Consiliul și Parlamentul European au convenit, vineri, asupra unor măsuri pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune, pentru a îmbunătăți în continuare capacitatea de reziliență și de reacție la incidente atât în sectorul public și privat, cât și în UE în ansamblu.
Odată adoptată, noua directivă, denumită “NIS2”, va înlocui actuala directivă privind securitatea rețelelor și a sistemelor informatice (directiva NIS).
Cooperare și gestionare mai puternică a riscurilor și a incidentelor
NIS2 va stabili baza de referință pentru măsurile de gestionare a riscurilor în materie de securitate cibernetică și pentru obligațiile de raportare în toate sectoarele care intră sub incidența directivei, cum ar fi energia, transporturile, sănătatea și infrastructura digitală.
Directiva revizuită urmărește să elimine divergențele în ceea ce privește cerințele de securitate cibernetică și punerea în aplicare a măsurilor de securitate cibernetică în diferite state membre. Pentru a realiza acest lucru, directiva stabilește norme minime pentru un cadru de reglementare și stabilește mecanisme pentru o cooperare eficientă între autoritățile relevante din fiecare stat membru. Acesta actualizează lista sectoarelor și activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prevede căi de atac și sancțiuni pentru a asigura punerea în aplicare.
Directiva va înființa în mod oficial Rețeaua Europeană de Organizare a Legăturilor privind Crizele Cibernetice, EU-CyCLONe, care va sprijini gestionarea coordonată a incidentelor de securitate cibernetică la scară largă.
Extinderea domeniului de aplicare a normelor
În timp ce, în conformitate cu vechea directivă NIS, statele membre erau responsabile de determinarea entităților care îndeplinesc criteriile pentru a fi considerate operatori de servicii esențiale, noua directivă NIS2 introduce o regulă de plafonare a numărului de entități. Aceasta înseamnă că toate entitățile mijlocii și mari care operează în sectoarele sau furnizează servicii reglementate de directivă vor intra în domeniul de aplicare al acesteia.
În timp ce acordul dintre Parlamentul European și Consiliu menține această regulă generală, textul convenit provizoriu include dispoziții suplimentare pentru a asigura proporționalitatea, un nivel mai ridicat de gestionare a riscurilor și criterii clare de importanță pentru determinarea entităților vizate.
De asemenea, textul clarifică faptul că directiva nu se va aplica entităților care desfășoară activități în domenii precum apărarea sau securitatea națională, securitatea publică, aplicarea legii și sistemul judiciar. Parlamentele și băncile centrale sunt, de asemenea, excluse din domeniul de aplicare.
Întrucât administrațiile publice sunt, de asemenea, deseori ținta atacurilor cibernetice, NIS2 se va aplica entităților administrației publice ale administrațiilor centrale. În plus, statele membre pot decide ca aceasta să se aplice și unor astfel de entități la nivel regional și local.
Alte modificări introduse de colegiuitori
Parlamentul European și Consiliul au aliniat textul la legislația sectorială, în special la Regulamentul privind reziliența operațională digitală pentru sectorul financiar (DORA) și la Directiva privind reziliența entităților critice (CER), pentru a oferi claritate juridică și a asigura coerența dintre NIS2 și aceste acte.
Un mecanism voluntar de învățare reciprocă va spori încrederea reciprocă și învățarea din bune practici și experiențe, contribuind astfel la atingerea unui nivel comun ridicat de securitate cibernetică.
Cei doi colegiuitori au simplificat, de asemenea, obligațiile de raportare pentru a evita să provoace raportarea excesivă și să creeze o sarcină excesivă pentru entitățile vizate.
Statele membre vor avea la dispoziție 21 de luni de la intrarea în vigoare a directivei pentru a încorpora dispozițiile în legislația lor națională.
Acordul provizoriu încheiat astăzi face acum obiectul aprobării de către Consiliu și Parlamentul European.
În ceea ce privește Consiliul, Președinția franceză intenționează să supună acordul aprobării Comitetului Reprezentanților Permanenți al Consiliului la sfârșitul lunii mai 2022.