Directiva NIS2
Directiva NIS – prima legislație a UE în materie de securitate cibernetică – este primul instrument orizontal al pieței interne care vizează îmbunătățirea rezilienței rețelelor și a sistemelor informatice din Uniune la riscurile în materie de securitate cibernetică. În ciuda realizărilor sale notabile, Directiva NIS a demonstrat anumite limitări. Transformarea digitală a societății, intensificată de criza provocată de pandemia de COVID-19, a extins peisajul amenințărilor. Au apărut noi provocări, care necesită răspunsuri adaptate și inovatoare.
Pentru a putea analiza impactul și a identifica deficiențele Directivei NIS, Comisia a efectuat o amplă consultare a părților interesate. Comisia a identificat următoarele aspecte principale:
- nivelul insuficient de reziliență cibernetică a întreprinderilor care își desfășoară activitatea în UE
- rezistență inconsecventă la nivelul statelor membre și al sectoarelor
- înțelegere comună insuficientă a principalelor amenințări și provocări în rândul statelor membre
- lipsa unui răspuns comun în situații de criză.
Prin urmare, pentru a răspunde amenințărilor tot mai mari cauzate de digitalizare și interconectare, Comisia a propus, în decembrie 2020, un set revizuit de norme adaptate exigențelor viitorului, cu scopul de a consolida nivelul de reziliență cibernetică în Uniune, cu privire la care colegiuitorii au ajuns la un acord politic la 13 mai 2022 și au adoptat oficial noua directivă la sfârșitul lunii noiembrie 2022.
De la criza provocată de pandemia de COVID-19, economia europeană a devenit mai dependentă decât oricând de soluțiile digitale. Sectoarele și serviciile devin din ce în ce mai interconectate și interdependente. Acest lucru a dus la creșterea și evoluția rapidă a amenințărilor la adresa securității cibernetice: orice perturbare, chiar și una care s-a limitat inițial la o entitate sau la un sector, poate avea efecte în cascadă într-un sens mai larg, ceea ce ar putea duce la efecte negative de anvergură și de lungă durată asupra furnizării de servicii pe întreaga piață internă.
Pandemia de COVID-19 a demonstrat vulnerabilitatea societăților noastre din ce în ce mai interdependente în fața riscurilor neașteptate. Aceasta a intensificat problemele deja emergente din actuala Directivă NIS și a servit drept catalizator pentru revizuirea acesteia. O modificare concretă a Directivei NIS în contextul acestei crize a fost extinderea domeniului de aplicare al noii directive, acoperind elemente mai specifice din sectorul sănătății, cum ar fi entitățile care desfășoară activități de cercetare și dezvoltare în domeniul medicamentelor.
DirectivaNIS2 prevede măsuri juridice pentru a stimula nivelul general de securitate cibernetică în UE, pentru a contribui la funcționarea generală a pieței interne. Acesta se bazează pe cei trei piloni principali care au stat la baza Directivei NIS1:
- Pe baza strategiei NIS1 privind securitatea rețelelor și a sistemelor informatice, pentru a atinge un nivel ridicat de pregătire a statelor membre, Directiva NIS2 impune statelor membre să adopte o strategie națională de securitate cibernetică. Statele membre au, de asemenea, obligația de a desemna echipe naționale de răspuns la incidente de securitate informatică (CSIRT), care sunt responsabile de gestionarea riscurilor și a incidentelor, o autoritate națională competentă în materie de securitate cibernetică și un punct unic de contact (SPOC). SPOC trebuie să exercite o funcție de legătură pentru a asigura cooperarea transfrontalieră între autoritățile statelor membre și autoritățile relevante din alte state membre și, după caz, cu Comisia și ENISA, precum și pentru a asigura cooperarea transsectorială cu alte autorități competente din statul său membru.
- Directiva NIS2 continuă, de asemenea, cadrul NIS1 de instituire a Grupului de cooperare NIS pentru a sprijini și facilita cooperarea strategică și schimbul de informații între statele membre, precum și rețeaua CSIRT, care promovează cooperarea operațională rapidă și eficace între echipele CSIRT naționale.
- Directiva NIS1 asigură faptul că măsurile de securitate cibernetică sunt luate în șapte sectoare, care sunt vitale pentru economia și societatea noastră și care se bazează în mare măsură pe TIC, cum ar fi energia, transporturile, sectorul bancar, infrastructurile pieței financiare, apa potabilă, asistența medicală și infrastructura digitală.
