Dyrektywa NIS 2 – jakie zmiany w zakresie cyberbezpieczeństwa proponuje Komisja Europejska?

16 grudnia 2020 roku Komisja Europejska zaprezentowała nowy pakiet cyberbezpieczeństwa, którego częścią, poza  Strategią Cyberbezpieczeństwa i Dyrektywą o odporności krytycznych podmiotów, jest propozycja  Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, uchylająca Dyrektywę 2016/1148 (Directive  on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148) – zrewidowana wersja Dyrektywy NIS, tzw. Dyrektywy NIS 2.

Dyrektywa NIS została przyjęta w 2016 roku i znacznie zwiększyła poziom cyberbezpieczeństwa w państwach członkowskich. Jej filarami były: współpraca międzynarodowa, współpraca krajowa oraz wprowadzania obowiązkowego raportowania incydentów i zarządzania ryzykiem dla operatorów usług kluczowych i dostawców usług cyfrowych. Propozycje zawarte w Dyrektywie NIS 2 znacznie rozszerzają zapisy we wszystkich tych aspektach.

Propozycja NIS 2 rozszerza zakres podmiotowy dotychczasowej dyrektywy m.in. o administrację publiczną, sektor żywności, ścieki, przemysł, zarzadzanie odpadami i przestrzeń kosmiczną oraz szerzej traktuje niektóre sektory (m.in. rozszerzenie zakresu infrastruktury cyfrowej). Na podmioty objęte Dyrektywą zostają nałożone większe niż dotychczas wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania. Propozycja zawiera także bardziej precyzyjne, niż Dyrektywa NIS, zapisy w zakresie raportowania incydentów. Nowością jest wprowadzenie odpowiedzialności dla  kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie.

NIS 2 wprowadza także nowe mechanizmy współpracy międzynarodowej poprzez ustanowienie Europejskiej sieci zarządzania kryzysowego w Cyberprzestrzeni (European Cyber crises liaison organization network, EU-CyCLONe), której zadaniem jest wspieranie koordynacji zarządzania incydentami na duża skalę na poziomie UE. Dodatkowo, wzmacnia rolę Grupy Współpracy w procesie wymiany informacji pomiędzy państwami, a także wprowadza koordynację w zakresie ujawniania podatności (volnerability disclosure) na poziomie UE. NIS 2 wzmacnia także rolę ENISA, która od tej pory będzie odpowiedzialna za przygotowanie  Sprawozdania o stanie cyberbezpieczeństwa w Unii.

Zakres Dyrektywy NIS 2

NIS 2 obejmuje dwa typy podmiotów: podmioty niezbędne (essential entities) i podmioty istotne (important entities).

Podmioty niezbędne (essential entities) to podmioty z następujących sektorów:

  • Energetyka  (Energia elektryczna, Centralne ogrzewanie i chłodzenie, Ropa, Gaz, Wodór) – rozszerzenie zakresu w stosunku do Dyrektywy NIS;
  • Transport (powietrzny, kolejowy, wodny, lądowy) – brak zmian w stosunku do Dyrektywy NIS
  • Bankowość – brak zmian w stosunku do Dyrektywy NIS
  • Infrastruktura rynków finansowych – brak zmian w stosunku do Dyrektywy NIS
  • Zdrowie – rozszerzenie zakresu w stosunku do Dyrektywy NIS
  • Woda pitna – brak zmian w stosunku do Dyrektywy NIS
  • Ścieki – rozszerzenie zakresu w stosunku do Dyrektywy NIS
  • Infrastruktura cyfrowa – rozszerzenie zakresu w stosunku do Dyrektywy NIS
  • Administracja publiczna – rozszerzenie zakresu w stosunku do Dyrektywy NIS
  • Przestrzeń kosmiczna – rozszerzenie zakresu w stosunku do Dyrektywy NIS

Podmioty istotne (important entities) to podmioty z następujących sektorów:

  • Usługi pocztowe i kurierskie,
  • Gospodarowanie odpadami,
  • Produkcja (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny; maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy)
  • Produkcja i dystrybucja chemikaliów,
  • Produkcja, przetwarzanie i dystrybucja żywności,
  • Dostawcy cyfrowi,

Poza dostawcami cyfrowymi, żaden z tych sektorów nie był, jak dotąd objęty Dyrektywą NIS.

