Noile norme de securitate cibernetică în U.E.

Atacurile cibernetice se pot dovedi foarte costisitoare. Potrivit estimărilor Comisiei Europene, costul anual al infracțiunilor cibernetice în economia globală ar fi ajuns la 5,5 trilioane de EUR la sfârșitul lui 2020.
În noiembrie 2022 Parlamentul European a actualizat legislația UE pentru a consolida investițiile în securitatea cibernetică a serviciilor esențiale și infrastructurilor critice, precum și pentru întărirea cadrului legislativ la nivelul UE. Parlamentul a întărit, de asemenea, protecția infrastructurii esențiale a UE, inclusiv a infrastructurii digitale, la 22 noiembrie, dând aprobarea finală legislației care înăsprește cerințele de evaluare a riscurilor și de raportare pentru actorii din 11 sectoare esențiale.

Directiva privind securitatea rețelelor și sistemelor informatice (NIS2) introduce noi reguli pentru a atinge un nivel ridicat comun de securitate cibernetică la nivelul UE – atât pentru companii cât și pentru state. Totodată, aceasta întărește cerințele de securitate cibernetică pentru entități mari și mijlocii care operează și furnizează servicii în sectoare cheie. Această versiune revizuită a directivei NIS din 2016 aduce mai multă claritate și o implementare mai bună, ținând cont de evoluțiile rapide din domeniu. Ea acoperă mai multe sectoare și activități decât versiunea anterioară, simplifică obligațiile de raportare, și ia în vizor securitatea lanțurilor de aprovizionare. După aprobarea în Parlament și de către țările UE reprezentate în Consiliu în noiembrie 2022, statele membre au la dispoziție 21 de luni pentru a o implementa.
Noile norme extind domeniul de aplicare al sectoarelor și activităților esențiale pentru economie și societate, incluzând energia, transportul, serviciile bancare, sănătatea, infrastructura digitală, administrația publică și spațiul cosmic. Însă nu acoperă securitatea națională și publică, aplicarea legii sau sistemul judiciar. Legea se aplică administrațiilor publice la nivel central și regional, dar nu și parlamentelor și băncilor centrale.
Legea impune mai multor entități și sectoare să ia măsuri de gestionare a riscului de securitate cibernetică, inclusiv furnizorilor de servicii publice de comunicații electronice, operatorilor de rețele sociale, producătorilor de produse esențiale (inclusiv dispozitive medicale) și serviciilor poștale și de curierat. Legea stabilește obligații mai stricte de securitate cibernetică pentru țările UE în domeniul supravegherii. Se îmbunătățește îndeplinirea acestor obligații, inclusiv prin armonizarea sancțiunilor între statele membre. De asemenea, ea vizează ameliorarea cooperării dintre țările UE, inclusiv în ceea ce privește incidentele la scară largă, sub umbrela Agenției UE pentru Securitate Cibernetică (Enisa). Deoarece sectorul financiar este din ce în ce mai dependent de software și procese digitale, acesta are nevoie de protecție sporită. Actul privind reziliența operațională digitală (Dora) va garanta că sectorul financiar al UE este mai rezistent la întreruperi operaționale grave și la atacuri cibernetice. Parlamentul a dat pe 10 noiembrie 2022 acordul final actului legislativ convenit anterior cu Consiliul.
Acesta introduce și armonizează cerințe de reziliență operațională digitală pentru sectorul serviciilor financiare din UE. Mai precis, normele impun companiilor să se asigure că pot rezista, pot răspunde și se pot redresa după toate tipurile de întreruperi și amenințări legate de sistemele de tehnologia informației și comunicațiilor (TIC). Noile reguli se aplică tuturor companiilor care furnizează servicii financiare – cum ar fi băncile, furnizorii de plăți, furnizorii de monedă electronică, firmele de investiții, furnizorii de servicii privind cripto-activele, precum și furnizorii terți de servicii TIC esențiale. Autoritățile naționale vor supraveghea punerea în aplicare a acestor norme.

Angella Dumitrascu

Distribuie acest articol Oficial Media