Entitățilepublice și private identificate de statele membre ca operatori de servicii esențiale (OES) în aceste sectoare sunt obligate să efectueze o evaluare a riscurilor în materie de securitate cibernetică și să instituie măsuri de securitate adecvate și proporționale. Acestea sunt obligate să notifice incidentele grave autorităților competente. În plus, furnizorii de servicii digitale esențiale (furnizori de servicii digitale sau furnizori de servicii digitale), cum ar fi motoarele de căutare, serviciile de cloud computing și piețele online, trebuie, de asemenea, să respecte cerințele de securitate și de notificare prevăzute în directivă. În același timp, acestea din urmă fac obiectul unui așa-numit regim de reglementare „ușor”, care implică faptul că aceste entități nu sunt supuse unor măsuri de supraveghere ex ante.
Directiva NIS2 extinde în mod semnificativ domeniul de aplicare al sectoarelor și introduce un prag de mărime pentru a defini entitățile care intră în domeniul său de aplicare și ar trebui să raporteze incidentele semnificative de securitate cibernetică autorităților naționale competente.
Directiva NIS2 urmărește să abordeze deficiențele normelor anterioare, să o adapteze la nevoile actuale și să o facă adaptată exigențelor viitorului.
În acest scop, directiva extinde domeniul de aplicare al normelor anterioare prin adăugarea de noi sectoare pe baza gradului lor de digitalizare și de interconectare și a importanței lor pentru economie și societate, prin introducerea unei reguli clare privind pragul de mărime – ceea ce înseamnă că toate întreprinderile mijlocii și mari din anumite sectoare vor fi incluse în domeniul de aplicare. În același timp, aceasta lasă o anumită marjă de apreciere statelor membre în ceea ce privește identificarea entităților mai mici cu un profil de risc ridicat în materie de securitate, care ar trebui să facă, de asemenea, obiectul obligațiilor prevăzute de noua directivă.
Noua directivă elimină, de asemenea, distincția dintre operatorii de servicii esențiale și furnizorii de servicii digitale. Entitățile ar fi clasificate în funcție de importanța lor și împărțite în două categorii: entități esențiale și importante, care vor fi supuse unui regim de supraveghere diferit.
Acesta consolidează și simplifică cerințele de securitate și raportare pentru companii prin impunerea unei abordări de gestionare a riscurilor, care oferă o listă minimă de elemente de securitate de bază care trebuie aplicate. Noua directivă introduce dispoziții mai precise privind procesul de raportare a incidentelor, conținutul rapoartelor și calendarele.
În plus, NIS2 abordează securitatea lanțurilor de aprovizionare și a relațiilor cu furnizorii, solicitând întreprinderilor individuale să abordeze riscurile de securitate cibernetică în lanțurile de aprovizionare și în relațiile cu furnizorii. La nivel european, directiva consolidează securitatea cibernetică a lanțului de aprovizionare pentru tehnologiile-cheie ale informației și comunicațiilor. Statele membre, în cooperare cu Comisia și ENISA, pot efectua evaluări coordonate la nivelul Uniunii ale riscurilor în materie de securitate ale lanțurilor de aprovizionare critice, pe baza abordării reușite adoptate în contextul Recomandării Comisiei privind securitatea cibernetică a rețelelor 5G.
Directiva introduce măsuri de supraveghere mai stricte pentru autoritățile naționale, cerințe mai stricte de asigurare a respectării legislației și vizează armonizarea regimurilor de sancțiuni în toate statele membre.
Acesta consolidează, de asemenea, rolul Grupului de cooperare în elaborarea deciziilor strategice de politică și sporește schimbul de informații și cooperarea dintre autoritățile statelor membre. De asemenea, consolidează cooperarea operațională în cadrul rețelei CSIRT și instituie rețeaua europeană a organizațiilor de legătură în situații de criză cibernetică (EU-CyCLONe) pentru a sprijini gestionarea coordonată a incidentelor și crizelor de securitate cibernetică de mare amploare.
NIS2 stabilește, de asemenea, un cadru de bază cu actori-cheie responsabili în ceea ce privește divulgarea coordonată a vulnerabilităților pentru vulnerabilitățile recent descoperite în întreaga UE și creează o bază de date a UE privind vulnerabilitățile cunoscute public în produsele TIC și în serviciile TIC, care urmează să fie operată și întreținută de Agenția UE pentru securitate cibernetică (ENISA).
