Securitatea cibernetică a rețelelor și a sistemelor informatice (2022)

 

SINTEZĂ PRIVIND:

Directiva (UE) 2022/2555 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în UE

CARE ESTE ROLUL ACESTEI DIRECTIVE?

Directiva, cunoscută sub numele de NIS 2, stabilește un cadru comun de reglementare în domeniul securității cibernetice cu scopul de a spori nivelul de securitate cibernetică în Uniunea Europeană (UE), solicitând statelor membre ale UE să consolideze capacitățile în materie de securitate cibernetică și introducând măsuri de gestionare a riscurilor în materie de securitate cibernetică și de raportare în sectoare critice, împreună cu norme privind cooperarea, schimbul de informații, supravegherea și aplicarea legii.

ASPECTE-CHEIE

Securitate cibernetică se referă la activitățile necesare pentru protejarea rețelelor și a sistemelor informatice, a utilizatorilor unor astfel de sisteme și a altor persoane afectate de amenințări cibernetice

Sectoare critice

Directiva se aplică în principal entităților mijlocii și mari care își desfășoară activitatea în următoarele sectoare cu o importanță critică ridicată, astfel cum sunt definite în anexa I:

• energie;
  • energie electrică, inclusiv sisteme de producție, distribuție și transport și puncte de încărcare;
  • încălzire centralizată și răcire centralizată;
  • petrol, inclusiv conductele de producție, depozitare și transport;
  • gaze, inclusiv sisteme de alimentare, de distribuție și de transport și sistemele de depozitare; și
  • hidrogen;
• transport aerian, feroviar, maritim și rutier.
• sectorul bancar și infrastructuri ale pieței financiare, cum ar fi instituțiile de credit, operatorii de locuri de tranzacționare și contrapărțile centrale;
• sănătate, inclusiv furnizorii de servicii medicale, producătorii de produse farmaceutice de bază și de dispozitive medicale esențiale, precum și laboratoarele de referință ale UE;
• apa de băut;
• apele uzate;
• infrastructură digitală, inclusiv furnizorii de servicii de centre de date, servicii de cloud computing, rețele publice de comunicații electronice și servicii de comunicații electronice accesibile publicului;
• gestionarea serviciilor TIC (business-to-business);
• spațiu;
• administrația publică la nivel central și regional, cu excepția sistemului judiciar, a parlamentelor și a băncilor centrale, deși nu se aplică entităților administrației publice care desfășoară activități în domeniul securității naționale, al siguranței publice, al apărării sau al aplicării legii.

Se aplică, de asemenea, altor sectoare critice, astfel cum sunt definite în anexa II:

• servicii poștale și de curierat;
• gestionarea deșeurilor;
• fabricarea, producția și distribuția de substanțe chimice;
• producția, prelucrarea și distribuția de alimente;
• fabricare,, în special dispozitive medicale, produse informatice, electronice și optice, anumite tipuri de echipamente electrice și mașini, autovehicule și alte echipamente de transport;
• furnizori digitali de piețe online, de motoare de căutare online și de rețele sociale; și
• organizații de cercetare.

Strategia națională de securitate cibernetică

Fiecare stat membru trebuie să adopte o strategie națională pentru a atinge și a menține un nivel ridicat de securitate cibernetică în sectoarele critice, inclusiv:

• un cadru de guvernanță care clarifică rolurile și responsabilitățile părților interesate relevante la nivel național;
• politici privind securitatea lanțurilor de aprovizionare;
• politici privind gestionarea vulnerabilităților;
• politici privind promovarea și dezvoltarea educației și a formării privind securitatea cibernetică; și
• măsuri de îmbunătățire a nivelului de sensibilizare a cetățenilor cu privire la securitatea cibernetică.

Statele membre trebuie să întocmească o listă a entităților esențiale și importante, precum și a entităților care furnizează servicii de înregistrare a numelor de domenii, până la 17 aprilie 2025. Acestea trebuie să revizuiască și, dacă este cazul, să actualizeze această listă în mod regulat și, ulterior, cel puțin o dată la doi ani. Comisia Europeană a adoptat orientări cu privire la informațiile care trebuie colectate la întocmirea acestor liste, precum și un model pentru acest lucru.

De asemenea, Comisia a publicat orientări care clarifică normele privind relația dintre Directiva (UE) 2022/2555 și actele juridice actuale și viitoare ale UE specifice sectorului care abordează măsurile de gestionare a riscurilor în materie de securitate cibernetică sau cerințele de raportare a incidentelor. Anexa la orientări oferă o listă neexhaustivă a actelor juridice sectoriale pe care Comisia le consideră ca intrând în domeniul de aplicare al Directivei (UE) 2022/2555.

