Les recents amenaces a la infraestructura crítica de la UE han intentat soscavar la nostra seguretat col·lectiva. Ja en 2020, la Comissió havia proposat una millora significativa de les normes de la UE sobre la resiliència de les entitats crítiques i la seguretat de les xarxes i els sistemes d'informació.
Les 2 Directives que entren en vigor són:
- Directiva relativa a mesures destinades a un elevat nivell comú de ciberseguretat en tota la Unió (Directiva NIS 2)
- Directiva sobre la resiliència de les entitats crítiques (Directiva CER)
La Directiva NIS 2 garantirà una Europa més segura i fort en ampliar significativament els sectors i el tipus d'entitats crítiques que entren en el seu àmbit d'aplicació. Estos inclouen proveïdors de xarxes i servicis públics de comunicacions electròniques, servicis de centres de dades, gestió d'aigües residuals i residus, fabricació de productes crítics, servicis postals i de missatgeria i entitats de l'administració pública, així com el sector de la salut en general.
A més, reforçarà els requisits de gestió de riscos de ciberseguretat que les empreses estan obligades a complir, així com racionalitzarà les obligacions de notificació d'incidents amb disposicions més precises sobre informes, contingut i cronograma. La Directiva NIS 2 substituïx a les normes sobre seguretat de les xarxes i sistemes d'informació , la primera legislació a escala de la UE sobre ciberseguretat.
Enfront d'un panorama de riscos cada vegada més complex, la nova Directiva CER substituïx a la Directiva Europea d'Infraestructures Crítiques de 2008. Les noves regles enfortiran la resiliència de la infraestructura crítica a una sèrie d'amenaces, inclosos perills naturals, atacs terroristes, amenaces internes o sabotatge. Es cobriran 11 sectors: energia, transport, banca, infraestructures de mercats financers, salut, aigua potable, aigües residuals, infraestructura digital, administració pública, espai i alimentació. Els Estats membres hauran d'adoptar una estratègia nacional i dur a terme avaluacions periòdiques de riscos per a identificar les entitats que es consideren crítiques o vitals per a la societat i l'economia.
Els Estats membres disposen de 21 mesos per a traslladar les dos Directives al Dret nacional. Durant este període, els Estats membres adoptaran i publicaran les mesures necessàries per al seu compliment.
Al desembre de 2022, el Consell va adoptar una Recomanació sobre un enfocament de coordinació a escala de la Unió per a reforçar la resiliència de les infraestructures crítiques, en la qual es convida als Estats membres a accelerar els treballs preparatoris per a la transposició i aplicació de la SRI 2 i de la Directiva sobre la resiliència de les entitats crítiques (CER).