13 maja br. Rada i Parlament Europejski osiągnęły porozumienie w sprawie przepisów dotyczących środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, aby jeszcze bardziej zwiększyć odporność i zdolność reagowania na incydenty, zarówno w sektorze publicznym i prywatnym, jak i całej UE. Po przyjęciu nowa dyrektywa, zwana „NIS2”, zastąpi obowiązującą obecnie dyrektywę w sprawie bezpieczeństwa sieci i systemów informatycznych, czyli dyrektywę NIS.
Skuteczniejsze zarządzanie ryzykiem i incydentami oraz współpraca
Dyrektywa NIS2 ustanowi podstawy dla środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa i obowiązków sprawozdawczych we wszystkich sektorach objętych dyrektywą, takich jak m.in. energetyka, transport, zdrowie i infrastruktura cyfrowa.
Znowelizowane przepisy mają na celu usunięcie rozbieżności w zakresie sformułowania wymogów cyberbezpieczeństwa i ich wdrażania w różnych państwach członkowskich. W celu osiągnięcia tego określono w niej minimalne zasady dotyczące ram regulacyjnych oraz ustanowiono mechanizmy skutecznej współpracy między organami w każdym państwie członkowskim. W dyrektywie zaktualizowano wykaz sektorów i rodzajów działalności podlegających obowiązkom w zakresie cyberbezpieczeństwa, a także przewidziano środki zaradcze i sankcje w celu zapewnienia egzekwowania przepisów.
Na mocy Dyrektywy zostanie formalnie ustanowiona Europejska sieć zarządzania kryzysowego w cyberprzestrzeni (EU-CyCLONe), która będzie wspierać na poziomie EU koordynację zarządzania incydentami cyberbezpieczeństwa na dużą skalę.
Rozszerzenie zakresu przepisów
Na podstawie przepisów Dyrektywy NIS państwa członkowskie były odpowiedzialne za określenie, które podmioty spełniają kryteria kwalifikujące je jako operatorów usług kluczowych, natomiast nowa dyrektywa NIS2 wprowadza kryterium wielkości. Oznacza to, że wszystkie średnie i duże podmioty działające w sektorach objętych zakresem NIS 2 lub świadczące w nich usługi, będą podlegały jej przepisom.
Pomimo, iż w porozumieniu między Parlamentem Europejskim a Radą utrzymano tę ogólną zasadę, wstępnie uzgodniony tekst zawiera dodatkowe przepisy zapewniające proporcjonalność, wyższy poziom zarządzania ryzykiem i jasno określone kryteria przy określaniu podmiotów krytycznymi, a więc objętymi zakresem dyrektywy.
W tekście wyjaśniono również, że dyrektywa nie będzie miała zastosowania do podmiotów prowadzących działalność w takich dziedzinach, jak obronność lub bezpieczeństwo narodowe, bezpieczeństwo publiczne, egzekwowanie prawa i sądownictwo. Z zakresu dyrektywy wyłączono także parlamenty i banki centralne.
Z uwagi na to, że administracja publiczna jest również często celem cyberataków, NIS2 będzie miała zastosowanie do jednostek administracji publicznej na szczeblu centralnym i regionalnym. Państwa członkowskie będą mogły zdecydować czy Dyrektywa będzie miała zastosowanie również do takich podmiotów na szczeblu lokalnym.
Inne zmiany wprowadzone przez współustawodawców
Parlament Europejski i Rada dostosowały tekst projektu do przepisów sektorowych, w szczególności do rozporządzenia w sprawie cyfrowej odporności operacyjnej sektora finansowego (DORA) i Dyrektywy w sprawie odporności podmiotów krytycznych (CER). Ma to na celu wprowadzenie spójności między NIS2 a tymi aktami.
Obaj współustawodawcy zachęcają do wdrażania mechanizmów dobrowolnej wymiany informacji, co ma przyczynić się do zwiększenia wzajemnego zaufania. Usprawnieniu uległy także obowiązki sprawozdawcze, aby uniknąć nadmiernych sprawozdawczości i obciążenia dla podmiotów objętych tymi obowiązkami.
Państwa członkowskie będą miały 21 miesięcy od wejścia w życie Dyrektywy na transpozycję jej przepisów do swoich krajowych porządków prawnych.
Kolejne kroki
Zawarte dziś porozumienie tymczasowe musi teraz zostać zatwierdzone przez Radę i Parlament Europejski.
Ze strony Rady prezydencja francuska zamierza wkrótce przedłożyć porozumienie do zatwierdzenia Komitetowi Stałych Przedstawicieli.
Dodatkowe źródła:
Cyberbezpieczeństwo: jak UE radzi sobie z zagrożeniami cybernetycznymi (informacje ogólne):
Cyfrowa przyszłość dla Europy (informacje ogólne):
W jaki sposób UE reaguje na kryzysy i buduje odporność (informacje ogólne):