As recentes ameazas á infraestrutura crítica da UE tentaron socavar nosa seguridade colectiva. Xa en 2020, a Comisión propuxera unha mellora significativa das normas da UE sobre a resiliencia das entidades críticas e a seguridade das redes e os sistemas de información.
As 2 Directivas que entran en vigor son:
- Directiva relativa a medidas destinadas a un elevado nivel común de ciberseguridade en toda a Unión (Directiva NIS 2)
- Directiva sobre a resiliencia das entidades críticas (Directiva CER)
A Directiva NIS 2 garantirá unha Europa máis segura e forte a o ampliar significativamente os sectores e o tipo de entidades críticas que entran no seu ámbito de aplicación. Estes inclúen provedores de redes e servizos públicos de comunicacións electrónicas, servizos de centros de datos, xestión de augas residuais e residuos, fabricación de produtos críticos, servizos postais e de mensaxería e entidades da administración pública, así como o sector da saúde en xeral.
Ademais, reforzará os requisitos de xestión de riscos de ciberseguridade que as empresas están obrigadas a cumprir, así como racionalizará as obrigas de notificación de incidentes con disposicións máis precisas sobre informes, contido e cronograma. A Directiva NIS 2 substitúe a as normas sobre seguridade das redes e sistemas de información , a primeira lexislación a escala da UE sobre ciberseguridade.
Fronte a un panorama de riscos cada vez máis complexo, a nova Directiva CER substitúe á Directiva Europea de Infraestruturas Críticas de 2008. As novas regras fortalecerán a resiliencia da infraestrutura crítica a unha serie de ameazas, incluídos perigos naturais, ataques terroristas, ameazas internas ou sabotaxe. Cubriranse 11 sectores: enerxía, transporte, banca, infraestruturas de mercados financeiros, saúde, auga potable, augas residuais, infraestrutura dixital, administración pública, espazo e alimentación. Os Estados membros deberán adoptar unha estratexia nacional e levar a cabo avaliacións periódicas de riscos para identificar as entidades que se consideran críticas ou vitais para a sociedade e a economía.
Os Estados membros dispoñen de 21 meses para traspor ambas as Directivas ao dereito nacional. Durante este período, os Estados membros adoptarán e publicarán as medidas necesarias para o seu cumprimento.
En decembro de 2022, o Consello adoptou unha Recomendación sobre un enfoque de coordinación a escala da Unión para reforzar a resiliencia das infraestruturas críticas, na que se convida aos Estados membros a acelerar os traballos preparatorios para a transposición e aplicación da SRI 2 e da Directiva sobre a resiliencia de as entidades críticas (CER).