Zwiększeniu uległ zakres obowiązków nałożonych przez Dyrektywę NIS 2. Zarówno podmioty niezbędne, jak i podmioty istotne, mają obowiązki związane z zapewnieniem:

  • analizy ryzyka i polityki bezpieczeństwa systemów informatycznych,
  • obsługi incydentów (zapobieganie, wykrywanie i reagowanie na incydenty);
  • ciągłości działania i zarządzania kryzysowego
  • bezpieczeństwa łańcucha dostaw,
  • bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych(w tym obsługa i ujawniania podatności),
  • procedur (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa,
  • wykorzystywania kryptografii i szyfrowania,

Są to bardzo duże wymagania, zwłaszcza dla tych sektorów, które mają słabszy poziom dojrzałości w zakresie cyberbezpieczeństwa oraz dla tych, które do tej pory nie były objęte Dyrektywą. Dodatkowo, kraje członkowskie mają możliwość wymagania od podmiotów niezbędnych i istotnych certyfikacji produktów, usług i procesów, zgodnie z europejskimi schematami certyfikacji, wynikającymi z Aktu o Cyberbezpieczeństwie. Jest to z pewnością krok do zapewnienia większego bezpieczeństwa tych podmiotów. Warto jednak podkreślić, że obecnie wypracowane przez ENISA schematy w tym zakresie to: common criteria[1], chmura (konsultacje w tym zakresie rozpoczną się 22 grudnia 2020) oraz 5G. Brak więc specjalistycznych wymagań sektorowych, które w tym przypadku byłby potrzebne. Co prawda art. 21 NIS 2 wprowadza możliwość aktów delegowanych poprzez które Komisja zadecyduje jakie kategorie podmiotów niezbędnych będą miały obowiązek uzyskać certyfikat, nie zmienia to jednak faktu, że poza wysiłkiem związanym z nowymi wymaganiami NIS 2, sektor prywatny będzie musiał się zaangażować w tworzenie europejskich schematów certyfikacji, co może być trudne zwłaszcza dla tych sektorów, które do tej pory nie były objęte zakresem Dyrektywy. Dodatkowo wymaga to pełnego wdrożenia przez Polskę Aktu o Cyberbezpieczeństwie, tak aby certyfikaty można było uzyskiwać w Polsce.

Przewidziano także możliwość dobrowolnego zgłaszania incydentów poprzez podmioty nie objęte Dyrektywą. Na państwach członkowskich spoczywa odpowiedzialność w zakresie zapewniania do tego odpowiednich środków i możliwości. Nowym elementem jest także to, że ENISA będzie prowadzić rejestr podmiotów niezbędnych i istotnych. Na podmiotach tych spoczywa obowiązek przekazania do ENISA takich informacji, jak nazwa, adres i dane kontaktowe

Nadzór nad podmiotami niezbędnymi i istotnymi

Nadzór nad podmiotami niezbędnymi pozostaje w gestii krajowych organów właściwych ds. cyberbezpieczeństwa. Nadzór ten obejmuje:

  • kontrole na miejscu i nadzór zewnętrzny, w tym kontrole wyrywkowe;
  • regularne audyty;
  • ukierunkowane audyty bezpieczeństwa oparte na ocenach ryzyka lub dostępnych informacjach dotyczących ryzyka;
  • skanowanie bezpieczeństwa w oparciu o obiektywne, niedyskryminacyjne, uczciwe i przejrzyste kryteria oceny ryzyka;
  • wnioski o udzielenie informacji niezbędnych do oceny środków bezpieczeństwa cybernetycznego przyjętych przez podmiot, w tym udokumentowanych polityk cyberbezpieczeństwa, a także wypełnienie obowiązku powiadomienia ENISA;
  • żądania dostępu do danych, dokumentów lub wszelkich informacji niezbędnych do wykonywania ich zadań nadzorczych;
  • wnioski o dowody wdrożenia polityk cyberbezpieczeństwa, takie jak wyniki audytów bezpieczeństwa przeprowadzonych przez wykwalifikowanego audytora oraz odpowiednie dowody.

