Προσωρινή συμφωνία του Συμβουλίου και του Ευρωπαϊκού Κοινοβουλίου για την κυβερνοασφάλεια

0

Το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο συμφώνησαν σήμερα σε μέτρα για τη διασφάλιση υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση, για την περαιτέρω βελτίωση της ανθεκτικότητας και των ικανοτήτων αντιμετώπισης περιστατικών τόσο του δημόσιου και του ιδιωτικού τομέα όσο και της ΕΕ στο σύνολό της.

Μόλις εκδοθεί, η νέα οδηγία, με την ονομασία «NIS 2», θα αντικαταστήσει την ισχύουσα οδηγία για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (οδηγία NIS).

Ισχυρότερη διαχείριση κινδύνων και συμβάντων και ισχυρότερη συνεργασία

Η οδηγία NIS 2 θα αποτελέσει τη βάση για τον καθορισμό μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας και υποχρεώσεων αναφοράς περιστατικών σε όλους τους τομείς τους οποίους καλύπτει, όπως η ενέργεια, οι μεταφορές, η υγεία και οι ψηφιακές υποδομές.

Η αναθεωρημένη οδηγία αποσκοπεί στην εξάλειψη των αποκλίσεων όσον αφορά τις απαιτήσεις κυβερνοασφάλειας και στην εφαρμογή μέτρων κυβερνοασφάλειας στα διάφορα κράτη μέλη. Για τον σκοπό αυτό, καθορίζει τους ελάχιστους κανόνες για ένα κανονιστικό πλαίσιο και θεσπίζει μηχανισμούς για την αποτελεσματική συνεργασία μεταξύ των αρμόδιων αρχών κάθε κράτους μέλους. Επικαιροποιεί τον κατάλογο τομέων και δραστηριοτήτων που υπόκεινται σε υποχρεώσεις στον τομέα της κυβερνοασφάλειας και προβλέπει ένδικα μέσα και κυρώσεις ώστε να διασφαλίζεται η τήρηση της νομοθεσίας.

Με την οδηγία θεσπίζεται επίσημα το ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για τις κρίσεις στον κυβερνοχώρο (EU-CyCLONe), το οποίο θα στηρίζει τη συντονισμένη διαχείριση περιστατικών κυβερνοασφάλειας μεγάλης κλίμακας.

Διεύρυνση του πεδίου εφαρμογής των κανόνων

Ενώ, σύμφωνα με την παλιά οδηγία NIS, τα κράτη μέλη ήταν αρμόδια για τον προσδιορισμό των οντοτήτων που πληρούν τα κριτήρια για να χαρακτηριστούν φορείς εκμετάλλευσης βασικών υπηρεσιών, με τη νέα οδηγία NIS 2 εισάγεται κανόνας ορίου μεγέθους. Αυτό σημαίνει ότι όλες οι μεσαίες και μεγάλες οντότητες που δραστηριοποιούνται σε τομείς ή παρέχουν υπηρεσίες που καλύπτονται από την οδηγία, θα εμπίπτουν στο πεδίο εφαρμογής της.

Μολονότι η συμφωνία μεταξύ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου διατηρεί αυτό τον γενικό κανόνα, το προσωρινά συμφωνηθέν κείμενο περιλαμβάνει πρόσθετες διατάξεις για τη διασφάλιση της αναλογικότητας, υψηλότερου επιπέδου διαχείρισης κινδύνου καθώς και σαφών κριτηρίων αξιολόγησης του κρίσιμου χαρακτήρα των οντοτήτων για τον προσδιορισμό εκείνων που καλύπτονται.

Το κείμενο διευκρινίζει επίσης ότι η οδηγία δεν θα εφαρμόζεται στις οντότητες που ασκούν δραστηριότητες σε τομείς όπως η άμυνα ή η εθνική ασφάλεια, η δημόσια ασφάλεια, η επιβολή του νόμου και η δικαιοσύνη. Τα κοινοβούλια και οι κεντρικές τράπεζες εξαιρούνται επίσης από το πεδίο εφαρμογής.

Δεδομένου ότι οι δημόσιες διοικήσεις αποτελούν επίσης συχνά στόχο κυβερνοεπιθέσεων, η οδηγία NIS 2 θα εφαρμοστεί στις οντότητες της δημόσιας διοίκησης κεντρικών κυβερνήσεων [συμπεριλαμβανομένων πανεπιστημίων και ερευνητικών ιδρυμάτων ]. Επίσης, τα κράτη μέλη μπορούν να αποφασίσουν ότι θα εφαρμόζεται στις ως άνω οντότητες σε περιφερειακό και τοπικό επίπεδο.

Άλλες τροποποιήσεις που επέφεραν οι συννομοθέτες

Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ευθυγράμμισαν το κείμενο με την τομεακή νομοθεσία και ειδικότερα με τον κανονισμό σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα (DORA) και την οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER), ώστε να εξασφαλίζεται νομική σαφήνεια και συνοχή μεταξύ της οδηγίας NIS 2 και των εν λόγω πράξεων.

Η δημιουργία εθελοντικού μηχανισμού μάθησης από ομοτίμους θα ενισχύσει την αμοιβαία εμπιστοσύνη και την άντληση διδαγμάτων από ορθές πρακτικές και εμπειρίες, πράγμα που θα συμβάλλει στην επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας.

Οι δύο συννομοθέτες βελτιστοποίησαν επίσης τις υποχρεώσεις αναφοράς περιστατικών προκειμένου να αποφεύγεται η υπερβολική αναφορά περιστατικών και η υπερβολική επιβάρυνση των οντοτήτων που καλύπτονται από την οδηγία.

Τα κράτη μέλη θα έχουν στη διάθεσή τους δύο έτη[δεκαοκτώ μήνες] από την έναρξη ισχύος της οδηγίας για να μεταφέρουν τις διατάξεις στο εθνικό τους δίκαιο.

Επόμενα βήματα

Η προσωρινή συμφωνία που επιτεύχθηκε σήμερα πρέπει πλέον να εγκριθεί από το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο.

Από την πλευρά του Συμβουλίου, η γαλλική Προεδρία προτίθεται να υποβάλει τη συμφωνία προς έγκριση στην Επιτροπή των Μόνιμων Αντιπροσώπων του Συμβουλίου στα τέλη Μαΐου 2022.