EU: Nova direktiva o varnosti omrežij in informacijskih sistemov – NIS2
Svet Evropske unije je sprejel zakonodajo za visoko skupno raven kibernetske varnosti po vsej Uniji, da bi dodatno izboljšali odpornost in zmogljivosti odzivanja na incidente v javnem in zasebnem sektorju ter EU kot celoti.
Novica je bila objavljena 28.11.2022
Evropska unija se je odločila okrepiti kibernetsko varnost in odpornost po vsej Uniji. Nova direktiva, imenovana 'NIS2', bo nadomestila trenutno direktivo o varnosti omrežij in informacijskih sistemov (direktiva NIS).
Močnejše obvladovanje tveganj in incidentov ter sodelovanje
NIS2 bo postavil osnovo za ukrepe za obvladovanje tveganja kibernetske varnosti in obveznosti poročanja v vseh sektorjih, ki jih zajema direktiva; to so energija, promet, zdravstvo in digitalna infrastruktura.
Namen revidirane direktive je uskladiti zahteve glede kibernetske varnosti in izvajanje ukrepov kibernetske varnosti v različnih državah članicah. Da bi to dosegli, se določajo minimalna pravila za regulativni okvir in določajo mehanizmi za učinkovito sodelovanje med ustreznimi organi v vsaki državi članici. Posodablja se seznam sektorjev in dejavnosti, za katere veljajo obveznosti glede kibernetske varnosti, ter določa pravna sredstva in sankcije za zagotovitev izvrševanja.
Direktiva bo uradno vzpostavila Evropsko mrežo organizacij za stike s kibernetskimi krizami, EU-CyCLONe, ki bo podpirala usklajeno upravljanje obsežnih incidentov in kriz na področju kibernetske varnosti.
Razširitev področja uporabe pravil
Medtem ko so bile po stari direktivi NIS države članice odgovorne za določanje, kateri subjekti bodo izpolnjevali merila za izpolnjevanje pogojev za izvajalce bistvenih storitev, nova direktiva NIS2 uvaja pravilo o omejitvi velikosti kot splošno pravilo za identifikacijo reguliranih subjektov. To pomeni, da bodo vsi srednje veliki in veliki subjekti, ki delujejo v sektorjih ali opravljajo storitve, ki jih zajema direktiva, spadali na njeno področje uporabe.
Medtem ko revidirana direktiva ohranja to splošno pravilo, njeno besedilo vključuje dodatne določbe za zagotavljanje sorazmernosti, višjo raven obvladovanja tveganja in jasna merila kritičnosti, ki nacionalnim organom omogočajo, da določijo dodatne zajete subjekte.
Besedilo tudi pojasnjuje, da se direktiva ne bo uporabljala za subjekte, ki izvajajo dejavnosti na področjih, kot so obramba ali nacionalna varnost, javna varnost in kazenski pregon. Iz obsega so izključeni tudi sodstvo, parlamenti in centralne banke.
NIS2 bo veljal tudi za javne uprave na centralni in regionalni ravni. Poleg tega se lahko države članice odločijo, da velja tudi za take subjekte na lokalni ravni.
Druge spremembe, ki jih prinaša novi zakon
Poleg tega je nova direktiva usklajena s sektorsko zakonodajo, zlasti z uredbo o digitalni operativni odpornosti za finančni sektor (DORA) in direktivo o odpornosti kritičnih subjektov (CER), da se zagotovi pravna jasnost in skladnost med NIS2 in teh aktov.
Prostovoljni mehanizem vzajemnega učenja bo povečal medsebojno zaupanje in učenje iz dobrih praks in izkušenj v Uniji ter tako prispeval k doseganju visoke skupne ravni kibernetske varnosti.
Nova zakonodaja tudi poenostavlja obveznosti poročanja, da bi se izognili prekomernemu poročanju in pretirani obremenitvi zajetih subjektov.
Naslednji koraki
Direktiva bo v naslednjih dneh objavljena v Uradnem listu Evropske unije in bo začela veljati dvajseti dan po objavi.
Države članice bodo imele 21 mesecev časa od začetka veljavnosti direktive, da določbe vključijo v svojo nacionalno zakonodajo.
