Ažurirana kibernetička pravila stupaju na snagu za tjedan dana, ali samo su dvije od 27 država članica do sada obavijestile Europsku komisiju o svojim nacionalnim provedbenim zakonima.
Samo su Belgija i Hrvatska službeno obavijestile Europsku komisiju o prijenosu ažuriranih pravila EU-a o kibersigurnosti za kritične subjekte, tjedan dana prije roka, rekao je glasnogovornik Komisije za Euronews.
“Komisija je do sada primila obavijest o potpunom prijenosu NIS2 u nacionalni zakon od strane Belgije i o djelomičnom prijenosu od strane Hrvatske”, rekao je glasnogovornik bez mogućnosti daljnjeg komentara jer je “proces u tijeku”.
Preostalih 25 zemalja ima rok do 17. listopada za implementaciju Direktive o mrežnoj i informacijskoj sigurnosti 2 (NIS2), koja je odobrena još 2022. s ciljem zaštite kritičnih entiteta, kao što su energija, promet, bankarstvo, voda i digitalna infrastruktura, od velikih cyber incidenata.
Euronews prijavio ožujka da je Hrvatska prva i jedina država koja je obavijestila Komisiju o njihovoj djelomičnoj transpoziciji. Status zemlje ostaje isti.
Novčane kazne do 10 milijuna eura
Komisija predloženo revizija NIS1 – usmjerena na jačanje otpornosti mrežnih i informacijskih sustava diljem Europe na rizike kibernetičke sigurnosti – s ciljem držanja koraka s povećanom digitalizacijom i razvojem krajolika prijetnji kibernetičkoj sigurnosti.
Prema glasnogovorniku izvršne vlasti EU-a, prva direktiva predstavljena 2016. do sada nije uspjela poboljšati kibernetičku otpornost poduzeća koja posluju u EU-u i nije promicala zajednički odgovor na krizu.
Tvrtke moraju izdati upozorenje u roku od 24 sata i dostaviti izvješće o incidentu u roku od 72 sata u slučaju incidenata koji uzrokuju ozbiljne smetnje u radu.
U slučaju nepridržavanja, tvrtke se suočavaju s kaznama do 10 milijuna eura ili 2% svjetskog prihoda, ovisno o tome što je veće.
Tvrtkama nedostaje svijest
Francuski zajednički parlamentarni odbor za digitalna i poštanska pitanja rekao je u izvješću objavljenom ranije ovog mjeseca (3. listopada) da dok se NIS 1 odnosi na gotovo 600 subjekata, NIS2 će promijeniti opseg na gotovo 15.000 subjekata.
Odbor je konzultirao dionike uključujući nacionalni ured za kibernetičku sigurnost, proizvođače softvera i udruge u oblaku u razdoblju od ožujka do svibnja 2024. i zaključio da rok za prijenos “postavlja niz izazova” za tvrtke koje su sada unutar opsega.
“Većina dotičnih novih subjekata nije upoznata s mjerama i kriterijima koje će sami morati analizirati kako bi utvrdili njihovu usklađenost”, rečeno je.
Dodaje se da “prijedlog zakona još uvijek nije predstavljen Vijeću ministara, a kako se bliži datum 17. listopada 2024. njegova je budućnost neizvjesna”.
I u Njemačkoj se planira usvajanje provedbenog zakona početkom 2025. godine.
