4637829

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Summaries of EU legislation
Securitatea rețelelor și a sistemelor informatice

Help

Search tips

Need more search options? Use the Advanced search

Summaries of EU Legislation

Help

Securitatea rețelelor și a sistemelor informatice

SINTEZĂ PRIVIND:

Directiva (UE) 2022/2555 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în UE

CARE ESTE ROLUL ACESTEI DIRECTIVE?

Directiva (UE) 2022/2555, cunoscută sub numele de NIS 2, stabilește un cadru comun de reglementare în domeniul securității cibernetice cu scopul de a spori nivelul de securitate cibernetică în Uniunea Europeană (UE), solicitând statelor membre ale UE să consolideze capacitățile în materie de securitate cibernetică și să introducă măsuri de gestionare a riscurilor în materie de securitate cibernetică și de raportare în sectoare critice, împreună cu norme privind cooperarea, schimbul de informații, supravegherea și aplicarea legii.

ASPECTE-CHEIE

Securitate cibernetică se referă la activitățile necesare pentru protejarea rețelelor și a sistemelor informatice, a utilizatorilor unor astfel de sisteme și a altor persoane afectate de amenințări cibernetice

Sectoare critice

Directiva se aplică în principal entităților mijlocii și mari care își desfășoară activitatea în următoarele sectoare cu o importanță critică ridicată, astfel cum sunt definite în anexa I la directivă:

sectorul energiei;
- sectorul energiei electrice, inclusiv sisteme de producție, distribuție și transport și puncte de reîncărcare;
- sectorul încălzirii centralizate și răcirii centralizate;
- petrol, inclusiv conductele de producție, depozitare și transport;
- gaze, inclusiv sisteme de alimentare, de distribuție și de transport și sistemele de depozitare; și
- hidrogen;
transport aerian, feroviar, maritim și rutier.
sectorul bancar și infrastructuri ale pieței financiare, cum ar fi instituțiile de credit, operatorii de locuri de tranzacționare și contrapărțile centrale;
sănătate, inclusiv furnizorii de servicii medicale, producătorii de produse farmaceutice de bază și de dispozitive medicale esențiale, precum și laboratoarele de referință ale UE;
apa de băut;
apa uzată;
infrastructură digitală, inclusiv furnizorii de servicii de centre de date, servicii de cloud computing, rețele publice de comunicații electronice și servicii de comunicații electronice accesibile publicului;
gestionarea serviciilor TIC (business-to-business);
spațiu;
administrația publică la nivel central și regional, cu excepția sistemului judiciar, a parlamentelor și a băncilor centrale; directiva nu se aplică entităților administrației publice care desfășoară activități în domeniul securității naționale, al siguranței publice, al apărării sau al aplicării legii.

Se aplică, de asemenea, altor sectoare critice, astfel cum sunt definite în anexa II:

servicii poștale și de curierat;
gestionarea deșeurilor;
fabricarea, producția și distribuția de substanțe chimice;
producția, prelucrarea și distribuția de alimente;
fabricare, în special a dispozitivelor medicale, a produselor informatice, electronice și optice, a anumitor tipuri de echipamente electrice și mașini, a autovehiculelor și a altor echipamente de transport;
furnizori digitali de piețe online, de motoare de căutare online și de rețele sociale; și
organizații de cercetare.

Strategia națională de securitate cibernetică

Fiecare stat membru trebuie să adopte o strategie națională pentru a atinge și a menține un nivel ridicat de securitate cibernetică în sectoarele critice, inclusiv:

un cadru de guvernanță care clarifică rolurile și responsabilitățile părților interesate relevante la nivel național;
politici privind securitatea lanțurilor de aprovizionare;
politici privind gestionarea vulnerabilităților;
politici privind promovarea și dezvoltarea educației și a formării privind securitatea cibernetică; și
măsuri de îmbunătățire a nivelului de sensibilizare a cetățenilor cu privire la securitatea cibernetică.

