Directiva NIS2 : securizarea rețelelor și a sistemelor informatice – InfoCons protectia consumatorilor de cybersecurity

Securitatea cibernetică implică protejarearețelelor și a sistemelor informatice(NIS), a utilizatorilor acestora și a altor persoane afectate de incidente și amenințări cibernetice. Pentru a răspunde expunerii sporite a Europei la amenințările cibernetice,Directiva 2022/2555, cunoscută și sub denumirea de NIS2,a înlocuit predecesoarea sa, Directiva 2016/1148 sau NIS1. NIS2 ridică nivelul comun de ambiție al UE în ceea ce privește securitatea cibernetică, printr-un domeniu de aplicare mai larg, norme mai clare și instrumente de supraveghere mai puternice. Aceasta impune statelor membre săîși consolideze capacitățile în materie de securitate cibernetică,introducând în același timp măsuri de gestionare a riscurilor și cerințe de raportare pentru entitățile din mai multe sectoare și stabilind norme privind cooperarea, schimbul de informații, supravegherea și asigurarea respectării măsurilor de securitate cibernetică.

Directiva mandatează fiecare stat membru să adopte o strategie națională de securitate cibernetică, care să includă politici privind securitatea lanțului de aprovizionare, gestionarea vulnerabilităților și educația și sensibilizarea în materie de securitate cibernetică. De asemenea, statele membre trebuie să întocmească și să actualizeze periodic o listă a operatorilor de servicii esențiale, asigurându-se că aceste entități respectă cerințele directivei.

Pe lângă sectoarele deja acoperite de NIS 1 – energie, transporturi, asistență medicală, finanțe, gestionarea apei și infrastructura digitală – noile norme se aplică, de asemenea, furnizorilor de comunicații electronice publice, mai multor servicii digitale (cum ar fi platformele sociale), gestionării deșeurilor și a apelor uzate, fabricării de produse critice, serviciilor poștale și de curierat și administrației publice, atât la nivel central, cât și la nivel regional, precum și sectorului spațial. De regulă, entitățile mijlocii și mari din aceste sectoare critice vor trebui să ia măsuri adecvate de gestionare a riscurilor în materie de securitate cibernetică și să notifice autorităților naționale relevante incidentele semnificative. Acestea sunt incidente care ar putea provoca perturbări sau daune semnificative.

Directiva include, de asemenea, dispoziții privind supravegherea, asigurarea respectării legii și evaluările inter pares voluntare pentru a consolida încrederea reciprocă și capacitățile în materie de securitate cibernetică în întreaga UE. Acesta introduce, de asemenea, responsabilitatea conducerii superioare pentru nerespectarea măsurilor de gestionare a riscurilor în materie de securitate cibernetică, aducând astfel securitatea cibernetică în atenția consiliului de administrație.

Directiva instituie o rețea deechipe de intervenție în caz de incidente de securitate informatică (CSIRT)pentru a face schimb de informații privind amenințările cibernetice și pentru a răspunde la incidente. Aceste echipe sunt esențiale pentru menținerea conștientizării situației și pentru oferirea de asistență. Pentru a gestiona incidentele sau crizele de securitate cibernetică de mare amploare, directiva creeazăRețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (EU-CyCLONe).Această rețea sprijină gestionarea coordonată și asigură schimbul periodic de informații între statele membre și instituțiile UE în cazul unor incidente și crize de mare amploare.

În paralel,Grupul de cooperare NIS este o platformă instituită prin Directiva NIS pentru a facilita cooperarea strategică și schimbul de informații între statele membre ale UE, Comisia Europeană și Agenția UE pentru Securitate Cibernetică (ENISA). Grupul publică orientări și recomandări fără caracter obligatoriu pentru a sprijini punerea în aplicare a Directivei NIS.