Dodatkowo organy właściwe mają następujące obowiązki:

  • wydawanie ostrzeżenia o nieprzestrzeganiu przez podmioty obowiązków określonych w dyrektywie;
  • wydania wiążących instrukcji lub nakazów zobowiązujących te podmioty do usunięcia stwierdzonych braków lub naruszeń obowiązków określonych w dyrektywie;
  • nakazanie tym podmiotom zaprzestania zachowań niezgodnych z obowiązkami określonymi w dyrektywie i powstrzymania się od ich powtarzania;
  • nakazanie tym podmiotom dostosowania ich środków zarządzania ryzykiem i / lub obowiązków sprawozdawczych do obowiązków opisanych w dyrektywie;
  • nakazanie tym podmiotom poinformowanie osoby (osób) fizycznej lub prawnej, której (-ych) świadczą usługi lub prowadzi działalność, na którą potencjalnie wpływa istotne cyberzagrożenie, o wszelkich możliwych środkach ochronnych lub naprawczych, które te osoby fizyczne lub prawne mogą podjąć w odpowiedź na to zagrożenie;
  • nakazanie tym podmiotom wdrożenie zaleceń wynikających z audytu bezpieczeństwa w rozsądnym terminie;
  • wyznaczyć inspektora monitorującego na określony czas, aby nadzorował wypełnianie obowiązków wynikających z dyrektywy;
  • nakazanie tym podmiotom podania do publicznej wiadomości aspektów nieprzestrzegania obowiązków określonych w niniejszej dyrektywie;
  • złożyć publiczne oświadczenie wskazujące osobę lub osoby prawne i fizyczne odpowiedzialne za naruszenie obowiązku określonego w dyrektywie;
  • nakładać lub żądać nałożenia przez odpowiednie organy lub sądy zgodnie z prawem krajowym kary administracyjnej za nieprzestrzeganie zapisów dyrektywy.

Nadzór nad podmiotami istotnymi jest natomiast prowadzony ex post (analogicznie, jak do tej pory prowadzony był nadzór nad dostawcami usług kluczowych). Uprawnienia organów właściwych ds. cyberbezpieczeństwa w tym zakresie dotyczą:

  • inspekcji na miejscu i nadzoru ex post poza obiektem;
  • ukierunkowanych audytów bezpieczeństwa opartych na ocenach ryzyka lub dostępnych informacjach dotyczących ryzyka;
  • skanowania bezpieczeństwa w oparciu o obiektywne, uczciwe i przejrzyste kryteria oceny ryzyka;
  • zwracania się z wnioskami o wszelkie informacje niezbędne do oceny ex post środków bezpieczeństwa cybernetycznego, w tym udokumentowanych polityk cyberbezpieczeństwa, a także zgodności z obowiązkiem powiadomienia ENISA;
  • żądania dostępu do danych, dokumentów i / lub informacji niezbędnych do wykonywania zadań nadzorczych.

Jest to więc znaczne zwiększenie zakresu organów właściwych, co będzie wymagać dużych zasobów po stronie administracji publicznej. Warto też podkreślić, że jeśli w Polsce utrzymane zostanie sektorowe podejście do kwestii nadzorczych, połączone z obowiązkiem powoływania sektorowych CSIRT, które proponowała nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa, budżet państwa będzie musiał przeznaczyć na te zadania konkretne środki.

NIS 2 przewiduje także wysokie kary finansowe dla podmiotów nie realizujących zapisów we właściwy sposób. Kary te mają wynosić maksymalnie co najmniej 10000000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego która kwota jest wyższa. Jest to duża zmiana w porównaniu do wcześniejszej Dyrektyw, której zapisy mówiły tylko o karach „odstraszających”.