Statele membre trebuie să întocmească o listă a entităților esențiale și importante, precum și a entităților care furnizează servicii de înregistrare a numelor de domenii, până la 17 aprilie 2025. Acestea trebuie să revizuiască și, dacă este cazul, să actualizeze această listă în mod regulat și, ulterior, cel puțin o dată la doi ani. Comisia Europeană a adoptat orientări cu privire la informațiile care trebuie colectate la întocmirea acestor liste, precum și un model pentru acest lucru.

De asemenea, Comisia a publicat orientări care clarifică normele privind relația dintre Directiva (UE) 2022/2555 și actele juridice actuale și viitoare ale UE specifice sectorului care abordează măsurile de gestionare a riscurilor în materie de securitate cibernetică sau cerințele de raportare a incidentelor. Anexa la orientări oferă o listă neexhaustivă a actelor juridice sectoriale pe care Comisia le consideră ca intrând în domeniul de aplicare al articolului 4 al Directivei (UE) 2022/2555.

Echipele de intervenție în caz de incidente de securitate informatică

Echipele de intervenție în caz de incidente de securitate informatică (echipe CSIRT – Computer security incident response teams) oferă asistență tehnică entităților, inclusiv:

monitorizarea și analizarea amenințărilor cibernetice, a vulnerabilităților și a incidentelor la nivel național;
asigurarea unor mecanisme de avertizare timpurii, alerte, anunțuri și diseminare de informații către entitățile în cauză și către alte părți interesate cu privire la amenințările cibernetice, vulnerabilități și incidente, în timp aproape real, dacă este posibil;
răspunsul la incidente și acordarea de asistență, atunci când este cazul;
colectarea și analizarea datelor criminalistice și furnizarea de analize dinamice de risc și de incident și conștientizarea situației în materie de securitate cibernetică; și
furnizarea, la cerere, a unei scanări proactive a rețelelor și a sistemelor informatice pentru a detecta vulnerabilitățile cu un impact potențial semnificativ.

Rețeaua CSIRT

Directiva instituie o rețea a echipelor naționale CSIRT pentru a promova cooperarea operațională rapidă și eficace.

Divulgarea coordonată a vulnerabilităților

Statele membre trebuie:

să desemneze una dintre echipele lor CSIRT pentru a coordona dezvăluirea vulnerabilităților descoperite în produsele sau serviciile TIC; și
să se asigure că persoanele din statele membre pot raporta vulnerabilitățile, în mod anonim atunci când solicită acest lucru.

Agenția pentru Securitate Cibernetică a Uniunii Europene (ENISA) va crea și menține o bază de date a vulnerabilităților.

Grupul de cooperare

Directiva instituie un grup de cooperare pentru a sprijini și a facilita cooperarea strategică și schimbul de informații. Acesta este compus din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. După caz, Grupul de cooperare poate invita să participe la lucrările sale Parlamentul European și reprezentanți ai părților interesate relevante.

Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice

Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (EU-CyCLONe) este formată din reprezentanți ai autorităților de gestionare a crizelor cibernetice din statele membre, împreună cu Comisia, în cazurile în care un incident de securitate cibernetică de mare amploare potențial sau în curs de desfășurare are sau este probabil să aibă un impact semnificativ asupra sectoarelor reglementate de directivă. În celelalte cazuri, Comisia va participa la activitățile rețelei în calitate de observator.

Rețeaua sprijină gestionarea coordonată, la nivel operațional, a incidentelor de securitate cibernetică de mare amploare și a crizelor și asigură schimbul periodic de informații relevante între statele membre și instituțiile, organismele, oficiile și agențiile UE.

Rețeaua are sarcina, printre altele, de a:

coordona gestionarea incidentelor de securitate cibernetică de mare amploare și a crizelor și de a sprijini procesul decizional la nivel politic;
crește gradul de pregătire;
dezvolta o conștientizare comună a situației; și
evalua consecințele și impactul incidentelor de securitate cibernetică de mare amploare și crizelor și de a propune posibile măsuri de atenuare.

