Direktiva NIS 2: nova pravila o kibersigurnosti mrežnih i informacijskih sustava

Kibersigurnost uključuje zaštitu mrežnih i informacijskih sustava ⁇ (NIS), njihovih korisnika i drugih pogođenih pojedinaca od kiberincidenata i prijetnji. Kako bi se odgovorilo na povećanu izloženost Europe kiberprijetnjama, Direktiva 2022/2555, poznata i kao NIS2, zamijenila je njezine prethodnike, Direktivu 2016/1148 ili Direktivu NIS1. Direktivom NIS2 povećava se zajednička razina ambicije EU-a u području kibersigurnosti s pomoću šireg područja primjene, jasnijih pravila i jačih alata za nadzor. Njome se od država članica zahtijeva da ⁇ poboljšaju svoje kibersigurnosne sposobnosti ⁇ , uz istodobno uvođenje mjera upravljanja rizicima i zahtjeva za izvješćivanje za subjekte iz više sektora te utvrđivanje pravila za suradnju, razmjenu informacija, nadzor i provedbu kibersigurnosnih mjera.

Direktivom se nalaže da svaka država članica donese nacionalnu strategiju za kibersigurnost, koja uključuje politike za sigurnost lanca opskrbe, upravljanje ranjivostima te obrazovanje i osviještenost o kibersigurnosti. Države članice također moraju uspostaviti i redovito ažurirati popis operatora ključnih usluga, osiguravajući da ti subjekti ispunjavaju zahtjeve Direktive. 

Osim sektora koji su već obuhvaćeni Direktivom NIS 1, kao što su energetika, promet, zdravstvena skrb, financije, upravljanje vodama i digitalna infrastruktura, ta se pravila primjenjuju na pružatelje javnih elektroničkih komunikacijskih usluga, više digitalnih usluga kao što su socijalne platforme, gospodarenje otpadnim vodama i otpadom, proizvodnja ključnih proizvoda, poštanske i kurirske usluge, javnu upravu na središnjoj i regionalnoj razini ili u svemiru. U pravilu će srednji i veliki subjekti u tim kritičnim sektorima morati poduzeti odgovarajuće mjere upravljanja kibersigurnosnim rizicima i obavijestiti relevantna nacionalna tijela o značajnim incidentima. To su incidenti koji bi mogli uzrokovati znatne poremećaje ili štetu. 

Direktiva uključuje i odredbe o nadzoru, provedbi i dobrovoljnim istorazinskim ocjenama kako bi se povećalo uzajamno povjerenje i kapaciteti za kibersigurnost u cijelom EU-u. Njome se uvodi i odgovornost najvišeg rukovodstva za neusklađenost s mjerama upravljanja kibersigurnosnim rizicima, čime se skreće pozornost uprave na kibersigurnost.

Direktivom se uspostavlja mreža timova za odgovor na računalne sigurnosne incidente (CSIRT-ovi) za razmjenu informacija o kiberprijetnjama i odgovor na incidente. Ti su timovi ključni za održavanje informiranosti o stanju i pružanje pomoći. Kako bi se upravljalo kiberincidentima ili kiberkrizama velikih razmjera, Direktivom se uspostavlja europska mreža organizacija za vezu za kiberkrize (EU-CyCLONe) ⁇ . Tom se mrežom podupire koordinirano upravljanje i osigurava redovita razmjena informacija među državama članicama i institucijama EU-a u slučaju incidenata i kriza velikih razmjera. 

Skupina za suradnju u području sigurnosti mrežnih i informacijskih sustava istodobno je platforma uspostavljena Direktivom o sigurnosti mrežnih i informacijskih sustava kako bi se olakšala strateška suradnja i razmjena informacija među državama članicama EU-a, Europskom komisijom i Agencijom EU-a za kibersigurnost (ENISA). Skupina objavljuje neobvezujuće smjernice i preporuke za potporu provedbi Direktive NIS.

Osnovne informacije

NIS 1 (Direktiva 2016/1148) bio je prvo sveobuhvatno zakonodavstvo EU-a usmjereno na jačanje kibersigurnosti mrežnih i informacijskih sustava kako bi se zaštitile ključne usluge za gospodarstvo i društvo EU-a. Komisija je u prosincu 2020. predložila reviziju Direktive NIS 1, što je dovelo do donošenja Direktive NIS 2, koja je stupila na snagu u siječnju 2023. Države članice morale su do 17. listopada 2024. prenijeti Direktivu NIS2 u nacionalno pravo. NIS 2 ukinuo je NIS1 od 18. listopada 2024.