Krajowa Strategia Cyberbezpieczeństwa

NIS 2 rozszerza także wymagania określające zakres krajowych strategii cyberbezpieczeństwa m.in. o następujące kwestie:

  • ocenę mającą na celu zidentyfikowanie odpowiednich aktywów i zagrożeń dla cyberbezpieczeństwa w państwie członkowskim;
  • określenie środków zapewniających gotowość, reakcję i usuwanie skutków incydentów, w tym współpracę między sektorem publicznym i prywatnym;
  • wykaz różnych organów i podmiotów zaangażowanych we wdrażanie krajowej strategii;
  • ramy polityczne dla wzmocnionej koordynacji między organami właściwymi na mocy Dyrektywy NIS i nowej Dyrektywy w sprawie odporności infrastruktury krytycznej (Directive resilience critical entities), której propozycje także zaprezentowano 16 grudnia 2020 roku;
  • polityka dotycząca cyberbezpieczeństwa w łańcuchu dostaw produktów i usług ICT wykorzystywanych przez kluczowe i ważne podmioty do świadczenia ich usług;
  • politykę promująca i ułatwiająca skoordynowane ujawnianie podatności.

W polskich realiach oznacza to, że konieczne będzie opracowanie nowej strategii i zmiana sposobu zarządzania nią. Wyraźnie także widać, że konieczne będzie znacznie zbliżenie kwestii związanych z ochroną infrastruktury krytycznej i cyberbezpieczeństwem. Kwestie te w Polsce regulują dwie ustawy: o krajowym systemie cyberbezpieczeństwa i o zarządzaniu kryzysowym.

Rejestr podatności na poziomie UE

Całkowitą nowością są zapisy artykułu 6, odnoszące się do skoordynowanego na poziomie UE ujawniania podatności. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) ma za zadanie prowadzić rejestr takich podatności na poziomie Unii, natomiast CSIRT krajowe będą odpowiedzialne za współpracę z dostawcami produktów i usług ICT w tym zakresie. Znacznie wzmacnia to więc rolę CSIRT w procesie budowy partnerstw publiczno – prywatnych w zakresie cyberbezpieczeństwa.

Zarządzanie kryzysowe w zakresie cyberbezpieczeństwa

Kolejną nowością jest uregulowanie zapisów w zakresie zarządzania kryzysowego w cyberbezpieczeństwie. W pewien sposób Komisja kontynuuje działania, które do tej pory miały lżejszą formułę komunikatów i wytycznych (m.in. Blueprint).

Każde państwo członkowskie ma wyznaczyć instytucje odpowiedzialną za zarządzanie incydentami na dużą skalę oraz przyjąć krajowy plan w zakresie reagowania na incydenty powodujące duże kryzysy w cyberprzestrzeni, tak aby można było nimi sprawnie zarządzać. Dyrektywa wskazuje jakie konkretne elementy powinien zawierać taki dokument. Są to między innymi procedery w zakresie zarządzania kryzysowego i sugestie dotyczące wykorzystania kanałów komunikacji oraz zadania i zakres odpowiedzialności poszczególnych instytucji państwowych zaangażowanych w ten proces.

W polskiej rzeczywistości oznacza to znaczące zmiany w zakresie Krajowego Planu Zarządzania Kryzysowego. Może się także okazać, że funkcjonujący obecnie na podstawie Ustawy o krajowym systemie cyberbezpieczeństwa, mechanizm Zespołu Incydentów Krytycznych oraz mechanizm Rządowego Zespołu Zarządzania Kryzysowego, funkcjonujący na podstawie Ustawy o zarządzaniu kryzysowym będą wymagać większej harmonizacji.

Wyraźnie widać, że Komisja chce zbliżyć mechanizmy ochrony fizycznej i zapewnienia właściwego poziomu cyberbezpieczeństwa tym podmiotom, które są najważniejsze z punktu widzenia państwa i zapewnienia bezpieczeństwa obywatelom.

Zadaniom dla organów krajowych towarzyszy utworzenie nowego mechanizmu na poziomie europejskim – Europejska sieć organizacji łącznikowych ds. Cyberkryzysów (European cyber crises liaison organisation network,UE – CyCLONe). Celem utworzenia UE – CyCLONe jest większa koordynacja odpowiedzi na duże incydenty o międzynarodowym oddziaływaniu oraz wymiana informacji o zagrożeniach pomiędzy państwami. W skład UE -CyCLONe mają wchodzić przedstawiciele państw członkowskich, Komisja Europejska oraz ENISA, która zapewni sekretariat dla tej organizacji.

