Direktiva NIS 2: osiguravanje mrežnih i informacijskih sustava

Kibersigurnost uključuje zaštitu mrežnih i informacijskih sustava (NIS), njihovih korisnika i drugih pogođenih pojedinaca od kiberincidenata i prijetnji. Kako bi se odgovorilo na povećanu izloženost Europe kiberprijetnjama, Direktiva 2022/2555, poznata i kao Direktiva NIS2, zamijenila je njezinu prethodnicu, Direktivu 2016/1148 ili Direktivu NIS1. Direktivom NIS2 povećava se zajednička razina ambicije EU-a u području kibersigurnosti s pomoću šireg područja primjene, jasnijih pravila i jačih alata za nadzor. Njome se od država članica zahtijeva da poboljšaju svoje kibersigurnosne kapacitete, uz istodobno uvođenje mjera upravljanja rizicima i zahtjeva za izvješćivanje za subjekte iz više sektora te utvrđivanje pravila za suradnju, razmjenu informacija, nadzor i provedbu kibersigurnosnih mjera.

Direktivom se nalaže da svaka država članica donese nacionalnu strategiju za kibersigurnost, koja uključuje politike za sigurnost lanca opskrbe, upravljanje ranjivostima te obrazovanje i osviještenost o kibersigurnosti. Države članice također moraju uspostaviti i redovito ažurirati popis operatora ključnih usluga, osiguravajući da ti subjekti ispunjavaju zahtjeve Direktive.

Osim sektora koji su već obuhvaćeni Direktivom NIS 1 – energetika, promet, zdravstvena skrb, financije, upravljanje vodama i digitalna infrastruktura – nova se pravila primjenjuju i na pružatelje javnih elektroničkih komunikacija, više digitalnih usluga (kao što su društvene platforme), gospodarenje otpadom i otpadnim vodama, proizvodnju ključnih proizvoda, poštanske i kurirske usluge te javnu upravu na središnjoj i regionalnoj razini, kao i na svemirski sektor. U pravilu će srednji i veliki subjekti u tim kritičnim sektorima morati poduzeti odgovarajuće mjere upravljanja kibersigurnosnim rizicima i obavijestiti relevantna nacionalna tijela o značajnim incidentima. To su incidenti koji bi mogli uzrokovati znatne poremećaje ili štetu.

Direktiva uključuje i odredbe o nadzoru, provedbi i dobrovoljnim istorazinskim ocjenama kako bi se povećalo uzajamno povjerenje i kapaciteti za kibersigurnost u cijelom EU-u. Njome se uvodi i odgovornost najvišeg rukovodstva za neusklađenost s mjerama upravljanja kibersigurnosnim rizicima, čime se skreće pozornost uprave na kibersigurnost.

Direktivom se uspostavlja mreža timova za odgovor na računalne sigurnosne incidente (CSIRT-ovi) za razmjenu informacija o kiberprijetnjama i odgovor na incidente. Ti su timovi ključni za održavanje informiranosti o stanju i pružanje pomoći. Kako bi se upravljalo kiberincidentima ili kiberkrizama velikih razmjera, Direktivom se uspostavlja europska mreža organizacija za vezu za kiberkrize (EU-CyCLONe). Tom se mrežom podupire koordinirano upravljanje i osigurava redovita razmjena informacija među državama članicama i institucijama EU-a u slučaju incidenata i kriza velikih razmjera. 

Skupina za suradnju u području sigurnosti mrežnih i informacijskih sustava istodobno je platforma uspostavljena Direktivom o sigurnosti mrežnih i informacijskih sustava kako bi se olakšala strateška suradnja i razmjena informacija među državama članicama EU-a, Europskom komisijom i Agencijom EU-a za kibersigurnost (ENISA). Skupina objavljuje neobvezujuće smjernice i preporuke za potporu provedbi Direktive NIS.

Osnovne informacije

Direktiva NIS 1 (Direktiva 2016/1148) bila je prvo sveobuhvatno zakonodavstvo EU-a usmjereno na jačanje kibersigurnosti mrežnih i informacijskih sustava kako bi se zaštitile ključne usluge za gospodarstvo i društvo EU-a. Komisija je u prosincu 2020. predložila reviziju Direktive NIS 1, što je dovelo do donošenja Direktive NIS 2, koja je stupila na snagu u siječnju 2023. Države članice morale su do 17. listopada 2024. prenijeti Direktivu NIS2 u nacionalno pravo. NIS 2 ukinuo je NIS1 od 18. listopada 2024.