NIS2 acoperă entități din următoarele sectoare:
Sectoare cu un grad ridicat de critică: energie (energie electrică, termoficare și răcire centralizată, petrol, gaze și hidrogen); transporturi (aeriene, feroviare, navale și rutiere); servicii bancare; infrastructurile pieței financiare; sănătate, inclusiv fabricarea produselor farmaceutice, inclusiv a vaccinurilor; apă potabilă; ape reziduale; infrastructura digitală (puncte de schimb de internet; Furnizorii de servicii DNS; Registre ale denumirilor TLD; furnizorii de servicii de cloud computing; furnizorii de servicii ale centrelor de date; rețele de livrare de conținut; prestatorii de servicii de asigurare a încrederii; furnizorii de rețele publice de comunicații electronice și de servicii de comunicații electronice accesibile publicului); Gestionarea serviciilor TIC (furnizori de servicii gestionate și furnizori de servicii de securitate gestionate), administrație publică și spațiu.
Alte sectoare critice: servicii poștale și de curierat; gestionarea deșeurilor; substanțe chimice; produse alimentare; fabricarea de dispozitive medicale, calculatoare și electronice, mașini și echipamente, autovehicule, remorci și semiremorci și alte echipamente de transport; furnizorii digitali (locuri de piață online, motoare de căutare online și platforme de servicii de rețele sociale) și organizații de cercetare.
Evaluarea normelor actuale privind cerințele de securitate și de raportare a incidentelor a arătat că, în unele cazuri, statele membre au pus în aplicare aceste cerințe în moduri semnificativ diferite. Acest lucru a creat o sarcină suplimentară pentru întreprinderile care își desfășoară activitatea în mai multe state membre.
În plus, în ceea ce privește cerințele de securitate cibernetică, dorim să fim siguri că toate companiile abordează setul esențial de elemente necesare în politicile lor de gestionare a riscurilor în materie de securitate cibernetică.
Din acest motiv, NIS2 include o listă de 10 elemente-cheie pe care toate întreprinderile trebuie să le abordeze sau să le pună în aplicare ca parte a măsurilor pe care le iau, inclusiv gestionarea incidentelor, securitatea lanțului de aprovizionare, gestionarea și divulgarea vulnerabilităților, utilizarea criptografiei și, după caz, criptarea.
Înceea ce privește raportarea incidentelor, trebuie să găsim echilibrul corect între necesitatea unei raportări rapide pentru a evita răspândirea potențială a incidentelor și necesitatea unei raportări aprofundate pentru a trage învățăminte valoroase din incidentele individuale. Noua directivă prevede o abordare în mai multe etape a raportării incidentelor. Întreprinderile afectate au la dispoziție 24 de ore de la data la care au luat cunoștință pentru prima dată de un incident pentru a transmite o avertizare timpurie către CSIRT sau autoritatea națională competentă, ceea ce le-ar permite, de asemenea, să solicite asistență (orientare sau consiliere operațională cu privire la punerea în aplicare a posibilelor măsuri de atenuare) dacă solicită acest lucru. Avertizarea timpurie ar trebui să fie urmată de o notificare a incidentului în termen de 72 de ore de la data la care a luat cunoștință de incident și de un raport final în termen de cel mult o lună mai târziu.
Noua Directivă NIS plasează supravegherea și asigurarea respectării legii în centrul sarcinilor autorităților competente și stabilește un cadru coerent pentru toate activitățile de supraveghere și de asigurare a respectării legislației din statele membre.
Pentru a consolida supravegherea care contribuie la asigurarea conformității efective, NIS2 prevede o listă minimă de mijloace de supraveghere prin care autoritățile competente pot supraveghea entitățile esențiale și importante. Acestea includ audituri periodice și specifice, verificări la fața locului și în afara amplasamentului, solicitarea de informații și accesul la documente sau dovezi.
În plus, noua directivă stabilește o diferențiere a regimurilor de supraveghere între entitățile esențiale și cele importante, în vederea asigurării unui echilibru corect al obligațiilor atât pentru entități, cât și pentru autoritățile competente.