Organy właściwe i CSIRT

Bez zmian pozostaje obowiązek wyznaczenia jednego lub więcej organów właściwych ds. cyberbezpieczeństwa, odpowiedzialnych w państwach członkowskich za wdrażanie Dyrektywy w poszczególnych sektorach oraz obowiązek wyznaczenia CSIRT. Znacznie jednak rozszerzono zadania krajowych CSIRT:

  • monitorowanie zagrożeń, podatności i incydentów na szczeblu krajowym;
  • zapewnienie wczesnego ostrzegania, dla niezbędnych i istotnych podmiotów oraz innych organizacji z punktu widzenia cyberbezpieczeństwa;
  • odpowiedź na incydenty;
  • zapewnienia analizy ryzyka na poziomie krajowym;
  • zapewnienie, na zlecenie podmiotu, proaktywnego skanowania sieci i systemów informatycznych wykorzystywanych do świadczenia ich usług;
  • uczestniczenie w sieci CSIRT i udzielanie wzajemnej pomocy innym członkom sieci na ich wniosek.

Podkreślono także konieczność budowania przez CSIRT partnerstw z sektorem prywatnym i podmiotami ważnymi dla cyberbezpieczeństwa kraju.

Współpraca międzynarodowa

Utrzymany został mechanizm współpracy na dwóch poziomach: strategicznym (Grupa Współpracy) oraz operacyjnym (Sieć CSIRT). Rozszerzono jednak zadania obu tych formatów, w taki sposób aby bardziej odzwierciedlały realne wyzwania w zakresie cyberbezpieczeństwa, związane miedzy innymi z równymi sposobami wdrażania NIS w poszczególnych państwach członkowskich oraz przepływem informacji pomiędzy środowiskiem CSIRT, a poziomem decydentów politycznych.

Warto zaznaczyć, że Grupa Współpracy będzie otrzymywać od UE – CyCLONe regularne raporty, natomiast Sieć CSIRT ma współpracować z UE – CyCLONe na bazie wypracowanych procedur. Wydaje się także, że sama rola UE – CyCLONe jest opisana na tyle ogólnie, że może powielać niektóre zadania i mechanizmy wcześniej istniejących grup.

Jeszcze jednym elementem większej koordynacji współpracy międzynarodowej jest wprowadzenie Sprawozdania o stanie cyberbezpieczeństwa w Unii, które ma przygotowywać ENISA. Dokument ma zawierać m.in. informacje o rozwoju zdolności w zakresie cyberbezpieczeństwa w całej Unii; zasobach (technicznych, finansowych i ludzkich) wśród właściwych organów i związanych z prowadzeniem polityki w zakresie cyberbezpieczeństwa oraz indeks cyberbezpieczeństwa, który określi dojrzałość poszczególnych państw w zakresie cyberbezpieczeństwa. Cześć z tych kwestii, jak na przykład index do tej pory nie były przedmiotem prac Agencji. Opracowanie metodyki w tym zakresie będzie więc dużym wyzwaniem dla ENISA.

NIS 2 zawiera także nowe zapisy, zwiększające rolę Komisji Europejskiej, która co 18 miesięcy oceniać będzie proces wdrożenia Dyrektywy w państwach członkowskich, także pod względem funduszy przeznaczanych na cyberbezpieczeństwo, zasobów oraz rozwoju zdolności w zakresie cyberbezpieczeństwa. Nie będzie to więc, tak jak było do tej pory, tylko ocena transpozycji samych przepisów Dyrektywy.

Kolejnym nowym elementem jest wprowadzenie skoordynowanej oceny ryzyka krytycznych łańcuchów dostaw na poziomie UE.  Po konsultacjach z Grupą Współpracy i ENISA, Komisja Europejska może zidentyfikować krytyczne usługi, systemy lub produkty ICT, które mogą podlegać skoordynowanej ocenie ryzyka.

Zapisy Dyrektywy wchodzą w życie 18 miesięcy od daty jej przyjęcia.

