Uniunea Europeană a adoptat Directiva NIS2, un set de reguli actualizat menit să consolideze securitatea rețelelor și a sistemelor informatice în toate statele membre. Această lege înlocuiește vechea directivă NIS din 2016 și răspunde la complexitatea tot mai mare a amenințărilor cibernetice cu care se confruntă Europa în epoca digitală.
🛡️ Obiectivele Directivei
Directiva NIS2 stabilește un cadrul juridic unificat la nivelul UE pentru securitatea cibernetică, extinzând cerințele de protecție la 18 sectoare critice din economie și societate. Aceasta include infrastructuri esențiale precum energie, sănătate, transport, comunicații și servicii digitale, printre altele.
Scopul principal al Directivei este de a:
- ridica nivelul de reziliență cibernetică în întreaga Uniune;
- uniformiza cerințele de gestionare a riscurilor și de raportare a incidentelor;
- întări cooperarea transfrontalieră între autorități și instituții.
📊 Ce se schimbă față de NIS1?
Față de versiunea sa anterioară, NIS2:
- are un domeniu de aplicare mult mai larg, incluzând mai multe sectoare strategice și companii “importante” pe lângă cele “esențiale”;
- oferă un set mai clar și mai strict de obligații pentru gestionarea securității cibernetice;
- consolidează cooperarea între statele membre și autoritățile UE în materie de răspuns la incidente.
📅 Termene și implementare
Directiva a intrat în vigoare și statele membre trebuiau să o transpună în legislația națională până la data de 17 octombrie 2024. Ulterior, toate măsurile cerute de NIS2 trebuie aplicate efectiv, inclusiv mecanismele de supraveghere și sancțiuni, astfel încât nivelul de protecție cibernetică să fie consistent în întreaga UE.
📌Importanța pentru companii
Organizațiile din sectoarele vizate de această directivă trebuie să-și evalueze și să-și adapteze rapid strategiile de securitate IT. NIS2 introduce cerințe mai riguroase privind:
- managementul riscurilor de securitate cibernetică;
- notificarea incidentelor semnificative către autoritățile competente;
- supravegherea și raportarea conformă cu standardele UE.
📊 Clasificarea entităților conform Directivei NIS2
Directiva NIS2 introduce o diferențiere clară între entități esențiale și entități importante, în funcție de rolul lor în funcționarea societății și economiei europene, precum și de impactul potențial al unui incident de securitate cibernetică.
🔐 Tabel – Entități esențiale și entități importante (cele 18 sectoare critice)
| Nr. | Sector critic | Entități esențiale | Entități importante |
| 1 | Energie | Electricitate, gaze, petrol, termoficare | Furnizori de servicii energetice auxiliare |
| 2 | Transport | Aerian, feroviar, maritim, rutier | Operatori de logistică și servicii conexe |
| 3 | Sector bancar | Bănci și instituții de credit | Alte entități financiare relevante |
| 4 | Infrastructura piețelor financiare | Burse, contrapărți centrale | Furnizori de servicii suport |
| 5 | Sănătate | Spitale, clinici, laboratoare | Furnizori IT și servicii medicale digitale |
| 6 | Apă potabilă | Furnizori și distribuitori de apă | Servicii de mentenanță și monitorizare |
| 7 | Apă uzată | Operatorii de colectare și tratare | Furnizori de servicii tehnice |
| 8 | Infrastructură digitală | IXPs, DNS, TLDs, centre de date | Furnizori de hosting și cloud |
| 9 | Managementul serviciilor TIC | MSP, MSSP | Furnizori IT specializați |
| 10 | Administrație publică | Autorități guvernamentale centrale | Autorități locale |
| 11 | Spațiu | Operatorii de infrastructură spațială | Furnizori de servicii conexe |
| 12 | Servicii poștale și de curierat | Operatorii naționali | Companii private de curierat |
| 13 | Gestionarea deșeurilor | Operatori critici | Furnizori de servicii |
| 14 | Producția și distribuția de substanțe chimice | Producători strategici | Distribuitori |
| 15 | Producția, procesarea și distribuția alimentelor | Mari producători și procesatori | Distribuitori și lanțuri logistice |
| 16 | Fabricarea | Producători de echipamente critice | Producători industriali relevanți |
| 17 | Furnizori digitali | Motoare de căutare, marketplace-uri | Platforme digitale mari |
| 18 | Cercetare | Organizații de cercetare critice | Institute și centre private |
📌 Ce înseamnă această clasificare pentru companii
- Entitățile esențiale sunt supuse unei supravegheri proactive și unor cerințe mai stricte.
- Entitățile importante sunt monitorizate reactiv, dar au obligații similare privind gestionarea riscurilor și raportarea incidentelor.
- Ambele categorii trebuie să implementeze măsuri tehnice și organizaționale solide pentru securitatea cibernetică.