Wniosek dotyczący dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii

Pomimo znaczących osiągnięć dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa w sprawie bezpieczeństwa sieci i informacji), która utorowała drogę do znaczącej zmiany sposobu myślenia, instytucjonalnego i regulacyjnego podejścia do cyberbezpieczeństwa w wielu państwach członkowskich, również dowiodła swoich ograniczeń. Cyfrowa transformacja społeczeństwa (zintensyfikowana przez kryzys związany z COVID-19) rozszerzyła krajobraz zagrożeń i przynosi nowe wyzwania, które wymagają dostosowanej i innowacyjnej reakcji.
Obecnie wszelkie zakłócenia, nawet początkowo ograniczone do jednego podmiotu lub jednego sektora, mogą mieć skutki kaskadowe w szerszym zakresie, potencjalnie powodując daleko idące i długotrwałe negatywne skutki dla świadczenia usług na całym rynku wewnętrznym.

Aby sprostać tym wyzwaniom, jak zapowiedziano w komunikacie w sprawie kształtowania cyfrowej przyszłości Europy, Komisja przyspieszyła przegląd dyrektywy do końca 2020 r., przeprowadziła ocenę skutków i przedstawiła nowy wniosek ustawodawczy.

Kluczowe elementy wniosku Komisji

Nowy wniosek Komisji ma na celu usunięcie niedociągnięć poprzedniej dyrektywy w sprawie bezpieczeństwa sieci i informacji, dostosowanie jej do obecnych potrzeb i dostosowanie jej do przyszłych potrzeb.

W tym celu wniosek Komisji rozszerza zakres obecnej dyrektywy w sprawie bezpieczeństwa sieci i informacji poprzez dodanie nowych sektorów w oparciu o ich krytyczność dla gospodarki i społeczeństwa oraz poprzez wprowadzenie wyraźnego pułapu wielkości – co oznacza, że wszystkie średnie i duże przedsiębiorstwa w wybranych sektorach zostaną objęte zakresem. Jednocześnie pozostawia państwom członkowskim pewną elastyczność w identyfikacji mniejszych podmiotów o wysokim profilu ryzyka dla bezpieczeństwa.

WE wniosku wyeliminowano również rozróżnienie między operatorami usług kluczowych a dostawcami usług cyfrowych. Podmioty zostałyby zaklasyfikowane na podstawie ich znaczenia i podzielone odpowiednio na istotne i ważne kategorie, co spowodowałoby poddanie ich różnym systemom nadzoru.

WE wniosku zaostrzono wymogi bezpieczeństwa dla przedsiębiorstw poprzez wprowadzenie podejścia do zarządzania ryzykiem zapewniającego minimalny wykaz podstawowych elementów bezpieczeństwa, które należy zastosować. Wniosek wprowadza bardziej precyzyjne przepisy dotyczące procesu zgłaszania incydentów, treści zgłoszeń i terminów.

Ponadto Komisja proponuje zajęcie się kwestią bezpieczeństwa łańcuchów dostaw i relacji z dostawcami poprzez nałożenie na poszczególne przedsiębiorstwa obowiązku zajęcia się ryzykiem związanym z cyberbezpieczeństwem w łańcuchach dostaw i relacjach z dostawcami. Na szczeblu europejskim wniosek wzmacnia cyberbezpieczeństwo łańcucha dostaw w odniesieniu do kluczowych technologii informacyjno-komunikacyjnych. Państwa członkowskie we współpracy z Komisją i ENISA będą przeprowadzać skoordynowane oceny ryzyka w odniesieniu do krytycznych łańcuchów dostaw w oparciu o udane podejście przyjęte w kontekście zalecenia Komisji w sprawie cyberbezpieczeństwa sieci 5G.

Wniosek wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, bardziej rygorystyczne wymogi w zakresie egzekwowania przepisów i ma na celu harmonizację systemów sankcji w państwach członkowskich.

Wniosek zwiększa również rolę grupy współpracy w kształtowaniu strategicznych decyzji politycznych dotyczących pojawiających się technologii i nowych trendów oraz zwiększa wymianę informacji i współpracę między organami państw członkowskich. Wzmacnia również współpracę operacyjną, w tym w zakresie zarządzania kryzysami cybernetycznymi.

WE wniosku Komisji ustanowiono podstawowe ramy obejmujące odpowiedzialne kluczowe podmioty w zakresie skoordynowanego ujawniania podatności na zagrożenia w odniesieniu do nowo wykrytych luk w zabezpieczeniach w całej UE oraz utworzenie unijnego rejestru prowadzonego przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).
 

Kolejne kroki

Kolejne istotne działania to:

• Wniosek będzie przedmiotem negocjacji między współprawodawcami, w szczególności Radą UE i Parlamentem Europejskim.
• Po uzgodnieniu i przyjęciu wniosku państwa członkowskie będą musiały dokonać transpozycji dyrektywy NIS2 w ciągu 18 miesięcy.
• Komisja musi okresowo dokonywać przeglądu dyrektywy NIS2 i po raz pierwszy złożyć sprawozdanie z przeglądu 54 miesięcy po wejściu w życie.
• Komisja Europejska oczekuje wdrożenia nowej strategii w dziedzinie cyberprzestrzeni w nadchodzących miesiącach.