Potrivit CaleaEuropeană.ro, noua directivă, denumită ”NIS2”, va înlocui actuala directivă privind securitatea rețelelor și a sistemelor informatice (directiva NIS).

”Nu există nicio îndoială că securitatea cibernetică va rămâne o provocare cheie în anii următori. Mizele pentru economiile și cetățenii noștri sunt enorme. Astăzi, am făcut încă un pas pentru a ne îmbunătăți capacitatea de a contracara această amenințare”, a declarat Ivan Bartoš, viceprim-ministru ceh pentru digitalizare și ministru al dezvoltării regionale.

O mai bună cooperare în materie de riscuri și incidente și o mai bună gestionare a acestora

NIS 2 va stabili nivelul de referință pentru măsurile de gestionare a riscurilor în materie de securitate cibernetică și pentru obligațiile de raportare în toate sectoarele reglementate de directivă, cum ar fi energia, transporturile, sănătatea și infrastructura digitală.

Directiva revizuită are ca obiectiv eliminarea divergențelor privind cerințele în materie de securitate cibernetică și punerea în aplicare a măsurilor de securitate cibernetică în diferite state membre. În acest scop, directiva stabilește norme minime pentru un cadru de reglementare și definește mecanismele pentru o cooperare eficace între autoritățile competente din fiecare stat membru. Aceasta actualizează lista sectoarelor și a activităților care fac obiectul obligațiilor în materie de securitate cibernetică și prevede căi de atac și sancțiuni pentru a asigura respectarea legislației.

Directiva va institui în mod oficial Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice, UE-CyCLONe, care va sprijini gestionarea coordonată a incidentelor de securitate cibernetică de mare amploare.

Extinderea domeniului de aplicare al normelor

În temeiul vechii directive NIS, statele membre erau responsabile de stabilirea entităților care îndeplinesc criteriile pentru a se califica drept operatori de servicii esențiale. În schimb, noua directivă NIS 2 introduce o regulă privind un prag după criteriul de dimensiune. Aceasta înseamnă că toate entitățile mijlocii și mari care își desfășoară activitatea în sectoarele reglementate de directivă sau care furnizează servicii reglementate de directivă vor intra în domeniul de aplicare al acesteia.

Deși acordul între Parlamentul European și Consiliu menține această regulă generală, textul convenit provizoriu include dispoziții suplimentare pentru a asigura proporționalitatea, un nivel mai ridicat de gestionare a riscurilor și criterii clare privind importanța critică a entităților pentru a stabili care dintre acestea sunt vizate.

Textul clarifică, de asemenea, faptul că directiva nu se va aplica entităților care desfășoară activități în domenii precum apărarea sau securitatea națională, siguranța publică, asigurarea aplicării legii și sistemul judiciar. Parlamentele și băncile centrale sunt, la rândul lor, excluse din domeniul de aplicare.

Dat fiind că administrațiile publice sunt adesea ținta atacurilor cibernetice, NIS 2 se va aplica entităților administrației publice de la nivel central și regional. În plus, statele membre pot decide ca aceasta să se aplice entităților respective și la nivel local.

Alte modificări introduse 

Textul noii directive este aliniat la legislația sectorială, în special la Regulamentul privind reziliența operațională digitală a sectorului financiar (DORA) și la Directiva privind reziliența entităților critice (REC), pentru a oferi claritate juridică și a asigura coerența dintre NIS 2 și aceste acte.

Un mecanism voluntar de învățare reciprocă va spori încrederea reciprocă și învățarea din bune practici și experiențe, contribuind astfel la atingerea unui nivel comun ridicat de securitate cibernetică.

După ce va fi publicată în Jurnalul Oficial al Uniunii Europene, Directiva  va intra în vigoare în a douăzecea zi de la această publicare.

Statele membre vor avea la dispoziție 21 de luni de la intrarea în vigoare a directivei pentru a transpune dispozițiile în legislația lor națională.