Napriek pozoruhodným úspechom smernica o bezpečnosti sietí a informačných systémov (smernica NIS), ktorá pripravila pôdu pre významnú zmenu zmýšľania, inštitucionálneho a regulačného prístupu ku kybernetickej bezpečnosti v mnohých členských štátoch, už takisto preukázala svoje obmedzenia. Digitálna transformácia spoločnosti (zintenzívnená krízou spôsobenou ochorením COVID-19) rozšírila prostredie hrozieb a prináša nové výzvy, ktoré si vyžadujú prispôsobené a inovatívne reakcie.
V súčasnosti môže mať akékoľvek narušenie, dokonca aj jedno pôvodne obmedzené na jeden subjekt alebo jeden sektor, všeobecnejšie kaskádové účinky, čo by mohlo viesť k ďalekosiahlym a dlhotrvajúcim negatívnym vplyvom na poskytovanie služieb na celom vnútornom trhu.
S cieľom riešiť tieto výzvy, ako bolo oznámené v oznámení o formovaní digitálnej budúcnosti Európy, Komisia urýchlila preskúmanie smernice do konca roka 2020, vykonala posúdenie vplyvu a predložila nový legislatívny návrh.
Kľúčové prvky návrhu Komisie
Cieľom nového návrhu Komisie je riešiť nedostatky predchádzajúcej smernice NIS, prispôsobiť ju súčasným potrebám a zabezpečiť, aby bola nadčasová.
Na tento účel sa návrhom Komisie rozširuje rozsah pôsobnosti súčasnej smernice o bezpečnosti sietí a informácií pridaním nových odvetví založených na ich kritickosti pre hospodárstvo a spoločnosť a zavedením jasného veľkostného stropu, čo znamená, že do rozsahu pôsobnosti budú zahrnuté všetky stredné a veľké spoločnosti vo vybraných odvetviach. Zároveň ponecháva členským štátom určitú flexibilitu pri identifikácii menších subjektov s vysokým bezpečnostným rizikovým profilom.
Návrhom sa takisto odstraňuje rozlišovanie medzi prevádzkovateľmi základných služieb a poskytovateľmi digitálnych služieb. Subjekty by boli klasifikované na základe ich významu a rozdelené do základných a dôležitých kategórií, v dôsledku čoho by podliehali rôznym režimom dohľadu.
Návrhom sa posilňujú bezpečnostné požiadavky pre spoločnosti tým, že sa zavádza prístup k riadeniu rizík, ktorý poskytuje minimálny zoznam základných bezpečnostných prvkov, ktoré sa musia uplatňovať. Návrhom sa zavádzajú presnejšie ustanovenia o postupe oznamovania incidentov, obsahu správ a harmonogramoch.
Komisia okrem toho navrhuje riešiť otázku bezpečnosti dodávateľských reťazcov a vzťahov s dodávateľmi tým, že od jednotlivých spoločností vyžaduje, aby riešili kybernetickobezpečnostné riziká v dodávateľských reťazcoch a vzťahoch s dodávateľmi. Na európskej úrovni návrh posilňuje kybernetickú bezpečnosť dodávateľského reťazca pre kľúčové informačné a komunikačné technológie. Členské štáty v spolupráci s Komisiou a agentúrou ENISA vykonajú koordinované posúdenia rizík kritických dodávateľských reťazcov na základe úspešného prístupu prijatého v kontexte odporúčania Komisie o kybernetickej bezpečnosti sietí 5G.
Návrhom sa zavádzajú prísnejšie opatrenia dohľadu pre vnútroštátne orgány, prísnejšie požiadavky na presadzovanie a jeho cieľom je harmonizácia sankčných režimov vo všetkých členských štátoch.
Návrhom sa takisto posilňuje úloha skupiny pre spoluprácu pri formovaní strategických politických rozhodnutí týkajúcich sa vznikajúcich technológií a nových trendov a zvyšuje sa výmena informácií a spolupráca medzi orgánmi členských štátov. Posilňuje sa ním aj operačná spolupráca, a to aj v oblasti riadenia kybernetických kríz.
V návrhu Komisie sa stanovuje základný rámec so zodpovednými kľúčovými aktérmi pre koordinované zverejňovanie informácií o zraniteľnosti v prípade novoobjavených zraniteľných miest v celej EÚ a vytvorenie registra EÚ, ktorý prevádzkuje Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA).
Ďalšie kroky
Príslušnými ďalšími krokmi sú:
- Návrh bude predmetom rokovaní medzi spoluzákonodarcami, najmä Radou EÚ a Európskym parlamentom.
- Keď sa návrh schváli a následne prijme, členské štáty budú musieť transponovať smernicu NIS2 do 18 mesiacov.
- Komisia musí pravidelne preskúmavať smernicu NIS2 a po prvýkrát podať správu o preskúmaní 54 mesiacov po nadobudnutí účinnosti.
- Európska komisia očakáva zavedenie novej kybernetickej stratégie v nadchádzajúcich mesiacoch.
Related content
Policy and legislation | 16 December 2020
-