NIS2 pentru profesioniștii în domeniul securității IT – ce este și cum să abordați implementarea acestuia

Directiva NIS2 impune noi obligații de securitate cibernetică companiilor care își desfășoară activitatea în statele membre ale Uniunii Europene. Companiile care vor fi vizate de această modificare a legii vor trebui, printre altele, să asigure continuitatea sistemelor lor IT, să raporteze incidentele de securitate și să organizeze traininguri de securitate cibernetică pentru angajați.

Deoarece sancțiunile pentru nerespectarea obligațiilor impuse pot fi semnificative, este important să vă documentați asupra acestui subiect și să vă pregătiți în mod corespunzător pentru modificările introduse. Cine este afectat de NIS2? De când se aplică și cum să ne pregătim pentru punerea în aplicare a directivei? La aceste întrebări și la altele veți găsi răspuns în articolul de mai jos.

Ce reprezintă NIS2?

Noua directivă NIS2 este de fapt o modificare a legii actuale referitoare la protecția datelor procesare digital. Aceasta înlocuiește directiva anterioară din 2016 – NIS (Network and Information Security) – prin extinderea domeniului său de aplicare și introducerea unor cerințe mai stricte.

Consolidarea rezilienței cibernetice a Uniunii Europene este realizată, printre altele, prin implementarea unui standard uniform de securitate a rețelelor și a sistemelor informatice în statele membre. Noua lege își propune creșterea securității cibernetice prin implementarea acestui standard comun în întregul spațiu UE. 

Directiva stabilește obiectivele legate de securitatea cibernetică și obligațiile care sunt impuse organizațiilor care fac obiectul NIS2 în acest context.  Cu toate acestea, nu oferă orientări detaliate cu privire la modalitățile și soluțiile prin care companiile trebuie să asigure securitatea datelor prelucrate, oferindu-le o anumită libertate de acțiune în acest sens. Totuși, e important de reținut că măsurile luate de companiile private sunt proporționale cu riscurile identificate.

NIS2 – cele mai importante schimbări pe scurt

În ceea ce privește cele mai importante modificări generale pe care NIS2 le introduce în raport cu NIS din 2016, acestea sunt următoarele:

• Noua lege acoperă mult mai multe organizații decât legea existentă. Anterior, 11 sectoare făceau obiectul directivei, NIS2 crește acest număr la 18 și scad pragurile de calificare pentru companiile care își desfășoară activitatea în acestea. 
• Companiile au responsabilitatea de a asigura securitatea cibernetică pe tot parcursul lanțului de aprovizionare, iar gestionarea riscurilor cibernetice devine obligatorie. 
• Angajații companiilor ar trebui să fie pregătiți să înțeleagă riscurile asociate cu mediul digital. 
• Managementul companiilor va fi responsabil pentru eventualele daune cauzate de neîndeplinirea cerințelor privind securitatea cibernetică.
• Companiile sunt obligate să raporteze incidentele de securitate din organizațiile lor autorităților naționale relevante.
• Statele membre trebuie să desemneze o echipă națională de răspuns la incidentele de securitate informatică (CSIRT, Computer Security Incident Response Team). Unitățile naționale vor colabora îndeaproape la nivel UE. 

Care sunt modificările legislative vizate?

Aceste modificări introduse de NIS2 reprezintă un răspuns la gama extinsă de amenințări digitale care au apărut în Europa în ultimii ani. Atacurile cibernetice devin din ce în ce mai frecvente și mai avansate. NIS2 își propune să pregătească mai bine organizațiile și societatea pentru a face față amenințărilor cibernetice în creștere, asigurând în același timp continuitatea infrastructurii și serviciilor care sunt esențiale pentru buna funcționare a statului.

Unificarea normelor în întreaga UE ar trebui, de asemenea, să faciliteze cooperarea între statele membre și să sporească eficacitatea măsurilor de protecție a datelor. Acest lucru permite un răspuns mai rapid și mai eficient la incidente, schimbul de informații privind amenințările și coordonarea activităților la nivel european.

Directiva NIS2 – cine este afectat?

Toate organizațiile (private și publice) care operează în Uniunea Europeană și furnizează servicii de bază pe piață sunt obligate să respecte noua directivă. 

Directiva NIS2 face distincția între două categorii de entități – cheie și importante. Acestea sunt organizații mari și medii care își desfășoară activitatea în sectoare de importanță fundamentală pentru funcționarea societății și a economiei. În același timp, apartenența la un anumit grup este determinată de dimensiunea organizației. 

Prin urmare, directiva se va aplica majorității companiilor mari si medii care îndeplinesc sau depășesc următoarele condiții:

• să aibă un număr de angajați între 50 și 250 de persoane,
• să aibă o cifră de afaceri anuală cuprinsă între 10 și 50 de milioane de euro și un bilanț anual total cuprins între 10 și 43 de milioane de euro

Este important de menționat faptul că o anumită companie poate fi supusă directivei NIS2, indiferent de dimensiunea acesteia, dacă joacă un rol important într-unul dintre sectoarele-cheie pentru funcționarea statului.

