NIS 2 vs NIS 1: ce s-a schimbat de fapt
Articolul 41 din Directiva (UE) 2022/2555 a abrogat Directiva NIS 1 cu efect de la 18 octombrie 2024. Această pagină descrie ce înseamnă acest lucru în practică.
Prezentare generală
NIS 1 a fost Directiva (UE) 2016/1148. Acoperea șapte sectoare și împărțea destinatarii în „operatori de servicii esențiale” (OES) și „furnizori de servicii digitale” (DSP). Statele membre desemnau OES individual.
NIS 2 este Directiva (UE) 2022/2555. Acoperă 15 sectoare în Anexa I și 7 sectoare în Anexa II, înlocuiește împărțirea OES/DSP cu „entități esențiale” și „entități importante” și folosește un criteriu explicit de dimensiune (50 sau mai mulți angajați, ori cifră de afaceri anuală peste 10 milioane de euro).
Articolul 41 din NIS 2 a abrogat Directiva NIS 1 cu efect de la 18 octombrie 2024. Acolo unde legislația unui stat membru încă face trimitere la vechea directivă, acele trimiteri indică acum NIS 2. Legile naționale de transpunere (precum BSIG german în versiunea sa NIS 2) înlocuiesc arhitectura anterioară IT-Sicherheitsgesetz 2.0.
Directiva (UE) 2022/2555 Articolul 41
Directiva (UE) 2016/1148 se abrogă cu efect de la 18 octombrie 2024.
Data abrogării este și termenul de transpunere. Trimiterile la NIS 1 din alte acte ale UE se citesc ca trimiteri la NIS 2.
Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei
Prezentul regulament stabilește cerințele tehnice și metodologice ale măsurilor menționate la Articolul 21(2) din Directiva (UE) 2022/2555 [...]
CIR precizează măsurile din Articolul 21(2) pentru un set restrâns de tipuri de entități de infrastructură digitală. Catalogul din Articolul 21 în sine se aplică tuturor entităților NIS 2.
Germania: BSIG (versiunea NIS 2)
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz).
Germania transpune NIS 2 prin modificarea BSIG. Arhitectura anterioară IT-Sicherheitsgesetz 2.0 (doar operatorii KRITIS) este înlocuită de un domeniu de aplicare mai larg care include entitățile esențiale și importante.
De la 7 sectoare și desemnarea OES la 15 plus 7 sectoare cu o regulă de dimensiune
NIS 1 acoperea șapte sectoare și impunea statelor membre să desemneze OES unul câte unul. NIS 2 enumeră 15 sectoare în Anexa I (esențiale) și 7 sectoare în Anexa II (importante) și se aplică automat entităților din aceste sectoare care îndeplinesc criteriul de dimensiune (50 sau mai mulți angajați ori peste 10 milioane de euro cifră de afaceri). Mai multe tipuri de entități intră în domeniul de aplicare indiferent de dimensiune.
De la măsurile de nivel înalt din Articolul 14 la Articolul 21 cu 10 domenii de măsuri plus Articolul 20 și Articolul 23
Articolul 14 NIS 1 impunea măsuri adecvate și proporționale în termeni destul de generali. Articolul 21(2) NIS 2 numește 10 domenii specifice de măsuri (analiza riscurilor, gestionarea incidentelor, continuitatea activității, lanțul de aprovizionare, gestionarea vulnerabilităților, eficacitatea, igiena cibernetică de bază și instruirea, criptografia, controlul accesului și gestionarea activelor, autentificarea cu mai mulți factori și comunicațiile securizate). Articolul 20 adaugă obligații explicite ale organului de conducere, Articolul 23 adaugă o cascadă structurată de raportare, iar Articolul 27 adaugă înregistrarea datelor entității la autoritatea competentă.
De la discreția statului membru la plafoane minime de sancțiuni la nivelul UE
NIS 1 a lăsat sancțiunile în mare parte în seama legislației naționale și a produs variații mari între statele membre. Articolul 34 NIS 2 stabilește plafoane minime la nivelul UE: pentru entitățile esențiale, cel puțin 10 milioane de euro sau 2 la sută din cifra de afaceri anuală mondială totală, luându-se valoarea mai mare; pentru entitățile importante, cel puțin 7 milioane de euro sau 1,4 la sută. Articolul 32 și Articolul 33 conferă, de asemenea, autorităților de supraveghere o listă mai lungă de competențe.
Măsurile tehnice se transferă în mare parte
O entitate care a pus deja în aplicare măsurile din Articolul 14 NIS 1 va recunoaște mare parte din Articolul 21(2) NIS 2: gestionarea incidentelor, continuitatea activității, lanțul de aprovizionare, igiena cibernetică de bază și instruirea sunt prezente în ambele texte. Etichetele și profunzimea s-au schimbat, ideea de bază nu.
