Cyberbezpieczeństwo i dyrektywa NIS 2. Jest wspólny apel branży cyfrowej

22 organizacje zrzeszone w ramach DigitalEurope wnioskują o zharmonizowaną transpozycję dyrektywy NIS2, która jest „kamieniem węgielnym europejskiego cyberbezpieczeństwa” – podała Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji (KIGEiT), która jest sygnatariuszem apelu.

Publikacja: 07.10.2024 11:38

Cyberbezpieczeństwo i dyrektywa NIS 2. Jest wspólny apel branży cyfrowej

Foto: Adobe Stock

r c

Jak przypomina izba, zaktualizowana dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii obowiązuje od 16 stycznia 2023 r., ale poszczególne państwa „mają obowiązek wdrożyć regulację unijną do krajowego porządku prawnego do 17 października 2024 r.”.

Warto pamiętać, że dyrektywa jest minimalną harmonizacją na poziomie UE. Państwa członkowskie będą mogły więc ustanowić dodatkowe wymagania i zasady. Niestety, prawie wszystkie państwa członkowskie decydują się na odejście od wspólnych przepisów UE na swój własny sposób. Rozszerzają zakres przepisów, nakładają bardziej rygorystyczne minimalne wymogi, ustanawiają wiele agencji nadzorujących i ustanawiają różne harmonogramy zgodności" – podkreśla KIGEiT w komunikacie.

Jej zdaniem, skutkiem rozbieżności w przepisach państw członkowskich w zakresie transpozycji dyrektywy NIS2 może być „rozdrobnienie i zmniejszenie cyberbezpieczeństwa jednolitego rynku UE”.

O co apelują 22 organizacje zrzeszone w ramach DigitalEurope:

• Zachowanie granic dyrektywy NIS2: Przekroczenie wspólnych zasad UE dotyczących zakresu i wymogów zaszkodzi zdolności firm do rozwijania działalności w całej Europie, w szczególności MŚP. Środki zarządzania ryzykiem w cyberprzestrzeni powinny być ograniczone do środków absolutnie niezbędnych, w oparciu o ocenę ryzyka, którą firmy muszą przeprowadzić.

• Ustanowienie wiarygodnej klasyfikacji podmiotów: Przewidywalność ma kluczowe znaczenie dla planowania biznesowego. Kryteria UE dla podmiotów ważnych i kluczowych powinny zostać przyjęte bez odchyleń i przy bezpośrednim zaangażowaniu zainteresowanych firm. Jeżeli konieczne jest rozszerzenie zakresu, należy zapewnić jasne kryteria przeklasyfikowania, aby umożliwić firmom przygotowanie się do zapewnienia zgodności.

• Zachowanie proporcjonalnej zgodności: NIS2 wprowadza istotne nowe obowiązki, zwłaszcza dla podmiotów, które wcześniej nie były objęte zakresem unijnych przepisów cyberbezpieczeństwa. Firmy te często będą musiały podejmować wysiłki w zakresie sprostania przepisom cyberbezpieczeństwa od podstaw. Państwa członkowskie powinny zapewnić podmiotom wytyczne oraz ustanowić jasne, skuteczne i najmniej uciążliwe procedury zapewnienia zgodności. W przypadku przedsiębiorstw wielonarodowych priorytetem powinno być wzajemne uznawanie zgodności i podejście oparte na koncepcji punktu kompleksowej obsługi (one-stop-shop).

• Ograniczenie złożoności nadzoru: Zaangażowanie wielu właściwych organów w egzekwowanie przepisów dotyczących dyrektywy NIS 2 może powodować zamieszanie i opóźnienia. Zminimalizowanie liczby organów ma kluczowe znaczenie dla usprawnienia nadzoru i reagowania na incydenty. Patrząc w przyszłość, oprócz podejścia opartego na koncepcji punktu kompleksowej obsługi (one-stop-shop), opowiadamy się za zbadaniem 28. reżimu prawnego na poziomie UE dla przyszłych reform przepisów dotyczących cyberbezpieczeństwa w celu dalszej harmonizacji przepisów, zwiększenia konkurencyjności i wzmocnienia jednolitego rynku.

• Zapewnienie odpowiedniego czas na transformację: Firmy potrzebują odpowiednio dużo czasu na wdrożenie środków cyberbezpieczeństwa. Przepisy krajowe powinny umożliwiać podejście etapowe, w tym przedkładanie planów bezpieczeństwa wraz z podaniem kroków milowych zapewnienia zgodności w czasie.

• Zapewnienie spójności między dyrektywą NIS 2 a dyrektywą w sprawie odporności podmiotów krytycznych (dyrektywa CER):3 Organy krajowe powinny koordynować transpozycję dyrektywy NIS 2 i CER, aby uniknąć nakładania się obowiązków i usprawnić ochronę cyberbezpieczeństwa i infrastruktury krytycznej dla podmiotów objętych obiema dyrektywami.

Jak przypomina izba, zaktualizowana dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii obowiązuje od 16 stycznia 2023 r., ale poszczególne państwa „mają obowiązek wdrożyć regulację unijną do krajowego porządku prawnego do 17 października 2024 r.”.

Warto pamiętać, że dyrektywa jest minimalną harmonizacją na poziomie UE. Państwa członkowskie będą mogły więc ustanowić dodatkowe wymagania i zasady. Niestety, prawie wszystkie państwa członkowskie decydują się na odejście od wspólnych przepisów UE na swój własny sposób. Rozszerzają zakres przepisów, nakładają bardziej rygorystyczne minimalne wymogi, ustanawiają wiele agencji nadzorujących i ustanawiają różne harmonogramy zgodności" – podkreśla KIGEiT w komunikacie.

IT
Planowanie infrastruktury IT w MŚP
IT
Jak uczynić zakupy w internecie bezpiecznymi. Niska świadomość klientów
IT
Mapy Google powiedzą, gdzie stoi policja. A w kolejce do wprowadzenia już kolejne nowości
IT
Amerykanie alarmują: chińskie dźwigi portowe szpiegują. Są też w Polsce
IT
Firmy i konsumenci mogą wykorzystać atuty transformacji cyfrowej
Materiał Promocyjny
Nest Lease wkracza na rynek leasingowy i celuje w TOP10