Pravidlá zabezpečia bezpečnejšiu a silnejšiu Európu výrazným rozšírením odvetví a typov subjektov, ktoré patria do rozsahu jej pôsobnosti, a posilnením bezpečnostných požiadaviek pre spoločnosti.
Nedávne hrozby zintenzívnili potrebu rýchleho a spoločného posilnenia kybernetickej bezpečnosti EÚ v záujme ochrany občanov a podnikov. Takisto je veľmi dôležité, aby kritické odvetvia a infraštruktúra zostali bezpečné a odolné. Riešením týchto výziev smernica NIS 2 nahrádza pravidlá týkajúce sa bezpečnosti sietí a informačných systémov (smernica NIS), ktoré boli prvým celoeurópskym právnym predpisom o kybernetickej bezpečnosti, ktorý pripravil pôdu pre inovatívnejší regulačný prístup ku kybernetickej bezpečnosti v mnohých členských štátoch.
Ochrana ďalších kľúčových odvetví
Väčšie prepojenie a digitalizácia určitých odvetví vedú k väčším kybernetickým hrozbám. Zabezpečením toho, aby viac odvetví a subjektov muselo prijať opatrenia na riadenie kybernetickobezpečnostných rizík, sa zvýši úroveň kybernetickej bezpečnosti v Európe. Smernica NIS 2 sa v súčasnosti vzťahuje na ďalšie odvetvia, ktoré sú kľúčové pre hospodárstvo a spoločnosť, vrátane poskytovateľov verejných elektronických komunikačných sietí a služieb, služieb dátových centier, nakladania s odpadovými vodami a odpadového hospodárstva, výroby kritických produktov, poštových a kuriérskych služieb a subjektov verejnej správy. Pravidlá sa vzťahujú aj na sektor zdravotnej starostlivosti v širšom zmysle, napríklad zahrnutím výskumu a vývoja liekov alebo výroby farmaceutických výrobkov. Členské štáty budú mať určitú voľnosť pri identifikácii menších subjektov s vysokým bezpečnostným profilom, ktoré by mali byť zahrnuté do rozsahu pôsobnosti smernice.
Zlepšené bezpečnostné požiadavky pre spoločnosti
Smernicou NIS 2 sa takisto posilňujú požiadavky na riadenie kybernetickobezpečnostných rizík, ktoré sú spoločnosti povinné dodržiavať. Tak ako podľa smernice NIS, spoločnosti budú musieť prijať vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie kybernetickobezpečnostných rizík, prevenciu a minimalizáciu vplyvu potenciálnych incidentov. Táto požiadavka sa stáva oveľa konkrétnejšou v rámci smernice NIS 2 so zoznamom cielených opatrení zahŕňajúcich okrem iného reakciu na incidenty a krízové riadenie, riešenie a zverejňovanie zraniteľnosti, politiky a postupy na posúdenie účinnosti opatrení na riadenie kybernetickobezpečnostných rizík alebo hygienu a odbornú prípravu v oblasti kybernetickej bezpečnosti.
S cieľom pomôcť zvýšiť výmenu informácií a spoluprácu v oblasti riadenia kybernetických kríz na vnútroštátnej úrovni aj na úrovni EÚ sa v smernici zefektívňujú povinnosti nahlasovania incidentov s presnejšími ustanoveniami o nahlasovaní, obsahu a harmonograme. Okrem toho existujú prísnejšie opatrenia dohľadu pre vnútroštátne orgány, ako aj prísnejšie požiadavky na presadzovanie, ako aj zoznam správnych sankcií vrátane pokút za porušenie povinností v oblasti riadenia kybernetickobezpečnostných rizík a podávania správ.
Ďalšie kroky
Členské štáty budú mať 21 mesiacov na transpozíciu smernice NIS2 do vnútroštátneho práva. Počas tohto obdobia členské štáty prijmú a uverejnia opatrenia potrebné na dosiahnutie súladu s touto smernicou.
Rada v decembri 2022 prijala odporúčanie týkajúce sa celoúnijného koordinačného prístupu na posilnenie odolnosti kritickej infraštruktúry, v rámci ktorého sa členské štáty vyzývajú, aby urýchlili prípravné práce na transpozícii a uplatňovaní smernice NIS 2 a smernice o odolnosti kritických subjektov (CER).
Okolnosti predchádzajúce sporu
Kybernetická bezpečnosť je prioritou Komisie a základným kameňom digitálnej a prepojenej Európy.
Prvý celoeurópsky právny predpis o kybernetickej bezpečnosti, smernica NIS, ktorá nadobudla účinnosť v roku 2016, pomohla dosiahnuť spoločnú vysokú úroveň bezpečnosti sietí a informačných systémov v celej EÚ. Smernica NIS sa vzťahovala na niekoľko odvetví vrátane energetiky, dopravy, bankovníctva a financií, zdravotníctva, dodávok a distribúcie pitnej vody, ako aj digitálnej infraštruktúry. Zahŕňal aj poskytovateľov digitálnych služieb, najmä poskytovateľov cloudových služieb, online trhov a internetových vyhľadávačov.
Komisia v rámci svojho kľúčového politického cieľa, ktorým je Európa pripravená na digitálny vek, navrhla v decembri 2020 revíziu smernice NIS. Akt EÚ o kybernetickej bezpečnosti, ktorý je v platnosti od roku 2019, vybavil Európu rámcom certifikácie kybernetickej bezpečnosti produktov, služieb a procesov a posilnil mandát Agentúry EÚ pre kybernetickú bezpečnosť (ENISA). V septembri 2022 Komisia prijala návrh aktu o kybernetickej odolnosti, v ktorom sa stanovujú požiadavky na kybernetickú bezpečnosť produktov s digitálnym prvkom, ktorý sa vzťahuje na hardvér aj softvér.