16 stycznia w życie weszła dyrektywa NIS 2, przebudowująca ramy europejskiego porządku infrastruktury krytycznej i cyfrowej. Europejska polityka bezpieczeństwa obejmie m.in. fabryki, elektrownie, wodociągi, a także banki czy szpitale.
Dyrektywa ma zabezpieczyć czułe punkty wspólnoty na wypadek zagrożeń porządku publicznego takich jak: ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie również Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.
Ponadto, NIS 2 rozszerza definicje sektorów i rodzajów podmiotów krytycznych objętych regulacjami na polu cyberbezpieczeństwa. Dyrektywa obejmie swym parasolem 11 sektorów: energetyka, transport, bankowość, infrastruktura rynku finansowego, ochrona zdrowia, wodociągi, spółki wodno- kanalizacyjne, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i produkcja żywności. Firmy z tych obszarów będą zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa, oceny ryzyka, a także przeprowadzania audytów bezpieczeństwa, powiadamiania władz o wszelkich nieprawidłowościach oraz podejmowania działań w celu przeciwdziałania zagrożeniom.
Organizacje, które nie będą przestrzegać nowych przepisów, mogą zostać ukarane grzywną wynoszącą do 2 proc. globalnych obrotów. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych spółek – mogą oni zostać zawieszeni w ramach funkcji.
Rada Ministrów pracuje nad kolejna wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, w której znalazło się bardzo istotne w kontekście wykonania postanowień dyrektywy rozwiązanie wprowadzające kategorię Operatora Strategicznej Sieci Bezpieczeństwa. Będzie to jednoosobowa spółka Skarbu Państwa, przedsiębiorca telekomunikacyjny, który posiada infrastrukturę telekomunikacyjną niezbędną do zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Jednak zanim projekt zostanie skierowany do Sejmu, musi się nim zająć Komitet Stały Rady Ministrów.