Europska komisija usvojila nova pravila kibernetičke sigurnosti

Europska komisija donijela je prva provedbena pravila o kibernetičkoj sigurnosti kritičnih subjekata i mreža prema Direktivi o mjerama za visoku zajedničku razinu kibernetičke sigurnosti diljem EU (NIS2 Direktiva). Ovaj provedbeni akt detaljno opisuje mjere upravljanja rizikom kibernetičke sigurnosti, kao i slučajeve u kojima se incident treba smatrati značajnim, a tvrtke koje pružaju digitalne infrastrukture i usluge trebaju ga prijaviti nacionalnim tijelima.

EK je rekla da je ovo još jedan veliki korak u jačanju kibernetičke otpornosti kritične europske digitalne infrastrukture. Provedbena uredba primjenjivat će se na određene kategorije tvrtki koje pružaju digitalne usluge, kao što su pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnih centara, internetska tržišta, internetske tražilice i platforme društvenih mreža, da spomenemo samo neke. Za svaku kategoriju pružatelja usluga, provedbeni akt također navodi kada se incident smatra značajnim.

Usvajanje uredbe poklapa se s rokom do kojeg države članice trebaju prenijeti NIS2 Direktivu u nacionalno zakonodavstvo. Od danas sve države članice moraju primijeniti mjere potrebne za usklađivanje s pravilima kibernetičke sigurnosti NIS2, uključujući mjere nadzora i provedbe. Prvi europski zakon o kibersigurnosti, NIS Direktiva, stupio je na snagu 2016. i pomogao u postizanju zajedničke razine sigurnosti mrežnih i informacijskih sustava diljem EU-a. Kao dio svojeg ključnog političkog cilja da Europa bude spremna za digitalno doba, Komisija je predložila reviziju Direktive NIS u prosincu 2020. Nakon stupanja na snagu u siječnju 2023., države članice morale su prenijeti Direktivu NIS2 u nacionalno pravo do 17. listopada 2024.

Direktiva NIS2 ima za cilj osigurati visoku razinu kibernetičke sigurnosti u cijeloj Uniji. Obuhvaća subjekte koji djeluju u sektorima koji su ključni za gospodarstvo i društvo, uključujući pružatelje javnih elektroničkih komunikacijskih usluga, upravljanje ICT uslugama, digitalne usluge, otpadne vode i gospodarenje otpadom, prostor, zdravstvo, energetiku, promet, proizvodnju kritičnih proizvoda, poštansku i kurirske službe i javna uprava. Direktiva jača sigurnosne zahtjeve nametnute tvrtkama i bavi se sigurnošću opskrbnih lanaca i odnosa s dobavljačima. Njime se pojednostavljuju obveze izvješćivanja, uvode strože nadzorne mjere za nacionalna tijela, kao i stroži zahtjevi za provedbu, a cilj mu je usklađivanje režima sankcija u svim državama članicama.