Komisja Europejska przyjęła pierwsze przepisy wykonawcze dotyczące cyberbezpieczeństwa podmiotów i sieci krytycznych na podstawie dyrektywy ws. środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2).
W niniejszym akcie wykonawczym wyszczególniono środki zarządzania ryzykiem w cyberprzestrzeni, a także przypadki, w których incydent należy uznać za istotny, a przedsiębiorstwa zapewniające infrastrukturę cyfrową i usługi cyfrowe powinny zgłaszać ten incydent organom krajowym. Jest to kolejny ważny krok w kierunku zwiększenia cyberodporności krytycznej infrastruktury cyfrowej w Europie.
Rozporządzenie wykonawcze będzie miało zastosowanie do określonych kategorii przedsiębiorstw świadczących usługi cyfrowe, takich jak m.in. dostawcy usług w chmurze, dostawcy usług dla centrów danych, internetowe platformy handlowe, wyszukiwarki internetowe i platformy społecznościowe. W odniesieniu do każdej kategorii dostawców usług w akcie wykonawczym określono, kiedy incydent uznaje się za istotny, komu należy go zgłosić i w jakich ramach czasowych.
Przyjęcie rozporządzenia wykonawczego zbiega się z terminem transpozycji przez państwa członkowskie dyrektywy NIS 2 do prawa krajowego. Od 18 października 2024 r. wszystkie państwa członkowskie muszą stosować środki niezbędne do zapewnienia zgodności z przepisami NIS 2 dotyczącymi cyberbezpieczeństwa, w tym środki nadzoru i egzekwowania przepisów.
Kolejne kroki
Rozporządzenie wykonawcze zostanie opublikowane w Dzienniku Urzędowym we właściwym czasie, a następnie wejdzie w życie 20 dni później.
Kontekst
Pierwsza ogólnounijna ustawa o cyberbezpieczeństwie, dyrektywa w sprawie bezpieczeństwa sieci i informacji, weszła w życie w 2016 r. i pomogła osiągnąć wspólny poziom bezpieczeństwa sieci i systemów informatycznych w całej UE. W ramach swojego kluczowego celu politycznego, jakim jest dostosowanie Europy do ery cyfrowej, w grudniu 2020 r. Komisja zaproponowała przegląd dyrektywy w sprawie bezpieczeństwa sieci i informacji. Po wejściu w życie w styczniu 2023 r. państwa członkowskie musiały dokonać transpozycji dyrektywy NIS 2 do prawa krajowego do 17 października 2024 r.
Dyrektywa NIS 2 ma na celu zapewnienie wysokiego poziomu cyberbezpieczeństwa w całej Unii. Obejmuje ona podmioty działające w sektorach o krytycznym znaczeniu dla gospodarki i społeczeństwa, w tym dostawców publicznych usług łączności elektronicznej, usług ICT, usług cyfrowych, gospodarowania ściekami i odpadami, przestrzeni kosmicznej, zdrowia, energii, transportu, wytwarzania produktów o krytycznym znaczeniu, usług pocztowych i kurierskich oraz administracji publicznej.
Dyrektywa zaostrza wymogi bezpieczeństwa nakładane na przedsiębiorstwa i dotyczy bezpieczeństwa łańcuchów dostaw i relacji z dostawcami. Usprawnia on obowiązki sprawozdawcze, wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, a także bardziej rygorystyczne wymogi w zakresie egzekwowania przepisów, oraz ma na celu harmonizację systemów sankcji we wszystkich państwach członkowskich. Pomoże to zwiększyć wymianę informacji i współpracę w zakresie zarządzania kryzysowego w cyberprzestrzeni na szczeblu krajowym i unijnym.
Aby uzyskać więcej informacji
- Akt wykonawczy
- Zestawienie informacji na temat dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2)
- Pytania i odpowiedzi dotyczące NIS2: Nowa strategia UE w zakresie cyberbezpieczeństwa i nowe przepisy zwiększające odporność fizycznych i cyfrowych podmiotów krytycznych
Źródło: Przedstawicielstwo KE w Polsce