La nivel UE s-au construit mecanisme legislative care să contribuie la ridicarea nivelului de securitate cibernetică al Statelor Membre și al Uniunii. Un pilon important îl reprezintă Directiva NIS pentru care deja s-au adoptat două versiuni: Directiva NIS 1 intrată în vigoare deja și Directiva NIS 2 care va intra în vigoare în locul Directivei NIS 1 în 2024.
Directiva NIS 1
Directiva NIS a fost adoptată la nivelul UE, prima ei formă (Directiva NIS 1) fiind Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune. Ea se aplică în prezent și a fost implementată la nivel național de către toate Statele Membre. În România s-a implementat prin Legea 362/2018.
Directiva NIS 2
La nivel UE, a fost adoptată o nouă strategie de securitate cibernetică a UE pentru 2020-2025, care propunea, printre multe lucruri, revizuirea Directivei NIS 1.
Ce aduce nou Directiva NIS 2
Directiva NIS2 prevede măsuri legale pentru a spori nivelul general de securitate cibernetică în UE, pentru a contribui la funcționarea globală a pieței interne.
Pe baza strategiei NIS1 privind securitatea rețelelor și a sistemelor de informații, pentru a atinge un nivel ridicat de pregătire al statelor membre, Directiva NIS2 impune acestora să adopte o strategie națională de securitate cibernetică. Statele membre trebuie, de asemenea, să desemneze echipe naționale de răspuns la incidente de securitate informatică (CSIRT), care sunt responsabile de gestionarea riscurilor și incidentelor, o autoritate națională competentă de securitate cibernetică și un punct unic de contact (SPOC). SPOC trebuie să exercite o funcție de legătură pentru a asigura cooperarea transfrontalieră între autoritățile statelor membre cu autoritățile relevante din alte state membre și, după caz, cu Comisia și agenția UE pentru securitate cibernetică (ENISA), precum și să asigure cooperarea transsectorială cu alte autorități competente din cadrul respectivului stat membru.
Directiva NIS2 continuă, de asemenea, cadrul NIS1 prin care se înființează Grupul de cooperare NIS pentru a sprijini și facilita cooperarea strategică și schimbul de informații între statele membre, precum și rețeaua CSIRT, care promovează cooperarea operațională rapidă și eficientă între CSIRT-urile naționale.
Directiva NIS2 extinde domeniul de aplicare al normelor anterioare prin adăugarea de noi sectoare în funcție de gradul lor de digitalizare și interconectare și de cât de cruciale sunt acestea pentru economie și societate, prin introducerea unei reguli clare privind pragul de dimensiune, ceea ce înseamnă că toate companiile mari și medii din sectoarele selectate vor fi incluse în domeniu. În același timp, lasă statelor membre o anumită putere de apreciere pentru a identifica companiile mici cu un profil ridicat de risc de securitate cărora ar trebui, de asemenea, sa li se aplice cerințele NIS2.
NIS2 elimină distincția dintre operatorii de servicii esențiale și furnizorii de servicii digitale. Entitățile sunt clasificate în funcție de importanța lor și împărțite în două categorii: entități esențiale (importanță critică ridicată) și entități importante, care vor fi supuse unui regim de supraveghere diferit.
Directiva NIS 2 întărește și eficientizează cerințele de securitate și raportare pentru companii prin impunerea unei abordări de gestionare a riscurilor, care oferă o listă minimă de elemente de securitate de bază care trebuie aplicate. Noua directivă introduce prevederi mai precise privind procesul de raportare a incidentelor, conținutul rapoartelor și termenele.
În plus, NIS2 abordează securitatea lanțurilor de aprovizionare și a relațiilor cu furnizorii, solicitând companiilor individuale să abordeze riscurile de securitate cibernetică din lanțurile de aprovizionare și relațiile cu furnizorii. La nivel european, directiva consolidează securitatea cibernetică a lanțului de aprovizionare pentru tehnologiile cheie ale informației și comunicațiilor. Statele membre, în cooperare cu Comisia și ENISA, pot efectua evaluări coordonate ale riscurilor de securitate la nivelul Uniunii ale lanțurilor de aprovizionare critice, bazându-se pe abordarea de succes adoptată în contextul Recomandării Comisiei privind securitatea cibernetică a rețelelor 5G.
NIS2 acoperă entități din următoarele sectoare: energie (electricitate, termoficare și răcire, petrol, gaz și hidrogen); transport (aerian, feroviar, naval și rutier); bancar; infrastructuri ale pieței financiare; sănătate, inclusiv fabricarea de produse farmaceutice, inclusiv vaccinuri; apă potabilă; ape uzate; infrastructură digitală (puncte de schimb de internet; furnizori de servicii DNS; registre de nume TLD; furnizori de servicii de cloud computing; furnizori de servicii de centre de date; rețele de livrare de conținut; furnizori de servicii de încredere; furnizori de rețele publice de comunicații electronice și servicii de comunicații electronice accesibile publicului); managementul serviciilor TIC (furnizori de servicii gestionate și furnizori de servicii de securitate gestionată), administrație publică și spațiu, servicii poștale și de curierat; managementul deșeurilor; chimicale; alimente; fabricarea de dispozitive medicale, calculatoare și electronice, mașini și echipamente, autovehicule, remorci și semiremorci și alte echipamente de transport; furnizori digitali (piețe online, motoare de căutare online și platforme de servicii de rețele sociale) și organizații de cercetare.
Statele membre vor trebui să transpună directiva până la 17 octombrie 2024 (21 de luni de la intrarea în vigoare a NIS2). Astfel, începând cu 18 octombrie 2024 Directiva NIS 1 își încetează aplicabilitatea și intră în vigoare Directiva NIS 2. Apoi, Comisia trebuie să revizuiască periodic funcționarea noii directive și să raporteze despre procesul de revizuire până la 17 octombrie 2027 Parlamentului și Consiliului.