La Comissió ha adoptat les primeres normes d'execució sobre ciberseguretat de les entitats i xarxes crítiques en el marc de la Directiva sobre mesures per a garantir un elevat nivell comú de ciberseguretat en tota la Unió ( Directiva NIS2 ). Este acte d'execució detalla les mesures de gestió de riscos de ciberseguretat, així com els casos en els quals un incident ha de considerar-se significatiu i les empreses que proporcionen infraestructures i servicis digitals han de notificar-ho a les autoritats nacionals. Es tracta d'un altre pas important per a impulsar la ciberresiliencia de la infraestructura digital crítica d'Europa.
El reglament d'aplicació adoptat hui s'aplicarà a categories específiques d'empreses que presten servicis digitals, com a proveïdors de servicis de computació en el núvol, proveïdors de servicis de centres de dades, mercats en línia, motors de cerca en línia i plataformes de xarxes socials, per nomenar alguns. Per a cada categoria de proveïdors de servicis, l'acte d'aplicació també especifica quan un incident es considera significatiu.
L'adopció del reglament d'aplicació coincidix amb la data límit perquè els Estats membres traslladen la Directiva NIS2 a la seua legislació nacional. A partir d'hui, 18 d'octubre de 2024, tots els Estats membres hauran d'aplicar les mesures necessàries per a complir les normes de ciberseguretat NIS2, incloses les mesures de supervisió i execució.
Pròxims passos
El reglament d'aplicació es publicarà en el Diari Oficial oportunament i entrarà en vigor vint dies després.
Antececentes
La primera llei de la UE sobre ciberseguretat, la Directiva NIS, va entrar en vigor en 2016 i va contribuir a aconseguir un nivell comú de seguretat de les xarxes i els sistemes d'informació en tota la UE. Com a part del seu objectiu polític clau d'adaptar Europa a l'era digital, la Comissió va proposar la revisió de la Directiva NIS al desembre de 2020. Després de la seua entrada en vigor al gener de 2023, els Estats membres havien de traslladar la Directiva NIS2 a la seua legislació nacional abans del 17 d'octubre de 2024.
La Directiva NIS2 té per objecte garantir un alt nivell de ciberseguretat en tota la Unió. Abasta a les entitats que operen en sectors crítics per a l'economia i la societat, inclosos els proveïdors de servicis públics de comunicacions electròniques, la gestió de servicis de TIC, els servicis digitals, la gestió d'aigües residuals i residus, l'espai, la salut, l'energia, el transport, la fabricació de productes crítics, els servicis postals i de missatgeria i l'administració pública.
La Directiva reforça els requisits de seguretat imposats a les empreses i aborda la seguretat de les cadenes de subministrament i les relacions amb els proveïdors. Agilitza les obligacions d'informació, introduïx mesures de supervisió més estrictes per a les autoritats nacionals, així com requisits de compliment més estrictes, i té per objecte harmonitzar els règims de sancions en els Estats membres. Contribuirà a augmentar l'intercanvi d'informació i la cooperació en matèria de gestió de crisis cibernètiques a nivell nacional i de la UE.
Més informació:
- Llei d'aplicació de la Directiva NIS2
- Fitxa informativa sobre la Directiva relativa a les mesures per a garantir un elevat nivell comú de ciberseguretat en tota la Unió (NIS2)
- Preguntes i respostes sobre NIS2: Nova estratègia de ciberseguretat de la UE i noves normes per a fer més resilientes les entitats crítiques físiques i digitals
- Directiva sobre mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la Unió (Directiva NIS2)
- Polítiques de ciberseguretat de la Comissió
Directiva NIS2 - Reglament d'aplicació de la Comissió C(2024) 7151 (descàrrega PDF)
Directiva NIS2 - Reglament d'aplicació de la Comissió C(2024) 7151 - ANNEX (descàrrega PDF)