Przyjęta przez Parlament Europejski dyrektywa dotycząca bezpieczeństwa sieci i informacji zobowiązuje tzw. operatorów usług kluczowych (firmy i organizacje z istotnych dla gospodarki branż, ważne dla państwa i obywateli) do zgłaszania i raportowania wszelkiego rodzaju wycieków danych i naruszeń bezpieczeństwa. Informacje mają być przekazywane organom, które zostaną określone krajowych przepisach. W Polsce w lipcu powstało Narodowe Centrum Cyberbezpieczeństwa, jest także związana z NCC cała struktura CERT-ów odpowiedzialnych za poszczególne sektory gospodarki.

Krajowe przepisy mają wskazać operatorów usług kluczowych, którzy będą musieli spełnić wspomniane wymagania. Chodzi m.in. o firmy z takich branż jak bankowość, finanse, wytwarzanie i dystrybucja energii, transport, opieka zdrowotna, usługi internetowe oraz administrację publiczną. Państwa członkowskie mają 21 miesięcy na wprowadzenie zapisów dyrektywy do krajowego prawa oraz dodatkowe 6 miesięcy na identyfikację wspomnianych operatorów usług kluczowych. 

Unijna dyrektywa stwarza nowe możliwości dostawcom zabezpieczeń przed cyberzagrożeniami. Motywacją do wdrożenia zaawansowanych systemów ochrony przez „operatorów usług kluczowych” będzie nie tylko nakaz ujawniania informacji o naruszeniach bezpieczeństwa, lecz także konieczność udowodnienia, że zrobiło się wszystko, aby do takich incydentów nie dopuścić.  

„Dyrektywa dotyczy nie tylko instytucji państwowych, lecz także firm, będących krytycznymi z punktu widzenia państw. Nowe przepisy obejmą nie tylko lokalne przedsiębiorstwa czy organizacje, lecz także te działające w skali globalnej” – wyjaśnia Michał Jarski, Regional Director CEE w Trend Micro.

Zmiany wprowadzone przez dyrektywę NIS staną się uzupełnieniem uchwalonej wcześniej regulacji o nazwie GDPR (General Data Protection Regulation) dotyczącej przetwarzania oraz ochrony danych osobowych. Połączenie nowego prawa dotyczącego bezpieczeństwa sieciowego z wymogami przetwarzania danych osobowych stwarza nową strukturę, która wymusza zacieśnienie współpracy sektora prywatnego i publicznego oraz pomiędzy poszczególnymi państwami. Ma to umożliwić koordynację działań przeciwko przestępcom, szpiegom i hacktywistom. Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) zacznie odgrywać bardzo ważną rolę w budowaniu sieci współpracujących ze sobą zespołów narodowych. 

Równocześnie dyrektywa wzmocni współpracę dostawców z sektora Security IT z Europolem, Interpolem i innymi służbami ścigającymi przestępców. Kluczowe będzie dzielenie się informacjami o cyberzagrożeniach w skali światowej z CERT-ami narodowymi – w taki sposób, żeby wyposażać je w odpowiednią wiedzę z różnych źródeł i laboratoriów.