Datanet » NOUTĂȚI ȘI EVENIMENTE » Tendințe în industrie » Directiva NIS 2 intră pe ultima sută de metri. Ce aveți de făcut pentru asigurarea complianței?
SOITRON GROUP
Menu
Datanet » NOUTĂȚI ȘI EVENIMENTE » Tendințe în industrie » Directiva NIS 2 intră pe ultima sută de metri. Ce aveți de făcut pentru asigurarea complianței?
Directiva NIS 2 intră pe ultima sută de metri. Ce aveți de făcut pentru asigurarea complianței?

Directiva NIS 2 urmează să devină lege în toate țările din Uniunea Europeană începând din octombrie 2024. Noua lege impune responsabilități stricte în domeniul securității cibernetice pentru o serie de organizații medii și mari, dar și pentru alte companii care pot fi considerate importante de către autorități.

Trecerea de la NIS 1 la NIS 2 aduce atât o extindere a ariei de aplicabilitate a legislației, dar și extinderea cerințelor tehnice în sine. La o primă evaluare, în România, cca 6-7 mii de organizații vor intra sub incidența NIS 2, cele mai multe fiind nepregătite, ca strategie, proceduri și tehnologie, pentru respectarea noilor cerințe. Procesul de aliniere la NIS 2 este unul complex,  cu mai multe implicații decât cel indus de apariția GDPR, și este esențial pentru mediul de business, în contextul creșterii reale a riscurilor asociate securității cibernetice.

Citiți articolul de mai jos pentru a afla:

  • Care sunt principalele diferențe între Directiva NIS 1 și 2
  • Ce organizații intră sub incidența NIS 2
  • Care sunt obligațiile de securitate cibernetică cerute de noua directivă
  • Ce aveți de făcut pentru aliniere la Directiva NIS 2

 

Directiva NIS 2 este o legislație aprobată încă din 2022  care își propune să crească nivelul de securitate cibernetică în interiorul Uniunii Europene. Una dintre modalitățile prin care face acest lucru este abordarea unui spectru mai larg de sectoare industriale, impunând implementarea unor măsuri extinse de securitate cibernetică, cu cerințe stricte privind raportarea incidentelor. NIS 2 nu solicită doar organizațiilor publice și private să-și îmbunătățească măsurile de securitate cibernetică, ci și autorităților naționale să stabilească programe de colaborare și intervenție. La modul general, NIS 2 vizează implementarea a patru obiective majore de securitate:

  • gestionarea riscurilor de securitate
  • protecție împotriva atacurilor cibernetice
  • detectarea incidentelor
  • reducerea impactului generat de atacuri.

 

NIS 1 versus NIS 2

 

Adoptată în 2016, Directiva NIS 1 (în România transpusă în Legea 362/2018) avea ca obiectiv creșterea nivelului de securitate a rețelelor și a sistemelor informatice ale operatorilor de infrastructură critică (fizică și digitală) din Europa. Având în vedere generalizarea digitalizării și schimbările esențiale în peisajul crimei cibernetice în ultimii ani, Comisia Europeană a simțit nevoia unei actualizări a legislației, pe de o parte pentru a include mai multe domenii de activitate iar, pe de altă parte, pentru a extinde și consolida cerințele de securizare.

Noua directivă consolidează și simplifică cerințele de securitate și raportare pentru companii, prin impunerea unei abordări de gestionare a riscurilor, care oferă o listă minimă de elemente de securitate de bază care trebuie aplicate. De asemenea, introduce dispoziții mai precise privind procesul de raportare a incidentelor, conținutul rapoartelor și termenele.

Un aspect foarte important este că NIS 2 abordează securitatea ecosistemului de parteneri, indiferent dacă vorbim despre lanțurile de aprovizionare sau relațiile client-furnizor de servicii, punând accentul cu precădere pe sectorul IT&C. Totodată, noua directivă introduce măsuri de supraveghere mai stricte pentru autoritățile naționale și cerințele de colaborare paneuropeană.

Evident, nu lipsesc nici amenzile pentru lipsa de conformitate sau nerespectarea normelor. Dacă NIS 1 prevedea amenzi de maxim 100.000 euro, NIS 2 ridică plafonul la 20 de milioane euro sau până la 2% din cifra de afaceri pentru furnizorii de servicii esențiale și 7 milioane sau 1.45 din cifra de afaceri pentru operatorii de servicii importante. Sancțiunile sunt însă graduale și includ: atenționări, interdicții temporare, expuneri publice etc.

 

Ce companii intră sub incidența NIS 2

 

Conform legislației europene, Directiva NIS 2 se aplică tuturor entităților economice care ating sau depășesc plafonul pentru întreprinderile medii (10 milioane euro venituri sau 50 de angajați) și mari (50 de milioane euro venituri sau 249 de angajați) și care sunt furnizori de servicii esențiale sau importante.

