Întâi GDPR apoi transpunerea Directivei NIS. Urmează NIS2!
Deși atât GDPR cât și Directiva NIS au fost adoptate în anul 2016, amploarea GDPR-ului a opturat importanța directivei NIS, datorită faptului că protecția datelor personale este un subiect de direct interes pentru toți cetățenii europeni. În timp ce Directiva NIS vizează protejarea infrastructurilor critice și digitale, care sunt esențiale pentru activitățile economice și societale și, în special, pentru funcționarea pieței interne.
Pentru a răspunde amenințărilor tot mai mari reprezentate de digitalizare și de intensificarea atacurilor cibernetice, Parlamentul UE a adoptat Directiva „NIS2”, care a intrat in vigoare în anul 2023.
Directiva NIS2 este legislația la nivelul UE privind securitatea cibernetică. Acesta prevede măsuri juridice pentru a stimula nivelul general de securitate cibernetică în UE. Astfel normele UE în materie de Securitate cibernetică introduce în 2016 au fost actualizate și modernizate prin Directiva NIS2 .
Directiva NIS are același scop ca si GDPR-ul, apără interesele cetățenilor Uniunii Europene. Ea obligă furnizorilor de servicii digitale precum și furnizorii de servicii esențiale să ia măsuri adecvate. Riscurile la care sunt supuși cetățenii în urma unui atac cibernetic sunt dintre cele mai grave. Ei pot rămâne făra bani în cont sau fără acces la apa, electricitate, telefonie, internet, sau în imposibilitatea de a accesa servici medicale.
Ce aduce noua Directiva NIS2 ?
Directiva NIS2 aduce o serie de modificări majore. Noua Directivă se va adresa tuturor organizațiilor mijlocii și mari dintr-o serie de sectoare definite în anexele propunerii. În plus vor fi introduse și entități mici, în funcție de nivelul critic pentru economie sau societate.
Iată care sunt acestea:
- au fost extinse categoriile de sectoare abordate
- implementarea cerințelor de securitate impuse companiilor devine responsabilitatea legală a managerilor
- abordează securitatea ‘lanțurilor de aprovizionare’ (supply chain) și relațiile cu furnizorii
- introducerea unei proceduri în două etape pentru raportarea încălcărilor semnificative ale securității;
- introduce măsuri de supraveghere mai stricte pentru autoritățile naționale
- include cerințe mai riguroase de asigurare a respectării legii,
- impunerea, în caz de nerespectare, a unor amenzi administrative de până la 10 milioane EUR sau 2 % din cifra de afaceri totală a entităților la nivel mondial, oricare dintre acestea este mai mare.
Aplicarea efectivă a Directivei NIS2 va avea loc, cel mai devereme, la finalul lui 2023, iar cel mai probabil pe parcursul lui 2024 (până în luna septembrie).
De ce era nevoie de o nouă directivă NIS?
Atacurile informatice pot fi mai eficiente, mai silențioase și infinit dificil de detectat decât lansarea unei rachete, fiind capabile să pună pe butuci economia unei țări prin subjugarea infrastructurilor critice.
Deși sună a scenariu de film de acțiune, aceste lucruri sunt pe cat se poate de reale și îngrijorătoare.
Cel mai elocvent exemplu vine de la vecinii noștri, Ucraina, care, în urma anexarii Crimeei de către Rusia, s-a văzut nevoită să facă față unui val copleșitor de atacuri cibernetice. Au fost atacate website-urile unor organizații, bănci, ministere, ziare și firme de electricitate, culminând cu întreruperea pentru cateva ore a furnizării de electricitate în regiunea Ivano-Frankivsk. Astfel, un banal fișier excel descărcat din neatenție poate ascunde un virus, aflat în stare de hibernare și asteptând să fie activat și să saboteze sistemele infractucturilor critice.
Ce entități vor fi obligate să se supună directivei NIS2?
Una din schimbările majore pe care le aduce noua Directivă este aceea că Administrația Publică devine un sector care intră sub incidența noii Directive.
Dacă prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice sunt publicate 9 sectoare de activitate, Directiva NIS 2 extinde aceste sectoare la 11 esențiale și 7 importante. Astfel, Directiva NIS2 se aplică tuturor entităților economice care ating sau depășesc plafoanele pentru întreprinderile mijlocii.
