Nowe przepisy w celu zwiększenia cyberbezpieczeństwa podmiotów i sieci krytycznych w UE

23 października 2024

17 października br. Komisja przyjęła pierwsze przepisy wykonawcze dotyczące cyberbezpieczeństwa podmiotów i sieci krytycznych na podstawie dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2). W niniejszym akcie wykonawczym wyszczególniono środki zarządzania ryzykiem w cyberprzestrzeni, a także przypadki, w których incydent należy uznać za istotny, a przedsiębiorstwa zapewniające infrastrukturę cyfrową i usługi cyfrowe powinny zgłaszać ten incydent organom krajowym. Jest to kolejny ważny krok w kierunku zwiększenia cyberodporności krytycznej infrastruktury cyfrowej w Europie.

Przyjęte rozporządzenie wykonawcze będzie miało zastosowanie do określonych kategorii przedsiębiorstw świadczących usługi cyfrowe, takich jak m.in. dostawcy usług w chmurze, dostawcy usług dla centrów danych, internetowe platformy handlowe, wyszukiwarki internetowe i platformy społecznościowe. W odniesieniu do każdej kategorii dostawców usług w akcie wykonawczym określono również, kiedy incydent uznaje się za istotny.

Przyjęcie rozporządzenia wykonawczego zbiegło się z terminem transpozycji przez państwa członkowskie dyrektywy NIS 2 do prawa krajowego. Od 18 października 2024 r., wszystkie państwa członkowskie zobowiązane są stosować środki niezbędne do zapewnienia zgodności z przepisami NIS 2 dotyczącymi cyberbezpieczeństwa, w tym środki nadzoru i egzekwowania przepisów.

Dalsze kroki

Rozporządzenie wykonawcze zostanie opublikowane w Dzienniku Urzędowym we właściwym czasie, a następnie wejdzie w życie 20 dni później.

Kontekst

Pierwsza ogólnounijna ustawa o cyberbezpieczeństwie, dyrektywa w sprawie bezpieczeństwa sieci i informacji, weszła w życie w 2016 r. i pomogła osiągnąć wspólny poziom bezpieczeństwa sieci i systemów informatycznych w całej UE. W ramach swojego kluczowego celu politycznego, jakim jest dostosowanie Europy do ery cyfrowej, w grudniu 2020 r. Komisja zaproponowała przegląd dyrektywy w sprawie bezpieczeństwa sieci i informacji. Po wejściu w życie w styczniu 2023 r. państwa członkowskie musiały dokonać transpozycji dyrektywy NIS 2 do prawa krajowego do 17 października 2024 r.

Dyrektywa NIS 2 ma na celu zapewnienie wysokiego poziomu cyberbezpieczeństwa w całej Unii. Obejmuje ona podmioty działające w sektorach o krytycznym znaczeniu dla gospodarki i społeczeństwa, w tym dostawców publicznych usług łączności elektronicznej, usług ICT, usług cyfrowych, gospodarowania ściekami i odpadami, przestrzeni kosmicznej, zdrowia, energii, transportu, wytwarzania produktów o krytycznym znaczeniu, usług pocztowych i kurierskich oraz administracji publicznej.

Dyrektywa zaostrza wymogi bezpieczeństwa nakładane na przedsiębiorstwa i dotyczy bezpieczeństwa łańcuchów dostaw i relacji z dostawcami. Usprawnia on obowiązki sprawozdawcze, wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, a także bardziej rygorystyczne wymogi w zakresie egzekwowania przepisów, oraz ma na celu harmonizację systemów sankcji we wszystkich państwach członkowskich. Pomoże to zwiększyć wymianę informacji i współpracę w zakresie zarządzania kryzysowego w cyberprzestrzeni na szczeblu krajowym i unijnym.

Przydatne linki:

Źródło: Komisja Europejska

Zostaw odpowiedź

Your email address will not be published. Required fields are marked *