Pentru a răspunde amenințărilor tot mai mari reprezentate de digitalizare și de intensificarea atacurilor cibernetice, Parlamentul UE a adoptat Directiva „NIS2”, prin care sunt impuse statelor membre UE reguli mai riguroase în materie de securitate cibernetică pentru gestionarea riscurilor, raportarea și schimbul de informații. Cerințele se referă, printre altele, la răspunsul la incidente, securitatea lanțului de aprovizionare, criptare și divulgarea vulnerabilităților.
Aplicarea ei efectivă va avea loc, cel mai devereme, la finalul lui 2023, iar cel mai probabil pe parcursul lui 2024 (până în luna septembrie).
Legislația internă: În anul 2018 a intrat în vigoare , NIS , Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Această directivă a fost transpusă în legislație națională prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.
Există posibilitatea ca și organizația dvs. să se afle printre „beneficiari“, așa că ar fi util să aflați acest lucru din timp, pentru a vă putea adapta din timp politicile și acțiunile necesare.
Dacă prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice sunt publicate 9 sectoare de activitate, Directiva NIS 2 extinde aceste sectoare la 11 esențiale și 7 importante. Astfel, Directiva NIS2 se aplică tuturor entităților economice care ating sau depășesc plafoanele pentru întreprinderile mijlocii.
Directiva NIS2 propune o nouă abordare a actorilor, entități esențiale și entități importante, respectiv a sectoarelor economice, respectiv 11 sectoare esențiale și 7 sectoare importante.
Entități esențiale:
Entități importante
Noua directivă impune entităților esențiale și importante să ia măsuri tehnice, operaționale și organizatorice adecvate pentru a gestiona riscurile care amenință securitatea sistemelor informatice utilizate pentru operațiunile lor și/sau pentru furnizarea serviciilor. Respectivele entități vor trebui, de asemenea, să prevină sau să reducă la minimum impactul incidentelor asupra utilizatorilor sau beneficiarilor serviciilor, precum și asupra altor servicii care depind de ele.
Cerințele includ:
Directiva NIS 2 introduce un regim de amenzi diferențiat pe tipuri de entități. Astfel, amenzile maxime pentru nerespectarea cerințelor ar putea atinge valoarea de 10 milioane de euro sau 2% din cifra de afaceri anuală globală pentru Entitățile Esențiale.
În cazul Entităților Importante, valoarea maximă este de 7 milioane de euro sau 1,4% din cifra de afaceri anuală globală.
Există însă și o „veste bună“ – dacă în urma unui eveniment de securitate se constată atât încălcarea cerințelor directivei, cât și cele GDPR, nu se vor aplica două amenzi, ci doar una singură.