5 godzin temu
Komisja Europejska przedstawiła pakiet zmian w dyrektywie NIS2, mający na celu głębszą harmonizację wymagań bezpieczeństwa oraz eliminację niespójności w ich wdrażaniu przez państwa członkowskie. Nowe regulacje wprowadzają bardziej rygorystyczne zasady raportowania ataków ransomware oraz rozszerzają katalog „podmiotów kluczowych” o strategiczne sektory, co ma najważniejsze znaczenie dla stabilności jednolitego rynku cyfrowego.
Proponowane zmiany koncentrują się na ujednoliceniu środków technicznych i metodologicznych określonych w artykule 21 dyrektywy NIS2. Komisja dąży do tego, aby raz przyjęte na poziomie unijnym standardy nie mogły być dowolnie zmieniane przez poszczególne państwa członkowskie poprzez nakładanie dodatkowych, specyficznych dla danego kraju wymogów. Kluczowym narzędziem ułatwiającym zgodność ma stać się europejski system certyfikacji cyberbezpieczeństwa. Dzięki niemu firmy operujące w wielu krajach UE będą mogły korzystać z jednolitego „pakietu dowodowego”, co znacząco zredukuje obciążenia administracyjne związane z wykazywaniem odporności systemów w różnych jurysdykcjach.
Istotną modyfikacją jest rozszerzenie zakresu podmiotowego dyrektywy. Status „podmiotów kluczowych” (essential entities) otrzymają teraz operatorzy podmorskiej infrastruktury przesyłowej danych oraz dostawcy Europejskich Portfeli Tożsamości Cyfrowej. Wprowadzono również nową kategorię dla średnich przedsiębiorstw o mniejszej kapitalizacji (small mid-caps), które działając w sektorach krytycznych, zostaną uznane za „podmioty ważne”. Jednocześnie doprecyzowano definicje w sektorach chemicznym, ochrony zdrowia i energetycznym, a z zakresu obowiązków wyłączono najmniejszych dostawców usług DNS, co ma pozwolić organom nadzorczym skupić się na firmach o większym znaczeniu systemowym.
Nowela kładzie także duży nacisk na transparentność w przypadku incydentów ransomware. Podmioty objęte regulacją będą zobligowane do raportowania samego faktu padnięcia ofiarą ataku ransomware, jednak szczegółowe informacje – takie jak wysokość żądanego okupu oraz fakt jego zapłaty – nie będą ujawniane automatycznie w każdym zgłoszeniu. Dane te będzie można udostępnić wyłącznie na żądanie adekwatnych organów nadzorczych lub władz (tzw. on-request disclosure). Ponadto, w obliczu postępu technologicznego, państwa członkowskie zostaną zobowiązane do uwzględnienia polityki migracji do kryptografii postkwantowej (PQC) w swoich narodowych strategiach cyberbezpieczeństwa. Choć szersza unijna polityka zakłada docelowo przejście na nowe standardy szyfrowania dla kluczowych zastosowań do 2030 roku, sama nowelizacja dyrektywy NIS2 nakłada na państwa obowiązek opracowania takich planów migracyjnych, nie precyzując tego terminu wprost w treści dyrektywy.
