Ali kako zadostiti ukrepom Evropske komisije za pravočasno zagotovitev prenosa direktive NIS 2

 

Ronald Regan je nekoč dejal: “Devet najbolj zastrašujočih besed v angleškem jeziku je: sem iz vlade in tukaj sem, da vam pomagam.” Ta izjava je postala prepoznavni znak njegovega prepričanja v omejeno vlogo vlade in idejo, da vladno posredovanje pogosto stvari bolj zaplete, ne reši.

 

Evropska komisija je 28. novembra 2024 sprožila postopek za ugotavljanje kršitev proti 23-im državam članicam EU, med katerimi je tudi Slovenija, ker niso v celoti prenesle direktive NIS 2 (Network and Information Security Directive 2) in direktive CER (Critical Entities Resilience Directive) v svojo nacionalno zakonodajo.

 

Če postopek za ugotavljanje kršitev s strani Evropske komisije proti prizadetim državam članicam doseže Sodišče Evropske unije (SEU), bi to lahko za te države pomenilo visoke stroške.

 

Ukrepi Evropske komisije za zagotovitev prenosa direktive NIS 2

Države članice EU so imele do 17. oktobra 2024 rok za prenos direktive NIS 2 v svojo nacionalno zakonodajo. Nova direktiva naj bi zagotovila visoko raven kibernetske varnosti v celotni EU. Ker 22 članic in tudi Slovenija ni upoštevalo tega roka, jim je Evropska komisija poslala uradni opomin. 23 držav članic – od skupaj 27 – mora v dveh mesecih odgovoriti na opomin, zaključiti prenos direktive NIS 2 in komisiji posredovati ustrezne ukrepe. To je prva stopnja postopka zaradi kršitve pogodbe.

 

Le štiri države EU – Hrvaška, Belgija, Italija in Litva – so pravočasno prenesle direktivo NIS 2 v nacionalno zakonodajo.

 

Če države ne bodo ustrezno odgovorile na uradni opomin, lahko Evropska komisija državam izda obrazloženo mnenje. Ta druga stopnja postopka zaradi kršitve pogodbe uradno poziva države v postopku, naj v določenem roku odpravijo kršitve. Komisija v mnenju podrobno razloži, katere obveznosti niso bile izpolnjene in je zato prišlo do kršitve.

 

Če država članica še vedno ne izpolni zahtev, lahko Komisija vloži tožbo na Sodišče Evropske unije. SEU bi nato preučilo obtožbe in odločilo, ali so prizadete države članice kršile veljavno zakonodajo EU. V določenem roku bi morale države nato prenesti zakonodajo, sicer jim grozijo visoke finančne sankcije, poleg verjetno neizogibnega pavšalnega plačila zaradi kršitve zakonodaje EU.

 

Drugi postopek zaradi direktive CER

Poleg postopka zaradi kršitve direktive NIS 2 je Evropska komisija proti 24-im državam članicam EU sprožila še drugi postopek. Sloveniji in še 23-im državam (Avstrija, Belgija, Bolgarija, Češka, Danska, Grčija, Španija, Francija, Hrvaška, Ciper, Latvija, Litva, Luksemburg, Madžarska, Malta, Nizozemska, Poljska, Portugalska, Romunija, Nemčija, Slovaška, Finska in Švedska) očitajo, da komisiji niso pravočasno sporočile nacionalnih ukrepov za prenos direktive CER. Tudi tu je rok potekel 17. oktobra 2024, Komisija pa je državam že poslala uradni opomin.

 

Samo Estonija, Irska in Italija so direktivo CER prenesle v skladu z zahtevami Evropske komisije. Tudi direktiva CER se nanaša na kibernetsko varnost kritične infrastrukture. Nadomestila je direktivo 2008/114/ES in razširila področje uporabe z dveh na enajst sektorjev, ki morajo okrepiti svojo kibernetsko varnost.

 

Idealne razmere za razmah kibernetskih napadov

Digitalne tehnologije so ključ do uspeha. Vendar pa so ravno te tehnologije vse bolj na udaru kibernetskih napadov, ki predstavljajo vse večjo grožnjo celotnemu gospodarstvu EU. Zato je dobrodošlo, da EU prav na tem področju krepi regulativo za izboljšanje ravni zaščite na območju Unije.

 

Evropska unija aktivno gradi odpornejšo prihodnost, saj s sprejetjem številnih novih predpisov krepi svoje infrastrukture pred različnimi vrstami nevarnosti. Zakaj takšna nuja?

 

Izziv ni le v ranljivosti digitalne infrastrukture, temveč tudi v gospodarskem vplivu. Grožnja bo naraščala tako po številu kot po stopnji prefinjenosti. Delovanje družbe bo zahtevalo odprt in varen kibernetski prostor, ki bo krepil zaupanje med državljani EU.

 

Vojaški konflikti, kot je na primer Ukrajinski, so spodbudili hekerje, kibernetske kriminalce in druge skupine, ki podpirajo državne interese. Pred invazijo na Ukrajino je Rusija sprožila kampanje dezinformacij in zavajajočih informacij z namenom vplivanja na javno mnenje. Do junija 2022 je Rusija, po oceni Evropskega sveta, onemogočila 15 % ukrajinske internetne infrastrukture.

 

Enotna Evropa – tudi v kibernetskem prostoru

Postavi se vprašanje, ali države članice EU razpolagajo z ustrezno infrastrukturo za implementacijo teh predpisov?

 

Pri takšnih izzivih je modro poiskati zglede ali vsaj inspiracijo, kako se prilagoditi novim izzivom. Našim predstavnikom v EU in tistim, ki delajo na implementaciji NIS 2 doma predlagam, da si zvečer preberejo zgodbo ‘Martin Krpan z Vrha‘. Za tiste, ki nimajo časa, naj na kratko povzamem bistvo zgodbe. Z zrnom soli…implementirati NIS 2 in CER.