NIS2 este o directivă europeană care actualizează și extinde cerințele de securitate cibernetică stabilite de directiva NIS originală din 2016.
Directiva NIS2 a fost adoptată oficial de către Parlamentul European și Consiliul Uniunii Europene la 14 decembrie 2022. Aceasta a intrat în vigoare pe 16 ianuarie 2023 și trebuie transpusă în legislația națională a fiecărui stat membru al Uniunii Europene până la 17 octombrie 2024
Scopul principal al directivei NIS2 este de a îmbunătăți securitatea cibernetică a infrastructurilor esențiale și de a asigura o mai bună coordonare și armonizare a măsurilor de securitate în întreaga Uniune Europeană. Directiva trebuie să fie transpusă în legislația națională a fiecărui stat membru până la 17 octombrie 2024, iar entitățile afectate trebuie să se conformeze noilor cerințe de la această data.
Cine trebuie să respecte prevederile NIS2?
NIS2 se aplică unui număr mai mare de sectoare decât directiva inițială NIS, clasificând entitățile vizate în două categorii principale:
- Entități esențiale: Sunt companii mari, cu cel puțin 250 de angajați, un venit anual de peste 50 milioane EUR sau un bilanț anual de peste 43 milioane EUR. Acestea includ:
- Energie
- Transporturi
- Finanțe
- Administrație publică
- Sănătate
- Infrastructură digitală (ex. centre de date, operatori de telecomunicații)
- Apă potabilă și uzată
- Entități importante: Sunt întreprinderi de dimensiuni medii cu cel puțin 50 de angajați sau un venit anual de peste 10 milioane EUR. Acestea includ:
- Servicii poștale
- Gestionarea deșeurilor
- Industria chimică
- Cercetare
- Producție alimentară
- Furnizori digitali (ex. motoare de căutare, platforme de comerț electronic)(
Cerințe principale ale directivei NIS2
NIS2 introduce cerințe mai stricte pentru securitatea cibernetică și prevede sancțiuni severe în caz de neconformare:
- Gestionarea riscurilor cibernetice: Organizațiile trebuie să adopte măsuri tehnice și organizatorice pentru a reduce riscurile cibernetice, inclusiv criptarea datelor, controlul accesului și gestionarea securității lanțului de aprovizionare(
- Raportarea incidentelor: Entitățile trebuie să raporteze incidentele de securitate cu impact major în termen de 24 de ore de la depistare și să furnizeze un raport complet în termen de 72 de ore. Un raport final trebuie depus în termen de o lună de la notificare(
- Răspunderea managementului: Conducerea companiilor este responsabilă pentru implementarea măsurilor de securitate cibernetică și poate fi trasă la răspundere în caz de neconformare, inclusiv cu sancțiuni personale, cum ar fi interdicția de a ocupa funcții de conducere(
- Continuitatea activității: Companiile trebuie să dezvolte planuri pentru asigurarea continuității activității în caz de incidente cibernetice, incluzând recuperarea datelor și stabilirea unui echipaj de criză.
Solicită o consultație gratuită acum
În concluzie, NIS2 impune cerințe mai stricte de securitate și o mai bună coordonare între statele membre, aplicându-se unui număr mai mare de sectoare esențiale și importante din economia UE. Companiile afectate trebuie să evalueze rapid dacă intră în sfera de aplicare a directivei și să implementeze măsurile necesare pentru a se conforma până în octombrie 2024.
Pentru mai multe informații sau orice întrebări suplimentare, vă rugăm să nu ezitați să ne contactați:
➡ Telefon: (+4) 031 426 0745
📧 Email: office@grecupartners.ro
Suntem aici pentru a vă ajuta și pentru a oferi suportul nostru legal la toate situațiile dumneavoastră.
Așteptăm cu nerăbdare să discutăm cu dumneavoastră.
Avocat Elena Grecu
