Direktiva për Sigurinë e Rrjetit dhe Sistemeve të Informacionit (Direktiva NIS), ajo u miratua në korrik 2016 dhe hyri në fuqi në gusht 2016. Direktiva NIS është legjislacioni i parë i nivelit të BE-së që merret me Sigurinë në internet. Shtetet Anëtare të BE-së kanë në dispozicion 21 muaj pas hyrjes në fuqi të Direktivës për ta zbatuar atë në nivelin e tyre kombëtar, plus gjashtë muaj të tjerë për të identifikuar dhe specifikuar operatorët e shërbimeve thelbësore.

Kjo direktivë synon të rrisë dhe harmonizojë nivelin e sigurisë në internet në të gjitha vendet anëtare të BE-së, të përmirësojë funksionimin e tregut të brendshëm duke krijuar besim dhe besim, organet e Shteteve Anëtare duhet të jenë në gjendje të bashkëpunojnë në mënyrë efektive me aktorët ekonomikë dhe të strukturohen në përputhje me rrethanat. “[1] Meqenëse është një direktivë, do të thotë që të gjitha Shtetet Anëtare të BE-së duhet ta miratojnë atë në legjislacionin e tyre kombëtar, duke e bërë kështu të detyrueshëm që kompanitë të respektojnë NIS.

Kjo direktivë do të jetë në përputhje me Direktivën e Përgjithshme të Mbrojtjes së të Dhënave (GDPR), pasi qëllimet e tyre të përgjithshme mbivendosen. Në muajt e fundit, GDPR është diskutuar shumë, çuditërisht Direktiva NIS jo aq shumë. Duke parë se sa e rëndësishme është Direktiva NIS, ne do të diskutojmë dispozitat kryesore që duhet të dihet për t’u përgatitur për NIS.

Kujt i kërkohet të përputhet me Direktivën e NIS?

Siç u tha tashmë, çdo Shtet Anëtar i BE-së duhet të pajtohet me Direktivën NIS, por jo çdo kompani është e detyruar të pajtohet me të. Dy grupe ndërmarrjesh duhet të jenë në përputhje me Direktivën e NIS:

1. Operatorët e Shërbimeve Thelbësore
2. Ofruesit e Shërbimeve Digjitale

Statesshtë detyrë e shteteve anëtare të BE-së të përcaktojnë se cilat organizata do të konsiderohen operatorët e shërbimeve thelbësore dhe kështu t’i nënshtrohen Direktivës NIS.

Operatorët e Shërbimeve Thelbësore janë ato kompani që punojnë në fushat e mëposhtme: 1. Energjia, 2. Transporti, 3. Bankar, 4. Infrastruktura e Tregut Financiar, 5. Sektori Shëndetësor, 6. Furnizimi dhe shpërndarja e ujit të pijshëm dhe 6. Sektorët dixhital të Infrastrukturës [2]. Ndërsa Ofruesit e Shërbimeve Dixhitale janë biznese dixhitale që konsiderohen se kanë një rëndësi të përgjithshme kur bëhet fjalë për sigurinë në internet, siç janë vendet e tregut, motorët e kërkimit, shërbimet e informatikës cloud, etj.

Cilat masa duhet të merren për t’u pajtuar?

Ne duhet të dimë se ekzistojnë tre lloje të subjekteve që duhet të jenë në përputhje me Direktivën NIS, ato janë: 1. Shtetet Anëtare të BE-së; 2. Operatorët e Shërbimeve Thelbësore dhe 3. Ofruesit e Shërbimeve Digjitale.

Hapat që vendet anëtare të BE-së duhet të ndërmarrin:

1. Miratoni një strategji kombëtare për sigurinë në internet, qëllimi i cili është i ngjashëm me Direktivën e NIS, [3]
2. Caktoni një autoritet kompetent kombëtar, i cili do të monitorojë zbatimin e Direktivës NIS në një nivel kombëtar, [4]
3. Caktoni një pikë të vetme kontakti, për të siguruar bashkëpunim ndërkufitar me autoritetet përkatëse të Shteteve Anëtare, [5]
4. Krijimi i Ekipeve të Reagimit të Sigurisë Kompjuterike (“CSIRTs”), të cilat do të jenë përgjegjës për monitorimin e incidenteve, sigurimin e paralajmërimeve të hershme të kërcënimit, përgjigjen ndaj incidenteve dhe bashkëpunimin me sektorin privat, [6]
5. Krijoni një Grup bashkëpunimi për të mbështetur dhe lehtësuar bashkëpunimin dhe shkëmbimin e informacionit midis Shteteve Anëtare.[7]

Hapat që duhet të ndërmarrin Shërbimet Thelbësore dhe Ofruesit e Shërbimeve Digjitale:

1. Merrni masa të përshtatshme për të menaxhuar rreziqet që paraqesin sigurinë e tyre në rrjet dhe sistemin e informacionit,
2. Merrni masa të përshtatshme për të parandaluar dhe minimizuar ndikimin e incidenteve që ndikojnë në sigurinë e rrjetit dhe sistemeve të informacionit,
3. Duhet të raportojnë incidente që kanë një ndikim të rëndësishëm në vazhdimësinë e shërbimeve thelbësore që ata ofrojnë pa vonesë të panevojshme për autoritetet kompetente. Pritet brenda 24-72 orësh nga zbulimi. [8]
   
   

Cilat janë pasojat e mospërmbushjes?

Në nenin 21 të Direktivës NIS thuhet se gjobitjet e parashikuara do të jenë efektive, proporcionale dhe shmangëse. Sidoqoftë, nuk përcakton se çfarë do të sjellin ato gjobitje, përkundrazi, kjo u lihet shteteve anëtare individuale të përcaktojnë veten e tyre.

Shtetet Anëtare janë të detyruara të njoftojnë Komisionin për gjobat që ata vendosin të zbatojnë, më së voni në 9 maj 2018.

Vërejtjet përfundimtare

Me zbatimin e të dy Direktivave NIS, BE tani hyn në një epokë të re të cybersecuirty. Edhe pse është ende herët të thuhet, pasi Shtetet Anëtare kanë ende kohë për të zbatuar Direktivën NIS, padyshim që do të ndryshojë fushën e lojës si për shtetet ashtu edhe për kompanitë.

Nuk mbetet shumë kohë derisa Shtetet Anëtare të zbatojnë plotësisht Direktivën e NIS, kështu që këshillohet urgjentisht që kompanitë që bien nën këtë direktivë, të fillojnë të përgatiten për të. Hapi i parë do të ishte të bëni një “Vetëvlerësim”, për të parë se ku qëndroni dhe në cilat fusha ju duhet të përmirësohen. Së dyti, duhet të zbuloni se cilat janë autoritetet kompetente kombëtare kujt duhet t’i raportojnë, në mënyrë që kur të ndodhë diçka, ata të mund t’i kontaktojnë menjëherë brenda afatit. Së treti, kompanitë duhet të përpiqen të provojnë kohën e tyre të përgjigjes, të shohin nëse ata janë në gjendje të respektojnë linjën e përmendur në direktivë.

Në rast se kompania juaj nuk është në gjendje të bëjë vetë ato që u përmendën më lart, atëherë rekomandohet që të kontraktoni dikë që t’ju ndihmojë ose të kërkoni në internet një kuti mjetesh të Direktivës NIS ose diçka të ngjashme që mund të ndihmojë kompaninë tuaj të përputhet me Direktivën e NIS të BE-së.