Deputații europeni au adoptat cu 577 de voturi pentru, 6 împotrivă și 31 de abțineri obligații mai stricte de securitate cibernetică pentru gestionarea riscurilor, obligații de raportare și partajarea informațiilor. Cerințele acoperă răspunsul la incident, securitatea lanțului de aprovizionare, criptarea și divulgarea vulnerabilităților, printre alte prevederi.
După aprobarea Parlamentului, Consiliul trebuie să adopte în mod oficial legea înainte ca aceasta să fie publicată în Jurnalul Oficial al UE.
Legislația, deja convenită între europarlamentari și Consiliu în mai, stabilește că mai multe entități și domenii de activitate vor trebui să ia măsuri pentru a se proteja de atacurile cibernetice. Noile prevederi de securitate vor acoperi sectoarele cosiderate ”esențiale”, precum energia, transporturile, sectorul bancar, sănătatea, infrastructura digitală, administrația publică și sectoarele spațiale.
În timpul negocierilor, deputații au insistat asupra necesității unor reguli clare și precise pentru companii și au insistat pentru includerea cât mai multor organisme guvernamentale și publice în domeniul de aplicare al directivei.
Noile reguli vor proteja, de asemenea, așa-numitele „sectoare importante” precum serviciile poștale, gestionarea deșeurilor, produsele chimice, alimentele, producția de dispozitive medicale, electronice, mașini, autovehicule și furnizorii de servicii digitale. Sub incidența legislației vor intra toate companiile mijlocii și mari din sectoarele selectate.
De asemenea, noile reglementări stabilesc cadrul pentru o mai bună cooperare și schimb de informații între diferite autorități și state membre și creează o bază de date europeană a vulnerabilităților.
„Ransomware-ul și alte amenințări cibernetice au atacat Europa de mult prea mult timp. Trebuie să acționăm pentru ca afacerile, guvernele și societatea noastră să fie mai rezistente la operațiunile cibernetice ostile”, a declarat europarlamentarul Bart Groothuis (Renew, NL).
„Această directivă europeană va ajuta aproximativ 160.000 de entități să-și întărească controlul asupra securității și să facă din Europa un loc sigur pentru a trăi și a lucra. De asemenea, va permite schimbul de informații cu sectorul privat și parteneri din întreaga lume. Dacă suntem atacați la scară industrială, trebuie să răspundem la scară industrială. Aceasta este cea mai bună legislație de securitate cibernetică pe care a văzut-o până acum acest continent, pentru că va transforma Europa să gestioneze incidentele cibernetice în mod proactiv și orientat spre servicii”, a adăugat el.
Directiva privind securitatea rețelelor și a informațiilor (NIS) a fost prima parte a legislației la nivelul UE privind securitatea cibernetică, iar scopul său a fost atingerea unui nivel comun ridicat de securitate cibernetică în statele membre. Deși a sporit capacitățile de securitate cibernetică ale statelor, implementarea s-a dovedit dificilă, ceea ce a dus la fragmentarea la diferite niveluri pe piața internă.
Pentru a răspunde amenințărilor tot mai mari reprezentate de digitalizare și de creșterea atacurilor cibernetice, Comisia a prezentat o propunere de înlocuire a Directivei NIS, care să consolideze cerințele de securitate, să abordeze securitatea lanțurilor de aprovizionare, să simplifice obligațiile de raportare și să introducă reguli mai stricte, măsuri de supraveghere și cerințe mai stricte de aplicare, inclusiv sancțiuni armonizate în întreaga UE.