EUs oppdaterte kybersikkerhetsregler trer i kraft om én uke, men kun to av de 27 medlemslandene har så langt varslet Europakommisjonen om sine nasjonale implementeringslover.
De resterende 25 landene har frem til 17. oktober på seg å implementere nettverks- og informasjonssikkerhetsdirektivet 2 (NIS2), som ble godkjent i 2022 med mål om å beskytte kritiske enheter, som energi, transport, bank, vann og digitale infrastrukturer, mot store kyberhendelser. Dette melder Euro News.
– Hittil har Kommisjonen mottatt varsel om full implementering av NIS2 i nasjonal lovgivning fra Belgia og om delvis implementering fra Kroatia, sa en talsperson for Kommisjonen til Euronews uten å kunne gi ytterligere kommentarer, ettersom «prosessen pågår».
Euronews rapporterte i mars at Kroatia var det første, og eneste, landet som hadde varslet Kommisjonen om sin delvise implementering. Landets status forblir uendret.
Bøter på opptil 100 millioner euro
Kommisjonen foreslo en revisjon av NIS1 – med mål om å styrke nettverks- og informasjonssystemers motstandskraft mot kybersikkerhetsrisikoer i Europa – for å holde tritt med økt digitalisering og et utviklende trusselbilde innen kybersikkerhet.
Ifølge en talsperson for EU-kommisjonen mislyktes det første direktivet, presentert i 2016, til nå i å forbedre kybermotstandskraften til virksomheter som opererer i EU, og det fremmet ikke felles kriserespons.
«Virksomheter må utstede en varsel innen 24 timer og levere en hendelsesrapport innen 72 timer ved hendelser som forårsaker alvorlige driftsforstyrrelser,» ble det uttalt.
Les også: Kyberangrep ryster Kroatia: Statlige institusjoner utsatt
Ved manglende etterlevelse risikerer selskaper bøter på opptil 100 millioner euro, eller 2 % av verdensomspennende omsetning, avhengig av hva som er høyest.
Virksomheter mangler bevissthet
Den franske felles parlamentariske komitéen for digitale og postale saker sa i en rapport publisert sist torsdag at mens NIS1 gjaldt nesten 600 enheter, vil NIS2 utvide omfanget til nesten 15 000 enheter.
Komitéen konsulterte interessenter inkludert det nasjonale kybersikkerhetskontoret, programvareprodusenter og skyassosiasjoner mellom mars og mai, og konkluderte med at implementeringsfristen «reiser en rekke utfordringer» for selskaper som nå faller innenfor omfanget.
«Flertallet av de nye enhetene er ikke klar over tiltakene og kriteriene de selv må analysere for å avgjøre sin etterlevelse,» står det i rapporten.
Videre tilføyer den at «lovforslaget er ennå ikke presentert for ministerrådet, og med datoen 17. oktober 2024 nært forestående, er fremtiden usikker.»
I Tyskland er det også planlagt at implementeringsloven skal vedtas tidlig i 2025.
