Transpunerea Directivei (UE) 2022/2555 privind măsurile pentru un nivel comun ridicat de securitate cibernetică în Uniune („Directiva NIS2”) este în curs și în România. Statele membre au termen până la 17 octombrie 2024 pentru a încorpora directiva în legislația lor națională. În conformitate cu aceasta, la 15 august 2024, Direcția Națională de Securitate Cibernetică (DNSC) din România a lansat o consultare publică cu privire la proiectul de lege pentru punerea în aplicare a Directivei NIS2 („Proiectul de Lege”).
1. Context
Directiva NIS 2 înlocuiește Directiva (UE) 2016/1148 privind măsurile pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în întreaga Uniune („Directiva NIS1”). Directiva NIS1 a fost transpusă în legislația națională prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Directiva NIS1 a avut ca scop consolidarea capacităților de securitate cibernetică în întreaga Uniune, atenuarea amenințărilor la adresa rețelelor și sistemelor informatice utilizate pentru a furniza servicii esențiale în sectoare-cheie și asigurarea continuității acestor servicii în fața incidentelor. Cu toate acestea, implementarea sa a scos la iveală probleme, cum ar fi definiții neclare. Creșterea dependenței de sistemele de rețea în timpul pandemiei de COVID-19 a subliniat necesitatea unei acțiuni coordonate mai puternice la nivelul UE pentru a aborda provocările cibernetice transfrontaliere și pentru a îmbunătăți politicile naționale, asigurând în același timp protecția datelor și confidențialitatea.
2. Prezentare generală
Obiectivul Directivei NIS2 este de a aborda lacunele legislației anterioare, cu scopul de a consolida cadrul juridic privind securitatea cibernetică și de a oferi soluții mai bune la peisajul în continuă evoluție al securității cibernetice în Uniunea Europeană.
3. Principalele modificări
Domeniu mai larg de aplicare
Directiva NIS1 s-a axat pe securizarea rețelelor și a sistemelor informatice pentru serviciile esențiale, în timp ce NIS2 extinde semnificativ domeniul de aplicare pentru a include sectoare suplimentare. NIS2 nu numai că extinde gama de sectoare (de la 7 la 18 sectoare) care fac obiectul cerințelor de securitate cibernetică, dar extinde și aceste obligații la entitățile mijlocii și mari din cadrul acestor sectoare critice, dacă sunt îndeplinite anumite condiții. Această modificare crește semnificativ numărul organizațiilor care trebuie să adere la standarde sporite de securitate cibernetică, asigurând o abordare mai cuprinzătoare a protejării infrastructurilor critice.
Sectoarele includ:
Sectoare cu o importanță ridicată:
- Energie (electricitate, petrol, gaze);
- Transport (aerian, feroviar, pe apă, rutier);
- Sectorul bancar;
- Infrastructuri ale pieței financiare;
- Sectorul sănătății (spitale, furnizori de servicii medicale);
- Apa potabilă și ape uzate;
- Infrastructură digitală (furnizori de servicii cloud computing, furnizori de servicii de centre de date, furnizori de servicii DNS);
- Administrație publică.
Sectoare de importanță critică:
- Servicii poștale și de curierat;
- Gestionarea deșeurilor;
- Fabricarea (anumite produse sensibile);
- Alimente (producția, prelucrarea, distribuția);
- Furnizori digitali (furnizori de piețe online, furnizori de motoare de căutare online).
Proiectul de lege clasifică entitățile ca fiind „esențiale” sau „importante” și în funcție de mărimea, rolul și importanța lor pentru securitatea națională. Entitățile esențiale includ, printre altele, organismele administrației publice, furnizorii de servicii de încredere calificați, furnizorii DNS și operatorii de infrastructură critică. Entitățile importante includ întreprinderile mijlocii și mari din sectoare precum comunicațiile electronice și serviciile cloud. Criteriile de clasificare implică factori precum impactul entității asupra siguranței publice, cota de piață și potențialele efecte transfrontaliere ale întreruperilor.
Aceste entități sunt obligate să adopte măsuri solide de securitate cibernetică, să efectueze evaluări periodice ale riscurilor și să asigure sisteme solide de raportare și gestionare a incidentelor .
– B. Cerințe mai stricte în materie de securitate cibernetică :
Directiva NIS2 impune un set mai cuprinzător de măsuri de gestionare a riscurilor pe care entitățile trebuie să le pună în aplicare. Acestea includ politici de securitate mai stricte, planuri de răspuns la incidente, securitatea lanțului de aprovizionare și audituri periodice. În plus, trebuie numit un responsabil cu securitatea cibernetică pentru a supraveghea conformitatea entităților vizate.
– C. Cerințe sporite privind lanțul de aprovizionare :
Entitățile sunt obligate să evalueze și să gestioneze riscurile de securitate cibernetică legate de lanțurile lor de aprovizionare și de furnizorii de servicii terți.
– D. Supraveghere și aplicare mai stricte :
Directiva acordă autorităților naționale de reglementare puteri sporite pentru a supraveghea și aplica măsurile de securitate cibernetică. Acestea pot impune amenzi administrative, iar în cazuri grave, au autoritatea de a ordona încetarea activităților comerciale.
Proiectul de lege prevede amenzi mari, de până la 35.000.000 RON sau un maxim de 1,4% din cifra de afaceri netă pentru entitățile importante care încalcă anumite prevederi sau de până la 50.000.000 RON sau un maxim de 2% din cifra de afaceri netă pentru entitățile esențiale care încalcă anumite prevederi.
4. Recomandări pentru a asigura conformitatea cu Directiva NIS2
Pentru a asigura conformitatea cu noua directivă, entitățile ar trebui, în primul rând, să evalueze dacă intră în domeniul de aplicare al Directivei NIS2 și, dacă da, să identifice dispozițiile aplicabile .
Entitățile care fac obiectul Directivei NIS2 ar trebui, printre altele, să își adapteze politicile prin introducerea, de exemplu, a unor cursuri de formare pentru angajați sau a unor planuri de răspuns la incidente.
Proiectul de lege prevede că acesta intră în vigoare la 18 octombrie 2024.