NIS2 Sectoare cheie

Acest grup include entități care își desfășoară activitatea în sectoare de importanță fundamentală pentru buna funcționare a țării, și anume:

• Energie – producerea, transmisia și distribuția energiei electrice, gazelor naturale, petrolului, energiei termice și hidrogenului.
• Transport – aerian, feroviar, naval și rutier, operatori de infrastructură de transport.
• Sector financiar – instituții de credit și investiții.
• Infrastructura pieței financiare – burse de valori, depozitari centrali de valori mobiliare, case de compensare, sisteme de plată și decontare.
• Sănătate – spitale, furnizori de servicii medicale, producători și distribuitori de dispozitive medicale, laboratoare.
• Apă potabilă – alimentare cu apă potabilă.
• Infrastructură digitală – furnizori de servicii digitale (de exemplu, servicii cloud, motoare de căutare, platforme de comerț electronic), furnizori de rețele publice de comunicații electronice, servicii de înregistrare a numelor de domenii (DNS), furnizori de servicii de încredere (de exemplu, semnătură electronică, sigiliu electronic).
• Administrație publică – administrația centrală și regională.
• Sector spațial – operatori de sisteme de satelit, furnizori de servicii de lansare, producători de echipamente spațiale.
• Producția, prelucrarea și distribuția de alimente – producători de alimente, procesatori de alimente, distribuitori de alimente.
• Servicii poștale – operatori poștali care prestează servicii generale.
• Gestionarea deșeurilor – entități care se ocupă cu colectarea, transportul, valorificarea și eliminarea deșeurilor.

Sectoare importante NIS2

Acestea sunt de asemenea sectoare importante pentru societate și economie, deși întreruperea funcționării lor ar avea efecte mai puțin severe decât în cazul entităților cheie. Acest grup include:

• Poștă și curieri – entități care furnizează servicii poștale, altele decât serviciile generale și serviciile de curierat.
• Producția unor produse critice – producția de substanțe chimice, dispozitive medicale, computere, echipamente electronice și optice, mașini și echipamente, autovehicule, remorci și semiremorci, alte echipamente de transport.
• Servicii digitale – furnizori de servicii digitale (de exemplu, platforme de social media, platforme de video streaming, platforme de schimb de date), furnizori de servicii de gestionare a centrelor de date, furnizori de servicii de internet, furnizori de rețele publice de comunicații electronice, servicii de înregistrare a numelor de domenii (DNS), TSPs (de exemplu, semnătură electronică, sigiliu electronic).
• Cercetare și dezvoltare – entități care desfășoară activități de cercetare și dezvoltare în domenii de importanță majoră pentru securitatea națională sau economică.

Cum știți dacă NIS2 vizează și compania dvs.?

Noua lege impune companiilor obligația de a se autoidentifica, ceea ce înseamnă că societățile trebuie să evalueze în mod independent dacă sunt compatibile cu reglementările NIS2. 

Pentru a vă ajuta cu această evaluare, am pregătit un scurt sondaj care ia în considerare cele mai importante elemente ale clasificării:

Condiții impuse prin NIS2

Companiile supuse NIS2 sunt obligate să implementeze o serie de activități „tehnice, operaționale și organizaționale” legate de securitatea cibernetică și raportarea incidentelor. 

Acțiunile trebuie să fie adecvate și proporționale

Este important ca aceste măsuri să fie „potrivite și proporționale,” ceea ce înseamnă că ele vor diferi în funcție de fiecare organizație în parte. Companiile au totodată responsabilitatea de a se autoevalua din punct de vedere al securității cibernetice.

Conform directivei: „Atunci când se evaluează proporționalitatea acestor măsuri, se ține seama în mod corespunzător de gradul de expunere a entității la riscuri, de dimensiunea entității și de probabilitatea producerii incidentelor, precum și de gravitatea acestora, inclusiv de impactul lor social și economic.”

NIS2 – elemente obligatorii

Noile reglementări definesc în mod clar domeniul de aplicare al acțiunilor minime care trebuie întreprinse de întreprinderi pentru a asigura conformitatea cu NIS2. Acestea includ:

• elaborarea unei politici referitoare la analiza riscurilor și securitatea sistemelor informatice; 
• gestionarea incidentelor; 
• asigurarea continuității activității, de exemplu gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor; 
• grija pentru securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate și prestatorii sau furnizorii săi direcți de servicii; 
• asigurarea securității în achiziționarea, dezvoltarea și întreținerea rețelelor și a sistemelor informatice, inclusiv gestionarea vulnerabilităților și divulgarea acestora; 
• elaborarea de politici și proceduri de evaluare pentru a evalua eficacitatea măsurilor de gestionare a riscurilor în materie de securitate cibernetică; 
• menținerea practicilor de bază în materie de igienă cibernetică și formare în domeniul securității cibernetice; 
• elaborarea unei politici și proceduri  privind utilizarea criptografiei și, după caz, a criptării; 
• asigurarea securității  resurselor umane, politicile de control al accesului și gestionarea activelor; 
• utilizarea de soluții de autentificare multifactor sau de autentificare continuă, de comunicații securizate de voce, video și text și de sisteme securizate de comunicații de urgență în cadrul entității, după caz.

