El Consell Europeu va adoptar determinats aspectes legislatius per tal d’aplicar-los a un alt nivell comú de ciberseguretat a tota la Unió. L’objectiu és millorar encara més la resiliència i les capacitats de resposta a incidents del sector públic i privat i de la Unió en conjunt.

La nova directiva, anomenada ‘NIS2’, substituirà la directiva actual sobre seguretat de xarxes i sistemes d’informació (la directiva NIS). Amb aquesta iniciativa, des del mateix Consell consideren que sens dubte la ciberseguretat seguirà sent un repte clau per als propers anys. En aquesta línia, la nova legislació és una aposta enorme per a les nostres economies i els nostres ciutadans.
L’NIS2 establirà la línia de base per a les mesures de gestió del risc de ciberseguretat i les obligacions d’informació en tots els sectors que estan coberts per la directiva, com ara l’energia, el transport, la salut i la infraestructura digital.
La directiva revisada té com a objectiu harmonitzar els requisits de ciberseguretat i la implementació de mesures de ciberseguretat als diferents estats membres. Per aconseguir-ho, estableix normes mínimes per a un marc normatiu i mecanismes per a una cooperació efectiva entre les autoritats rellevants de cada estat membre. Actualitza la llista de sectors i activitats subjectes a obligacions de ciberseguretat i preveu recursos i sancions per garantir-ne l’execució.
La directiva establirà formalment la Xarxa Europea d’Organització d’Enllaç de Crisis Cibernètiques, EU-CYCLONE, que donarà suport a la gestió coordinada d’incidents i crisis de ciberseguretat a gran escala.
Si bé, segons l’antiga directiva NIS, els estats membres eren els encarregats de determinar quines entitats complirien els criteris per qualificar-se com a operadors de serveis essencials, la nova directiva NIS2 introdueix una regla de límit de mida com a regla general per a la identificació d’entitats regulades. Això significa que totes les entitats mitjanes i grans que operen dins dels sectors o presten serveis objecte de la directiva entraran en el seu àmbit d’aplicació.
Tot i que la directiva revisada manté aquesta norma general, el seu text inclou disposicions addicionals per garantir la proporcionalitat, un nivell més elevat de gestió del risc i criteris de criticitat clars per permetre a les autoritats nacionals determinar altres entitats cobertes.
El text també aclareix que la directiva no s’aplicarà a les entitats que desenvolupin activitats en àmbits com la defensa o la seguretat nacional, la seguretat pública i l’aplicació de la llei. El poder judicial, els parlaments i els bancs centrals també en queden exclosos.
La NIS2 s’aplicarà igualment a les administracions públiques a escala central i regional. A més, els estats membres poden decidir que s’apliqui a aquestes entitats també a escala local.
D’altra banda, la nova directiva s’ha alineat amb la legislació sectorial específica, en particular la regulació sobre la resiliència operativa digital del sector financer (DORA) i la directiva sobre la resiliència de les entitats crítiques (CER), per proporcionar claredat jurídica i garantir la coherència entre la NIS2 i aquests actes.
Un mecanisme voluntari d’aprenentatge entre iguals augmentarà la confiança mútua i l’aprenentatge de les bones pràctiques i experiències a la Unió, i contribuirà així a assolir un alt nivell comú de ciberseguretat.
La nova legislació també racionalitza les obligacions de declaració per tal d’evitar que es produeixi una sobreinformació i una càrrega excessiva per a les entitats cobertes.
_____
Esta entrada en español / This post in English / Post en français