În data de 13.05.2022, Parlamentul și Consiliul European au anunțat un acord provizoriu menit să îmbunătățească securitatea cibernetică și reziliența entităților din sectorul public și privat din Uniunea Europeană și să asigure un nivel comun de securitate cibernetică.
Directiva revizuită, denumită NIS2 (prescurtare de la “Network and Information Security”), va înlocui legislația existentă, adoptată în iulie 2016, privind securitatea cibernetică.
Revizuirea stabilește reguli de bază, impunând companiilor din sectoarele considerate critice (energie, transporturi, piețe financiare, sănătate, infrastructuri digitale) să respecte măsurile de gestionare a riscurilor și obligațiile de raportare, fiind introdus un prag după criteriul de dimensiune. Aceasta presupune că toate entitățile mari şi mijlocii care își desfășoară activitatea sau care furnizează servicii în sectoarele reglementate de directivă, vor intra în domeniul de aplicare al acesteia.
Printre prevederile noii legislații se numără semnalarea incidentelor de securitate cibernetică către autorități în termen de 24 de ore, eliminarea vulnerabilităților software și pregătirea măsurilor de gestionare a riscurilor pentru securizarea rețelelor, în caz contrar putând fi aplicate sancțiuni pecuniare.
De asemenea, se are în vedere aplicarea unui mecanism voluntar de învățare reciprocă care va spori încrederea și învățarea din bune practici, contribuind astfel la atingerea unui nivel comun ridicat de securitate cibernetică.
Textul clarifică, de asemenea, faptul că directiva nu se va aplica entităților care desfășoară activități în domenii precum apărarea sau securitatea națională, siguranța publică, asigurarea aplicării legii și sistemul judiciar. Parlamentele și băncile centrale sunt, la rândul lor, excluse din domeniul de aplicare. Din cauză că administrațiile publice sunt adesea ținta atacurilor cibernetice, NIS2 va viza domeniul administrației publice de la nivel central și regional. În plus, statele membre pot decide dacă se pretează administrațiilor locale.
În cadrul declarației, Consiliul Uniunii Europene a specificat că directiva va institui în mod oficial “Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice”, denumită UE-CyCLONe, care va sprijini gestionarea coordonată a incidentelor de securitate cibernetică de mare amploare.
Această evoluție urmează îndeaproape planurilor Comisiei Europene de a “detecta, raporta, bloca și elimina” materialele privind abuzurile sexuale asupra minorilor la nivelul furnizorilor de servicii online, inclusiv al aplicațiilor de mesagerie, ceea ce a provocat îngrijorări că ar putea compromite criptarea end-to-end (E2EE).
Ca parte a acordului propus, statele membre ale Uniunii Europene vor fi obligate să integreze dispozițiile în legislația națională în termen de 21 de luni de la data intrării în vigoare a directivei.
“Numărul, amploarea, sofisticarea, frecvența și impactul incidentelor de securitate cibernetică sunt în creștere și reprezintă o amenințare majoră la adresa funcționării rețelelor și a sistemelor informatice“, a menționat Consiliul în proiect.
“Prin urmare, pregătirea și eficacitatea în materie de securitate cibernetică sunt acum mai esențiale ca niciodată pentru buna funcționare a pieței interne“, citat de aici.
Dacă vrei să te implici și tu în proiectul nostru, scrie-ne un mesaj la [email protected].