NIS2 – de când în România?

Directiva va fi transpusă în legislație nu mai târziu de 17 octombrie 2024. Întreprinderile trebuie să evalueze în mod independent dacă noile reglementări li se aplică și, în caz afirmativ, să raporteze acest fapt registrului național al entităților care fac obiectul directivei.

Care este riscul de neconformitate cu NIS2

În funcție de clasificarea companiei, nerespectarea obligațiilor impuse de NIS2 poate duce la sancțiuni administrative de 10 milioane EUR sau 2% din cifra de afaceri anuală totală (în cazul entităților cheie) și de 7 milioane EUR sau 1,4% din cifra de afaceri anuală totală (în cazul entităților importante). 

Este important faptul că, pe lângă sancțiunile financiare, companiile pot fi supuse și altor sancțiuni, cum ar fi:

• un ordin de a lua măsuri specifice pentru a remedia deficiențele și pentru a asigura respectarea directivei,
• emiterea de instrucțiuni obligatorii cu privire la modul de punere în aplicare a măsurilor de siguranță specifice,
• dispunerea unui audit de securitate,
• să notifice clienții cu privire la amenințări în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal al acestora,
• suspendarea temporară a activităților entității,
• interzicerea participării la licitații publice.

Sancțiunile impuse vor depinde de gravitatea consecințelor încălcării, iar valoarea acestora va fi ajustată în funcție de dimensiunea și capacitățile financiare ale entității – astfel încât sancțiunile să fie eficiente, dar nu dezastruoase.

NIS2 – de unde să începeți și la ce să fiți atenți

De unde începem pregătirea organizației pentru îndeplinirea obligațiilor noii legi? 

Cel mai bine este să determinați starea inițială.  Pentru a face acest lucru, analizați ce sisteme IT utilizați în cadrul companiei și apoi determinați importanța acestora pentru continuitatea activității și identificați punctele slabe și potențialele amenințări la adresa acestora. 

Astfel, veți putea determina dacă sunt necesare măsuri de securitate suplimentare și dacă procedurile de securitate ale companiei trebuie modificate. 

La elaborarea noii legi, factorii de decizie politică au acordat o atenție deosebită faptului că securitatea sistemelor informatice poate fi asigurată numai dacă procesele individuale sunt monitorizate în mod continuu. Prin urmare, nu este suficient să configurați sistemele o singură dată – trebuie să analizați în mod constant funcționarea acestora, să detectați posibilele amenințări și să optimizați setările, sporind astfel eficacitatea acestora în menținerea securității. 

Următorul pas important este pregătirea procedurilor în cazul apariției incidentelor de securitate și, prin urmare, a amenințărilor la adresa continuității sistemelor și a întregii organizații. Desigur, astfel de evenimente pot fi mai mult sau mai puțin semnificative și pot avea diferite niveluri de risc. Prin urmare, acțiunile întreprinse ar trebui să fie întotdeauna adecvate amenințării – modificările introduse de NIS2 impun organizațiilor obligația de a raporta incidentele autorităților naționale relevante. Prin urmare, merită întotdeauna să verificați dacă incidentul se califică pentru un astfel de raport.

Echipa FOTC vă va ajuta să vă pregătiți pentru NIS2

În cazul în care compania dvs. este afectată de NIS2si nu aveti resursele necesare să începeți să faceți modificări, contactați specialiștii noștri. Echipa FOTC va va ajuta să transferați infrastructura în cloud-ul Google, unde se asigură continuitatea sistemelor, iar standardele stricte de securitate îndeplinesc pe deplin cerințele impuse de NIS2. 

Pentru a vă ajuta să fiți compatibili cu NIS2, serviciile noastre includ:

• Migrarea companiei la Google Workspace – Serviciul îndeplinește toate cerințele de securitate necesare în întreprinderile supuse unor restricții speciale privind protecția informațiilor prelucrate. Datele sunt criptate atât în repaus, cât și în timpul transmisiei lor, iar continuitatea sistemelor este asigurată de SLA la nivelul de 99,9999%.
• Monitorizarea securității Google Workspace – este un serviciu care vă informează cu privire la orice amenințări grave care au apărut în instanța Google Workspace din compania voastră. Specialiștii FOTC monitorizează securitatea serviciului 24/7, iar alertele configurate corespunzător permit acțiuni preventive imediate. Echipa noastră a dezvoltat, de asemenea, proceduri stricte în cazul incidentelor de securitate
• Instruire pentru utilizatori și administratori – împărtășim experiența noastră vastă în securizarea infrastructurii cloud a clienților prin efectuarea de cursuri de formare pentru administratorii și utilizatorii Google Workspace.

Audit de securitate Google Workspace – auditul efectuat de inginerii FOTC vă permite să determinați nivelul inițial al setărilor instanței voastre Google Workspace în ceea ce privește protecția împotriva scurgerilor de date, a atacurilor cibernetice și a activităților frauduloase ale angajaților. Verificarea include o analiză detaliată a până la 237 de puncte de risc în unsprezece domenii-cheie.