Navigând un dublu regim NIS: Reziliența cibernetică în UE și UK

Article NIS2 vs NIS UK: Cum navighează companiile un dublu regim de conformitate în Europa

Directiva NIS1 (Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune) a fost primul cadru comun de securitate cibernetică la nivelul Uniunii Europene. Acesta a fost creat pentru a îmbunătăți standardul de protecție al serviciilor considerate esențiale, precum și a anumitor servicii digitale critice (marketplace-uri online, motoare de căutare, cloud).

Regatul Unit, similar cu alte țări UE la acea vreme, a transpus această directivă în dreptul intern prin Network and Information Systems Regulations 2018, cunoscute drept „NIS Regulations”, care au intrat în vigoare la 10 mai 2018. După Brexit, NIS1 a rămas în vigoare în UK ca reglementare națională, fiind ajustată prin modificări legislative și ghiduri actualizate ale autorităților. În același timp, Uniunea Europeană a evoluat către NIS2, un cadru mult mai extins și mai strict, care este în aplicare din octombrie 2024.

Rezultatul este o  separare a celor două - UK a păstrat NIS Regulations 2018, care este acum în curs de actualizare, iar UE are NIS2, care influențează puternic și piața din UK, prin efectul extraterritorial asupra companiilor britanice ce oferă servicii în UE.

1. Regulamentul actual privind sistemele informatice și de rețea în Regatul Unit

1.1. Scopul NIS Regulations 2018

Network and Information Systems Regulations 2018 a fost introdus în UK ca o transpunere tehnică a Directivei NIS, dar și pentru a reprezenta un prim efort de consolidare a rezilienței naționale. Regulamentele stabilesc măsuri pentru creșterea nivelului de securitate (atât cibernetică, cât și fizică) a sistemelor de rețea și informații care susțin servicii considerate critice pentru funcționarea economiei și a societății: transport, energie, apă, sănătate, infrastructură digitală, precum și servicii digitale precum marketplace-uri online, motoare de căutare și servicii de cloud computing.

De asemenea, NIS Regulations au fost gândite ca parte a proiectului național Cyber Strategy 2022. Strategia dorește să asigure că Regatul Unit rămâne “o putere cibernetică responsabilă și democratică”, capabilă să protejeze și să promoveze interesele sale în spațiul digital.

National Cyber Strategy 2022 prevede, de asemenea, cinci piloni principali care definesc abordarea UK: 

  • consolidarea ecosistemului cibernetic național prin investiții în oameni și competențe,
  • construirea unei piețe digitale reziliente și prospere,
  • conducerea tehnologică în domeniile critice,
  • avansarea influenței globale a Regatului Unit în spațiul cibernetic și
  • detectarea, perturbarea și descurajarea actorilor malițioși.

Prin aceste direcții strategice, guvernul britanic caută să pună reziliența cibernetică în prim plan, drept o componentă structurală a statului, economiei și societății. În mod concret, acest fapt implică investiții în educație și formare în domeniul securității cibernetice, dezvoltarea forței de muncă specializate și promovarea cooperării între stat, industrie și mediul academic.

1.2. Domeniul de aplicare: OES și DSP

NIS Regulations se aplică momentan pentru două tipuri de entități:

  • Operatoriilor de servicii esențiale (OES - Operators of Essential Services) din sectoarele energie, transport, sănătate, apă și infrastructură digitală. Aceștia sunt furnizori critici de servicii, ale căror perturbări pot avea impact major asupra societății și economiei. 
  • Furnizorilor de servicii digitale (DSP - Digital Service Providers): companiile mari și medii de motoare de căutare online, marketplace-uri online și servicii de cloud computing.

Din perspectiva supravegherii, ICO (Information Commissioner’s Office) este autoritatea competentă pentru furnizorii de servicii digitale. Ghidul ICO explică rolul său în supravegherea DSP, modul de înregistrare NIS, cerințele de securitate, raportarea incidentelor și interacțiunea cu UK GDPR. 

