În ciuda realizărilor sale notabile, Directiva privind securitatea rețelelor și a sistemelor informatice (Directiva NIS), care a pregătit terenul pentru o schimbare semnificativă a mentalității, a abordării instituționale și de reglementare a securității cibernetice în multe state membre, și-a dovedit, de asemenea, limitările. Transformarea digitală a societății (intensificată de criza provocată de pandemia de COVID-19) a extins peisajul amenințărilor și generează noi provocări, care necesită răspunsuri adaptate și inovatoare.
În prezent, orice perturbare, chiar și una limitată inițial la o entitate sau la un sector, poate avea efecte de cascadă într-un sens mai larg, ceea ce ar putea duce la efecte negative de anvergură și de lungă durată asupra furnizării de servicii pe întreaga piață internă.
Pentru a aborda aceste provocări, astfel cum s-a anunțat în Comunicarea privind conturarea viitorului digital al Europei, Comisia a accelerat revizuirea directivei până la sfârșitul anului 2020, a efectuat o evaluare a impactului și a prezentat o nouă propunere legislativă.
Elemente-cheie ale propunerii Comisiei
Noua propunere a Comisiei urmărește să abordeze deficiențele Directivei NIS anterioare, să o adapteze la nevoile actuale și să o facă adaptată exigențelor viitorului.
În acest scop, propunerea Comisiei extinde domeniul de aplicare al actualei Directive NIS prin adăugarea de noi sectoare pe baza caracterului lor critic pentru economie și societate și prin introducerea unui plafon clar al dimensiunii – ceea ce înseamnă că toate întreprinderile mijlocii și mari din anumite sectoare vor fi incluse în domeniul de aplicare. În același timp, aceasta lasă o anumită flexibilitate statelor membre în ceea ce privește identificarea entităților mai mici cu un profil de risc ridicat în materie de securitate.
Propunerea elimină, de asemenea, distincția dintre operatorii de servicii esențiale și furnizorii de servicii digitale. Entitățile ar fi clasificate în funcție de importanța lor și, respectiv, împărțite în categorii esențiale și importante, cu consecința de a fi supuse unor regimuri de supraveghere diferite.
Propunerea consolidează cerințele de securitate pentru întreprinderi, impunând o abordare de gestionare a riscurilor care să ofere o listă minimă de elemente de securitate de bază care trebuie aplicate. Propunerea introduce dispoziții mai precise privind procesul de raportare a incidentelor, conținutul rapoartelor și calendarele.
În plus, Comisia propune abordarea securității lanțurilor de aprovizionare și a relațiilor cu furnizorii, solicitând întreprinderilor individuale să abordeze riscurile în materie de securitate cibernetică în lanțurile de aprovizionare și în relațiile cu furnizorii. La nivel european, propunerea consolidează securitatea cibernetică a lanțului de aprovizionare pentru tehnologiile informației și comunicațiilor esențiale. Statele membre, în cooperare cu Comisia și ENISA, vor efectua evaluări coordonate ale riscurilor lanțurilor de aprovizionare critice, pe baza abordării reușite adoptate în contextul Recomandării Comisiei privind securitatea cibernetică a rețelelor 5G.
Propunerea introduce măsuri de supraveghere mai stricte pentru autoritățile naționale, cerințe mai stricte de asigurare a respectării legislației și vizează armonizarea regimurilor de sancțiuni în toate statele membre.
Propunerea consolidează, de asemenea, rolul Grupului de cooperare în elaborarea deciziilor strategice de politică privind tehnologiile emergente și noile tendințe și sporește schimbul de informații și cooperarea între autoritățile statelor membre. De asemenea, consolidează cooperarea operațională, inclusiv în ceea ce privește gestionarea crizelor cibernetice.
Propunerea Comisiei stabilește un cadru de bază cu actori-cheie responsabili în ceea ce privește divulgarea coordonată a vulnerabilităților în cazul vulnerabilităților recent descoperite în întreaga UE și crearea unui registru al UE cu privire la cel operat de Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA).
Pașii următori
Următoarele etape relevante sunt următoarele acțiuni:
- Propunerea va face obiectul negocierilor dintre colegiuitori, în special Consiliul UE și Parlamentul European.
- De îndată ce propunerea va fi convenită și, în consecință, adoptată, statele membre vor trebui să transpună Directiva NIS2 în termen de 18 luni.
- Comisia trebuie să revizuiască periodic Directiva NIS2 și să raporteze pentru prima dată cu privire la revizuire la 54 de luni de la intrarea în vigoare.
- Comisia Europeană așteaptă cu interes punerea în aplicare a noii strategii cibernetice în lunile următoare.