Echipele de intervenție în caz de incidente de securitate informatică

Echipele de intervenție în caz de incidente de securitate informatică (echipe CSIRT – Computer security incident response teams) oferă asistență tehnică entităților, inclusiv prin:

• monitorizarea și analizarea amenințărilor cibernetice, a vulnerabilităților și a incidentelor la nivel național;
• asigurarea unor mecanisme de avertizare timpurii, alerte, anunțuri și diseminare de informații către entitățile în cauză și către alte părți interesate cu privire la amenințările cibernetice, vulnerabilități și incidente, în timp aproape real, dacă este posibil;
• răspunsul la incidente și acordarea de asistență, atunci când este cazul;
• colectarea și analizarea datelor criminalistice și furnizarea de analize dinamice de risc și de incident și conștientizarea situației în materie de securitate cibernetică; și
• furnizarea, la cerere, a unei scanări proactive a rețelelor și a sistemelor informatice pentru a detecta vulnerabilitățile cu un impact potențial semnificativ.

Rețeaua CSIRT

Directiva instituie o rețea a echipelor naționale CSIRT pentru a promova cooperarea operațională rapidă și eficace.

Divulgarea coordonată a vulnerabilităților

Statele membre trebuie:

• să desemneze una dintre echipele lor CSIRT pentru a coordona dezvăluirea vulnerabilităților descoperite în produsele sau serviciile TIC; și
• să se asigure că persoanele din statele membre pot raporta vulnerabilitățile, în mod anonim atunci când solicită acest lucru.

Agenția pentru Securitate Cibernetică a Uniunii Europene (ENISA) va crea și menține o bază de date a vulnerabilităților.

Grupul de cooperare

Directiva instituie un grup de cooperare pentru a sprijini și a facilita cooperarea strategică și schimbul de informații. Acesta este compus din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. După caz, Grupul de cooperare poate invita să participe la lucrările sale Parlamentul European și reprezentanți ai părților interesate relevante.

Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice

Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (EU-CyCLONe) este o rețea formată din reprezentanți ai autorităților de gestionare a crizelor cibernetice din statele membre, împreună cu Comisia, în cazurile în care un incident de securitate cibernetică de mare amploare potențial sau în curs de desfășurare are sau este probabil să aibă un impact semnificativ asupra sectoarelor reglementate de directivă. În celelalte cazuri, Comisia va participa la activitățile rețelei în calitate de observator.

Rețeaua sprijină gestionarea coordonată, la nivel operațional, a incidentelor de securitate cibernetică de mare amploare și a crizelor și asigură schimbul periodic de informații relevante între statele membre și instituțiile, organele și agențiile UE.

Rețeaua are sarcina, printre altele, de a:

• coordona gestionarea incidentelor de securitate cibernetică de mare amploare și a crizelor și de a sprijini procesul decizional la nivel politic;
• crește gradul de pregătire;
• dezvolta o conștientizare comună a situației; și
• evalua consecințele și impactul incidentelor de securitate cibernetică de mare amploare și crizelor și de a propune posibile măsuri de atenuare.

Raportarea

Entitățile trebuie să își notifice echipa CSIRT sau autoritatea competentă cu privire la orice incident care:

• a provocat sau poate provoca perturbări operaționale grave sau pierderi financiare pentru entitate;
• a afectat sau poate afecta alte persoane, cauzând prejudicii materiale sau morale considerabile.

În plus, ENISA va întocmi, în cooperare cu Comisia și grupul de cooperare, un raport bienal privind situația în materie de securitate cibernetică în UE, care va fi, de asemenea, înaintat Parlamentului European.

Supravegherea și asigurarea respectării legii

Directiva prevede căi de atac și sancțiuni pentru a asigura punerea în aplicare.

Evaluările inter pares

Evaluările inter pares sunt instituite pentru a învăța din experiențele comune, a consolida încrederea reciprocă, a atinge un nivel comun ridicat de securitate cibernetică, precum și a consolida capacitățile și politicile de securitate cibernetică ale statelor membre necesare pentru punerea în aplicare a acestei directive. Aceste evaluări implică vizite fizice sau virtuale și schimburi de informații ex situ. Participarea la aceste evaluări inter pares este voluntară.

DE CÂND SE APLICĂ NORMELE?

Directiva trebuie să fie transpusă în legislația națională până la 17 octombrie 2024. Normele ar trebui să se aplice de la 18 octombrie 2024.

