Polityka i prawo
Dyrektywa NIS2. UE decyduje się na wzmocnienie cyberbezpieczeństwa i cyberodporności
Rada Europejska zadecydowała o wdrożeniu nowego prawa, które zakłada zaostrzenie przepisów dotyczących cyberbezpieczeństwa dla dużych firm z sektora energetycznego, finansowego, transportowego, medycznego i dostawców cyfrowych. Nowa dyrektywa NIS2 zastąpi bieżącą dyrektywę bezpieczeństwa sieci i systemu informacji - NIS.
„Nie ma wątpliwości, że cyberbezpieczeństwo to kluczowe wyzwanie na najbliższe lata. (...) Dzisiaj robimy kolejny krok w celu poprawy naszych zdolności do odparcia takiego zagrożenia" – napisał Ivan Bartoš, wicepremier Republiki Czeskiej.
Celem dyrektywy ma być harmonizacja wymogów cyberbezpieczeństwa i wdrożenie środków zwiększających ochronę w państwach Unii.
Ustanowione mają być mechanizmy pomagające w skutecznej współpracy. Wdrożenie dyrektywy spowoduje ustanowienie Europejskiej Sieci Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.
Czytaj też
Dyrektywa NIS a NIS2
Nowa dyrektywa ustanawia zasadę wielkości jako identyfikacji regulowanych podmiotów. Będzie obejmować wszystkie średnie i duże podmioty, świadczące usługi objęte dyrektywą.
W poprzedniej dyrektywie to państwa członkowskie odpowiadały za wyznaczenie, które podmioty spełniają kryteria kwalifikujące je do grona operatorów usług kluczowych. Tekst nowej dyrektywy zawiera też przepisy dotyczące wyższego poziomu zarządzania ryzykiem oraz jasne kryteria, która mają umożliwić organom krajowym określenie dalszych podmiotów objętych dyrektywą.
Co zakłada dyrektywa?
De facto oznacza to zaostrzenie obowiązków w obszarze cyberbezpieczeństwa, co dotyczy m.in. średnich i dużych firm.
Przyjęte regulacje ustanawiają również ramy dla lepszej współpracy i wymiany informacji między różnymi organami i państwami członkowskimi. Ponadto, tworzą europejską bazę danych na temat podatności.
Na mocy regulacji więcej podmiotów z różnych branż będzie musiało podjąć działania na rzecz ochrony „niezbędnych sektorów”, takich jak np. energetyka, transport, bankowość, zdrowie, infrastruktura cyfrowa, administracja publiczna czy kosmos.
Firmy są zobowiązane do oceny ryzyka związanego z cyberbezpieczeństwem, powiadamiania władz o wszelkich nieprawidłowościach oraz podejmowania działań w celu przeciwdziałania zagrożeniom. Za nieprzestrzeganie przepisów grozi grzywna do 2 proc. globalnych obrotów.
Dyrektywa zostanie opublikowana w Dzienniku Urzędowym Unii Europejskiej w najbliższych dniach i wejdzie w życie 20. dnia po tej publikacji. Państwa członkowskie mają 21 miesięcy - od wejścia w życie dyrektywy - na włączenie przepisów NIS2 do prawa krajowego.
O zmianach i założeniach Dyrektywy NIS2 pisaliśmy także w tym materiale: "Zmiany w regulacjach cyberbezpieczeństwa. Dyrektywa NIS2 coraz bliżej".
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
/MG