A Comisión adoptou as primeiras normas de execución sobre ciberseguridade das entidades e redes críticas no marco da Directiva sobre medidas para garantir un elevado nivel común de ciberseguridade en toda a Unión ( Directiva NIS2
). Este acto de execución detalla as medidas de xestión de riscos de ciberseguridade, así como os casos nos que un incidente debe considerarse significativo e as empresas que proporcionan infraestruturas e servizos dixitais deben notificalo ás autoridades nacionais. Trátase doutro paso importante para impulsar a ciberresiliencia da infraestrutura dixital crítica de Europa.
O regulamento de aplicación adoptado hoxe aplicarase a categorías específicas de empresas que prestan servizos dixitais, como provedores de servizos de computación na nube, provedores de servizos de centros de datos, mercados en liña, motores de procura en liña e plataformas de redes sociais, por nomear algúns. Para cada categoría de provedores de servizos, o acto de aplicación tamén especifica cando un incidente se considera significativo.
A adopción do regulamento de aplicación coincide coa data límite para que os Estados membros traspoñan a Directiva NIS2 á súa lexislación nacional. A partir de hoxe, 18 de outubro de 2024, todos os Estados membros deberán aplicar as medidas necesarias para cumprir as normas de ciberseguridade NIS2, incluídas as medidas de supervisión e execución.
Próximos pasos
O regulamento de aplicación publicarase no Diario Oficial oportunamente e entrará en vigor vinte días despois.
Antececentes
A primeira lei da UE sobre ciberseguridade, a Directiva NIS, entrou en vigor en 2016 e contribuíu a lograr un nivel común de seguridade das redes e os sistemas de información en toda a UE. Como parte do seu obxectivo político clave de adaptar Europa á era dixital, a Comisión propuxo a revisión da Directiva NIS en decembro de 2020. Tras a súa entrada en vigor en xaneiro de 2023, os Estados membros tiñan que traspor a Directiva NIS2 á súa lexislación nacional antes do 17 de outubro de 2024.
A Directiva NIS2 ten por obxecto garantir un alto nivel de ciberseguridade en toda a Unión. Abarca ás entidades que operan en sectores críticos para a economía e a sociedade, incluídos os provedores de servizos públicos de comunicacións electrónicas, a xestión de servizos de TIC, os servizos dixitais, a xestión de augas residuais e residuos, o espazo, a saúde, a enerxía, o transporte, a fabricación de produtos críticos, os servizos postais e de mensaxería e a administración pública.
A Directiva reforza os requisitos de seguridade impostos ás empresas e aborda a seguridade das cadeas de subministración e as relacións cos provedores. Axiliza as obrigas de información, introduce medidas de supervisión máis estritas para as autoridades nacionais, así como requisitos de cumprimento máis estritos, e ten por obxecto harmonizar os réximes de sancións nos Estados membros. Contribuirá a aumentar o intercambio de información e a cooperación en materia de xestión de crise cibernéticas a nivel nacional e da UE.
Máis información:
- Lei de aplicación da Directiva NIS2
- Ficha informativa sobre a Directiva relativa ás medidas para garantir un elevado nivel común de ciberseguridade en toda a Unión (NIS2)
- Preguntas e respostas sobre NIS2: Nova estratexia de ciberseguridade da UE e novas normas para facer máis resilientes as entidades críticas físicas e dixitais
- Directiva sobre medidas destinadas a garantir un elevado nivel común de ciberseguridade en toda a Unión (Directiva NIS2)
- Políticas de ciberseguridade da Comisión
Directiva NIS2 - Regulamento de aplicación da Comisión C(2024) 7151 (descarga PDF)
Directiva NIS2 - Regulamento de aplicación da Comisión C(2024) 7151 - ANEXO (descarga PDF)
