La Comissió ha adoptat les primeres normes d'execució sobre ciberseguretat de les entitats i xarxes crítiques en el marc de la Directiva sobre mesures per garantir un elevat nivell comú de ciberseguretat en tota la Unió ( Directiva NIS2 ). Aquest acte d'execució detalla les mesures de gestió de riscos de ciberseguretat, així com els casos en els quals un incident ha de considerar-se significatiu i les empreses que proporcionen infraestructures i serveis digitals han de notificar-ho a les autoritats nacionals. Es tracta d'un altre pas important per impulsar la ciberresiliencia de la infraestructura digital crítica d'Europa.
El reglament d'aplicació adoptat avui s'aplicarà a categories específiques d'empreses que presten serveis digitals, com a proveïdors de serveis de computació en el núvol, proveïdors de serveis de centres de dades, mercats en línia, motors de cerca en línia i plataformes de xarxes socials, per nomenar alguns. Per a cada categoria de proveïdors de serveis, l'acte d'aplicació també especifica quan un incident es considera significatiu.
L'adopció del reglament d'aplicació coincideix amb la data límit perquè els Estats membres traslladin la Directiva NIS2 a la seva legislació nacional. A partir d'avui, 18 d'octubre de 2024, tots els Estats membres hauran d'aplicar les mesures necessàries per complir les normes de ciberseguretat NIS2, incloses les mesures de supervisió i execució.
Propers passos
El reglament d'aplicació es publicarà en el Diari Oficial oportunament i entrarà en vigor vint dies després.
Antececentes
La primera llei de la UE sobre ciberseguretat, la Directiva NIS, va entrar en vigor en 2016 i va contribuir a aconseguir un nivell comú de seguretat de les xarxes i els sistemes d'informació en tota la UE. Com a part del seu objectiu polític clau d'adaptar Europa a l'era digital, la Comissió va proposar la revisió de la Directiva NIS al desembre de 2020. Després de la seva entrada en vigor al gener de 2023, els Estats membres havien de traslladar la Directiva NIS2 a la seva legislació nacional abans del 17 d'octubre de 2024.
La Directiva NIS2 té per objecte garantir un alt nivell de ciberseguretat en tota la Unió. Abasta a les entitats que operen en sectors crítics per a l'economia i la societat, inclosos els proveïdors de serveis públics de comunicacions electròniques, la gestió de serveis de TIC, els serveis digitals, la gestió d'aigües residuals i residus, l'espai, la salut, l'energia, el transport, la fabricació de productes crítics, els serveis postals i de missatgeria i l'administració pública.
La Directiva reforça els requisits de seguretat imposats a les empreses i aborda la seguretat de les cadenes de subministrament i les relacions amb els proveïdors. Agilita les obligacions d'informació, introdueix mesures de supervisió més estrictes per a les autoritats nacionals, així com requisits de compliment més estrictes, i té per objecte harmonitzar els règims de sancions en els Estats membres. Contribuirà a augmentar l'intercanvi d'informació i la cooperació en matèria de gestió de crisis cibernètiques a nivell nacional i de la UE.
Més informació:
- Llei d'aplicació de la Directiva NIS2
- Fitxa informativa sobre la Directiva relativa a les mesures per garantir un elevat nivell comú de ciberseguretat en tota la Unió (NIS2)
- Preguntes i respostes sobre NIS2: Nova estratègia de ciberseguretat de la UE i noves normes per fer més resilientes les entitats crítiques físiques i digitals
- Directiva sobre mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la Unió (Directiva NIS2)
- Polítiques de ciberseguretat de la Comissió
Directiva NIS2 - Reglament d'aplicació de la Comissió C(2024) 7151 (descàrrega PDF)
Directiva NIS2 - Reglament d'aplicació de la Comissió C(2024) 7151 - ANNEX (descàrrega PDF)