La Comisión ha adoptado las primeras normas de ejecución sobre ciberseguridad de las entidades y redes críticas en el marco de la Directiva sobre medidas para garantizar un elevado nivel común de ciberseguridad en toda la Unión ( Directiva NIS2 ). Aquest acte d'execució detalla les mesures de gestió de riscos de ciberseguretat, així com els casos en els quals un incident ha de considerar-se significatiu i les empreses que proporcionen infraestructures i serveis digitals han de notificar-ho a les autoritats nacionals. Es tracta d'un altre pas important per impulsar la ciberresiliencia de la infraestructura digital crítica d'Europa.
El reglament d'aplicació adoptat avui s'aplicarà a categories específiques d'empreses que presten serveis digitals, com a proveïdors de serveis de computació en el núvol, proveïdors de serveis de centres de dades, mercats en línia, motors de cerca en línia i plataformes de xarxes socials, per nomenar alguns. Per a cada categoria de proveïdors de serveis, l'acte d'aplicació també especifica quan un incident es considera significatiu.
L'adopció del reglament d'aplicació coincideix amb la data límit perquè els Estats membres traslladin la Directiva NIS2 a la seva legislació nacional. A partir d'avui, 18 d'octubre de 2024, tots els Estats membres hauran d'aplicar les mesures necessàries per complir les normes de ciberseguretat NIS2, incloses les mesures de supervisió i execució.
Propers passos
El reglament d'aplicació es publicarà en el Diari Oficial oportunament i entrarà en vigor vint dies després.
Antececentes
La primera llei de la UE sobre ciberseguretat, la Directiva NIS, va entrar en vigor en 2016 i va contribuir a aconseguir un nivell comú de seguretat de les xarxes i els sistemes d'informació en tota la UE. Com a part del seu objectiu polític clau d'adaptar Europa a l'era digital, la Comissió va proposar la revisió de la Directiva NIS al desembre de 2020. Després de la seva entrada en vigor al gener de 2023, els Estats membres havien de traslladar la Directiva NIS2 a la seva legislació nacional abans del 17 d'octubre de 2024.
La Directiva NIS2 tiene por objeto garantizar un alto nivel de ciberseguridad en toda la Unión. Abarca a las entidades que operan en sectores críticos para la economía y la sociedad, incluidos los proveedores de servicios públicos de comunicaciones electrónicas, la gestión de servicios de TIC, los servicios digitales, la gestión de aguas residuales y residuos, el espacio, la salud, la energía, el transporte, la fabricación de productos críticos, los servicios postales y de mensajería y la administración pública.
La Directiva reforça els requisits de seguretat imposats a les empreses i aborda la seguretat de les cadenes de subministrament i les relacions amb els proveïdors. Agilita les obligacions d'informació, introdueix mesures de supervisió més estrictes per a les autoritats nacionals, així com requisits de compliment més estrictes, i té per objecte harmonitzar els règims de sancions en els Estats membres. Contribuirà a augmentar l'intercanvi d'informació i la cooperació en matèria de gestió de crisis cibernètiques a nivell nacional i de la UE.
Més informació:
- Llei d'aplicació de la Directiva NIS2
- Fitxa informativa sobre la Directiva relativa a les mesures per garantir un elevat nivell comú de ciberseguretat en tota la Unió (NIS2)
- Preguntes i respostes sobre NIS2: Nova estratègia de ciberseguretat de la UE i noves normes per fer més resilientes les entitats crítiques físiques i digitals
- Directiva sobre mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la Unió (Directiva NIS2)
- Polítiques de ciberseguretat de la Comissió
Directiva NIS2 - Reglament d'aplicació de la Comissió C(2024) 7151 (descàrrega PDF)
Directiva NIS2 - Reglament d'aplicació de la Comissió C(2024) 7151 - ANNEX (descàrrega PDF)