Direktiva o varnosti omrežij in informacijskih sistemov (direktiva o varnosti omrežij in informacijskih sistemov), ki je utrla pot znatni spremembi miselnosti, institucionalnega in regulativnega pristopa k kibernetski varnosti v številnih državah članicah, je kljub svojim pomembnim dosežkom do zdaj dokazala svoje omejitve. Digitalna preobrazba družbe (ki jo je spodbudila kriza zaradi COVID-19) je razširila okolje groženj in prinaša nove izzive, ki zahtevajo prilagojene in inovativne odzive.
Zdaj ima lahko vsaka motnja, tudi tista, ki je bila sprva omejena na en subjekt ali en sektor, širše kaskadne učinke, kar bi lahko imelo daljnosežne in dolgotrajne negativne učinke na zagotavljanje storitev na celotnem notranjem trgu.
Komisija je za obravnavanje teh izzivov, kot je bilo napovedano v sporočilu o oblikovanju digitalne prihodnosti Evrope, pospešila pregled Direktive do konca leta 2020, izvedla oceno učinka in predstavila nov zakonodajni predlog.
Ključni elementi predloga Komisije
Namen novega predloga Komisije je odpraviti pomanjkljivosti iz prejšnje direktive o varnosti omrežij in informacij ter jo prilagoditi sedanjim potrebam in zagotoviti, da bo kos izzivom prihodnosti.
V ta namen predlog Komisije razširja področje uporabe sedanje direktive o varnosti omrežij in informacij z dodajanjem novih sektorjev na podlagi njihove kritičnosti za gospodarstvo in družbo ter z uvedbo jasne zgornje meje velikosti, kar pomeni, da bodo v področje uporabe vključena vsa srednja in velika podjetja v izbranih sektorjih. Hkrati državam članicam omogoča nekaj prožnosti pri opredelitvi manjših subjektov z visokim profilom varnostnega tveganja.
Predlog odpravlja tudi razlikovanje med izvajalci bistvenih storitev in ponudniki digitalnih storitev. Subjekti bi bili razvrščeni glede na njihov pomen in razdeljeni v bistvene oziroma pomembne kategorije, zaradi česar bi zanje veljali različni nadzorni režimi.
Predlog krepi varnostne zahteve za podjetja z uvedbo pristopa obvladovanja tveganja, ki določa minimalni seznam osnovnih varnostnih elementov, ki jih je treba uporabiti. Predlog uvaja natančnejše določbe o postopku poročanja o incidentih, vsebini poročil in rokih.
Poleg tega Komisija predlaga, da se obravnava varnost dobavnih verig in odnosov z dobavitelji, tako da se od posameznih podjetij zahteva, da obravnavajo tveganja za kibernetsko varnost v dobavnih verigah in odnosih z dobavitelji. Na evropski ravni predlog krepi kibernetsko varnost dobavne verige za ključne informacijske in komunikacijske tehnologije. Države članice bodo v sodelovanju s Komisijo in agencijo ENISA izvajale usklajene ocene tveganja kritičnih dobavnih verig na podlagi uspešnega pristopa, sprejetega v okviru priporočila Komisije o kibernetski varnosti omrežij 5G.
Predlog uvaja strožje nadzorne ukrepe za nacionalne organe, strožje zahteve glede izvrševanja in je namenjen uskladitvi režimov sankcij v državah članicah.
Predlog prav tako krepi vlogo skupine za sodelovanje pri oblikovanju strateških političnih odločitev o nastajajočih tehnologijah in novih trendih ter povečuje izmenjavo informacij in sodelovanje med organi držav članic. Prav tako krepi operativno sodelovanje, tudi na področju obvladovanja kibernetskih kriz.
Predlog Komisije vzpostavlja osnovni okvir z odgovornimi ključnimi akterji za usklajeno razkrivanje ranljivosti za novo odkrite ranljivosti po vsej EU in vzpostavitev registra EU, ki ga upravlja Agencija Evropske unije za kibernetsko varnost (ENISA).
Naslednji koraki
Naslednji pomembni ukrepi so:
- O predlogu bodo potekala pogajanja med sozakonodajalcema, zlasti Svetom EU in Evropskim parlamentom.
- Ko bo predlog sprejet in sprejet, bodo morale države članice direktivo VOIS2 prenesti v 18 mesecih.
- Komisija mora redno pregledovati direktivo o varnosti omrežij in informacij ter prvič poročati o pregledu 54 mesecev po začetku veljavnosti.
- Evropska komisija z zanimanjem pričakuje izvajanje nove strategije za kibernetsko varnost v prihodnjih mesecih.
Related content
Policy and legislation | 16 december 2020
-