cyberbezpieczeństwo

Bruksela zdefiniowała poważne incydenty

Komisja Europejska przyjęła rozporządzenie wykonawcze na podstawie dyrektywy 2022/2555 dotyczącej cyberbezpieczeństwa (NIS2). Określa ono, jakie incydenty należy uznawać za poważne.

Dyrektywa NIS2 jest w tej kwestii ogólnikowa. Mówi, że incydent uznaje się za poważny, jeżeli spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu oraz wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. KE opracowała zaś szczegółowe kryteria uznania incydentu za poważny. Będzie to m.in. incydent, który spowodował lub może spowodować bezpośrednią stratę finansową dla podmiotu właściwego przekraczającą 500 tys. euro lub 5 proc. rocznych przychodów (liczy się kwota niższa), oznaczający ryzyko śmierci lub znacznej szkody dla zdrowia czy też ujawnienie tajemnic handlowych. Może też chodzić o udany złośliwy i nieautoryzowany dostęp do sieci i systemów informatycznych, który może spowodować poważne zakłócenia operacyjne.