Datanet » NOUTĂȚI ȘI EVENIMENTE » Tendințe în industrie » Datanet Systems ajută organizațiile românești în aplicarea OUG 155/2024 (Directiva NIS 2). Care sunt pașii?
SOITRON GROUP
Menu
Datanet » NOUTĂȚI ȘI EVENIMENTE » Tendințe în industrie » Datanet Systems ajută organizațiile românești în aplicarea OUG 155/2024 (Directiva NIS 2). Care sunt pașii?
Datanet Systems ajută organizațiile românești în aplicarea OUG 155/2024 (Directiva NIS 2). Care sunt pașii?

Câteva mii de companii românești se confruntă cu realitatea alinierii la Directiva NIS 2, după ce, din 31 decembrie, România are o nouă legislație în acest domeniu. OUG 155/2024 clarifică o mare parte dintre incertitudini, stabilind termene clare și introduce noutăți față de textul Directivei europene, prin măsuri suplimentare. Important de menționat, Ordonanța urmează să fie completată, în prima parte a anului 2025, cu ordine ale Directorului DNSC, care vor oferi noi clarificări.

 

Datanet Systems vine în sprijinul tuturor organizațiilor care intră sub incidența Directivei, cu servicii complete, de la consiliere gratuită pentru verificarea aplicabilității, la activități complexe de evaluare a nivelului de securitate și dezvoltarea și implementarea unei noi arhitecturi.

2025 va fi un an marcat de efortul de aliniere, nu doar în România, ci în întreaga Uniune Europeană. Chiar dacă unele organizații au deja experiența Directivei NIS 1, aplicabilitatea NIS 2 este mult mai extinsă. Prin urmare, în majoritatea cazurilor, companiile sau instituțiile publice vizate nu au competențe interne pentru gestionarea fluentă a acestui proces.

 

Verificarea aplicabilității

 

Conform OUG 155/2024, primul pas este verificarea dacă o anumită organizație intră sub incidența Directivei. Anexele 1 și 2 ale Ordonanței listează sectoarele și subsectoarele aferente, considerate de importanță critică/critică ridicată. În cazul în care domeniul de activitate al organizației verificate este menționat în anexe (energie, transport, sectorul bancar, sănătate, apă potabilă, ape uzate, infrastructură digitală, gestionare deșeuri etc.), este foarte probabil ca aceasta să fie vizată de prevederile NIS 2. Următorul pas este verificarea încadrării ca entitate esențială sau importantă, luând în calcul factori precum dimensiunea companiei, impactul serviciilor oferite, riscurile pe care le-ar putea genera asupra societății sau economiei.

Chiar dacă aceste criterii se găsesc în Ordonanță, există numeroase aspecte care pot crea confuzii. Pentru a evita riscurile, Datanet Systems vă pune la dispoziție un formular de evaluare, care să vă ajute în acest proces. Accesați formularul APLICABILITATE DIRECTIVA NIS 2 .

 

Notificarea DNSC și înregistrarea oficială

 

Una dintre principalele noutăți aduse de OUG 155/2024 este crearea unui „registru al entităților esențiale și importante identificate”, gestionat de DNSC. Drept urmare, organizațiile care intră sub incidența acestei ordonanțe au obligația să se înregistreze în acest registru în termen de cel mult 30 de zile, fie de la data intrării în vigoare a ordonanței, fie din momentul când prevederile acesteia li se aplică. Înregistrarea presupune „notificarea” DNSC, adică furnizarea către Directorat a unor informații despre compania vizată, inclusiv datele persoanei desemnate în calitate de reprezentant, intervalele de adrese IP publice ale entității și registrelor de nume TLD. Informațiile care trebuie incluse în notificare pot fi consultate în art. 18 din OUG.

 

Evaluarea nivelului de risc și a strategiei de securitate

 

OUG 155/2024 stabilește două termene foarte clare. La 60 de zile de la înregistrarea oficială, entitățile esențiale și importante vor transmite către DNSC evaluarea nivelului de risc, iar la 60 de zile de la transmiterea evaluării de risc, entitățile realizează o evaluare a nivelului de maturitate a măsurilor de gestionare a riscurilor de securitate cibernetică.