Măsuri de gestionare a riscurilor de securitate cibernetică

Entitățile trebuie să ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru gestionarea riscurilor de securitate cibernetică. Catalogul de măsuri include, printre altele, politici privind analiza riscurilor și securitatea sistemelor informatice, gestionarea incidentelor, continuitatea activității, recuperarea în caz de dezastru și gestionarea crizelor, securitatea lanțului de aprovizionare, gestionarea și divulgarea vulnerabilităților, practici de igienă de bază, politici și proceduri privind utilizarea criptografiei (și a criptării, după caz), securitatea resurselor umane și utilizarea autentificării multifactoriale sau a soluțiilor de autentificare continuă. Aceste măsuri trebuie să se bazeze pe o abordare care să țină seama de toate riscurile.

Organismele de conducere trebuie să aprobe aceste măsuri și să supravegheze punerea lor în aplicare și pot fi trase la răspundere pentru încălcări.

Raportarea

Entitățile trebuie să își notifice echipa CSIRT sau autoritatea competentă cu privire la orice incident care:

a provocat sau poate provoca perturbări operaționale grave sau pierderi financiare pentru entitate;
a afectat sau poate afecta alte persoane, cauzând prejudicii materiale sau morale considerabile.

În plus, ENISA va întocmi, împreună cu Comisia și grupul de cooperare, un raport bienal privind situația în materie de securitate cibernetică în UE, care va fi, de asemenea, înaintat Parlamentului European.

Supravegherea și asigurarea respectării legii

Directiva prevede căi de atac și sancțiuni pentru a asigura punerea în aplicare.

Evaluările inter pares

Evaluările inter pares sunt instituite pentru a învăța din experiențele comune, a consolida încrederea reciprocă, a atinge un nivel comun ridicat de securitate cibernetică, precum și a consolida capacitățile și politicile de securitate cibernetică ale statelor membre necesare pentru punerea în aplicare a acestei directive. Aceste evaluări implică vizite fizice sau virtuale și schimburi de informații ex situ. Participarea la aceste evaluări inter pares este voluntară.

Act de punere în aplicare

Regulamentul de punere în aplicare (UE) 2024/2690 prevede normele privind aplicarea Directivei (UE) 2022/2555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor de securitate cibernetică și precizează, de asemenea, cazurile în care un incident este considerat semnificativ în ceea ce privește:

furnizorii de servicii de sistem de nume de domeniu;
registrele de nume de domenii de nivel superior;
furnizorii de servicii de cloud computing;
furnizorii de servicii pentru centre de procesare a datelor;
furnizorii de rețele de distribuție de conținut;
furnizorii de servicii gestionate;
furnizorii de servicii de securitate gestionate;
furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de rețele sociale; și
prestatorii de servicii de încredere.

Abrogare

Directiva (UE) 2022/2555 a abrogat Directiva (UE) 2016/1148 (a se vedea sinteza) de la 18 octombrie 2024, iar Regulamentul de punere în aplicare (UE) 2024/2690 a abrogat Regulamentul de punere în aplicare (UE) 2018/151, care stabilea normele de aplicare a Directivei (UE) 2016/1148.

DE CÂND SE APLICĂ NORMELE?

Directiva a trebuit să fie transpusă în legislația națională până la 17 octombrie 2024. Normele se aplică de la 18 octombrie 2024.

CONTEXT

Pentru informații suplimentare, consultați:

Securitate cibernetică (Comisia Europeană);
Cum își consolidează UE securitatea cibernetică (Consiliul European, Consiliul Uniunii Europene);
Cum răspunde UE la crize și consolidează reziliența (Consiliul European, Consiliul Uniunii Europene);
Un viitor digital pentru Europa (Consiliul European, Consiliul Uniunii Europene).

DOCUMENTUL PRINCIPAL

Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, pp. 80-152).

Modificările succesive aduse Directivei (UE) 2022/2555 au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

DOCUMENTE CONEXE

Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică și specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere (JO L, 2024/2690, 18.10.2024).

Comunicare a Comisiei Orientările Comisiei privind aplicarea articolului 3 alineatul (4) din Directiva (UE) 2022/2555 (Directiva NIS 2) 2023/C 324/02 (JO C 324, 14.9.2023, pp. 2-7).

