Pe data de 13 mai Consiliul și Parlamentul European au convenit asupra noi versiuni a directivei NIS (v2). Odată adoptată, noua directivă va înlocui actuala directivă privind securitatea rețelelor și a sistemelor informatice (Directiva NIS). Va intra în vigoare în 12 zile de la publicare iar statele membre au la dispoziție 21 de luni pentru a include dispozițiile în legislația lor națională.

Sintagma cheie în noua versiune este ”analiza/gestionarea riscurilor”. ”Abordarea bazată pe riscuri” se aplică și autorităților competente.

Statele membre se asigură că entitățile esențiale și importante iau măsuri tehnice și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care entitățile respective le utilizează pentru a furniza servicii. Ținând seama de cele mai avansate cunoștințe în domeniu și de costurile implementării, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscului prezentat. Atunci când se evaluează proporționalitatea acestor măsuri, trebuie să se țină seama în mod corespunzător de gradul de expunere a entității la riscuri, de dimensiunea acesteia, de probabilitatea apariției incidentelor și de gravitatea acestora. Ținându-se cont de nivelul și tipul riscului pentru societate în cazul unor incidente care afectează entități esențiale sau importante, măsurile de gestionare a riscurilor în materie de securitate cibernetică impuse entităților importante pot fi mai puțin stricte decât cele impuse entităților esențiale.

Avînd la bază ce este statuat în teoria managementului riscurilor, este clarificat și incidentul și obligația de notificare a acestora:

Un incident este considerat semnificativ dacă:

(a)  incidentul a provocat sau are potențialul de a provoca perturbări operaționale […] grave ale serviciului sau pierderi financiare substanțiale pentru entitatea în cauză;

(b)  incidentul a afectat sau are potențialul de a afecta alte persoane fizice sau juridice, cauzând pierderi materiale sau morale considerabile.

Pe lîngă reclasificarea entităților în „esențiale„ și „importante„ și includerea și altor tipuri de entități, directiva se va aplica și furnizorilor acestor entități:

entitățile […] au obligația de a lua în considerare vulnerabilitățile specifice fiecărui prestator și furnizor direct de servicii, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale prestatorilor și furnizorilorlor de servicii, inclusiv procedurile lor securizate de dezvoltare.