La Unió Europea treballa per millorar la resiliència davant les ciberamenaces cada cop més grans i per mantenir la societat i l’economia digital segures.
El Consell Europeu ha acordat la seva posició sobre mesures per a un alt nivell comú de ciberseguretat a tota la Unió Europea, per millorar encara més la resiliència i les capacitats de resposta a incidents tant del sector públic com privat i de la UE en conjunt.
Un cop aprovada, la nova directiva, anomenada NIS2, substituirà la directiva actual sobre seguretat de xarxes i sistemes d’informació (la directiva NIS).
La NIS2 ha d’establir la línia de base per a les mesures de gestió del risc de ciberseguretat i les obligacions de presentació d’informes en tots els sectors coberts per la directiva, com ara l’energia, el transport, la salut i la infraestructura digital.
La directiva revisada pretén eliminar les divergències en els requisits de ciberseguretat i la implementació de les mesures de ciberseguretat als diferents estats membres. Per aconseguir-ho, estableix normes mínimes per a un marc normatiu i mecanismes per a una cooperació efectiva entre les autoritats rellevants de cada estat membre. També actualitza la llista de sectors i activitats subjectes a obligacions de ciberseguretat, i preveu recursos i sancions per garantir-ne l’execució.
La directiva establirà formalment la Xarxa Europea d’Organització de Cibercrisis d’Enllaç, EU-CyCLONe, que ha de donar suport a la gestió coordinada d’incidents de ciberseguretat a gran escala.
Si bé, segons l’antiga directiva NIS, els estats membres eren responsables de determinar quines entitats complirien els criteris per qualificar-se com a operadors de serveis essencials, la nova directiva NIS2 introdueix una regla de límit de mida. Això significa que totes les entitats mitjanes i grans que operen dins dels sectors o presten serveis objecte de la directiva entraran en el seu àmbit d’aplicació.
Tot i que la posició del Consell manté aquesta norma general, inclou disposicions addicionals per garantir la proporcionalitat, un nivell més gran de gestió del risc i uns criteris clars per a la determinació de les entitats cobertes.
El text del Consell també aclareix que la directiva no s’aplicarà a les entitats que desenvolupin activitats en àmbits com la defensa o la seguretat nacional, la seguretat pública, la policia i el poder judicial. També queden exclosos de l’àmbit els parlaments i els bancs centrals.
Com que les administracions públiques també són sovint objectiu d’atacs cibernètics, la NIS2 s’aplicarà a les entitats d’administració pública dels governs centrals. A més, els estats membres poden decidir que s’apliqui a aquestes entitats també a escala regional i local.
El Consell ha alineat el text amb la legislació sectorial específica, en particular el Reglament sobre la resiliència operativa digital del sector financer (DORA) i la Directiva sobre la resiliència de les entitats crítiques (CER), per proporcionar claredat jurídica i garantir la coherència entre la NIS2 i aquests actes.
Un mecanisme voluntari d’aprenentatge entre iguals augmentarà la confiança mútua i l’aprenentatge de bones pràctiques i experiències, i contribuirà així a assolir un alt nivell comú de ciberseguretat.
Els estats membres tindran dos anys des de l’entrada en vigor de la directiva per incorporar les disposicions a la seva legislació estatal.
_____
Esta entrada en español / This post in English / Post en français