Novosti v EU-ju na področju kibernetske varnosti: od NIS 2 do kibernetske solidarnosti

Direktiva NIS je bila prvi akt, ki je področje kibernetske varnosti urejal na ravni EU-ja. Šest let kasneje je bila sprejeta nova direktiva – NIS 2, s katero želi EU dodatno izboljšati kibernetsko odpornost in odzivnost javnega in zasebnega sektorja ter Unije kot celote. Z direktivo NIS 2 je tudi uradno vzpostavljena Evropska organizacijska mreža za povezovanje v kibernetski krizi (EU-CyCLONe), ki podpira usklajeno upravljanje velikih kibernetskih incidentov. Direktiva razširja seznam zavezancev, deli jih na bistvene in pomembne subjekte, ki bodo dolžni v 24 urah poročati o varnostnih incidentih ter v enem mesecu o incidentu in vzroku ter vpeljanih in načrtovanih ukrepih za odpravljanje tveganj. Podobno kot Splošna uredba o varstvu podatkov – GDPR tudi direktiva NIS 2 predvideva visoke globe za kršitev določil. Poleg direktive NIS 2 sta bili decembra 2022 na sektorskem področju sprejeti še Direktiva o odpornosti kritičnih subjektov (direktiva CER) in Uredba o digitalni operativni odpornosti za finančni sektor. Aktivnosti EU-ja na področju zagotavljanja varnega in odpornega kibernetskega prostora se nadaljujejo tudi v letu 2023. Evropska komisija je aprila sprejela predlog Akta EU o kibernetski solidarnosti, da bi se okrepila zmogljivost v EU-ju za odkrivanje pomembnih in obsežnih kibernetskih groženj in napadov ter odzivanje nanje.

Jaka Kosmač*

SIR*IUS 5/2023