Parlamentul și Comisia Europeană au adoptat recent o versiune actualizată a Directivei privind Securitatea Informației și a Rețelelor (Network and Information Security – NIS). Directiva NIS 2 constituie o avansare majoră față de Directiva CE nr. 1.148/2016, implementată obligatoriu în toate țările membre ale Uniunii Europene începând cu anul 2018. Această actualizare legislativă are scopul de a consolida capacitatea de gestionare a riscurilor de securitate cibernetică la nivelul Uniunii Europene, prin extinderea ariei de aplicare a directivei și introducerea unor cerințe suplimentare de securitate și raportare.
Potrivit estimărilor oficialilor europeni, implementarea Directivelor NIS 2 va impune peste 160.000 de organizații - fie ele publice sau private - să-și întărească capacitățile de protecție. Există posibilitatea ca și organizația dvs. să fie inclusă în această categorie, așadar, este esențial să aflați acest lucru din timp pentru a vă adapta la schimbări fără a întâmpina sincope sau a depune eforturi financiare considerabile.
- Explorând impactul Directivei NIS 2: Ce fel de organizații vor resimți efectele??
Un obiectiv central al directivei revizuite este acela de a lărgi aria de cuprindere, incluzând o gamă mai largă de sectoare și organizații clasificate drept "vitale pentru economia și societatea". În acest sens, Directiva NIS 2 introduce o clasificare nouă a domeniilor economice, distribuindu-le în categoriile de Esențiale și Importante.
- Prin urmare, secțiunea privind „Entități Esențiale“ cuprinde 11 domenii de activitate (majoritatea fiind prezente și în versiunea anterioară, NIS 1) – acestea includ energie, transporturi, sectorul bancar, piața financiară, sănătate, aprovizionarea cu apă potabilă, tratarea apelor uzate, infrastructura digitală, administrația publică, gestionarea serviciilor de TIC (B2B) și domeniul spațial
- Cu adăugarea a 9 subsectoare specifice: producția și distribuția de electricitate, sistemele centralizate de încălzire și răcire, industria petrolului, gazele naturale, hidrogenul, transportul aerian, cel feroviar, transportul pe căi navigabile și transportul pe drumuri.
- Secțiunea „Entități Importante“ acoperă 7 domenii de activitate – servicii de poștă și curierat, managementul deșeurilor, industria manufacturieră, producția și distribuția de substanțe chimice, sectorul alimentar, furnizarea de servicii digitale și sectorul de cercetare și dezvoltare.
- Includerea a 6 subsectoare suplimentare: echipamente și dispozitive medicale, computere și tehnologie informatică, produse electronice și optice, aparatură electrică, mașini și utilaje clasificate în alte categorii, vehicule motorizate, remorci și semiremorci, precum și echipamente destinate transportului.
În esență, Directiva NIS 2 este destinată tuturor entităților de afaceri ce se încadrează sau depășesc pragurile stabilite pentru întreprinderile de dimensiuni medii. Totuși, Directoratul Național de Securitate Cibernetică (DNSC) ia în calcul posibilitatea de a extinde această aplicare și la microîntreprinderi, precum și întreprinderi mici care corespund criteriilor stabilite pentru furnizori de servicii esențiale sau importante.
2. Ce strategii de conformare trebuie implementate de organizațiile sub incidența Directivei NIS 2??
Directiva actualizată solicită ca entitățile esențiale și importante să implementeze măsuri tehnice, operaționale și organizatorice corespunzătoare pentru a controla riscurile la adresa securității sistemelor informatice folosite în activitățile lor și/sau în oferirea de servicii. Aceste entități vor fi, de asemenea, responsabile pentru prevenirea sau minimizarea efectelor incidentelor asupra utilizatorilor sau destinatarilor serviciilor lor, precum și asupra altor servicii interconectate.
Obligațiile stabilite includ:
- Implementarea unei analize a riscurilor și a unor strategii de securitate pentru sistemele informatice
- Utilizarea unor metode standardizate pentru gestionarea incidentelor
- Elaborarea planurilor de continuitate a afacerii
- Aplicarea procedurilor de testare și audit în domeniul securității cibernetice, alături de programe de formare profesională în acest sector
- Adoptarea măsurilor de securizare a lanțurilor de aprovizionare
3. Ce prevederi există pentru raportarea incidentelor?
Directiva NIS 2 cere ca entitățile afectate să raporteze rapid și fără amânări nejustificate orice incident de securitate cibernetică cu impact „semnificativ“ asupra operațiunilor lor și/sau asupra furnizării serviciilor. În situația în care entitățile sunt supuse cerințelor atât ale Directivei NIS 2, cât și ale Regulamentului GDPR, poate fi necesar să raporteze incidentul atât autorității naționale pentru protecția datelor – ANSPCDCP, în cazul României –, cât și autorității competente în domeniul NIS, adică DNSC.
Totodată, entitățile implicate într-un incident de securitate sunt responsabile să informeze rapid partenerii și beneficiarii serviciilor lor, contribuind la diminuarea efectelor incidentului. În plus, clienții și subcontractorii acestor entități sunt obligați să adere la procesele de audit, asigurându-se astfel că standardele de securitate sunt respectate corespunzător.
4. Cum sunt sancționate încălcările directivei?
Directiva NIS 2 stabilește un sistem de sancțiuni financiare variabil în funcție de tipul de entitate. Astfel, pentru nerespectarea normelor, Entitățile Esențiale pot fi sancționate cu amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri anuală la nivel global.
Pentru Entitățile Importante, limita maximă a amenzilor este de 7 milioane de euro sau 1,4% din cifra de afaceri anuală globală. Un aspect pozitiv este că, în cazul unui incident de securitate care implică atât încălcarea Directivei NIS 2, cât și a GDPR, nu se vor aplica două amenzi distincte, ci doar una.
5. Când va intra în vigoare Directiva NIS 2?
Țările membre au un termen de 21 de luni pentru a transpune noua directivă în legislația națională. Astfel, implementarea efectivă se va realiza, în cel mai devreme caz, spre sfârșitul anului 2023 și cel mai probabil pe parcursul anului 2024 (până în septembrie).
Este de menționat că, în România, prima versiune a Directivei NIS (NIS 1) a fost adoptată prin Legea nr. 362 din 2018, devenind obligatorie pentru toate statele membre. Legea a fost pusă în aplicare în ianuarie 2019, iar Normele tehnice referitoare la cerințele minime de securitate pentru rețele și sisteme informatice destinate operatorilor de servicii esențiale au fost stabilite în 2020, prin Ordinul nr. 1.323.
Este posibil ca, pentru NIS 2, procesul să avanseze mai repede. DNSC, în rolul său de autoritate națională în domeniul securității rețelelor și sistemelor informatice, a indicat în noiembrie că a început deja stabilirea priorităților legislative pentru implementarea Directivei NIS 2 la nivel național.
Odată cu aplicarea Directivei NIS 2 în România, multe organizații – fie că sunt publice sau private – vor trebui să facă ajustări semnificative în felul în care administrează și raportează incidentele de securitate.
NOW IT WORKS vă poate ajuta pentru a începe de acum procesul de conformare la cerințele impuse de Directiva NIS 2, astfel încât să evitați orice surprize neprevăzute.
