Cyberataki mogą być bardzo kosztowne. Komisja Europejska szacuje, że w 2020 r. roczny koszt cyberprzestępczości dla światowej gospodarki wyniósł 5,5 biliona euro.

W listopadzie 2022 r. Parlament Europejski zaktualizował prawo UE, aby zwiększyć inwestycje w cyberbezpieczeństwo w zakresie kluczowych usług i infrastruktury krytycznej oraz wzmocnić przepisy obowiązujące w całej UE.

Parlament wzmocnił również ochronę infrastruktury krytycznej UE, w tym infrastruktury cyfrowej. 22 listopada, ostatecznie zatwierdził przepisy zaostrzające wymogi w zakresie oceny ryzyka i sprawozdawczości dla kluczowych podmiotów w 11 kluczowych sektorach.

Zaostrzenie obowiązków w zakresie cyberbezpieczeństwa – dyrektywa NIS2

Dyrektywa w sprawie bezpieczeństwa sieci i informacji (NIS2) wprowadza nowe przepisy wspierające wysoki, wspólny poziomu cyberbezpieczeństwa w całej UE - zarówno dla firm, jak i krajów. Wzmacnia wymagania w zakresie cyberbezpieczeństwa dla średnich i dużych podmiotów, które działają i świadczą usługi w kluczowych sektorach.

Ta aktualizacja dyrektywy NIS z 2016 r. ma poprawić przejrzystość i wdrożenie przepisów, a także odpowiedzieć na szybko zachodzące zmiany w tej dziedzinie. Akutalizacja obejmuje więcej sektorów i działań niż wcześniej, usprawnia obowiązki składania sprawozdań i skupia się również na bezpieczeństwie łańcucha dostaw.

Parlament Europejski i państwa UE w Radzie zatwierdziły dyrektywę w listopadzie. Teraz państwa członkowskie mają 21 miesięcy na jej wdrożenie.

Nowe prawo rozszerza zakres sektorów i działań mających kluczowe znaczenie dla gospodarki i społeczeństwa, które zostają objęte nowymi obowiązkami w zakresie cyberbezpieczeństwa. Są to m.in.: energetyka, transport, bankowość, zdrowie, infrastruktura cyfrowa, administracja publiczna i przestrzeń kosmiczna. Dyrektywa nie obejmuje jednak bezpieczeństwa narodowego i publicznego, organów ścigania ani sądownictwa. Dotyczy natomiast administracji publicznej na szczeblu centralnym i regionalnym, ale nie parlamentów i banków centralnych.

Dyrektywa wymaga od większej liczby podmiotów i sektorów podjęcia środków zarządzania ryzykiem cyberbezpieczeństwa: w tym dostawców publicznych usług łączności elektronicznej, operatorów mediów społecznościowych, producentów produktów krytycznych (w tym wyrobów medycznych) oraz usług pocztowych i kurierskich.

Nowe przepisy nakładają na kraje UE bardziej rygorystyczne obowiązki w zakresie nadzoru cyberbezpieczeństwa. Poprawiają też egzekwowanie wdrażania nowych obowiązków, w tym poprzez harmonizację sankcji, które państwa członkowskie mogą nakładać. Mają również poprawić współpracę między krajami UE, w tym w zakresie incydentów na dużą skalę, pod patronatem Agencji UE ds. Cyberbezpieczeństwa (ENISA).

Ochrona systemu finansowego UE - DORA

Ponieważ sektor finansowy jest coraz bardziej zależny od oprogramowania i procesów cyfrowych, również wymaga zwiększonej ochrony. Rozporządzenie o operacyjnej odporności cyfrowej sektora finansowego (DORA) zapewni większą odporność tego sektora na poważne zakłócenia operacyjne i cyberataki. 10 listopada Parlament ostatecznie zatwierdził rozporządzenie, które zostało wcześniej uzgodnione z Radą.

Nowe prawo wprowadza i harmonizuje wymogi dot. cyfrowej odporności operacyjnej dla unijnego sektora usług finansowych. Firmy mają obowiązek upewnić się, że są w stanie sprostać, reagować na i zwalczyć wszelkiego rodzaju zakłócenia i zagrożenia związane z technologiami informacyjno-komunikacyjnymi (ICT). Nowe przepisy dotyczą wszystkich firm świadczących usługi finansowe - w tym banków, dostawców usług płatniczych, instytucji pieniądza elektronicznego, firm inwestycyjnych, dostawców usług związanych z kryptowalutami, a także krytycznych zewnętrznych dostawców usług teleinformatycznych.

Organy krajowe będą nadzorować i egzekwować wdrażanie nowych przepisów.