Directiva NIS2: securizarea rețelelor și a sistemelor informatice

Securitatea cibernetică implică protejarea rețelelor și a sistemelor informatice (NIS), a utilizatorilor acestora și a altor persoane afectate de incidente și amenințări cibernetice. Pentru a răspunde expunerii sporite a Europei la amenințările cibernetice, Directiva 2022/2555, cunoscută și sub denumirea de NIS2, a înlocuit predecesoarea sa, Directiva 2016/1148 sau NIS1. NIS2 ridică nivelul comun de ambiție al UE în ceea ce privește securitatea cibernetică, printr-un domeniu de aplicare mai larg, norme mai clare și instrumente de supraveghere mai puternice. Aceasta impune statelor membre să își consolideze capacitățile în materie de securitate cibernetică, introducând în același timp măsuri de gestionare a riscurilor și cerințe de raportare pentru entitățile din mai multe sectoare și stabilind norme privind cooperarea, schimbul de informații, supravegherea și asigurarea respectării măsurilor de securitate cibernetică.

Directiva mandatează fiecare stat membru să adopte o strategie națională de securitate cibernetică, care să includă politici privind securitatea lanțului de aprovizionare, gestionarea vulnerabilităților și educația și sensibilizarea în materie de securitate cibernetică. De asemenea, statele membre trebuie să întocmească și să actualizeze periodic o listă a operatorilor de servicii esențiale, asigurându-se că aceste entități respectă cerințele directivei.

Pe lângă sectoarele deja acoperite de NIS 1 – energie, transporturi, asistență medicală, finanțe, gestionarea apei și infrastructura digitală – noile norme se aplică, de asemenea, furnizorilor de comunicații electronice publice, mai multor servicii digitale (cum ar fi platformele sociale), gestionării deșeurilor și a apelor uzate, fabricării de produse critice, serviciilor poștale și de curierat și administrației publice, atât la nivel central, cât și la nivel regional, precum și sectorului spațial. De regulă, entitățile mijlocii și mari din aceste sectoare critice vor trebui să ia măsuri adecvate de gestionare a riscurilor în materie de securitate cibernetică și să notifice autorităților naționale relevante incidentele semnificative. Acestea sunt incidente care ar putea provoca perturbări sau daune semnificative.

Directiva include, de asemenea, dispoziții privind supravegherea, asigurarea respectării legii și evaluările inter pares voluntare pentru a consolida încrederea reciprocă și capacitățile în materie de securitate cibernetică în întreaga UE. Acesta introduce, de asemenea, responsabilitatea conducerii superioare pentru nerespectarea măsurilor de gestionare a riscurilor în materie de securitate cibernetică, aducând astfel securitatea cibernetică în atenția consiliului de administrație.

Directiva instituie o rețea de echipe de intervenție în caz de incidente de securitate informatică (CSIRT) pentru a face schimb de informații privind amenințările cibernetice și pentru a răspunde la incidente. Aceste echipe sunt esențiale pentru menținerea conștientizării situației și pentru oferirea de asistență. Pentru a gestiona incidentele sau crizele de securitate cibernetică de mare amploare, directiva creează Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (EU-CyCLONe). Această rețea sprijină gestionarea coordonată și asigură schimbul periodic de informații între statele membre și instituțiile UE în cazul unor incidente și crize de mare amploare. 

În paralel, Grupul de cooperare NIS este o platformă instituită prin Directiva NIS pentru a facilita cooperarea strategică și schimbul de informații între statele membre ale UE, Comisia Europeană și Agenția UE pentru Securitate Cibernetică (ENISA). Grupul publică orientări și recomandări fără caracter obligatoriu pentru a sprijini punerea în aplicare a Directivei NIS.

La 20 ianuarie 2026, ca parte a unui nou pachet privind securitatea cibernetică, Comisia a propus modificări specifice ale Directivei NIS2 pentru a spori claritatea juridică. Modificările vor simplifica respectarea normelor UE în materie de securitate cibernetică și a cerințelor de gestionare a riscurilor pentru întreprinderile care își desfășoară activitatea în UE. Acestea vor facilita respectarea normelor de către 28 700 de întreprinderi, inclusiv 6 200 de microîntreprinderi și întreprinderi mici.  

Contextul

NIS 1 (Directiva 2016/1148) a fost prima legislație cuprinzătoare a UE menită să stimuleze securitatea cibernetică a rețelelor și a sistemelor informatice pentru a proteja serviciile vitale pentru economia și societatea UE. În decembrie 2020, Comisia a propus revizuirea NIS 1, ceea ce a dus la adoptarea NIS 2, care a intrat în vigoare în ianuarie 2023. Statele membre trebuiau să transpună Directiva NIS2 în legislația națională până la 17 octombrie 2024. NIS 2 a abrogat NIS1 începând cu 18 octombrie 2024.