În ceea ceprivește punerea în aplicare, până în prezent a existat o reticență generală în toate statele membre de a aplica sancțiuni entităților care nu au pus în aplicare măsuri de securitate sau nu au raportat incidente. Acest lucru poate avea consecințe negative asupra rezilienței cibernetice a entităților. Pentru a asigura eficacitatea punerii în aplicare, noua directivă stabilește un cadru coerent pentru sancțiuni în întreaga Uniune. Prin urmare, acesta stabilește o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscurilor în materie de securitate cibernetică și de raportare prevăzute în Directiva NIS2. Aceste sancțiuni includ instrucțiuni obligatorii, ordine de punere în aplicare a recomandărilor unui audit de securitate, ordine de aliniere a măsurilor de securitate la cerințele NIS și amenzi administrative. În ceea ce privește amenzile administrative, noua Directivă NIS face distincție între entitățile esențiale și cele importante. În ceea ce privește entitățile esențiale, aceasta impune statelor membre să prevadă un anumit nivel de amenzi administrative, în special un maxim de cel puțin 10 000 000 EUR sau 2 % din cifra de afaceri anuală mondială totală din exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare. În ceea ce privește entitățile importante, NIS2 impune statelor membre să prevadă o amendă maximă de cel puțin 7 000 000 EUR sau cel puțin 1,4 % din cifra de afaceri anuală mondială totală din exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare.
Atunci când își exercită competențele de executare, autoritățile competente ar trebui să țină seama în mod corespunzător de circumstanțele specifice fiecărui caz, cum ar fi natura, gravitatea și durata încălcării, prejudiciul cauzat sau pierderile suferite, caracterul intenționat sau din neglijență al încălcării.
Pentru a asigura o responsabilitate reală pentru măsurile de securitate cibernetică la nivel organizațional, NIS2 introduce dispoziții privind răspunderea persoanelor fizice care dețin funcții de conducere de nivel superior în entitățile care intră în domeniul de aplicare al noii Directive NIS.
Noile norme îmbunătățesc modul în care UE previne, gestionează și răspunde la incidentele și crizele de securitate cibernetică la scară largă. Ele fac acest lucru prin introducerea unor responsabilități clare, a unei planificări adecvate și a unei cooperări sporite la nivelul UE. NIS2 impune statelor membre să numească autoritățile naționale responsabile cu gestionarea crizelor cibernetice, să introducă planuri naționale de răspuns la incidentele și crizele de securitate cibernetică la scară largă și să instituie rețeaua europeană de organizații de legătură în caz de criză cibernetică (EU-CYCLONe) pentru a sprijini gestionarea coordonată a incidentelor de securitate cibernetică de mare amploare și a crizelor de securitate cibernetică la nivel operațional. Această rețea este o componentă-cheie care contribuie la instituirea cadrului UE de gestionare a crizelor cibernetice prezentat de Comisie în 2017 prin Recomandarea privind răspunsul coordonat la incidente și crize de mare amploare.
De regulă, se consideră că entitățile esențiale și importante se află sub jurisdicția statului membru în care sunt stabilite. În cazul în care entitatea este stabilită în mai multe state membre, aceasta ar trebui să intre sub jurisdicția fiecăruia dintre aceste state membre. Autoritățile competente fiecare dintre aceste state membre ar trebui să coopereze, să își acorde asistență reciprocă și, după caz, să desfășoare acțiuni comune de supraveghere. Există mai multe excepții de la această regulă:
- furnizorii de rețele sau furnizori publici de comunicații electronice sau de servicii de comunicații electronice accesibile publicului ar intra sub jurisdicția statului membru în care își furnizează serviciile.
- entitățile administrației publice ar intra sub jurisdicția statului membru care le-a înființat.
- anumite tipuri de entități s-ar afla sub jurisdicția statului membru în care își au sediul principal în Uniune. Printre aceste entități se numără furnizorii de servicii de sisteme de nume de domenii, registrele de nume de domenii de nivel superior, entitățile care furnizează servicii de înregistrare a numelor de domenii, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de distribuție a conținutului, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, precum și furnizorii de piețe online, de motoare de căutare online și de platforme de rețele sociale. Acest lucru este menit să garanteze că astfel de entități nu se confruntă cu o multitudine de cerințe juridice diferite, deoarece furnizează servicii transfrontaliere într-o măsură deosebit de mare. În scopul unei supravegheri eficace, statele membre vor solicita acestor tipuri de entități să notifice, printre altele, în cazul în care sediul principal al entității este, precum și celelalte sedii juridice ale acesteia din Uniune sau, în cazul în care nu sunt stabilite în Uniune, locul în care este desemnat reprezentantul entității. ENISA ar trebui să creeze și să mențină un registru cu informațiile furnizate pe această bază de către statele membre.
