Hrvatska je jedna rijetkih članica EU-a s ispunjenim obvezama iz 2022.

Europska komisija procjenjuje odgovore na postupke zbog povrede prava koje je pokrenula u studenom. Naime, samo je sedam od 27 članica Europske unije u potpunosti prenijelo pravila o kibernetičkoj sigurnosti za ključne subjekte, mjesecima nakon isteka roka u listopadu.

Samo su Belgija, Hrvatska, Grčka, Italija, Litva, Rumunjska i Slovačka usvojile nacionalna pravila, dok su ih djelomično prenijele Austrija, Češka, Danska, Njemačka, Latvija i Poljska.

U listopadu su samo Belgija i Hrvatska bile spremne primijeniti Direktivu o sigurnosti mrežnih i informacijskih sustava 2 (NIS2), koja je usvojena još 2022. godine s ciljem zaštite ključnih subjekata poput energetike, prometa, bankarstva, vodoopskrbe i digitalne infrastrukture od velikih kibernetičkih incidenata.

Tijekom rasprave u Europskom parlamentu, europski povjerenik Glenn Micallef, zadužen za međugeneracijsku pravednost, mlade, kulturu i sport, pozvao je države članice da hitno provedu NIS2 kako bi se poboljšala pripremljenost i otpornost EU-a tijekom hibridnih kriza, poput nedavnih napada na podmorske kabele u Baltičkom moru.

Naglasio je da su i prijenos i provedba direktive NIS2 još uvijek spori, kao i primjena Direktive o otpornosti ključnih subjekata, koja je donesena radi zaštite funkcioniranja ključnih usluga poput energetike i prometa.

Komisija je u studenom poslala službene opomene, što je prvi korak u postupku zbog povrede prava. Članice su imale rok do kraja siječnja za odgovor, a izvršno tijelo EU-a sada ih analizira te bi moglo poduzeti daljnje korake.

Vlada Nizozemske, jedne od zemalja koje nisu ispoštovale rok, u pismu parlamentu početkom tjedna navela je da se očekuje da će pravila stupiti na snagu u trećem kvartalu ove godine.

Komisija je predložila NIS2, kao reviziju prvotne direktive NIS1, s ciljem da se odgovori na sve veću digitalizaciju i promjenjivi krajobraz kibernetičkih prijetnji. Tvrtke su obvezne izdati upozorenje u roku od 24 sata te dostaviti izvješće o incidentu unutar 72 sata u slučaju događaja koji uzrokuju ozbiljne operativne poremećaje.

U slučaju nepoštivanja pravila, tvrtkama prijete kazne do deset milijuna eura ili dva posto globalnog prihoda, ovisno o tome koji je iznos veći.