Aceste două procese sunt relativ complicate și necesită un nivel ridicat de competență, precum și o înțelegere de ansamblu a securității cibernetice. Cu Datanet Systems puteți derula ambele tipuri de evaluare, compania având specialiști cu experiență îndelungată, atât pentru aplicarea NIS1, cât și a standardelor ISO 27000.

Evaluarea nivelului de risc cibernetic presupune identificarea, analizarea și cuantificarea amenințărilor și vulnerabilităților care pot afecta securitatea unei organizații. Primul pas esențial este identificarea activelor critice, precum sistemele IT, bazele de date, infrastructura de rețea și informațiile sensibile, care trebuie protejate. Apoi, se analizează amenințările atât externe (hacking, phishing, malware, ransomware), cât și interne (erori umane, acces neautorizat, insider threats), precum și riscurile asociate terților, cum ar fi furnizorii și partenerii de afaceri.

Un alt aspect important este evaluarea vulnerabilităților prin identificarea punctelor slabe din infrastructura IT, efectuarea de audituri și teste de securitate, precum și revizuirea configurațiilor și a politicilor de protecție. În final, se calculează impactul și probabilitatea unui incident de securitate, determinând posibilele consecințe financiare, legale și reputaționale. Pe baza acestor factori, riscurile sunt clasificate în funcție de nivelul de gravitate (scăzut, mediu, ridicat), oferind organizației o imagine clară asupra măsurilor de securitate necesare pentru reducerea expunerii la atacuri cibernetice.

De asemenea, Datanet Systems oferă servicii complete pentru evaluarea strategiei de securitate cibernetică, care abordează toate aspectele critice, inclusiv dimensiunile organizației și procesele acesteia, arhitectura sistemelor și tehnologiile utilizate.  Acest proces este completat cu rezultatele testelor de penetrare (PEN Test), verificările de sănătate ale sistemelor (Security Health Check), scanările de vulnerabilitate și concluziile altor audituri de securitate, dacă există.

Pentru o imagine de ansamblu asupra acestui aspect, vă recomandăm să citiți și articolul: Evaluarea strategiei de securitate, primul pas pentru întărirea apărării cibernetice.

 

Alinierea efectivă la cerințe

 

Conform legislației, în maximum 30 de zile de la autoevaluare, organizațiile trebuie să transmită către DNSC (sau către autoritatea competentă sectorial) un plan concret de remediere a deficiențelor astfel identificate. OUG menționează că planul trebuie să fie „asumat de managementul entității”. Acesta este palierul esențial de acțiune al noii Directive, care prevede existența unor politici și proceduri de analiză a riscurilor și pentru securitatea sistemelor informatice, precum și revizuirea/evaluarea lor periodică, utilizarea criptografiei, securitatea lanțului de aprovizionare, gestionarea și divulgarea vulnerabilităților, politici de control al accesului, continuitatea activității, redresarea în caz de dezastru, formarea în domeniul securității cibernetice, utilizarea soluțiilor de autentificare multifactor sau de autentificare continuă.

În funcție de rezultatele evaluărilor anterioare, Datanet Systems vă poate susține în dezvoltarea și implementarea unei noi arhitecturi de securitate care să ducă la atingerea unor standarde conforme cu cerințele NIS 2, la nivel tehnologic și procedural, dar și ca igienă cibernetică în rândul utilizatorilor.

Portofoliul Datanet include toate soluțiile și uneltele necesare pentru atingerea acestor cerințe, prin parteneriate cu furnizori globali de top precum: Cisco, Fortinet, Palo Alto Networks, Crowdstrike, Infosim, F5, CyberArk etc. Mai mult, la nivel local, ne-am asociat cu alte companii de consultanță pentru a putea oferi servicii personalizate pentru cele mai diverse segmente de activitate sau nișe prevăzute în OUG 155/2024. Pentru o cât mai bună aliniere la cerințe, este necesară înțelegerea specificului activității fiecărui client.

