EU 2022/2555

Ce este NIS2?

Directiva UE 2022/2555 privind securitatea cibernetică, cea mai importantă revizuire a reglementării securității cibernetice la nivelul UE din 2016 încoace.

Simon OrzelSimon Orzel·Laufend geprüft

Prezentare generală

Directiva NIS2 (Directiva (UE) 2022/2555) este cadrul actualizat al Uniunii Europene pentru atingerea unui nivel comun ridicat de securitate cibernetică în toate statele membre. Înlocuiește Directiva NIS originală din 2016.

NIS2 extinde dramatic domeniul de aplicare al reglementării securității cibernetice în UE: de la aproximativ 10.000 de entități sub NIS1 la o estimare de 160.000 în întreaga Europă. Numai în Germania sunt vizate aproximativ 29.500 de companii.

Directiva impune măsuri armonizate de gestionare a riscurilor, obligații de raportare a incidentelor și cerințe de securitate a lanțului de aprovizionare. Introduce răspunderea personală pentru conducere și sancțiuni semnificativ mai mari în caz de neconformitate.

Date-cheie
DatăEveniment
27 decembrie 2022Directiva NIS2 publicată în Jurnalul Oficial al UE
16 ianuarie 2023NIS2 intră în vigoare la nivelul UE
17 octombrie 2024Termen-limită pentru statele membre de a transpune în legislația națională
17 aprilie 2025Termen-limită pentru statele membre de a institui registre ale entităților
17 octombrie 2027Comisia Europeană revizuiește funcționarea directivei
Vezi calendarul complet NIS2
NIS1 vs NIS2
AspectNIS1 (2016)NIS2 (2022)
Domeniu de aplicare~10.000 de entități în UE~160.000 de entități în UE
Sectoare7 sectoare18 sectoare (11 de criticitate ridicată + 7 alte sectoare critice)
Clasificarea entitățilorOperatori de servicii esențiale (OES) + furnizori de servicii digitaleEntități esențiale + entități importante (în funcție de mărime)
SancțiuniStabilite de statele membre, variau considerabilArmonizate: până la 10 mil. EUR sau 2% din cifra de afaceri globală
Răspunderea conduceriiNeabordatăRăspundere personală pentru organele de conducere
Raportarea incidentelorFără întârziere nejustificatăCascadă strictă de 24h / 72h / 1 lună
Lanțul de aprovizionareNeabordatEvaluare obligatorie a securității lanțului de aprovizionare
SupraveghereLăsată la latitudinea statelor membreProactivă (esențiale) + reactivă (importante)

18 sectoare vizate

Anexa I: sectoare de criticitate ridicată
Entitățile mari din aceste sectoare sunt clasificate ca esențiale (entități esențiale). Entitățile mijlocii sunt clasificate ca importante.
  1. 01Energie (energie electrică, termoficare/răcire centralizată, petrol, gaze, hidrogen)
  2. 02Transport (aerian, feroviar, naval, rutier)
  3. 03Sectorul bancar
  4. 04Infrastructuri ale pieței financiare
  5. 05Sănătate (spitale, industria farmaceutică, dispozitive medicale, laboratoare de referință)
  6. 06Apă potabilă
  7. 07Ape uzate
  8. 08Infrastructură digitală (DNS, TLD, cloud, centre de date, CDN, telecomunicații)
  9. 09Gestionarea serviciilor TIC, B2B (MSP, MSSP)
  10. 10Administrație publică
  11. 11Spațiu
Anexa II: alte sectoare critice
Entitățile din aceste sectoare sunt clasificate ca importante, indiferent dacă sunt mijlocii sau mari.
  1. 01Servicii poștale și de curierat
  2. 02Gestionarea deșeurilor
  3. 03Substanțe chimice (fabricare, producție, distribuție)
  4. 04Produse alimentare (comerț angro, producție industrială, prelucrare)
  5. 05Producție (dispozitive medicale, electronice, echipamente electrice, mașini și utilaje, autovehicule, alte mijloace de transport)
  6. 06Furnizori digitali (piețe online, motoare de căutare, rețele sociale)
  7. 07Organizații de cercetare
Praguri de mărime
NIS2 folosește definiția UE a IMM-urilor. Clasificarea este determinată de numărul de angajați SAU de indicatorii financiari (atât cifra de afaceri, CÂT ȘI bilanțul trebuie depășite pentru testul financiar).
MărimeAngajațiPrag financiarDomeniul de aplicare NIS2
Mare≥ 250> 50 mil. EUR cifră de afaceri ȘI > 43 mil. EUR bilanțÎn domeniul de aplicare
Mijlocie≥ 50 (și < 250)> 10 mil. EUR cifră de afaceri ȘI > 10 mil. EUR bilanțÎn domeniul de aplicare
Mică< 50≤ 10 mil. EUR cifră de afaceri ȘI ≤ 10 mil. EUR bilanțÎn general în afara domeniului de aplicare

Anumite tipuri de entități intră în domeniul de aplicare indiferent de mărime, inclusiv furnizorii de DNS, registrele de nume TLD, prestatorii de servicii de încredere calificați, operatorii KRITIS și furnizorii unici de servicii esențiale.

Obligații principale dintr-o privire
  • Implementați 10 măsuri obligatorii de gestionare a riscurilor de securitate cibernetică
  • Raportați incidentele semnificative în termen de 24h / 72h / 1 lună
  • Conducerea trebuie să aprobe, să supravegheze și să fie instruită în domeniul securității cibernetice
  • Evaluați și gestionați riscurile de securitate cibernetică din lanțul de aprovizionare
  • Înregistrați-vă la autoritatea națională competentă
  • Mențineți dovezi ale conformității (audituri pentru operatorii KRITIS la fiecare 3 ani)