Parlament Europejski przyjął dziś dyrektywę o cyberbezpieczeństwie (tzw dyrektywa NIS), która ma zapewnić wysoki wspólny poziom bezpieczeństwa sieci i systemów informatycznych na terytorium UE.
Dyrektywę nakłada na firmy świadczące podstawowe usługi internetowe nowe wymagania odnośnie wytrzymałości ich systemów na ataki hakerów. Chodzi m.in. o takie dziedziny jak energia, transport, bankowość i ochrona zdrowia oraz usługi cyfrowe (wyszukiwarki, przechowywanie danych w chmurze).
W zamyśle ustanowienie wspólnych standardów cyberbezpieczeństwa oraz poprawa współpracy między krajami UE ma pomóc przedsiębiorstwom skuteczniej stawiać czoła hakerom, a także pomóc w zapobieganiu atakom na infrastrukturę cyfrową.
Zgodnie z dyrektywą państwa członkowskie przygotują listy tzw. operatorów usług kluczowych, na których będą ciążyć obowiązki w zakresie zapewnienia poziomu bezpieczeństwa i zgłaszania cyberincydentów. Dotyczy to takich sektorów jak energetyka, transport, ochrona zdrowia, bankowość i zaopatrzenie w wodę pitną.
Niektórzy usługodawcy internetowi, choć nieuznani za kluczowych (operatorzy platform handlowych, wyszukiwarek i usług w chmurze) też będą zobowiązani, choć w mniejszym stopniu, do zapewnienia bezpieczeństwa swojej infrastruktury i zgłaszania poważnych incydentów organom krajowym. Mikro- i małe przedsiębiorstwa cyfrowe będą zwolnione z tych wymogów.
Nowe przepisy przewidują też powolanie tzw. strategicznych grup współpracy w celu wymiany informacji i wspierania państw członkowskich w budowaniu potencjału bezpieczeństwa sieci i systemów informatycznych. Każdy kraj UE będzie zobowiązany do przyjęcia krajowej strategii NIS.
Państwa członkowskie będą musiały utworzyć Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). W Polsce rolę tę najprawdopodobniej będzie pełnić NASK.
Dyrektywa NIS wkrótce zostanie opublikowana w Dzienniku Urzędowym UE i wejdzie w życie dwudziestego dnia po opublikowaniu. Począwszy od tego momentu państwa członkowskie będą miały 21 miesięcy na transpozycję dyrektywy do prawa krajowego i dodatkowe sześć miesięcy na opracowanie spisu operatorów usług kluczowych.
