Parlament przyjął w środę dyrektywę w sprawie bezpieczeństwa sieci i informacji (NIS), której zadaniem jest ustanowienie wspólnych standardów cyberbezpieczeństwa oraz poprawa współpracy między krajami Unii. Ma to pomóc przedsiębiorstwom skuteczniej stawiać czoła hakerom, a także zapobiegać atakom na infrastrukturę cyfrową, której sieć pokrywa wiele krajów lub całą Unię.
- Incydenty naruszające bezpieczeństwo komputerowe bardzo często mają charakter transgraniczny, a zatem dotyczą więcej niż jednego państwa członkowskiego UE. Fragmentaryczna ochrona bezpieczeństwa wszystkich nas wystawia na coraz większe zagrożenie, w całej Europie. Ta dyrektywa ustanawia wspólny poziom bezpieczeństwa sieci i informacji i wzmacnia współpracę między państwami członkowskimi UE, która pomoże zapobiegać w przyszłości cyberatakom na ważne, wzajemnie ze sobą powiązane europejskie systemy - powiedział poseł sprawozdawca Andreas Schwab z Niemiec.
Zgodnie z dyrektywą państwa członkowskie mają przygotować listy "operatorów usług kluczowych". Chodzi o podmioty działające w kluczowych sektorach gospodarki, a także istotne dla społeczeństwa i tych powodów wymagające szczególnej ochrony. To one będą musieli wypełnić obowiązki związane z wymogami jednolitego poziomu bezpieczeństwa i zgłaszania incydentów. Będą to podmioty z takich sektorów jak energetyka, transport, ochrona zdrowia, bankowość i zaopatrzenie w wodę pitną. Państwa członkowskie UE będą miały obowiązek zidentyfikować działające w tych dziedzinach podmioty kierując się określonymi w dyrektywie kryteriami. Na liście znajdą się na przykład podmioty świadczące usługi, które mają kluczowe znaczenie dla "utrzymania krytycznej działalności społecznej lub gospodarczej", a incydenty w dziedzinie bezpieczeństwo sieci miałoby "istotny skutek zakłócający dla świadczenia tej usługi".
Niektórzy usługodawcy internetowi, choć nieuznani za kluczowych (operatorzy platform handlowych, wyszukiwarek i usług w chmurze) też będą zobowiązani, choć w mniejszym stopniu, do zapewnienia bezpieczeństwa swojej infrastruktury i zgłaszania poważnych incydentów organom krajowym. Natomiast mikro- i małe przedsiębiorstwa cyfrowe będą zwolnione z tych obowiązków.
Każdy kraj UE będzie zobowiązany do przyjęcia krajowej strategii bezpieczeństwa sieci i informacji. Powstaną strategiczne "grupy współpracy" w celu wymiany informacji i wspierania państw członkowskich w budowaniu potencjału bezpieczeństwa sieci i systemów informatycznych. Państwa członkowskie będą musiały także utworzyć Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). W ramach Zespołów omawiane będą transgraniczne problemy bezpieczeństwa i sposoby skoordynowanej reakcji na nie. Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) będzie odgrywać kluczową rolę we wdrażaniu dyrektywy, w szczególności w zakresie koordynowania współpracy między państwami w ramach sieci CSIRT.
Dyrektywa wkrótce zostanie opublikowana w Dzienniku Urzędowym UE i wejdzie w życie dwudziestego dnia po opublikowaniu. Począwszy od tego momentu państwa członkowskie będą miały 21 miesięcy na wdrożenie postanowień dyrektywy do prawa krajowego i dodatkowe sześć miesięcy na opracowanie spisu operatorów usług kluczowych.
