Brisel, 17. oktobar 2024. – Mnoge evropske kompanije izrazile su zabrinutost zbog kašnjenja u primeni novih pravila o sajber bezbednosti, dok većina država članica Evropske unije (EU) propušta rok za transponovanje Direktive o mrežnoj i informatičkoj bezbednosti (NIS 2). Ova pravila, odobrena 2022. godine, osmišljena su da zaštite ključne sektore poput energetike, transporta, bankarstva, vodoprivrede i digitalne infrastrukture od ozbiljnih sajber napada.
Evropska komisija je potvrdila da su Belgija, Hrvatska, Italija i Litvanija delimično preneli novu direktivu u svoje nacionalne zakone, dok zemlje kao što su Nemačka, Holandija, Švedska i Češka još uvek rade na nacrtima zakona. Irska, Grčka i Španija su daleko iza u ovom procesu. Ova kašnjenja izazivaju zabrinutost među preduzećima koja posluju u više država članica, zbog rizika od fragmentirane primene pravila.
NIS 2 ima za cilj da poboljša sajber otpornost poslovanja u EU, nakon što prethodna verzija, NIS1, nije uspela da osigura zajednički odgovor na krize. Nova pravila nameću strože zahteve, uključujući obavezu izveštavanja o sajber incidentima u roku od 24 sata i dostavljanje izveštaja o incidentu u roku od 72 sata.
Problemi sa usklađivanjem
Mnoge zemlje primenjuju različite pristupe u sprovođenju NIS 2 direktive. Danska je najavila da će početi sa energetskim sektorom i postepeno ažurirati pravila po sektorima, dok francuska vlada upozorava da mnoge kompanije nisu dovoljno informisane o novim obavezama. Pod NIS1, samo 500 entiteta bilo je obuhvaćeno pravilima, dok NIS 2 može uticati na čak 15.000 kompanija.
Kompanije koje posluju u različitim državama članicama suočavaju se sa dodatnim izazovima zbog različitih rokova i regulatornih standarda. Organizacija EurEau, koja predstavlja nacionalne pružaoce usluga vode i otpadnih voda, izrazila je zabrinutost zbog nesigurnosti u vezi sa tim koji operateri će biti obuhvaćeni direktivom. Manji operateri mogu se suočiti s poteškoćama u angažovanju stručnjaka za sajber bezbednost, dok se očekuje i potreba za dodatnim finansijskim sredstvima za implementaciju.
Fragmentacija pravila brine industriju
Lobističke grupe i industrijska udruženja upozoravaju da postoji ozbiljan rizik od neusklađenosti između zemalja članica. Grupa BSA, koja predstavlja interese softverske industrije, ističe da još uvek nema dovoljno jasnoće o tome kako bi kompanije trebalo da podnose izveštaje o sajber incidentima, što dodatno komplikuje proces usklađivanja. Evropska digitalna alijansa malih i srednjih preduzeća izrazila je zabrinutost za desetine hiljada preduzeća koja su deo lanca snabdevanja većih kompanija i koja bi mogla biti pogođena strožim pravilima NIS 2.
„Nedostatak jasnih smernica o tome kako osigurati lance snabdevanja kompanija izaziva dodatnu nesigurnost. Postoji rizik da će kompanije, u nedostatku drugih preporuka, automatski primeniti strože zahteve NIS 2,“ navodi se u izjavi ove asocijacije.
NIS 2 takođe donosi ozbiljne kazne za neusklađenost, uključujući novčane kazne do 10 miliona evra ili 2% globalnog godišnjeg prihoda kompanije, a menadžeri mogu biti lično odgovorni za propuste u bezbednosti izazvane nemarom.
Kako se rokovi za implementaciju bliže, a jasnoća pravila ostaje ograničena, evropske kompanije sve više osećaju pritisak da obezbede usklađenost sa novim zahtevima, što predstavlja značajan izazov za poslovanje u EU.
