W dniu 26 września 2024r., 22 organizacje – w tym KIGEiT – działające w ramach DigitalEurope podpisały wspólny apel o zharmonizowaną transpozycję dyrektywy NIS 2, która jest kamieniem węgielnym europejskiego cyberbezpieczeństwa.
NIS2 (zaktualizowana dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii) weszła w życie 16 stycznia 2023 r. Państwa UE mają obowiązek wdrożyć regulację unijną do krajowego porządku prawnego do 17 października 2024 r. Warto pamiętać, że dyrektywa jest minimalną harmonizacją na poziomie UE. Państwa członkowskie będą mogły więc ustanowić dodatkowe wymagania i zasady. Niestety, prawie wszystkie państwa członkowskie decydują się na odejście od wspólnych przepisów UE na swój własny sposób. Rozszerzają zakres przepisów, nakładają bardziej rygorystyczne minimalne wymogi, ustanawiają wiele agencji nadzorujących i ustanawiają różne harmonogramy zgodności.
KIGEiT postanowiła przyłączyć się do wspólnego apelu organizacji/podmiotów europejskich, aby przestrzec przed skutkami powyższych rozbieżności w przepisach państw członkowskich w zakresie transpozycji dyrektywy NIS2, które będą prowadziły do rozdrobnienia i zmniejszenia cyberbezpieczeństwa jednolitego rynku UE. Dlatego we wspólnym apelu wzywamy do:
- Zachowania granic dyrektywy NIS2: Przekroczenie wspólnych zasad UE dotyczących zakresu i wymogów zaszkodzi zdolności firm do rozwijania działalności w całej Europie, w szczególności MŚP. Środki zarządzania ryzykiem w cyberprzestrzeni powinny być ograniczone do środków absolutnie niezbędnych, w oparciu o ocenę ryzyka, którą firmy muszą przeprowadzić.
- Ustanowienia wiarygodnej klasyfikacji podmiotów: Przewidywalność ma kluczowe znaczenie dla planowania biznesowego. Kryteria UE dla podmiotów ważnych i kluczowych powinny zostać przyjęte bez odchyleń i przy bezpośrednim zaangażowaniu zainteresowanych firm. Jeżeli konieczne jest rozszerzenie zakresu, należy zapewnić jasne kryteria przeklasyfikowania, aby umożliwić firmom przygotowanie się do zapewnienia zgodności.
- Zachowania proporcjonalnej zgodności: NIS2 wprowadza istotne nowe obowiązki, zwłaszcza dla podmiotów, które wcześniej nie były objęte zakresem unijnych przepisów cyberbezpieczeństwa. Firmy te często będą musiały podejmować wysiłki w zakresie sprostania przepisom cyberbezpieczeństwa od podstaw. Państwa członkowskie powinny zapewnić podmiotom wytyczne oraz ustanowić jasne, skuteczne i najmniej uciążliwe procedury zapewnienia zgodności. W przypadku przedsiębiorstw wielonarodowych priorytetem powinno być wzajemne uznawanie zgodności i podejście oparte na koncepcji punktu kompleksowej obsługi (one-stop-shop).
- Ograniczenia złożoności nadzoru: Zaangażowanie wielu właściwych organów w egzekwowanie przepisów dotyczących dyrektywy NIS 2 może powodować zamieszanie i opóźnienia. Zminimalizowanie liczby organów ma kluczowe znaczenie dla usprawnienia nadzoru i reagowania na incydenty. Patrząc w przyszłość, oprócz podejścia opartego na koncepcji punktu kompleksowej obsługi (one-stop-shop), opowiadamy się za zbadaniem 28. reżimu prawnego na poziomie UE dla przyszłych reform przepisów dotyczących cyberbezpieczeństwa w celu dalszej harmonizacji przepisów, zwiększenia konkurencyjności i wzmocnienia jednolitego rynku.
- Zapewnienia odpowiedniego czas na transformację: Firmy potrzebują odpowiednio dużo czasu na wdrożenie środków cyberbezpieczeństwa. Przepisy krajowe powinny umożliwiać podejście etapowe, w tym przedkładanie planów bezpieczeństwa wraz z podaniem kroków milowych zapewnienia zgodności w czasie.
- Zapewnienia spójności między dyrektywą NIS 2 a dyrektywą w sprawie odporności podmiotów krytycznych (dyrektywa CER):3 Organy krajowe powinny koordynować transpozycję dyrektywy NIS 2 i CER, aby uniknąć nakładania się obowiązków i usprawnić ochronę cyberbezpieczeństwa i infrastruktury krytycznej dla podmiotów objętych obiema dyrektywami.
Utrzymując jasne standardy i przyjmując środki takie jak punkty kompleksowej obsługi w celu zapewnienia zgodności, możemy zwiększyć cyberbezpieczeństwo w całej UE, zachowując jednocześnie integralność jednolitego rynku. Skoordynowane podejście, zarówno obecnie, jak i w ramach przyszłych reform, ma zasadnicze znaczenie dla wzmocnienia odporności cyfrowej i konkurencyjności Europy.