Alte organizații acoperite de NIS, precum operatorii de servicii esențiale, sunt supravegheate de autorități competente sectoriale (de exemplu, regulatori din energie, transport etc.). 

1.3. Sancțiuni și puteri de aplicare

Pentru cazurile grave de neconformitate, amenda poate ajunge până la 17 milioane de lire. Nivelul exact este stabilit de autoritatea competentă (fie ICO, fie autoritățile sectoriale), în funcție de gravitate, impact și comportamentul organizației. 

Pe lângă amenzi, autoritățile pot impune planuri de remediere, termene pentru implementare, audituri suplimentare și alte măsuri de supraveghere, similar cu sancțiunile impuse în Uniunea Europeană. În cazul furnizorilor de servicii digitale, ICO combină competențele sale NIS cu cele din UK GDPR, ceea ce poate duce, în anumite situații, la un „dublu” regim sancționator (NIS pentru securitate și continuitate, GDPR pentru protecția datelor personale). 

2. Viitorul regulamentului NIS în Regatul Unit

După Brexit, Regatul Unit a evaluat cadrul legislativ NIS Regulations pentru a înțelege eficacitatea legislației. Evaluările au arătat clar că regimul NIS, în forma sa actuală, nu reflectă realitățile atacurilor și nu oferă autorităților capacitatea de supraveghere necesară. De exemplu, doar 12–22 incidente au fost raportate anual între 2019 și 2021, deși procentul de atacuri asupra companiilor era mult mai mare, iar presa documenta incidente care nu erau declarate autorităților competente.

În răspuns la aceste constatări, guvernul britanic a lansat o serie de consultări în 2022-2024, culminând cu o reformă legislativă mai ambițioasă decât ajustările propuse inițial. Proiectul de lege, numit Cyber Security and Resilience (Network and Information Systems) Bill, modifică arhitectura NIS Regulations, nu doar prin extinderea domeniului, ci și prin crearea unui cadru de guvernanță flexibil, capabil să fie actualizat în ritmul transformărilor tehnologice și al amenințărilor emergente, similar cu Directiva europeană NIS2.

2.1. Extinderea domeniului NIS

Reforma propusă adaugă noii categorii de organizații care, în ultimii ani, au devenit critice în arhitectura digitală națională. Managed service providers (MSPs), de exemplu, sunt companii specializate care preiau responsabilitatea operațională pentru anumite componente ale infrastructurii digitale ale clienților lor, de la gestionarea sistemelor și aplicațiilor, până la monitorizarea performanței și asigurarea securității cibernetice. Aceștia sunt introduși explicit în Cyber Security and Resilience Bill din cauza  criticității lor drept furnizori. Similar, centrele de date sunt incluse ca infrastructuri critice după ce, în 2022, defecțiunile unor furnizori majori precum Google și Oracle au provocat perturbări semnificative în sistemul de sănătate NHS, demonstrând că absența unei reglementări dedicate reprezintă un risc sistemic.

Sectorul energetic de asemenea se extinde, prin includerea operatorilor cunoscuți sub denumirea de large load controllers, entități care gestionează agregate energetice peste 300 MW și care au un impact direct asupra stabilității rețelei naționale.

În paralel cu lărgirea sferei de aplicare, proiectul introduce un instrument nou: posibilitatea de a desemna „furnizori critici” în afara celor menționați explicit, chiar dacă aceștia sunt micro-întreprinderi sau furnizori indirecți. Această abordare granulară, pe riscuri vine ca răspuns la incidente precum atacul asupra Synnovis în 2024, care a generat peste 11.000 de programări medicale anulate și a demonstrat că entități mici pot reprezenta un risc disproporționat pentru sistemul național. Prin acest mecanism, autoritățile pot numi entități care sunt considerate critice și să asigure că acestea respectă un standard de securitate și reziliență cibernetică.

