Η Επιτροπή ενέκρινε Πέμπτη, 17 Οκτωβρίου 2024, τους πρώτους εκτελεστικούς κανόνες για την κυβερνοασφάλεια των κρίσιμων οντοτήτων και δικτύων στο πλαίσιο της οδηγίας σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS2). Η παρούσα εκτελεστική πράξη περιγράφει λεπτομερώς τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, καθώς και τις περιπτώσεις στις οποίες ένα συμβάν θα πρέπει να θεωρείται σημαντικό και οι εταιρείες που παρέχουν ψηφιακές υποδομές και υπηρεσίες θα πρέπει να το αναφέρουν στις εθνικές αρχές. Πρόκειται για ένα ακόμη σημαντικό βήμα για την ενίσχυση της ανθεκτικότητας στον κυβερνοχώρο των κρίσιμων ψηφιακών υποδομών της Ευρώπης.
Ο εκτελεστικός κανονισμός που εκδόθηκε θα εφαρμόζεται σε συγκεκριμένες κατηγορίες εταιρειών που παρέχουν ψηφιακές υπηρεσίες, όπως οι πάροχοι υπηρεσιών υπολογιστικού νέφους, οι πάροχοι υπηρεσιών κέντρων δεδομένων, οι επιγραμμικές αγορές, οι επιγραμμικές μηχανές αναζήτησης και οι πλατφόρμες κοινωνικής δικτύωσης. Για κάθε κατηγορία παρόχων υπηρεσιών, η εκτελεστική πράξη προσδιορίζει επίσης πότε ένα συμβάν θεωρείται σημαντικό.
Η σημερινή έκδοση του εκτελεστικού κανονισμού συμπίπτει με την προθεσμία για τη μεταφορά της οδηγίας NIS2 στα κράτη μέλη. Από σήμερα, 18 Οκτωβρίου 2024, όλα τα κράτη μέλη πρέπει να εφαρμόζουν τα μέτρα που απαιτούνται για τη συμμόρφωση με τους κανόνες ασφάλειας στον κυβερνοχώρο NIS2, συμπεριλαμβανομένων των μέτρων εποπτείας και επιβολής.
Ιστορικό
Ο πρώτος νόμος για την ασφάλεια στον κυβερνοχώρο σε επίπεδο ΕΕ, η οδηγία NIS, τέθηκε σε ισχύ το 2016 και συνέβαλε στην επίτευξη κοινού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών σε ολόκληρη την ΕΕ. Ως μέρος του βασικού στόχου πολιτικής της για να καταστεί η Ευρώπη κατάλληλη για την ψηφιακή εποχή, η Επιτροπή πρότεινε την αναθεώρηση της οδηγίας NIS τον Δεκέμβριο του 2020. Αφού τέθηκαν σε ισχύ τον Ιανουάριο του 2023, τα κράτη μέλη έπρεπε να μεταφέρουν την οδηγία NIS2 στο εθνικό τους δίκαιο έως τις 17 Οκτωβρίου 2024.
Η οδηγία NIS2 αποσκοπεί στη διασφάλιση υψηλού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση. Καλύπτει οντότητες που δραστηριοποιούνται σε τομείς ζωτικής σημασίας για την οικονομία και την κοινωνία, συμπεριλαμβανομένων των παρόχων δημόσιων υπηρεσιών ηλεκτρονικών επικοινωνιών, της διαχείρισης υπηρεσιών ΤΠΕ, των ψηφιακών υπηρεσιών, της διαχείρισης λυμάτων και αποβλήτων, του διαστήματος, της υγείας, της ενέργειας, των μεταφορών, της κατασκευής κρίσιμων προϊόντων, των ταχυδρομικών υπηρεσιών και των υπηρεσιών ταχυμεταφοράς και της δημόσιας διοίκησης.
Η οδηγία ενισχύει τις απαιτήσεις ασφάλειας που επιβάλλονται στις εταιρείες και εξετάζει την ασφάλεια των αλυσίδων εφοδιασμού και των σχέσεων με τους προμηθευτές. Εξορθολογίζει τις υποχρεώσεις υποβολής εκθέσεων, θεσπίζει αυστηρότερα εποπτικά μέτρα για τις εθνικές αρχές, καθώς και αυστηρότερες απαιτήσεις επιβολής, και αποσκοπεί στην εναρμόνιση των καθεστώτων κυρώσεων σε όλα τα κράτη μέλη. Θα συμβάλει στην αύξηση της ανταλλαγής πληροφοριών και της συνεργασίας σχετικά με τη διαχείριση κρίσεων στον κυβερνοχώρο σε εθνικό και ενωσιακό επίπεδο.