V izvedbeni uredbi so podrobno opisani ukrepi za obvladovanje kibernetskih tveganj ter primeri, v katerih je treba incident šteti za pomembnega, podjetja, ki zagotavljajo digitalno infrastrukturo in storitve, pa ga morajo prijaviti nacionalnim organom. To je še en pomemben korak k povečanju kibernetske odpornosti evropske kritične digitalne infrastrukture.

Sprejetje izvedbene uredbe je sovpadalo z rokom, do katerega so morale države članice prenesti direktivo NIS2 v nacionalno zakonodajo, to je bilo do 17. oktobra 2024. Z 18. oktobrom 2024 so morale vse države članice začeti uporabljati ukrepe za uskladitev s pravili o kibernetski varnosti direktive NIS2, vključno z nadzornimi in izvršilnimi ukrepi.

Izvedbena uredba bo objavljena v Uradnem listu Evropske unije (EU), veljati pa bo začela 20 dni po objavi.

Izvedbena uredba bo veljala za posebne kategorije podjetij, ki zagotavljajo digitalne storitve, kot so:

• ponudniki storitev računalništva v oblaku,
• ponudniki storitev podatkovnih centrov,
• spletne tržnice,
• spletni iskalniki,
• platforme družabnih omrežij in drugi.

Ozadje

Prva vseevropska direktiva o kibernetski varnosti, direktiva o varnosti omrežij in informacij (Direktiva NIS), je začela veljati leta 2016. Pripomogla je k doseganju skupne ravni varnosti omrežij in informacijskih sistemov v EU. Komisija je v okviru svojega ključnega političnega cilja, da Evropa postane primerna za digitalno dobo, decembra 2020 predlagala revizijo direktive o varnosti omrežij in informacij. Potem ko je začela veljati januarja 2023, bi morale države članice direktivo NIS2 prenesti v nacionalno zakonodajo do 17. oktobra 2024.

Cilj direktive NIS2 je zagotoviti visoko raven kibernetske varnosti po vsej EU. Zajema subjekte, ki delujejo v sektorjih, ključnih za gospodarstvo in družbo:

• javne elektronske komunikacijske storitve,
• storitve informacijsko-komunikacijskih tehnologij,
• digitalne storitve,
• ravnanje z odpadnimi vodami in odpadki,
• vesolje,
• zdravje,
• energija,
• promet,
• proizvodnja kritičnih proizvodov,
• poštne in kurirske storitve ter
• javna uprava.

Direktiva NIS2 krepi varnostne zahteve, ki veljajo za podjetja, ter obravnava varnost dobavnih verig in odnosov z dobavitelji. Racionalizira obveznosti poročanja, uvaja strožje nadzorne ukrepe za nacionalne organe ter strožje zahteve za izvrševanje, njen cilj pa je uskladiti režime sankcij v državah članicah. Prispevala bo k okrepljeni izmenjavi informacij in sodelovanju pri obvladovanju kibernetskih kriz na nacionalni ravni in ravni EU.