La categoria „Entități Esențiale”, Directiva NIS 2 include următoarele 11 sectoare și 9 sub-sectoare: energie (electricitate, încălzire și răcire centralizată, petrol, gaze, hidrogen), transport (transport aerian, transport feroviar, transport pe apă, transport rutier), sectorul bancar, piața financiară, sănătate, apă potabilă, ape uzate, infrastructură digitală, administrație publică, managementul serviciilor ITC (B2B), activități spațiale. Totodată, categoria „Entități Importante” face trimitere la 7 sectoare principale și 6 sub-sectoare: poștă și curierat, gestionarea deșeurilor, fabricarea, producția și distribuția de substanțe chimice, producție, procesare și distribuție de alimente, producție generală (dispozitive medicale, computere, produse electronice și optice, echipamente electrice, mașini și echipamente, autovehicule, remorci și semiremorci, echipamente de transport), furnizori digitali (marketplace, motoare de căutare, platforme de social networking) și cercetare.

Legislația permite însă autorităților locale (Directoratul Național de Securitate Cibernetică – DNSC, în cazul României) să extindă aplicabilitatea și altor organizații, care sunt sub aceste plafoane, dar care au un profil de risc ridicat în materie de securitate și care ar trebui să facă, de asemenea, obiectul obligațiilor prevăzute de noua directivă.

 

Obligații de securitate cerute de Directiva NIS 2

 

Statele membre trebuie să se asigure că entitățile esențiale și importante adoptă măsuri tehnice, operaționale și organizaționale adecvate și proporționale pentru gestionarea riscurilor la securitatea rețelelor și a sistemelor de informații pe care aceste entități le utilizează pentru operațiunile lor sau pentru furnizarea serviciilor lor, și pentru a preveni sau a minimiza impactul incidentelor asupra beneficiarilor serviciilor lor și asupra altor servicii.

Obligațiile impuse de NSI2 se regăsesc pe mai multe niveluri:

  • Efectuarea de analize de risc și instituirea de politici de securitate IT;
  • Stabilirea unui plan pentru gestionarea incidentelor de securitate;
  • Existența unui plan de continuitate operațională, care să includă back-up, disaster recovery și managementul crizelor;
  • Securizarea întregului lanț de distribuție, incluzând partenerii de afaceri, clienții și furnizorii;
  • Securizarea rețelelor și sistemelor IT și furnizorilor asociați, la nivel de achiziție, dezvoltare sau mentenanță;
  • Instituirea unor politici pentru managementul riscurilor de securitate și aplicarea eficientă a măsurilor de diminuare;
  • Respectarea elementelor esențiale de igienă cibernetică (Zero Trust, spre exemplu) și pregătirea angajaților în acest sens;
  • Utilizarea tehnologiilor de criptare;
  • Adoptarea soluțiilor de autentificare multi-factor.

Totodată, Directiva NIS 2 introduce multiple obligații de raportare a incidentelor cibernetice care au un impact semnificativ asupra continuității serviciilor. În România, această cerință se suprapune și cu cea indusă de legea securității cibernetice și solicită organizațiilor să notifice autorităților orice incident relevant în termen de 24 de ore de la depistarea acestuia. Ulterior, normele prevăd o actualizare în termen de 72 de ore, precum și o evaluare finală după 30 de zile.

Prin incident, directiva înțelege orice eveniment care duce la compromiterea disponibilității, autenticității, integrității sau confidențialității datelor stocate, procesate sau transmise de un operator sau a serviciilor acestuia. De asemenea, directiva introduce mai mulți parametri (nr utilizatori afectați, durata, aria de acoperire) pentru ca un incident să fie catalogat ca relevant și deci supus obligațiilor de raportare. Pentru că noua directivă pune un mare accent pe colaborare și partajarea de informații, notificarea finală trebuie să includă o descriere detaliată a incidentului, a gravității și a consecințelor acestuia, tipul de amenințare și cauzele care au generat incidentul, precum și măsurile adoptate pentru remedierea situației.

 

Ce aveți de făcut pentru alinierea la NIS 2

 

Din perspectiva Datanet Systems, alinierea la NIS 2 necesită o abordare pe trei piloni:

  • Analiza proceselor și strategiei de securitate cibernetică. Aceasta este necesară pentru o încadrare cât mai corectă în categoriile definite de noua reglementare și pentru evaluarea modului în care sunt afectate operațiunile companiei.
  • Evaluarea nivelului de securitate pentru toate soluțiile, uneltele, politicile și procedurile de securitate, pentru înțelegerea situației de facto din organizație. Acest proces va identifica măsurile ce se impun cu prioritate pentru aliniere la cerințele.
  • Dezvoltarea și implementarea unei noi arhitecturi de securitate care să ducă la atingerea unor standarde conforme cu cerințele NIS 2, la nivel tehnologic și procedural, dar și ca igienă cibernetică în rândul utilizatorilor.

Cu Datanet Systems beneficiați de suport pe parcursul întregului proces, atât la nivel de consultanță, cât și de implementare. Portofoliul nostru include soluții de la cei mai reprezentativi furnizori globali și acoperă toate cerințele operaționale care decurg din alinierea la NIS 2. Mai mult, acestea pot fi accesate atât în regim cloud, cât și on-premises, în funcție de cerințele specifice fiecărei organizații, resursele umane disponibile, termenele limită sau constrângerile bugetare.

Pentru mai multe informații despre cum să vă conformați directivei NIS 2, contactați-ne la sales@datanets.ro.