Nova pravila za jačanje kibersigurnosti kritičnih subjekata i mreža EU-a
Od 18. listopada 2024., sve države članice EU-a moraju primjenjivati mjere potrebne za usklađivanje s pravilima o kibersigurnosti iz Direktive NIS 2, uključujući nadzorne i provedbene mjere.
Europska komisija u četvrtak je donijela prva provedbena pravila o kibersigurnosti kritičnih subjekata i mreža na temelju Direktive o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (Direktiva NIS 2).
U ovom provedbenom aktu detaljno se navode mjere upravljanja kibersigurnosnim rizicima, kao i slučajevi u kojima bi se incident trebao smatrati značajnim, a poduzeća koja pružaju digitalne infrastrukture i usluge trebala bi o njemu izvijestiti nacionalna tijela. To je još jedan važan korak u jačanju kiberotpornosti ključne digitalne infrastrukture Europe, ističe se u priopćenju Europske komisije.
Provedbena uredba primjenjivat će se na određene kategorije poduzeća koja pružaju digitalne usluge, kao što su pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra, internetska tržišta, internetske tražilice i platforme društvenih mreža. Za svaku kategoriju pružatelja usluga u provedbenom aktu navodi se kada se incident smatra značajnim, kome ga je potrebno prijaviti i u kojem vremenskom okviru.
„Kibersigurnost je jedna od glavnih sastavnica zaštite naših građana i naše infrastrukture. U današnjem okruženju kibersigurnosti od ključne je važnosti jačanje naših sposobnosti, sigurnosnih zahtjeva i brze razmjene informacija s pomoću ažuriranih pravila. Pozivam preostale države članice da što prije provedu ta pravila na nacionalnoj razini kako bi se osigurala kibersigurnost usluga koje su ključne za naša društva i gospodarstva.“ – izjavila je izvršna potpredsjednica Komisije Margrethe Vestager, nadležna za Europu spremnu za digitalno doba
Donošenje provedbene uredbe podudara se s rokom do kojeg države članice EU-a moraju prenijeti Direktivu NIS 2 u nacionalno pravo. Od 18. listopada 2024., sve države članice EU-a moraju primjenjivati mjere potrebne za usklađivanje s pravilima o kibersigurnosti iz Direktive NIS 2, uključujući nadzorne i provedbene mjere.
Provedbena uredba stupit će na snagu 20 dana nakon objave u Službenom listu EU-a.
Podsjetimo, prvi zakon o kibersigurnosti na razini EU-a, Direktiva NIS, stupio je na snagu 2016. i pridonio postizanju zajedničke razine sigurnosti mrežnih i informacijskih sustava u cijelom EU-u. U okviru svojeg ključnog cilja politike da Europu pripremi za digitalno doba Komisija je u prosincu 2020. predložila reviziju Direktive NIS. Nakon što je stupila na snagu u siječnju 2023., države članice morale su prenijeti Direktivu NIS 2 u nacionalno zakonodavstvo do 17. listopada 2024.
Direktivom NIS2 nastoji se osigurati visoka razina kibersigurnosti u cijeloj Uniji. Obuhvaća subjekte koji djeluju u sektorima koji su ključni za gospodarstvo i društvo, uključujući pružatelje javnih elektroničkih komunikacijskih usluga, upravljanje IKT uslugama, digitalne usluge, gospodarenje otpadnim vodama i otpadom, svemir, zdravstvo, energetiku, prijevoz, proizvodnju ključnih proizvoda, poštanske i kurirske usluge te javnu upravu.
Direktivom se jačaju sigurnosni zahtjevi nametnuti poduzećima i rješava pitanje sigurnosti lanaca opskrbe i odnosa s dobavljačima. Njome se pojednostavnjuju obveze izvješćivanja, uvode strože nadzorne mjere za nacionalna tijela i stroži zahtjevi za provedbu te se nastoje uskladiti režimi sankcija u državama članicama. Pomoći će u povećanju razmjene informacija i suradnje u upravljanju kiberkrizama na nacionalnoj razini i razini EU-a.
Europska komisija / Ekovjesnik