2.2. Un regim de raportare a incidentelor restructurat

Proiectul propune schimbări și în modul în care incidentele de securitate sunt detectate, raportate și gestionate. Spre deosebire de cerințele inițiale bazate pe un termen general de 72 de ore, noul model introduce un set de criterii mult mai clare pentru determinarea impactului, praguri diferențiate în funcție de tipul entității și o obligație de raportare într-un interval mai scurt atunci când există indicii că un incident poate afecta continuitatea serviciului sau poate avea implicații naționale.

De asemenea, Cyber Security and Resilience Bill introduce obligativitatea informării clienților sau beneficiarilor atunci când natura incidentului o impune, creând un mecanism de transparență. Rapoartele transmise către autoritățile competente vor fi distribuite automat și către Centrul Național de Securitate Cibernetică (NCSC), ceea ce permite o coordonare strategică mai completă și o analiză rapidă a riscurilor la nivel guvernamental.

2.3. Consolidarea capacităților de supraveghere ale autorităților

Noul proiect de lege ar introduce noi instrumente de supraveghere și evaluare a riscurilor pentru autorități. Furnizorii de servicii digitale și managed service providers vor avea obligația de a transmite periodic date relevante privind riscurile și măsurile de securitate, permițând oficiului ICO să identifice vulnerabilități în mod proactiv.

În același timp, legislația introduce un model financiar care autorizează recuperarea costurilor de supraveghere prin taxe aplicate entităților reglementate. Această schimbare elimină dependența de bugetul public și permite autorităților să-și extindă capacitățile operaționale pe măsură ce domeniul NIS se extinde.

2.4. Un nou cadru de coordonare strategică

Cyber Security and Resilience Bill introduce și Statement of Strategic Priorities (Declarația privind prioritățile strategice), un mecanism prin care Secretarul de Stat poate stabili obiective strategice comune pentru toate cele douăsprezece autorități competente (ICO și autoritățile sectoriale). Acest lucru reprezintă un element de modernizare fundamental legislației. Măsura dorește să unească viziunea și modul de aplicare a legislației la nivelul autorităților, pentru a reduce standardele inegale și lipsă de coerență la nivel național.

Adițional, Secretarul de Stat are avea puteri de direcționare extinse, ce permit intervenția directă asupra unei autorități sau a unui operator esențial atunci când o situație cibernetică reprezintă un risc pentru securitatea națională. Această extindere a puterii este discutată din cauza creșterii atacurilor sponsorizate de alte state ostile.

3.  NIS în Uniunea Europeană vs. Cyber Security and Resilience Bill

3.1. Interacțiunea în contextul european

Deși Regatul Unit nu implementează NIS2, proiectul de lege din 2025 arată clar că guvernul britcani caută o îmbinare selectivă cu standardul european acolo unde este necesar pentru menținerea competitivității și protejarea infrastructurilor transfrontaliere. Directiva NIS2 extinde semnificativ numărul de entități reglementate în UE, iar operatorii britanici care furnizează servicii în statele membre trebuie să respecte cerințele europene, inclusiv obligația de a desemna reprezentanți în UE.

În același timp, cerința inversă rămâne în vigoare: furnizorii non-UK care oferă servicii digitale în Regatul Unit trebuie să se supună supravegherii ICO. Această dinamică devine și mai relevantă odată cu includerea managed service providers atât în NIS2, cât și în noul regim NIS britanic, ceea ce amplifică importanța respectării cerințelor transfrontaliere și a unei abordări unificate privind securitatea lanțurilor de aprovizionare.

