Direktiva VOIS 2: zaščita omrežij in informacijskih sistemov

Kibernetska varnost vključuje zaščito omrežij in informacijskih sistemov, njihovih uporabnikov in drugih prizadetih posameznikov pred kibernetskimi incidenti in grožnjami. V odziv na povečano izpostavljenost Evrope kibernetskim grožnjam je Direktiva 2022/2555, znana tudi kot direktiva NIS2, nadomestila svojo predhodnico, Direktivo 2016/1148 ali direktivo NIS1. Direktiva NIS 2 zvišuje skupno raven ambicij EU na področju kibernetske varnosti s širšim področjem uporabe, jasnejšimi pravili in močnejšimi orodji za nadzor. Od držav članic zahteva, da okrepijo svoje zmogljivosti na področju kibernetske varnosti, hkrati pa uvedejo ukrepe za obvladovanje tveganj in zahteve glede poročanja subjektom iz več sektorjev ter določijo pravila za sodelovanje, izmenjavo informacij, nadzor in izvrševanje ukrepov za kibernetsko varnost.

Direktiva določa, da mora vsaka država članica sprejeti nacionalno strategijo za kibernetsko varnost, ki vključuje politike za varnost dobavne verige, obvladovanje ranljivosti ter izobraževanje in ozaveščanje o kibernetski varnosti. Države članice morajo pripraviti in redno posodabljati tudi seznam izvajalcev bistvenih storitev, pri čemer morajo zagotoviti, da ti subjekti izpolnjujejo zahteve iz direktive.

Poleg sektorjev, ki so že zajeti v VOIS 1 (energija, promet, zdravstvo, finance, upravljanje voda in digitalna infrastruktura), se nova pravila uporabljajo tudi za ponudnike javnih elektronskih komunikacij, več digitalnih storitev (kot so socialne platforme), ravnanje z odpadki in odpadno vodo, proizvodnjo kritičnih izdelkov, poštne in kurirske storitve ter javno upravo na centralni in regionalni ravni ter vesoljski sektor. Praviloma bodo morali srednji in veliki subjekti v teh kritičnih sektorjih sprejeti ustrezne ukrepe za obvladovanje tveganj za kibernetsko varnost in ustrezne nacionalne organe uradno obvestiti o pomembnih incidentih. To so incidenti, ki lahko povzročijo znatne motnje ali škodo.

Direktiva vključuje tudi določbe o nadzoru, izvrševanju in prostovoljnih medsebojnih strokovnih pregledih za okrepitev medsebojnega zaupanja in zmogljivosti kibernetske varnosti po vsej EU. Uvaja tudi odgovornost najvišjega vodstva za neskladnost z ukrepi za obvladovanje tveganj za kibernetsko varnost, s čimer se na kibernetsko varnost opozori upravni odbor.

Direktiva vzpostavlja mrežo skupin za odzivanje na incidente na področju računalniške varnosti (skupine CSIRT) za izmenjavo informacij o kibernetskih grožnjah in odzivanje na incidente. Te skupine so ključne za ohranjanje situacijskega zavedanja in nudenje pomoči. Za obvladovanje velikih kibernetskih incidentov ali kriz direktiva vzpostavlja evropsko organizacijsko mrežo za povezovanje v kibernetski krizi (EU-CyCLONe). Ta mreža podpira usklajeno upravljanje ter zagotavlja redno izmenjavo informacij med državami članicami in institucijami EU v primeru velikih incidentov in kriz. 

Hkrati je skupina za sodelovanje na področju varnosti omrežij in informacij platforma, vzpostavljena z direktivo o varnosti omrežij in informacij, za olajšanje strateškega sodelovanja in izmenjave informacij med državami članicami EU, Evropsko komisijo in Agencijo EU za kibernetsko varnost (ENISA). Skupina objavlja nezavezujoče smernice in priporočila v podporo izvajanju direktive o varnosti omrežij in informacij.

Komisija je 20. januarja 2026 v okviru novega svežnja o kibernetski varnosti predlagala ciljno usmerjene spremembe direktive NIS 2, da bi povečala pravno jasnost. Spremembe bodo poenostavile skladnost s pravili EU o kibernetski varnosti in zahtevami glede obvladovanja tveganj za podjetja, ki poslujejo v EU. Olajšali bodo skladnost za 28.700 podjetij, vključno s 6.200 mikro in malimi podjetji.  

Ozadje

VOIS 1 (Direktiva 2016/1148) je bila prva celovita zakonodaja EU, namenjena krepitvi kibernetske varnosti omrežij in informacijskih sistemov za zaščito ključnih storitev za gospodarstvo in družbo EU. Komisija je decembra 2020 predlagala revizijo direktive o varnosti omrežij in informacij 1, na podlagi katere je bila sprejeta direktiva o varnosti omrežij in informacij 2, ki je začela veljati januarja 2023. Države članice so morale direktivo NIS2 prenesti v nacionalno zakonodajo do 17. oktobra 2024. Direktiva NIS 2 je razveljavila direktivo NIS 1 z 18. oktobrom 2024.