Comunicare a Comisiei Orientările Comisiei privind aplicarea articolului 4 alineatele (1) și (2) din Directiva (UE) 2022/2555 (Directiva NIS 2) 2023/C 328/02 (JO L 328, 18.9.2023, pp. 2-10).

Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, pp. 1-79).

Directiva (UE) 2022/2557 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului (JO L 333, 27.12.2022, pp. 164-198).

Regulamentul (UE) 2021/696 al Parlamentului European și al Consiliului din 28 aprilie 2021 de instituire a Programului spațial al Uniunii și a Agenției Uniunii Europene pentru Programul spațial și de abrogare a Regulamentelor (UE) nr. 912/2010, (UE) nr. 1285/2013 și (UE) nr. 377/2014 și a Deciziei nr. 541/2014/UE (JO L 170, 12.5.2021, pp. 69-148).

Regulamentul (UE) 2021/694 al Parlamentului European și al Consiliului din 29 aprilie 2021 de instituire a programului „Europa digitală” și de abrogare a Deciziei (UE) 2015/2240 (JO L 166, 11.5.2021, pp. 1-34).

A se vedea versiunea consolidată.

Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, pp. 15-69).

A se vedea versiunea consolidată.

Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, pp. 42-47).

Regulamentul (UE) 2018/1139 al Parlamentului European și al Consiliului din 4 iulie 2018 privind normele comune în domeniul aviației civile și de înființare a Agenției Uniunii Europene pentru Siguranța Aviației, de modificare a Regulamentelor (CE) nr. 2111/2005, (CE) nr. 1008/2008, (UE) nr. 996/2010, (UE) nr. 376/2014 și a Directivelor 2014/30/UE și 2014/53/UE ale Parlamentului European și ale Consiliului, precum și de abrogare a Regulamentelor (CE) nr. 552/2004 și (CE) nr. 216/2008 ale Parlamentului European și ale Consiliului și a Regulamentului (CEE) nr. 3922/91 al Consiliului (JO L 212, 22.8.2018, pp. 1-122).

A se vedea versiunea consolidată.

Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicațiilor electronice (reformare) (JO L 321, 17.12.2018, pp. 36-214).

A se vedea versiunea consolidată.

Decizia de punere în aplicare (UE) 2018/1993 a Consiliului din 11 decembrie 2018 privind mecanismul integrat al Uniunii pentru un răspuns politic la crize (JO L 320, 17.12.2018, pp. 28-34).

Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, pp. 36-58).

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, pp. 1-88).

A se vedea versiunea consolidată.

Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, pp. 73-114).

A se vedea versiunea consolidată.

Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului (JO L 218, 14.8.2013, pp. 8-14).

Decizia nr. 1313/2013/UE a Parlamentului European și a Consiliului din 17 decembrie 2013 privind un mecanism de protecție civilă al Uniunii (JO L 347, 20.12.2013, pp. 924-947).

A se vedea versiunea consolidată.

Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, pp. 1-14).

A se vedea versiunea consolidată.

Regulamentul (CE) nr. 300/2008 al Parlamentului European și al Consiliului din 11 martie 2008 privind norme comune în domeniul securității aviației civile și de abrogare a Regulamentului (CE) nr. 2320/2002 (JO L 97, 9.4.2008, pp. 72-84).

A se vedea versiunea consolidată.

Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, pp. 37-47).

A se vedea versiunea consolidată.

data ultimei actualizări: 07.3.2025

Top

Choose the experimental features you want to try

SINTEZĂ PRIVIND:

CARE ESTE ROLUL ACESTEI DIRECTIVE?

ASPECTE-CHEIE

Sectoare critice

Strategia națională de securitate cibernetică

Echipele de intervenție în caz de incidente de securitate informatică

Rețeaua CSIRT

Divulgarea coordonată a vulnerabilităților

Grupul de cooperare

Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice

Măsuri de gestionare a riscurilor de securitate cibernetică

Raportarea

Supravegherea și asigurarea respectării legii

Evaluările inter pares

Act de punere în aplicare

Abrogare

DE CÂND SE APLICĂ NORMELE?

CONTEXT

DOCUMENTUL PRINCIPAL

DOCUMENTE CONEXE