Το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο συμφώνησαν σε μέτρα για ένα υψηλό κοινό επίπεδο ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ένωση , για περαιτέρω βελτίωση της ανθεκτικότητας και των ικανοτήτων αντιμετώπισης συμβάντων τόσο του δημόσιου όσο και του ιδιωτικού τομέα και της ΕΕ συνολικά.
Μόλις εγκριθεί, η νέα οδηγία, που ονομάζεται « NIS2 », θα αντικαταστήσει την τρέχουσα οδηγία για την ασφάλεια των συστημάτων δικτύων και πληροφοριών (η οδηγία NIS).
Ισχυρότερη διαχείριση κινδύνων και συμβάντων και συνεργασία
Το NIS2 θα θέσει τη βάση για τα μέτρα διαχείρισης κινδύνων στον κυβερνοχώρο και τις υποχρεώσεις αναφοράς σε όλους τους τομείς που καλύπτονται από την οδηγία, όπως η ενέργεια, οι μεταφορές, η υγεία και οι ψηφιακές υποδομές.
Η αναθεωρημένη οδηγία αποσκοπεί στην άρση των αποκλίσεων στις απαιτήσεις κυβερνοασφάλειας και στην εφαρμογή μέτρων κυβερνοασφάλειας σε διάφορα κράτη μέλη. Για να επιτευχθεί αυτό, ορίζει ελάχιστους κανόνες για ένα κανονιστικό πλαίσιο και θεσπίζει μηχανισμούς για αποτελεσματική συνεργασία μεταξύ των αρμόδιων αρχών σε κάθε κράτος μέλος. Ενημερώνει τον κατάλογο των τομέων και δραστηριοτήτων που υπόκεινται σε υποχρεώσεις κυβερνοασφάλειας και προβλέπει διορθωτικά μέτρα και κυρώσεις για τη διασφάλιση της επιβολής.
Η οδηγία θα δημιουργήσει επίσημα το Ευρωπαϊκό Δίκτυο Οργανισμού Διασύνδεσης Κρίσεων στον κυβερνοχώρο, EU-CyCLONE , το οποίο θα υποστηρίζει τη συντονισμένη διαχείριση περιστατικών μεγάλης κλίμακας στον κυβερνοχώρο .
Διεύρυνση του πεδίου εφαρμογής των κανόνων
Ενώ σύμφωνα με την παλιά οδηγία NIS, τα κράτη μέλη ήταν υπεύθυνα για τον καθορισμό του ποιες οντότητες θα πληρούσαν τα κριτήρια για να πληρούν τις προϋποθέσεις ως φορείς εκμετάλλευσης βασικών υπηρεσιών, η νέα οδηγία NIS2 εισάγει έναν κανόνα ανώτατου ορίου μεγέθους . Αυτό σημαίνει ότι όλες οι μεσαίες και μεγάλες οντότητες που δραστηριοποιούνται στους τομείς ή παρέχουν υπηρεσίες που καλύπτονται από την οδηγία θα εμπίπτουν στο πεδίο εφαρμογής της.
Ενώ η συμφωνία μεταξύ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου διατηρεί αυτόν τον γενικό κανόνα, το προσωρινά συμφωνημένο κείμενο περιλαμβάνει πρόσθετες διατάξεις για τη διασφάλιση της αναλογικότητας , υψηλότερου επιπέδου διαχείρισης κινδύνων και σαφών κριτηρίων κρισιμότητας για τον προσδιορισμό των οντοτήτων που καλύπτονται.
Το κείμενο διευκρινίζει επίσης ότι η οδηγία δεν θα εφαρμόζεται σε φορείς που ασκούν δραστηριότητες σε τομείς όπως η άμυνα ή η εθνική ασφάλεια , η δημόσια ασφάλεια, η επιβολή του νόμου και το δικαστικό σώμα. Τα κοινοβούλια και οι κεντρικές τράπεζες εξαιρούνται επίσης από το πεδίο εφαρμογής.
Καθώς οι δημόσιες διοικήσεις αποτελούν επίσης συχνά στόχους κυβερνοεπιθέσεων, το NIS2 θα ισχύει για φορείς δημόσιας διοίκησης των κεντρικών κυβερνήσεων . Επιπλέον, τα κράτη μέλη μπορούν να αποφασίσουν ότι ισχύει και για τέτοιους φορείς σε περιφερειακό και τοπικό επίπεδο.
Άλλες αλλαγές που εισήγαγαν οι συννομοθέτες
Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο έχουν ευθυγραμμίσει το κείμενο με τομεακή νομοθεσία , ιδίως με τον κανονισμό για την ψηφιακή επιχειρησιακή ανθεκτικότητα για τον χρηματοπιστωτικό τομέα (DORA) και την οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER), για να παρέχουν νομική σαφήνεια και να διασφαλίσουν συνοχή μεταξύ NIS2 και αυτών των πράξεων.
Ένας εθελοντικός μηχανισμός μάθησης από ομοτίμους θα αυξήσει την αμοιβαία εμπιστοσύνη και τη μάθηση από καλές πρακτικές και εμπειρίες, συμβάλλοντας έτσι στην επίτευξη ενός υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο.
Οι δύο συννομοθέτες έχουν επίσης εξορθολογίσει τις υποχρεώσεις υποβολής εκθέσεων προκειμένου να αποφευχθεί η πρόκληση υπερβολικής υποβολής εκθέσεων και η δημιουργία υπερβολικού φόρτου για τις καλυπτόμενες οντότητες.
Τα κράτη μέλη θα έχουν στη διάθεσή τους 21 μήνες από την έναρξη ισχύος της οδηγίας για να ενσωματώσουν τις διατάξεις στο εθνικό τους δίκαιο.
Επόμενα βήματα
Η προσωρινή συμφωνία που συνήφθη σήμερα υπόκειται πλέον σε έγκριση από το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο.
Από την πλευρά του Συμβουλίου, η γαλλική Προεδρία σκοπεύει να υποβάλει τη συμφωνία στην Επιτροπή των Μόνιμων Αντιπροσώπων του Συμβουλίου για έγκριση στα τέλη Μαΐου 2022.
13.5.2022
