subjekti ispunjavaju zahtjeve iz Direktive. 

Uz sektore koji su već obuhvaćeni Direktivom NIS 1, kao što su energetika, promet, zdravstvo, financije, upravljanje vodama i digitalna infrastruktura, ta se pravila primjenjuju na pružatelje javnih elektroničkih komunikacijskih usluga, više digitalnih usluga kao što su društvene platforme, gospodarenje otpadnim vodama i otpadom, proizvodnja ključnih proizvoda, poštanske i kurirske usluge, javnu upravu, na središnjoj i regionalnoj razini ili u svemiru. Srednji i veliki subjekti u tim kritičnim sektorima u pravilu će morati poduzeti odgovarajuće mjere upravljanja kibersigurnosnim rizicima i obavijestiti relevantna nacionalna tijela o ozbiljnim incidentima. Riječ je o incidentima koji bi mogli uzrokovati znatne poremećaje ili štetu. 

Direktiva sadržava i odredbe o nadzoru, provedbi i dobrovoljnim istorazinskim ocjenama kako bi se povećalo uzajamno povjerenje i kapaciteti u području kibersigurnosti u cijelom EU-u. Njome se uvodi i odgovornost najvišeg rukovodstva za neusklađenost s mjerama upravljanja kibersigurnosnim rizicima, čime se skreće pozornost uprave na kibersigurnost.

Direktivom se uspostavlja mreža timova za odgovor na računalne sigurnosne incidente (CSIRT-ovi) radi razmjene informacija o kiberprijetnjama i odgovora na incidente. Ti su timovi ključni za održavanje informiranosti o stanju i pružanje pomoći. Radi upravljanja kiberincidentima ili kiberkrizama velikih razmjera Direktivom se uspostavlja Europska mreža organizacija za vezu za kiberkrize (EU-CyCLONe). Ta mreža podupire koordinirano upravljanje i osigurava redovitu razmjenu informacija među državama članicama i institucijama EU-a u slučaju incidenata i kriza velikih razmjera. 

Skupina za suradnju u području sigurnosti mrežnih i informacijskih sustava istodobno je platforma uspostavljena Direktivom o sigurnosti mrežnih i informacijskih sustava kako bi se olakšala strateška suradnja i razmjena informacija među državama članicama EU-a, Europskom komisijom i Agencijom EU-a za kibersigurnost (ENISA). Skupina objavljuje neobvezujuće smjernice i preporuke za potporu provedbi Direktive NIS.

Kontekst

Direktiva NIS 1 (Direktiva 2016/1148) bila je prvo sveobuhvatno zakonodavstvo EU-a usmjereno na jačanje kibersigurnosti mrežnih i informacijskih sustava radi zaštite ključnih usluga za gospodarstvo i društvo EU-a. Komisija je u prosincu 2020. predložila reviziju Direktive NIS 1, što je dovelo do donošenja Direktive NIS 2, koja je stupila na snagu u siječnju 2023. Države članice morale su do 17. listopada 2024. prenijeti Direktivu NIS 2 u nacionalno pravo. Direktiva NIS 2 stavljena je izvan snage s učinkom od 18. listopada 2024.

Komisija je pokrenula postupke zbog povrede upućivanjem službenih opomena 23 države članice jer nisu u potpunosti prenijele Direktivu NIS 2 u nacionalno zakonodavstvo do roka 17. listopada 2024. Države članice moraju odgovoriti i dovršiti prenošenje Direktive. Ako to ne učine, Komisija može izdati obrazloženo mišljenje, što je službeni zahtjev za usklađivanje s pravom EU-a. Kontinuirana neusklađenost mogla bi u konačnici dovesti do upućivanja predmeta Sudu Europske unije, koji može izreći novčane kazne.