Guvernanța și raportarea sunt noi
Articolul 20 face organul de conducere responsabil de aprobarea măsurilor de gestionare a riscurilor de securitate cibernetică, de supravegherea punerii lor în aplicare și de urmarea unei instruiri. Articolul 23 introduce o cascadă în trei pași (avertizare timpurie în 24 de ore, notificare de incident în 72 de ore, raport final într-o lună). Niciuna dintre aceste construcții nu exista în NIS 1 la acest nivel de detaliu.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
BSI este autoritatea competentă în temeiul BSIG. Pentru migrare, operează un registru de entități, publică Handreichungen privind instruirea organului de conducere și alte obligații și supraveghează entitățile esențiale și importante. Operatorii KRITIS continuă să existe ca un subset cu obligații suplimentare.
Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA)
ENISA publică Ghidul tehnic de punere în aplicare pentru măsurile din Articolul 21(2) și gestionează baza de date europeană a vulnerabilităților în temeiul Articolului 12. Textele sale sunt neobligatorii, dar autoritățile de supraveghere le citează ca referință practică.
BSIG înlocuiește arhitectura IT-Sicherheitsgesetz 2.0
Germania transpune NIS 2 prin modificarea BSIG. Modelul anterior IT-Sicherheitsgesetz 2.0 se concentra pe operatorii KRITIS. Versiunea NIS 2 a BSIG extinde domeniul de aplicare la entitățile esențiale și importante și adaugă obligațiile de conducere din Articolul 20, raportarea din Articolul 23 și înregistrarea din Articolul 27.
Documentația noastră NIS 1 se transferă la NIS 2.
Măsurile tehnice se transferă în mare parte, dar cadrul juridic nu. NIS 2 introduce obligații ale organului de conducere (Articolul 20), o cascadă de raportare în trei pași (Articolul 23), înregistrarea entității (Articolul 27) și un catalog structurat în Articolul 21(2). Documentația veche NIS 1 are de obicei lacune în guvernanță, în termenele de raportare și în secțiunea privind lanțul de aprovizionare. Tratați documentele NIS 1 ca un punct de plecare, nu ca un dosar finalizat.
Este aceeași autoritate de reglementare, deci este același regim.
În mai multe state membre, supraveghetorul pentru NIS 1 supraveghează și NIS 2 (în Germania, BSI). Instituția a rămas aceeași; competențele sale legale și catalogul entităților supravegheate nu. Articolele 32 și 33 NIS 2 conferă autorităților de supraveghere o listă mai lungă de competențe de inspecție, audit și aplicare, iar Articolul 34 stabilește plafoane minime de sancțiuni la nivelul UE care nu existau în temeiul NIS 1.
Nu s-a schimbat nimic semnificativ.
Domeniul de aplicare (15 plus 7 sectoare cu o regulă de dimensiune), guvernanța (obligațiile de conducere din Articolul 20), raportarea (cascada din Articolul 23), înregistrarea (Articolul 27) și sancțiunile (plafoanele din Articolul 34) s-au schimbat toate. Aceeași formulare „adecvate și proporționale” apare în ambele directive, dar catalogul din jurul ei este mult mai specific în NIS 2.
În practică, migrarea este rareori o repornire curată. Majoritatea entităților reutilizează părți din registrul lor de risc NIS 1, din playbook-ul de incidente și din lista de furnizori, apoi adaugă noile componente: o decizie a organului de conducere privind măsurile din Articolul 21(2), un flux de lucru de raportare din Articolul 23 cu marcajele de timp de 24 de ore, 72 de ore și o lună, o intrare de înregistrare din Articolul 27 și o secțiune privind lanțul de aprovizionare care corespunde Articolului 21(2)(d).
Cea mai frecventă schimbare vizibilă este raportarea. Notificarea unică „fără întârziere nejustificată” din NIS 1 devine trei documente separate în NIS 2, fiecare cu propriul termen și propriul public din interiorul entității. Practicienii reconstruiesc de obicei mai întâi fluxul de lucru pentru incidente, deoarece acolo intervin rapid noile reguli de calendar.
Registrul de obligații este structurat în jurul articolelor NIS 2. Măsurile din Articolul 21(2) sunt urmărite ca cerințe individuale, termenele de raportare din Articolul 23 sunt urmărite ca un flux de lucru de incidente în trei pași, înregistrarea din Articolul 27 este urmărită ca o înregistrare separată, iar decizia organului de conducere din Articolul 20 este urmărită ca o aprobare.
Dacă o entitate are deja probe NIS 1, acestea pot fi atașate cerinței corespunzătoare din NIS 2. Platforma nu presupune transferul; fiecare cerință este revizuită și marcată ca satisfăcută, parțial satisfăcută sau deschisă, cu o dată și o persoană responsabilă.
- Directiva (UE) 2022/2555, Articolul 41 (abrogarea Directivei (UE) 2016/1148), Articolele 20, 21, 23, 27, 32, 33, 34, Anexa I și Anexa II (EUR-Lex).
- Directiva (UE) 2016/1148, Articolul 14 (cerințe de securitate pentru OES) și Articolul 16 (cerințe de securitate pentru DSP) (EUR-Lex).
- Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei din 17 octombrie 2024, considerentele și Anexa (EUR-Lex).
- Bundesamt für Sicherheit in der Informationstechnik (BSI), pagini de informare privind NIS 2 și trimiteri la BSIG (bsi.bund.de).
- ENISA, Ghidul tehnic de punere în aplicare privind măsurile din Articolul 21(2) NIS 2 (enisa.europa.eu).