U srpnju 2016. Europska unije donijela je Direktivu o sigurnosti mrežnih i informacijskih sustava (Network and Information Security, NIS) kao prvi zajednički zakon koji trebao zajamčiti visoku razinu kibernetičke sigurnosti za kritičnu infrastrukturu zemlja u svim zemljama članicama. Direktiva koja je implementirana u nacionalna zakonodavstva zemalja članica bez dvojbe je povećala tadašnje sigurnosne kapacitete, ali se pokazalo da je komplicirana provedba dovela do fragmentacije i različnih razina kibernetičke sigurnosti na zajedničkom tržištu. Rastući broj kibernetičkih napada i ubrzanje digitalizacije, posebice u godinama pandemije predstavljaju međutim sve veću prijetnju sigurnosti javnog i privatnog sektora zbog čega je Europska komisija predložila reviziju NIS Direktive i njome uvela nove mjere za poboljšanje otpornosti i povećanje kapaciteta.
Povećanje kibernetičke sigurnosti postalo je prioritet i zbog političke situacije u Ukrajini, posebno nakon što je izvršen kibernapad na Europski parlament samo dan nakon što su zastupnici usvojili rezoluciju o Rusiji kao „državi koja sponzorira terorizam i koristi terorističke mjere“. No, predmet napada su sve češće privatne i javne tvrtke, bilo da se radi o zahtjevima s traženom „otkupninom“ ili načinima ugrožavanja funkcioniranja javnih službi u EU. Dobar primjer je napad na informacijski sustav zdravstva, najveći dosad, zabilježen u svibnju prošle godine u Irskoj, kada su vlasti zbog ransomware napada bile prisiljene ugasiti čitavu nacionalnu bolničku računalnu mrežu. Troškovi oporavka sustava, prema procjenama ministarstva zdravstva premašili su sto milijuna eura.
Kako bi spriječila mogućnost ponavljanja takvih napada i osigurala dostupnost, kontinuitet i integritet podataka i usluga Komisija je revizijom Direktive predložila mjere koje se kreću u rasponu od upravljanja kibersigurnosnim rizicima i obveze izvješćivanja, proširenja sektora koji su obuhvaćeni direktivom do pooštravanja sigurnosnih zahtjeva i uvođenja harmoniziranih kazni na području cijele Unije.
NIS 2, kao i prijašnja varijanta direktive, odnosi se na operatore ključnih usluga i davatelje digitalnih usluga, ali će se broj sektora koje obuhvaća proširiti sa dosadašnjih 19 na 35. Tako će se u njezin obuhvat, uz sektore kao što su energetika, zdravstvo, bankarstvo i financije, opskrba vodom za piće i njezina distribucija, digitalna infrastruktura i usluge u sustavima državne informacijske infrastrukture, uključiti i primjerice poštanske usluge, gospodarenje otpadom, proizvodnja i distribucija hrane i kemikalija.
Novost je i činjenica da su na temelju stare direktive države članice same određivale koji subjekti se mogu smatrati operatorima ključnih usluga, dok se novom direktivom NIS 2 uvodi se pravilo o veličini kao opće pravilo za utvrđivanje reguliranih subjekata. To znači da će svi srednji i veliki subjekti koji djeluju unutar sektora ili pružaju usluge na koje se odnosi direktiva biti obuhvaćeni njezinim područjem primjene. Logično je naime da svi koji posluju s pružateljima kritičnih usluga podliježu istoj razini sigurnosnih zahtjeva kao i oni sami, jer bilo koja njihova ranjivost može kompromitirati i sustave poslovnih partnera.
Direktiva NIS 2 primjenjivat će se i na javne uprave na središnjoj i regionalnoj razini.
Nakon stupanja na snagu, država članice imat će rok od 21 mjesec da odredbe direktiva prenesu u nacionalno pravo, što je u slučaju Hrvatske Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga.
Komentari