EU-kommissionen har antagit de första genomförandebestämmelserna om cybersäkerhet för kritiska entiteter och nätverk enligt direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS 2-direktivet). I denna genomförandeakt beskrivs riskhanteringsåtgärder för cybersäkerhet samt de fall då en incident bör anses vara betydande och företag som tillhandahåller digitala infrastrukturer och tjänster bör rapportera den till nationella myndigheter. Detta är ytterligare ett viktigt steg för att öka cyberresiliensen i Europas kritiska digitala infrastruktur.
Genomförandeförordningen kommer att gälla för särskilda kategorier av företag som tillhandahåller digitala tjänster, såsom leverantörer av molntjänster, leverantörer av datacentraltjänster, internetbaserade marknadsplatser, sökmotorer och plattformar för sociala nätverk. För varje kategori av tjänsteleverantörer anges i genomförandeakten när en incident anses vara betydande, till vem den måste rapporteras och inom vilken tidsram.
Antagandet av genomförandeförordningen sammanfaller med medlemsstaternas tidsfrist för att införliva NIS 2-direktivet i nationell lagstiftning. Från och med den 18 oktober 2024 måste alla medlemsstater vidta de åtgärder som krävs för att följa cybersäkerhetsreglerna för NIS 2, inbegripet tillsyns- och verkställighetsåtgärder.
Genomförandeförordningen kommer att offentliggöras i EU:s officiella tidning i sinom tid och träda i kraft 20 dagar därefter.