CONTEXT

Directiva abrogă Directiva (UE) 2016/1148 (a se vedea sinteza) de la 18 octombrie 2024.

Pentru informații suplimentare, consultați:

• Securitate cibernetică (Comisia Europeană);
• Securitate cibernetică:în ce fel combate UE amenințările cibernetice (Consiliul European, Consiliul Uniunii Europene);
• Cum răspunde UE la crize și consolidează reziliența (Consiliul European, Consiliul Uniunii Europene);
• Un viitor digital pentru Europa (Consiliul European, Consiliul Uniunii Europene).

DOCUMENTUL PRINCIPAL

Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, pp. 80-152).

Modificările succesive aduse Directivei (UE) 2022/2555 au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

DOCUMENTE CONEXE

Comunicare a Comisiei Orientările Comisiei privind aplicarea articolului 3 alineatul (4) din Directiva (UE) 2022/2555 (Directiva NIS 2) 2023/C 324/02 (JO C 324, 14.9.2023, pp. 2-7).

Comunicare a Comisiei Orientările Comisiei privind aplicarea articolului 4 alineatele (1) și (2) din Directiva (UE) 2022/2555 (Directiva NIS 2) 2023/C 328/02 (JO L 328, 18.9.2023, pp. 2-10).

Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, pp. 1-79).

Directiva (UE) 2022/2557 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului (JO L 333, 27.12.2022, pp. 164-198).

Regulamentul (UE) 2021/696 al Parlamentului European și al Consiliului din 28 aprilie 2021 de instituire a Programului spațial al Uniunii și a Agenției Uniunii Europene pentru Programul spațial și de abrogare a Regulamentelor (UE) nr. 912/2010, (UE) nr. 1285/2013 și (UE) nr. 377/2014 și a Deciziei nr. 541/2014/UE (JO L 170, 12.5.2021, pp. 69-148).

Regulamentul (UE) 2021/694 al Parlamentului European și al Consiliului din 29 aprilie 2021 de instituire a programului „Europa digitală” și de abrogare a Deciziei (UE) 2015/2240 (JO L 166, 11.5.2021, pp. 1-34).

A se vedea versiunea consolidată.

Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, pp. 15-69).

Recomandarea (UE) 2019/534 a Comisiei din 26 martie 2019 Securitatea cibernetică a rețelelor 5G (JO L 88, 29.3.2019, pp. 42-47).

Regulamentul (UE) 2018/1139 al Parlamentului European și al Consiliului din 4 iulie 2018 privind normele comune în domeniul aviației civile și de înființare a Agenției Uniunii Europene pentru Siguranța Aviației, de modificare a Regulamentelor (CE) nr. 2111/2005, (CE) nr. 1008/2008, (UE) nr. 996/2010, (UE) nr. 376/2014 și a Directivelor 2014/30/UE și 2014/53/UE ale Parlamentului European și ale Consiliului, precum și de abrogare a Regulamentelor (CE) nr. 552/2004 și (CE) nr. 216/2008 ale Parlamentului European și ale Consiliului și a Regulamentului (CEE) nr. 3922/91 al Consiliului (JO L 212, 22.8.2018, pp. 1-122).

A se vedea versiunea consolidată.

Decizia de punere în aplicare (UE) 2018/1993 a Consiliului din 11 decembrie 2018 privind mecanismul integrat al Uniunii pentru un răspuns politic la crize (JO L 320, 17.12.2018, pp. 28-34).

Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicațiilor electronice (reformare) (JO L 321, 17.12.2018, pp. 36-214).

A se vedea versiunea consolidată.

Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, pp. 36-58).

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, pp. 1-88).

A se vedea versiunea consolidată.

Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, pp. 73-114).

Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului (JO L 218, 14.8.2013, pp. 8-14).

Decizia nr. 1313/2013/UE a Parlamentului European și a Consiliului din 17 decembrie 2013 privind un mecanism de protecție civilă al Uniunii (JO L 347, 20.12.2013, pp. 924-947).

A se vedea versiunea consolidată.

Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, pp. 1-14).

A se vedea versiunea consolidată.

Regulamentul (CE) nr. 300/2008 al Parlamentului European și al Consiliului din 11 martie 2008 privind norme comune în domeniul securității aviației civile și de abrogare a Regulamentului (CE) nr. 2320/2002 (JO L 97, 9.4.2008, pp. 72-84).

A se vedea versiunea consolidată.

Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, pp. 37-47).

A se vedea versiunea consolidată.

Data ultimei actualizări: 03.05.2024