 

Monitorizare și raportare incidente

 

Una dintre cele mai sensibile arii de acțiune ale Directivei NIS 2 este monitorizarea și raportarea incidentelor. Pe de o parte, pentru că termenele sunt foarte stricte, iar pe de altă parte, pentru că depășirile aduc un risc ridicat de amendă. Organizațiile au obligația să respecte următoarele termene clare pentru raportarea incidentelor semnificative:

  • În cazul unui incident cu posibil impact transfrontalier, raportarea trebuie realizată în cel mult 6 ore de la momentul în care au luat cunoștință de acesta.
  • Avertizarea timpurie trebuie transmisă în maximum 24 de ore de la data în care au luat cunoștință de incident.
  • Raportarea incidentului, care include actualizări ale informațiilor, trebuie făcută în cel mult 72 de ore de la descoperirea incidentului.
  • Raportul intermediar, conținând informații actualizate, este realizat la cererea echipei naționale de răspuns la incidente.
  • Raportul final trebuie transmis în cel mult o lună de la notificarea inițială a incidentului.

Toate raportările se fac către echipa națională de răspuns la incidente de securitate cibernetică (CSIRT național), utilizând platforma dedicată PNRISC.

 

Pentru a evita riscurile asociate, Datanet Systems oferă servicii avansate de monitorizare a amenințărilor și de reacție la incidente, bazate pe unelte de top ale furnizorilor deja amintiți și o echipă cu nivel ridicat de expertiză și experiență. Spre exemplu, utilizarea soluțiilor de tip SecOps (Security Operations) aduce o abordare nouă în strategiile de protecție cibernetică prin integrarea politicilor și proceselor de securitate cu operațiunile IT. Această abordare face ca echipele de securitate și cele de operațiuni să colaboreze mult mai eficient și să identifice și rezolve incidentele de securitate mai rapid.

Complementar, orientarea către soluții cu un nivel ridicat de automatizare permite corelarea datelor din surse multiple (e-mail, web, rețea, procese) pentru a detecta atacurile cu o acuratețe mult mai mare. De asemenea, permite scalarea surselor de date pentru identificarea unor modele de comportament sau trafic, pe care angajații le-ar putea rata din cauza încărcării ridicate sau a numărului mare de alerte.

Cu ajutorul acestor servicii (inclusiv de tip Security Operation Center), organizațiile blochează amenințările, limitează pagubele, dar totodată raportează incidentele în timp util către autoritățile competente. Deci, nivel ridicat de reziliență cibernetică, dar și respectarea reglementărilor.

 

Evitarea sancțiunilor

 

Sancțiunile prevăzute prin OUG 155/2024 nu sunt deloc neglijabile. Faptele contravenționale (prevăzute în art. 60) atrag amenzi importante, după cum urmează:

  • Entitățile esențiale: amenzi între 10.000 lei și 10.000.000 euro (echivalentul în lei) sau până la 2% din cifra de afaceri.
  • Entitățile importante: amenzi între 5.000 lei și 7.000.000 euro (echivalentul în lei) sau până la 1,4% din cifra de afaceri.

De asemenea, DNSC poate acorda avertismente și poate dispune suspendarea temporară a certificărilor sau autorizațiilor, informarea clienților organizației și impunerea de interdicții temporare pentru conducerea acesteia. Sancțiunile pot fi consultate în OUG 155/2024 (art. 48-49).

Inițierea timpurie a proceselor de evaluare a nivelului de risc și maturitate, precum și dezvoltarea unor arhitecturi moderne de securitate care să permită blocarea eficientă a atacurilor și raportarea în timp util a incidentelor sunt singurele căi pentru evitarea sancțiunilor. Valorile unor astfel de amenzi pot fi mai mari decât efortul de aliniere, iar investiția în securitatea cibernetică aduce complementar și diminuarea altor riscuri specifice, generate de atacurile ransomware, spre exemplu. Prin urmare, efortul asociat alinierii la cerințele Directivei NIS 2 poate avea o „amortizare” rapidă.

Alături de Datanet Systems, puteți parcurge întreg parcursul alinierii la Directiva NIS 2, de la evaluarea nivelului de risc și maturitate până la implementarea măsurilor de securitate și monitorizarea constantă a infrastructurii digitale. Pentru mai multe informații despre conformarea la Directiva NIS 2 și OUG 155/2024 programați chiar acum o ședință de CONSILIERE GRATUITĂ.