Cyberbezpieczeństwo sieci krytycznych

Komisja Europejska przyjęła pierwsze przepisy wykonawcze dotyczące cyberbezpieczeństwa podmiotów i sieci krytycznych na podstawie dyrektywy ws. środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. 

W życie wchodzą nowe przepisy mające na celu zwiększenie cyberbezpieczeństwa podmiotów i sieci krytycznych w UE.

W niniejszym akcie wykonawczym wyszczególniono środki zarządzania ryzykiem w cyberprzestrzeni, a także przypadki, w których incydent należy uznać za istotny, a przedsiębiorstwa zapewniające infrastrukturę cyfrową i usługi cyfrowe powinny zgłaszać ten incydent organom krajowym. Jest to kolejny ważny krok w kierunku zwiększenia cyberodporności krytycznej infrastruktury cyfrowej w Europie.

Rozporządzenie wykonawcze będzie miało zastosowanie do określonych kategorii przedsiębiorstw świadczących usługi cyfrowe, takich jak m.in. dostawcy usług w chmurze, dostawcy usług dla centrów danych, internetowe platformy handlowe, wyszukiwarki internetowe i platformy społecznościowe. W odniesieniu do każdej kategorii dostawców usług w akcie wykonawczym określono, kiedy incydent uznaje się za istotny, komu należy go zgłosić i w jakich ramach czasowych.

Przyjęcie rozporządzenia wykonawczego zbiega się z terminem transpozycji przez państwa członkowskie dyrektywy NIS 2 do prawa krajowego. Od 18 października 2024 r. wszystkie państwa członkowskie muszą stosować środki niezbędne do zapewnienia zgodności z przepisami NIS 2 dotyczącymi cyberbezpieczeństwa, w tym środki nadzoru i egzekwowania przepisów.

Margrethe Vestager

Cyberbezpieczeństwo jest jednym z głównych elementów ochrony naszych obywateli i naszej infrastruktury. W dzisiejszym krajobrazie cyberbezpieczeństwa ogromne znaczenie ma zwiększenie naszych zdolności, wymogów w zakresie bezpieczeństwa i szybkiej wymiany informacji za pomocą aktualnych przepisów. Wzywam pozostałe państwa członkowskie do jak najszybszego wdrożenia tych przepisów na szczeblu krajowym, aby zapewnić cyberbezpieczeństwo usług, które mają kluczowe znaczenie dla naszych społeczeństw i gospodarek. Margrethe Vestager, wiceprzewodnicząca wykonawcza do spraw Europy na miarę ery cyfrowej

Kolejne kroki

Rozporządzenie wykonawcze zostanie opublikowane w Dzienniku Urzędowym we właściwym czasie, a następnie wejdzie w życie 20 dni później.

Kontekst

Pierwsza ogólnounijna ustawa o cyberbezpieczeństwie, dyrektywa w sprawie bezpieczeństwa sieci i informacji, weszła w życie w 2016 r. i pomogła osiągnąć wspólny poziom bezpieczeństwa sieci i systemów informatycznych w całej UE. W ramach swojego kluczowego celu politycznego, jakim jest dostosowanie Europy do ery cyfrowej, w grudniu 2020 r. Komisja zaproponowała przegląd dyrektywy w sprawie bezpieczeństwa sieci i informacji. Po wejściu w życie w styczniu 2023 r. państwa członkowskie musiały dokonać transpozycji dyrektywy NIS 2 do prawa krajowego do 17 października 2024 r.

Dyrektywa NIS 2 ma na celu zapewnienie wysokiego poziomu cyberbezpieczeństwa w całej Unii. Obejmuje ona podmioty działające w sektorach o krytycznym znaczeniu dla gospodarki i społeczeństwa, w tym dostawców publicznych usług łączności elektronicznej, usług ICT, usług cyfrowych, gospodarowania ściekami i odpadami, przestrzeni kosmicznej, zdrowia, energii, transportu, wytwarzania produktów o krytycznym znaczeniu, usług pocztowych i kurierskich oraz administracji publicznej.

Dyrektywa zaostrza wymogi bezpieczeństwa nakładane na przedsiębiorstwa i dotyczy bezpieczeństwa łańcuchów dostaw i relacji z dostawcami. Usprawnia on obowiązki sprawozdawcze, wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, a także bardziej rygorystyczne wymogi w zakresie egzekwowania przepisów, oraz ma na celu harmonizację systemów sankcji we wszystkich państwach członkowskich. Pomoże to zwiększyć wymianę informacji i współpracę w zakresie zarządzania kryzysowego w cyberprzestrzeni na szczeblu krajowym i unijnym.

Aby uzyskać więcej informacji