Cooperarea UE este continuată permițând statelor membre să acționeze în comun și să abordeze riscurile emergente în materie de securitate pe care le prezintă transformarea digitală în curs.
Mai precis, statele membre vor fi în măsură să supravegheze în comun punerea în aplicare a normelor UE și să se acorde reciproc asistență reciprocă în cazul practicilor frauduloase transfrontaliere, să aibă un dialog mai structurat cu sectorul privat și să coordoneze dezvăluirea vulnerabilităților constatate în software-ul și hardware-ul vândut pe piața internă. De asemenea, aceștia vor putea lucra în mod coordonat pentru a evalua riscurile și amenințările la adresa securității legate de noile tehnologii, așa cum s-a procedat pentru prima dată cu tehnologia 5G.
Statelemembre se vor baza pe cooperarea UE pentru a îmbunătăți capacitățile naționale prin schimburi de personal între autorități și evaluări inter pares. Grupurile existente, în special Grupul de cooperare care reunește autoritățile naționale în materie de securitate cibernetică și Rețeaua de echipe de răspuns la incidente de securitate informatică (CSIRT) vor contribui la promovarea cooperării atât la nivel strategic, cât și la nivel tehnic.
Directiva NIS2 este strâns legată de alte două inițiative, Directiva privind reziliența entităților critice (CER) și Regulamentul privind reziliența operațională digitală a sectorului financiar (Actul legislativ privind reziliența operațională digitală, DORA).
Domeniul de aplicare al NIS 2 și al Directivei privind reziliența entităților critice (Directiva privind reziliența entităților critice) au fost aliniate în mare măsură pentru a se asigura că reziliența fizică și cibernetică a entităților critice este abordată într-un mod cuprinzător. Entitățile identificate ca entități critice în temeiul Directivei CER vor face, de asemenea, obiectul obligațiilor în materie de securitate cibernetică prevăzute de Directiva NIS2. În plus, autoritățile naționale competente în temeiul directivelor CER și NIS2 trebuie să coopereze și să facă schimb periodic de informații relevante, cum ar fi riscurile, amenințările și incidentele cibernetice, precum și cu privire la riscurile, amenințările și incidentele care nu sunt informatice. Grupul de cooperare din cadrul NIS2 va trebui să se reunească în mod regulat și cel puțin o dată pe an cu Grupul privind reziliența entităților critice instituit în temeiul Directivei CER.
În ceea ceprivește sectorul financiar, în timp ce noua Directivă NIS include instituțiile de credit, operatorii locurilor de tranzacționare și contrapărțile centrale care intră în domeniul său de aplicare, DORA se va aplica acestor entități în ceea ce privește gestionarea riscurilor în materie de securitate cibernetică și obligațiile de raportare. În același timp, este important să se mențină o relație solidă pentru schimbul de informații între sectorul financiar și celelalte sectoare vizate de NIS 2. În acest scop, în cadrul DORA, autoritățile europene de supraveghere (AES) pentru sectorul financiar și autoritățile naționale competente din sectorul financiar ar putea participa la discuțiile Grupului de cooperare NIS. În plus, autoritățile competente DORA ar fi în măsură să consulte și să facă schimb de informații relevante cu punctul de contact unic (SPOC) și CSIRT instituit în temeiul NIS2. Autoritățile competente, SPOC sau CSIRT instituite în temeiul NIS2 ar primi, de asemenea, detalii cu privire la incidentele majore legate de TIC de la autoritățile competente din cadrul DORA. În plus, statele membre ar trebui să continue să includă sectorul financiar în strategiile lor de securitate cibernetică, iar echipele CSIRT naționale pot acoperi sectorul financiar în activitățile lor.
Statelemembre vor trebui să transpună directiva până la 17 octombrie 2024 (21 de luni de la intrarea în vigoare a NIS2). Ulterior, Comisia trebuie să revizuiască periodic funcționarea directivei și să prezinte Parlamentului European și Consiliului un raport cu privire la aceasta pentru prima dată până la 17 octombrie 2027.