Ενίσχυση της κυβερνοασφάλειας και της ανθεκτικότητας σε επίπεδο ΕΕ – προσωρινή συμφωνία του Συμβουλίου και του Ευρωπαϊκού Κοινοβουλίου
Το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο συμφώνησαν σήμερα μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, για την περαιτέρω βελτίωση της ανθεκτικότητας και των ικανοτήτων αντιμετώπισης περιστατικών τόσο του δημόσιου και του ιδιωτικού τομέα όσο και της ΕΕ στο σύνολό της.
Μόλις εγκριθεί, η νέα οδηγία, με την ονομασία «NIS 2», θα αντικαταστήσει την ισχύουσα οδηγία για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (οδηγία NIS).
Ισχυρότερη διαχείριση κινδύνων και περιστατικών και ισχυρότερη συνεργασία
Η οδηγία NIS 2 θα θέσει τα θεμέλια για τον καθορισμό μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας και υποχρεώσεων αναφοράς περιστατικών σε όλους τους τομείς τους οποίους καλύπτει, όπως η ενέργεια, οι μεταφορές, η υγεία και οι ψηφιακές υποδομές.
Η αναθεωρημένη οδηγία αποσκοπεί στην εξάλειψη των αποκλίσεων στις απαιτήσεις κυβερνοασφάλειας και στην εφαρμογή μέτρων κυβερνοασφάλειας στα διάφορα κράτη μέλη. Για τον σκοπό αυτό, θέτει ελάχιστους κανόνες για ένα κανονιστικό πλαίσιο και θεσπίζει μηχανισμούς για την αποτελεσματική συνεργασία μεταξύ των αρμόδιων αρχών σε κάθε κράτος μέλος. Επικαιροποιεί τον κατάλογο τομέων και δραστηριοτήτων που υπόκεινται σε υποχρεώσεις στον τομέα της κυβερνοασφάλειας και προβλέπει διορθωτικά μέτρα και κυρώσεις για να διασφαλίζεται η τήρηση των υποχρεώσεων.
Με την οδηγία θεσπίζεται επίσημα το ευρωπαϊκό δίκτυο οργανώσεων διασύνδεσης για τις κρίσεις στον κυβερνοχώρο (EU-CyCLONe), το οποίο θα στηρίζει τη συντονισμένη διαχείριση περιστατικών κυβερνοασφάλειας μεγάλης κλίμακας.
Διεύρυνση του πεδίου εφαρμογής των κανόνων
Ενώ, σύμφωνα με την παλιά οδηγία NIS, τα κράτη μέλη ήταν αρμόδια για τον προσδιορισμό των οντοτήτων που πληρούν τα κριτήρια για να χαρακτηριστούν ως φορείς εκμετάλλευσης βασικών υπηρεσιών, με τη νέα οδηγία NIS 2 εισάγεται κανόνας ορίου μεγέθους. Αυτό σημαίνει ότι όλες οι μεσαίες και μεγάλες οντότητες που δραστηριοποιούνται σε τομείς ή παρέχουν υπηρεσίες που καλύπτονται από την οδηγία, θα εμπίπτουν στο πεδίο εφαρμογής της.
Μολονότι η συμφωνία μεταξύ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου διατηρεί αυτόν τον γενικό κανόνα, το προσωρινά συμφωνηθέν κείμενο περιλαμβάνει πρόσθετες διατάξεις για να εξασφαλιστούν η αναλογικότητα, υψηλότερο επίπεδο διαχείρισης κινδύνου και σαφή κριτήρια αξιολόγησης της κρισιμότητας για τον προσδιορισμό των οντοτήτων που καλύπτονται.
Το κείμενο διευκρινίζει επίσης ότι η οδηγία δεν θα εφαρμόζεται στις οντότητες που ασκούν δραστηριότητες σε τομείς όπως η άμυνα ή η εθνική ασφάλεια, η δημόσια ασφάλεια, η επιβολή του νόμου και η δικαιοσύνη. Εξαιρούνται επίσης από το πεδίο εφαρμογής τα κοινοβούλια και οι κεντρικές τράπεζες.
Δεδομένου ότι οι δημόσιες διοικήσεις αποτελούν επίσης συχνά στόχους κυβερνοεπιθέσεων, η οδηγία NIS 2 θα ισχύει για οντότητες της δημόσιας διοίκησης σε κεντρικό και περιφερειακό επίπεδο. Εξάλλου, τα κράτη μέλη μπορούν να αποφασίσουν ότι θα εφαρμόζεται στις ως άνω οντότητες και σε τοπικό επίπεδο.
Άλλες τροποποιήσεις που επέφεραν οι συννομοθέτες
Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ευθυγράμμισαν το κείμενο με την τομεακή νομοθεσία και ειδικότερα με τον κανονισμό σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα (DORA) και την οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER), ώστε να εξασφαλίζεται νομική σαφήνεια και συνοχή μεταξύ της οδηγίας NIS 2 και των εν λόγω πράξεων.
Ο προαιρετικός μηχανισμός μάθησης από ομοτίμους θα ενισχύσει την αμοιβαία εμπιστοσύνη και την άντληση διδαγμάτων από ορθές πρακτικές και εμπειρίες, πράγμα που θα συμβάλει στην επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας.
Οι δύο συννομοθέτες βελτιστοποίησαν επίσης τις υποχρεώσεις αναφοράς περιστατικών προκειμένου να αποφεύγεται η υπερβολική αναφορά περιστατικών και η υπερβολική επιβάρυνση των οντοτήτων που καλύπτονται από την οδηγία.
Τα κράτη μέλη θα έχουν στη διάθεσή τους 21 μήνες από την έναρξη ισχύος της οδηγίας για να μεταφέρουν τις διατάξεις στο εθνικό τους δίκαιο.
Επόμενα βήματα
Η προσωρινή συμφωνία που επιτεύχθηκε σήμερα πρέπει πλέον να εγκριθεί από το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο.
Από την πλευρά του Συμβουλίου, η γαλλική Προεδρία προτίθεται να υποβάλει συντόμως τη συμφωνία προς έγκριση στην Επιτροπή των Μόνιμων Αντιπροσώπων του Συμβουλίου.