W życie weszły nowe unijne przepisy dotyczące cyberbezpieczeństwa sektorów kluczowych (w tym telekomunikacji) dla funkcjonowania gospodarki i społeczeństwa, tj. dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (Dyrektywa NIS 2) oraz dyrektywa w sprawie odporności podmiotów krytycznych (dyrektywa CER).
Dyrektywa NIS 2 zastępuje przepisy dotyczące bezpieczeństwa sieci i systemów informatycznych (dyrektywa NIS), które były pierwszym ogólnounijnym aktem prawnym dotyczącym cyberbezpieczeństwa. Nowe regulacje są ostrzejsze.
– Dyrektywa NIS 2 zapewni bezpieczniejszą i silniejszą Europę poprzez znaczne rozszerzenie sektorów i rodzajów podmiotów krytycznych objętych jej zakresem. Należą do nich dostawcy publicznych sieci i usług łączności elektronicznej, usług centrów danych, gospodarki ściekowej i odpadami, produkcji produktów krytycznych, usług pocztowych i kurierskich oraz jednostek administracji publicznej, a także szerzej sektora ochrony zdrowia. Ponadto zaostrzy wymogi w zakresie zarządzania ryzykiem cybernetycznym, których przedsiębiorstwa są zobowiązane przestrzegać, a także usprawni obowiązki zgłaszania incydentów dzięki bardziej precyzyjnym przepisom dotyczącym zgłaszania, treści i harmonogramu – podkreśla Komisja Europejska.
Dyrektywa upraszcza obowiązki w zakresie zgłaszania incydentów dzięki bardziej precyzyjnym przepisom dotyczącym zgłaszania, treści i harmonogramu. Ponadto, istnieją bardziej rygorystyczne środki nadzorcze dla organów krajowych, a także surowsze wymogi w zakresie egzekwowania wraz z wykazem sankcji administracyjnych, w tym grzywien za naruszenie obowiązków w zakresie zarządzania ryzykiem cybernetycznym i sprawozdawczości.
Dyrektywa CER obejmuje natomiast 11 sektorów: energia, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i żywność. Państwa członkowskie będą musiały przyjąć krajową strategię i przeprowadzać regularne oceny ryzyka w celu identyfikacji podmiotów uznanych za krytyczne lub niezbędne dla społeczeństwa i gospodarki.
Państwa członkowskie mają 21 miesięcy na transpozycję obu dyrektyw do prawa krajowego. W tym czasie państwa członkowskie przyjmują i publikują środki niezbędne do ich wykonania.
W Polsce pojawiały się m.in. propozycje, by wstrzymać się z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) do wejścia w życie NIS2, co się de facto stało.
