Acronimul NIS este cunoscut tangențial de managementul companiilor, cu toate că această primă directivă europeană a fost primul pas semnificativ realizat în direcția îmbunătățirii nivelului de combatere a criminalității cibernetice. Directiva introdusă în 2016 a stabilit o serie de cerințe de securitate pentru operatorii de servicii esențiale (Operators of Essential Services – OES) și pentru furnizorii de servicii digitale (Digital Service Providers – DSP), având un important rol în impunerea unor obligații de raportare a incidentelor și stabilirtea unor cerințe de gestionare a riscurilor.
La începutul acestui an a intrat în vigoare a doua directivă a Uniunii Europene privind rețelele și sistemele de informații, cunoscută ca NIS2, ce înlocuiește Directiva NIS. Extinzând aria de aplicabilitate, NIS2 urmărește „îmbunătățirea capacităților de reziliență și de răspuns la incidente atât ale sectorului public, cât și ale sectorului privat și ale UE în ansamblu”, după cum arată documentul. Acesta actualizează lista sectoarelor și activităților care fac obiectul obligațiilor de securitate cibernetică și prevede remedii și sancțiuni pentru a asigura aplicarea prevederilor sale.
Domeniu de aplicare extins
Concentrându-se pe eforturile de a preveni, răspunde și atenua potențialele atacuri cibernetice, NIS2 se aplică unei game extinse de sectoare economice și categorii de companii în comparație cu versiunea inițială a directivei. Anumite sectoare sunt considerate a avea un grad critic ridicată, incluzând piețele bancare și financiare, infrastructura digitală/TIC B2B, furnizarea de apă potabilă, servicii de canalizare, energie, furnizarea de servicii medicale (incluzând laboratoare, activitățile de cercetare-dezvoltare, producție farmaceutică și de dispozitive medicale esențiale pentru o urgență de sănătate publică precum recenta pandemie de Covid), administrația publică, servicii spațiale și transportul. O listă suplimentară de „alte sectoare critice” include serviciile poștale și de curierat, gestionarea deșeurilor, produse chimice, producția/procesarea/distribuția de alimente, fabricarea de dispozitive medicale și dispozitive de diagnostic, printre alte tipuri de echipamente, furnizori de servicii digitale și organizații de cercetare.
Măsuri de securitate
Articolul 21 al Directivei NIS2 obligă organizațiile să ia măsuri adecvate și proporționale pentru a gestiona riscurile prezentate pentru securitatea rețelei și a sistemelor lor de informații și pentru a preveni sau a minimiza impactul incidentelor asupra clienților lor și asupra altor servicii. Nivelul de securitate trebuie să fie adecvat riscului prezentat, ținând cont de expunerea la riscuri, dimensiunea entității, probabilitatea apariției incidentelor și gravitatea acestora (inclusiv impactul lor social și economic) bazat pe o „abordare a tuturor pericolelor” care vizează protejarea rețelei și a sistemelor informaționale ale organizației și a mediului lor fizic de incidente.
Cerințele Directivei NIS2
Măsurile NIS2 se bazează pe abordarea tuturor pericolelor posibile și urmărește să protejeze de incidente atât sistemele de rețea și informații, cât și mediul fizic al acestor sisteme. Cerințele include adoptarea de politici, utilizarea de proceduri pentru gestionarea incidentelor, pentru continuitatea afacerii (Business Continuity), asigurarea securității lanțului de aprovizionare, instruirea utilizatorilor, gestionarea activelor (Asset Management), precum și o serie de obligații de raportare.
Cuantumul amenzilor aplicate
Autoritățile naționale sunt împuternicite să penalizeze abaterile de la prevederile NIS2, iar amenzile pot ajunge până la 10 milioane EUR sau 2% din cifra de afaceri globală a entității, oricare dintre acestea este mai mare. În cele mai grave cazuri, amenzile pot ajunge până la 20 de milioane EUR sau 4% din cifra de afaceri globală a entității, oricare dintre acestea este mai mare. Pe lângă aceste amenzi, autoritățile naționale au competența de a impune alte măsuri, cum ar fi ordinele de suspendare sau restricționare a activităților unei entități pentru a proteja securitatea rețelelor și a sistemelor de informații. Prin urmare, este important ca OES și DSP să se asigure că respectă cerințele Directivei NIS2.
Pașii următori
Directiva NIS2 trebuie transpusă în legislația națională a statelor membre UE până la 17 octombrie 2024, iar statele membre trebuie să stabilească o listă a entităților esențiale și importante până la 17 aprilie 2025. În același timp, ENISA (European Union Agency for Cybersecurity) trebuie să creeze și să mențină un registru al entităților supuse NIS2 pe baza listelor create de statele membre.
Implementarea Directivei NIS2 la nivelul României intră în atributul Directoratului Național de Securitate Cibernetică, DNSC, autoritate competentă la nivel național pentru securitatea rețelelor și sistemelor informatice. Cei interesați găsesc pe site-ul organizației, la adresa https://dnsc.ro/pagini/ansrsi întregul set de informații necesar pentru a afla pachetul de măsuri pe care trebuie să-l adopte la nivelul organizației lor.
Pagini realizate de Bogdan LEARSCHI