iStock photo Getty images plus
Niedawne zagrożenia dla infrastruktury krytycznej UE próbowały podważyć nasze zbiorowe bezpieczeństwo. Już w 2020 r. Komisja zaproponowała znaczną modernizację unijnych przepisów dotyczących odporności podmiotów krytycznych oraz bezpieczeństwa sieci i systemów informatycznych.
Dwie dyrektywy, które wchodzą w życie, to:
- Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2)
- Dyrektywa w sprawie odporności podmiotów krytycznych (dyrektywa CER)
Dyrektywa NIS 2 zapewni bezpieczniejszą i silniejszą Europę dzięki znacznemu rozszerzeniu sektorów i rodzajów podmiotów krytycznych objętych jej zakresem. Obejmują one dostawców publicznych sieci i usług łączności elektronicznej, usługi centrów danych, gospodarowanie ściekami i odpadami, wytwarzanie produktów o krytycznym znaczeniu, usługi pocztowe i kurierskie oraz podmioty administracji publicznej, a także szeroko pojęty sektor opieki zdrowotnej. Ponadto wzmocni on wymogi w zakresie zarządzania ryzykiem w cyberprzestrzeni, które przedsiębiorstwa są zobowiązane spełnić, a także usprawni obowiązki w zakresie zgłaszania incydentów za pomocą bardziej precyzyjnych przepisów dotyczących zgłaszania, treści i harmonogramu. Dyrektywa NIS2 zastępuje przepisy dotyczące bezpieczeństwa sieci i systemów informatycznych, pierwsze ogólnounijne przepisy dotyczące cyberbezpieczeństwa.
W obliczu coraz bardziej złożonego krajobrazu ryzyka nowa dyrektywa CER zastępuje dyrektywę w sprawie europejskiej infrastruktury krytycznej z 2008 r. Nowe przepisy wzmocnią odporność infrastruktury krytycznej na szereg zagrożeń, w tym na zagrożenia naturalne, ataki terrorystyczne, zagrożenia wewnętrzne lub sabotaż. Obejmie ono 11 sektorów: energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i żywność. Państwa członkowskie będą musiały przyjąć krajową strategię i przeprowadzać regularne oceny ryzyka w celu zidentyfikowania podmiotów uznawanych za kluczowe lub niezbędne dla społeczeństwa i gospodarki.
Państwa członkowskie mają 21 miesięcy na transpozycję obu dyrektyw do prawa krajowego. W tym czasie państwa członkowskie przyjmują i publikują środki niezbędne do ich wykonania.
W grudniu 2022 r. Rada przyjęła zalecenie w sprawie ogólnounijnego podejścia koordynacyjnego w celu wzmocnienia odporności infrastruktury krytycznej, w którym wzywa się państwa członkowskie do przyspieszenia prac przygotowawczych do transpozycji i stosowania NIS 2 oraz dyrektywy w sprawie odporności podmiotów krytycznych (CER).