3.2. Dublă conformitate pentru grupurile cu prezență în UE și UK

Grupurile multinaționale care operează atât în UE, cât și în UK se confruntă cu un regim de dublă conformitate. Pe teritoriul UE, trebuie să implementeze cerințele NIS2, cu toate implicațiile privind clasificarea ca entitate esențială sau importantă, supravegherea proactivă, obligațiile extinse de raportare și regimul sever de sancțiuni. În UK, aceleași organizații, sau filialele lor, trebuie să respecte NIS Regulations 2018 și posibilele modificări ale acestor cerințele specifice de la autoritățile britanice. 

Din motive de eficiență, multe companii aleg să trateze NIS2 ca „standard intern minim” și să aplice aceleași politici și controale în toate jurisdicțiile, adaptând doar elementele strict necesare pentru legislația locală. Această abordare are avantajul de a reduce complexitatea internă și de a demonstra un nivel ridicat de maturitate în fața ambilor reglementatori.

3.3. Efecte sectoriale asupra pieței din UK

Sectoarele cele mai afectate pe piața din UK sunt furnizorii de servicii digitale cu expunere în UE, în special cloud providers, marketplace-uri și platforme SaaS, precum și MSP-urile și firmele de securitate cibernetică ce deservesc infrastructuri critice sau clienți corporativi UE. 

În plus, operatorii de servicii esențiale din UK care fac parte din rețele transfrontaliere (de exemplu, companii de energie, transport sau telecom cu filiale în UE) trebuie să integreze cerințele NIS2 în strategia globală de securitate. Chiar dacă entitatea din UK este, formal, sub NIS Regulations, grupul la nivel european va dori să asigure un nivel uniform de protecție.

Aceste dinamici cresc cererea de:

  • programe de cyber resilience bazate pe standarde internaționale (ISO 27001, ISO 22301, NIST CSF); sau
  • servicii de consultanță și gap analysis NIS / NIS2.

NIS Regulations 2018 au oferit Regatului Unit un cadru solid pentru protejarea serviciilor esențiale și a anumitor servicii digitale, stabilind standarde clare privind securitatea, continuitatea operațională și raportarea incidentelor. Proiectul de lege din 2025 demonstrează însă că acest cadru trebuie modernizat pentru a răspunde nivelului actual de amenințări și complexității tehnologice, astfel ca regimul NIS din UK să evolueze către o abordare mai flexibilă și mai orientată spre risc.

În paralel, NIS2 ridică substanțial ștacheta în Uniunea Europeană, lărgind aria entităților reglementate, introducând o clasificare mai granulară, consolidând cerințele pentru securitatea lanțului de aprovizionare și aplicând un regim de sancțiuni și responsabilități personale semnificativ mai strict. Diferențele dintre cele două regimuri creează un context în care organizațiile active atât în UE, cât și în UK trebuie să gestioneze un dublu cadru de conformitate, iar alinierea la standardul mai ridicat, reprezentat de NIS2, devine o strategie pragmatică pentru eficiență și reziliență cibernetică pe termen lung. Pentru mai multe informații despre acest subiect sau pentru suport în procesul de conformare, ne puteți scrie la office@decalex.ro (echipa noastră de specialiști vă poate ajuta să înțelegeți cerințele Directivei NIS2 și să pregătiți organizația pentru noul cadru de securitate).




Diana Cojocaru

Senior Privacy & Security Consultant

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Prevederile Uniunii Europene - DORA, NIS2 și Act AI, pe scurt

Prevederile Uniunii Europene - DORA, NIS2 și Act AI, pe scurt

Industria alimentară în era NIS2: vulnerabilități reale, obligații ferme și soluții practice pentru un lanț de aprovizionare sigur

Industria alimentară în era NIS2: vulnerabilități reale, obligații ferme și soluții practice pentru un lanț de aprovizionare sigur

NIS2 pentru furnizorii de servicii digitale și platformele online

NIS2 pentru furnizorii de servicii digitale și platformele online

Măsura în care angajații tăi sunt pregătiți pentru utilizarea IA te va diferenția de competiție

Măsura în care angajații tăi sunt pregătiți pentru utilizarea IA te va diferenția de competiție

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI