Η νέα οδηγία με την ονομασία «NIS2», θα αντικαταστήσει την ισχύουσα οδηγία για την ασφάλεια των συστημάτων δικτύου και πληροφοριών στην Ευρωπαϊκή Ένωση.
Το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο συμφώνησαν σήμερα σε μέτρα για ένα υψηλό κοινό επίπεδο ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ένωση, ώστε να βελτιωθεί περαιτέρω η ανθεκτικότητα και οι ικανότητες αντιμετώπισης συμβάντων τόσο του δημόσιου και του ιδιωτικού τομέα όσο και της ΕΕ στο σύνολό της.
Μόλις εγκριθεί, η νέα οδηγία, με την ονομασία «NIS2», θα αντικαταστήσει την ισχύουσα οδηγία για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (οδηγία NIS).
Ενισχυμένη διαχείριση κινδύνων και συμβάντων και συνεργασία
Η NIS2 θα θέσει τη βάση για τα μέτρα διαχείρισης κινδύνων στον κυβερνοχώρο και τις υποχρεώσεις υποβολής εκθέσεων σε όλους τους τομείς που καλύπτονται από την οδηγία, όπως η ενέργεια, οι μεταφορές, η υγεία και οι ψηφιακές υποδομές.
Η αναθεωρημένη οδηγία αποσκοπεί στην άρση των αποκλίσεων στις απαιτήσεις κυβερνοασφάλειας και στην εφαρμογή των μέτρων κυβερνοασφάλειας στα διάφορα κράτη μέλη. Για να επιτευχθεί αυτό, καθορίζει ελάχιστους κανόνες για ένα κανονιστικό πλαίσιο και θεσπίζει μηχανισμούς για την αποτελεσματική συνεργασία μεταξύ των αρμόδιων αρχών σε κάθε κράτος μέλος. Επικαιροποιεί τον κατάλογο των τομέων και δραστηριοτήτων που υπόκεινται σε υποχρεώσεις κυβερνοασφάλειας και προβλέπει διορθωτικά μέτρα και κυρώσεις για τη διασφάλιση της εφαρμογής.
Με την οδηγία θα δημιουργηθεί επίσημα το Ευρωπαϊκό Δίκτυο Οργάνωσης Συνδέσμου για τις Κρίσεις στον Κυβερνοχώρο, EU-CyCLONe, το οποίο θα υποστηρίζει τη συντονισμένη διαχείριση περιστατικών κυβερνοασφάλειας μεγάλης κλίμακας.
Διεύρυνση του πεδίου εφαρμογής των κανόνων
Ενώ σύμφωνα με την παλαιά οδηγία NIS τα κράτη μέλη ήταν υπεύθυνα για τον προσδιορισμό των οντοτήτων που θα πληρούσαν τα κριτήρια για να χαρακτηριστούν φορείς εκμετάλλευσης βασικών υπηρεσιών, η νέα οδηγία NIS2 εισάγει έναν κανόνα για το ανώτατο όριο μεγέθους. Αυτό σημαίνει ότι όλες οι μεσαίες και μεγάλες οντότητες που δραστηριοποιούνται στους τομείς ή παρέχουν υπηρεσίες που καλύπτονται από την οδηγία θα εμπίπτουν στο πεδίο εφαρμογής της.
Ενώ η συμφωνία μεταξύ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου διατηρεί αυτόν τον γενικό κανόνα, το προσωρινά συμφωνηθέν κείμενο περιλαμβάνει πρόσθετες διατάξεις για τη διασφάλιση της αναλογικότητας, ένα υψηλότερο επίπεδο διαχείρισης κινδύνων και σαφή κριτήρια κρισιμότητας για τον καθορισμό των οντοτήτων που καλύπτονται.
Το κείμενο διευκρινίζει επίσης ότι η οδηγία δεν θα εφαρμόζεται σε οντότητες που ασκούν δραστηριότητες σε τομείς όπως η άμυνα ή η εθνική ασφάλεια, η δημόσια ασφάλεια, η επιβολή του νόμου και η δικαιοσύνη. Τα κοινοβούλια και οι κεντρικές τράπεζες εξαιρούνται επίσης από το πεδίο εφαρμογής.
Καθώς οι δημόσιες διοικήσεις είναι επίσης συχνά στόχοι κυβερνοεπιθέσεων, η NIS2 θα εφαρμόζεται στις οντότητες της δημόσιας διοίκησης των κεντρικών κυβερνήσεων [συμπεριλαμβανομένων των πανεπιστημίων και των ερευνητικών ιδρυμάτων]. Επιπλέον, τα κράτη μέλη μπορούν να αποφασίσουν ότι εφαρμόζεται και σε τέτοιες οντότητες σε περιφερειακό και τοπικό επίπεδο.
Άλλες αλλαγές που εισήγαγαν οι συννομοθέτες
Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ευθυγράμμισαν το κείμενο με την τομεακή νομοθεσία, ιδίως με τον κανονισμό για την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα (DORA) και την οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER), προκειμένου να υπάρξει νομική σαφήνεια και να διασφαλιστεί η συνοχή μεταξύ της NIS2 και των εν λόγω πράξεων.
Ένας εθελοντικός μηχανισμός ομότιμης μάθησης θα αυξήσει την αμοιβαία εμπιστοσύνη και τη μάθηση από καλές πρακτικές και εμπειρίες, συμβάλλοντας έτσι στην επίτευξη ενός υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο.
Οι δύο συννομοθέτες έχουν επίσης εξορθολογήσει τις υποχρεώσεις υποβολής εκθέσεων προκειμένου να αποφευχθεί η πρόκληση υπερβολικής υποβολής εκθέσεων και η δημιουργία υπερβολικού φόρτου για τις καλυπτόμενες οντότητες.
Τα κράτη μέλη θα έχουν στη διάθεσή τους 21 μήνες από την έναρξη ισχύος της οδηγίας για να ενσωματώσουν τις διατάξεις στο εθνικό τους δίκαιο.
Η προσωρινή συμφωνία που συνήφθη σήμερα υπόκειται πλέον στην έγκριση του Συμβουλίου και του Ευρωπαϊκού Κοινοβουλίου.
Από την πλευρά του Συμβουλίου, η γαλλική Προεδρία προτίθεται να υποβάλει τη συμφωνία στην Επιτροπή των Μόνιμων Αντιπροσώπων του Συμβουλίου προς έγκριση στα τέλη Μαΐου 2022.