Directiva NIS2 propune o nouă abordare a actorilor, entități esențiale și entități importante, respectiv a sectoarelor economice, respectiv 11 sectoare esențiale și 7 sectoare importante.
Entități esențiale:
- 11 sectoare: Energie, Transport, Bancar, Piața financiară, Sănătate, Apă potabilă, Ape uzate, Infrastructură digitală, Administrație publică, Managementul serviciilor ITC (B2B) și Spațiu.
- 9 subsectoare: Electricitate, Încălzire și răcire centralizată, Petrol, Gaze, Hidrogen, Transport aerian, Transport feroviar, Transport pe apă și Transport Rutier.
Entități importante
- 7 sectoare: Poștă și curierat, Gestionare deșeuri, Fabricarea, producția și distribuția de substanțe chimice, Alimente, Fabricare, Furnizori digitali și Cercetare.
- 6 subsectoare: Dispozitive medicale, Computere, produse electronice și optice, Echipamente electrice, Mașini și echipamente n.a.p (neclasificate în altă parte), Autovehicule, remorci și semiremorci, Echipamente de transport.
Ce măsuri vor trebuie să adopte organizațiile vizate de Directiva NIS2?
Noua directivă impune entităților esențiale și importante să ia măsuri tehnice, operaționale și organizatorice adecvate pentru a gestiona riscurile care amenință securitatea sistemelor informatice utilizate pentru operațiunile lor și/sau pentru furnizarea serviciilor. Respectivele entități vor trebui, de asemenea, să prevină sau să reducă la minimum impactul incidentelor asupra utilizatorilor sau beneficiarilor serviciilor, precum și asupra altor servicii care depind de ele.
Cerințele includ:
- aplicarea analizei riscurilor și a politicilor de securitate a sistemelor informatice
- adoptarea unor metodologii standard de gestionare a incidentelor
- crearea de planuri de continuitate a activității
- utilizarea de proceduri de testare și audit în materie de securitate cibernetică, precum și de formare în domeniul securitățîi cibernetice
- introducerea de măsuri de securitate a lanțului de aprovizionare
Care sunt consecințele nerespectării directivei?
Directiva NIS2 introduce un regim de amenzi diferențiat pe tipuri de entități. Astfel, amenzile maxime pentru nerespectarea cerințelor ar putea atinge valoarea de 10 milioane de euro sau 2% din cifra de afaceri anuală globală pentru Entitățile Esențiale.
În cazul Entităților Importante, valoarea maximă este de 7 milioane de euro sau 1,4% din cifra de afaceri anuală globală.
In concluzie:
Există posibilitatea ca și organizația dvs. să se afle printre „beneficiari“, așa că ar fi util să aflați acest lucru din timp, pentru a vă putea adapta din timp politicile și acțiunile necesare.
Avem nevoie de masuri de securitate sporite, avem nevoie furnizori de servicii esențiale și digitale capabili să ne protejeze și să răspundă la atacuri cibernetice într-un mod eficient, dar oare suntem pregătiți să realizăm cât de nepregătiți suntem?
Important: Înscrierea operatorilor de servicii esențiale în Registrul operatorilor de servicii esențiale implica depunerea unui raport de audit care atestă îndeplinirea cerințelor minime de securitate și notificare, întocmit de un auditor atestat de către DNS pentru a audita rețele și sisteme informatice ce deservesc servicii esențiale sau servicii digitale.
În România, Autoritatea responsabilă pentru securitatea cibernetica și răspuns la incidente de securitate informatică este DNSC.
Directiva NIS2 implică și alte entități și sectoare. Iată câteva aspecte importante:
- Furnizori de servicii digitale: Companii precum motoarele de căutare, serviciile de cloud computing și piețele online trebuie să respecte cerințele de securitate și de notificare prevăzute de directivă.
- Grupul de cooperare între statele membre: Acest grup sprijină și facilitează cooperarea strategică și schimbul de informații între statele membre.
- Implementarea tehnică și metodologică: Comisia Europeană va adopta un act de punere în aplicare până la 17 octombrie 2024, care va stabili cerințele tehnice și metodologice pentru măsurile de gestionare a riscurilor de securitate cibernetică pentru anumite entități din infrastructurile digitale, furnizorii digitali și managementul serviciilor TIC (business-to-business)3.