În contextul unei digitalizări accelerate și al unui peisaj de securitate tot mai complex, Uniunea Europeană a făcut un pas decisiv prin adoptarea Directivei NIS2. Acest cadru legislativ modernizează normele anterioare și impune un nivel comun de protecție cibernetică pentru toate statele membre, adaptându-se astfel la noile amenințări globale.
Prima directivă privind securitatea rețelelor și a sistemelor informatice (NIS), adoptată în 2016, a reprezentat un punct de plecare important. Totuși, evoluția rapidă a atacurilor cibernetice și dependența tot mai mare a societății de serviciile digitale au demonstrat că este nevoie de o abordare mai robustă și mai unitară. NIS2 vine să elimine fragmentările dintre statele membre și să ridice standardele de reziliență în sectoarele critice.
Una dintre cele mai mari schimbări aduse de NIS2 este extinderea listei de entități vizate. Directiva nu se mai limitează doar la furnizorii de servicii esențiale tradiționali, ci acoperă acum o gamă mult mai largă de domenii, împărțite în două categorii:
- Sectoare de înaltă criticitate: Energie, transporturi, sectorul bancar, sănătate, apă, infrastructură digitală, administrație publică și spațiu.
- Alte sectoare critice: Servicii poștale, gestionarea deșeurilor, fabricarea de produse chimice și alimente, producția de electronice și furnizori digitali.
Spre deosebire de vechea reglementare, NIS2 introduce o regulă generală bazată pe dimensiunea organizației, eliminând incertitudinea legată de clasificarea acestora la nivel național.
Companiile și instituțiile care intră sub incidența directivei trebuie să implementeze măsuri riguroase de gestionare a riscurilor. Printre acestea se numără politici de securitate a sistemelor, proceduri de gestionare a incidentelor, securitatea lanțului de aprovizionare și utilizarea criptării.
Un aspect esențial este responsabilizarea la nivel înalt: echipele de conducere devin direct responsabile pentru nerespectarea măsurilor de securitate. Mai mult, directiva simplifică procesul de raportare a incidentelor semnificative, impunând termene clare pentru informarea autorităților competente.
NIS2 pune un accent deosebit pe colaborarea transfrontalieră. Prin intermediul Rețelei europene a organizațiilor de legătură pentru crize cibernetice (EU-CyCLONe), statele membre vor putea coordona răspunsurile la incidentele de scară largă.
Pentru a asigura conformitatea, directiva introduce un regim de sancțiuni mult mai sever. Autoritățile au puterea de a aplica amenzi administrative substanțiale, similare cu cele din cadrul GDPR, pentru entitățile care nu respectă noile standarde de securitate.
Directiva NIS2 a intrat în vigoare la începutul anului 2023, iar statele membre ale Uniunii Europene au obligația de a transpune noile prevederi în legislația națională până la data de 17 octombrie 2024. Astfel, organizațiile trebuie să înceapă procesul de adaptare cât mai curând pentru a se alinia cerințelor legale și pentru a-și proteja infrastructura digitală.
Citește articolul complet
Informațiile detaliate și contextul legislativ pot fi consultate pe pagina oficială a Comisiei Europene:
https://digital-strategy.ec.europa.eu/ro/policies/nis2-directive