Podsumowanie:

  1. NIS 2 obejmuje dwa typy podmiotów: podmioty niezbędne (essential entities) i podmioty istotne (important entities).
  2. Podmioty niezbędne (essential entities) to podmioty z następujących sektorów:
    • Energetyka  (Energia elektryczna, Centralne ogrzewanie i chłodzenie, Ropa, Gaz, Wodór) – rozszerzenie zakresu w stosunku do Dyrektywy NIS;
    • Transport (powietrzny, kolejowy, wodny, lądowy) – brak zmian w stosunku do Dyrektywy NIS
    • Bankowość – brak zmian w stosunku do Dyrektywy NIS
    • Infrastruktura rynków finansowych – brak zmian w stosunku do Dyrektywy NIS
    • Zdrowie – rozszerzenie zakresu w stosunku do Dyrektywy NIS
    • Woda pitna – brak zmian w stosunku do Dyrektywy NIS
    • Ścieki – rozszerzenie zakresu w stosunku do Dyrektywy NIS
    • Infrastruktura cyfrowa – rozszerzenie zakresu w stosunku do Dyrektywy NIS
    • Administracja publiczna – rozszerzenie zakresu w stosunku do Dyrektywy NIS
    • Przestrzeń kosmiczna – rozszerzenie zakresu w stosunku do Dyrektywy NIS
  3. Podmioty istotne (important entities) to podmioty z następujących sektorów:
    • Usługi pocztowe i kurierskie,
    • Gospodarowanie odpadami,
    • Produkcja (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny; maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy),
    • Produkcja i dystrybucja chemikaliów,
    • Produkcja, przetwarzanie i dystrybucja żywności,
    • Dostawcy cyfrowi,
  4. Zwiększeniu uległ zakres obowiązków nałożonych przez Dyrektywę NIS 2. Zarówno podmioty niezbędne, jak i podmioty istotne, mają obowiązki związane z zapewnieniem:
    • analizy ryzyka i polityki bezpieczeństwa systemów informatycznych;
    • obsługi incydentów (zapobieganie, wykrywanie i reagowanie na incydenty);
    • ciągłości działania i zarządzania kryzysowego;
    • bezpieczeństwa łańcucha dostaw;
    • bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych(w tym obsługa i ujawniania podatności);
    • procedur (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa;
    • wykorzystywania kryptografii i szyfrowania;
  5. Dodatkowo, kraje członkowskie mają możliwość wymagania od podmiotów niezbędnych i istotnych certyfikacji produktów, usług i procesów, zgodnie z europejskimi schematami certyfikacji, wynikającymi z Aktu o Cyberbezpieczeństwie.
  6. Nadzór nad podmiotami niezbędnymi i istotnymi sprawują organy właściwe ds. cyberbezpieczeństwa. W przypadku podmiotów istotnych jest to nadzór ex post. Zwiększeniu uległy także zadania organów właściwych.
  7. Dyrektywa przewiduje także wysokie kary finansowe dla podmiotów nie realizujących zapisów we właściwy sposób. Kary te mają wynosić maksymalnie co najmniej 10000000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego która kwota jest wyższa.
  8. ENISA ma za zadanie prowadzić europejski rejestr podatności na poziomie Unii, natomiast CSIRT krajowe będą odpowiedzialne za współpracę z dostawcami produktów i usług ICT w tym zakresie.
  9. NIS 2 wprowadza także nowy mechanizmy współpracy międzynarodowej poprzez ustanowienie Europejskiej sieci zarządzania kryzysowego w Cyberprzestrzeni (European Cyber crises liaison organization network, EU-CyCLONe), której zadaniem jest wspieranie koordynacji zarządzania incydentami na duża skalę na poziomie UE.
  10. Kolejnym nowym elementem jest wprowadzenie skoordynowanej oceny ryzyka krytycznych łańcuchów dostaw na poziomie UE.  Po konsultacjach z Grupą Współpracy i ENISA, Komisja Europejska może zidentyfikować krytyczne usługi, systemy lub produkty ICT, które mogą podlegać skoordynowanej ocenie ryzyka.
  11. Zapisy Dyrektywy wchodzą w życie 18 miesięcy od daty jej przyjęcia.

[1] https://www.commoncriteriaportal.org/

TAGI Prawo, Unia Europejska,