La data de 13.05.2022, Parlamentul și Consiliul European au anunțat un acord provizoriu care urmărește să consolideze securitatea cibernetică și reziliența entităților din sectorul public și privat din Uniunea Europeană, stabilind astfel un nivel comun de securitate cibernetică.
Această veste vine în contextul unei evoluții rapide a tehnologiei și al creșterii amenințărilor cibernetice.
Directiva revizuită, cunoscută sub denumirea de NIS2 (Network and Information Security), va înlocui legislația existentă din iulie 2016, concentrându-se pe securitatea cibernetică și măsurile de protecție necesare în era digitală. Noile reguli impuse de această revizuire vor obliga companiile din sectoarele considerate critice, precum energia, transporturile, piețele financiare, sănătatea și infrastructurile digitale, să adopte măsuri de gestionare a riscurilor și să respecte obligațiile de raportare. Directiva se aplică atât entităților mari, cât și celor mijlocii, în funcție de criterii precum dimensiunea lor.
Printre aspectele cheie ale noii legislații se numără obligația de a raporta incidentele de securitate cibernetică către autorități în termen de 24 de ore, eliminarea vulnerabilităților software și implementarea măsurilor de gestionare a riscurilor pentru securizarea rețelelor. Încălcarea acestor prevederi poate atrage sancțiuni pecuniare.
În același timp, directiva promovează un mecanism voluntar de învățare reciprocă, în scopul împărtășirii de bune practici și consolidării încrederii în domeniul securității cibernetice. Acesta va contribui la atingerea unui nivel comun înalt de securitate în cadrul Uniunii Europene.
Este important de menționat că directiva nu se aplică entităților din domenii precum apărarea sau securitatea națională, siguranța publică, aplicarea legii și sistemul judiciar. De asemenea, parlamentele și băncile centrale sunt excluse din sfera de aplicare. Cu toate acestea, administrațiile publice, care sunt adesea ținta atacurilor cibernetice, sunt incluse în domeniul de aplicare al NIS2, atât la nivel central, cât și regional. Decizia de a se extinde la nivelul administrațiilor locale revine statelor membre.
Într-o declarație emisă de Consiliul Uniunii Europene, s-a menționat că directiva va institui oficial "Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice" (UE-CyCLONe), care va facilita gestionarea coordonată a incidentelor de securitate cibernetică de amploare.
Această dezvoltare vine în contextul planurilor Comisiei Europene de a combate abuzurile sexuale asupra minorilor online. În acest sens, directiva va impune furnizorilor de servicii online, inclusiv aplicațiilor de mesagerie, să detecteze, raporteze, blocheze și elimine astfel de materiale, fără a afecta însă criptarea end-to-end (E2EE), care rămâne un aspect important al securității online.
Pentru a se asigura implementarea adecvată, statele membre ale Uniunii Europene vor fi obligate să transpună dispozițiile NIS2 în legislația națională în termen de 21 de luni de la intrarea în vigoare a directivei.
Consiliul Uniunii Europene a subliniat că numărul, frecvența și impactul incidentelor de securitate cibernetică sunt în creștere, reprezentând o amenințare majoră la adresa funcționării rețelelor și sistemelor informatice. Astfel, pregătirea și eficacitatea în domeniul securității cibernetice devin esențiale pentru buna funcționare a pieței interne și protejarea intereselor Uniunii Europene în era digitală.