Implementarea Directivei NIS în Romania

Ce este directiva NIS?

Pentru a răspunde amenințărilor tot mai mari reprezentate de digitalizare și de intensificarea atacurilor cibernetice, Parlamentul UE a adoptat Directiva „NIS2”, prin care sunt impuse statelor membre UE reguli mai riguroase în materie de securitate cibernetică pentru gestionarea riscurilor, raportarea și schimbul de informații. Cerințele se referă, printre altele, la răspunsul la incidente, securitatea lanțului de aprovizionare, criptare și divulgarea vulnerabilităților.

Aplicarea ei efectivă va avea loc, cel mai devereme, la finalul lui 2023, iar cel mai probabil pe parcursul lui 2024 (până în luna septembrie).

Legislația internă: În anul 2018 a intrat în vigoare , NIS , Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Această directivă a fost transpusă în legislație națională prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.

Ce entități vor fi obligate să se supună directivei NIS 2?

Există posibilitatea ca și organizația dvs. să se afle printre „beneficiari“, așa că ar fi util să aflați acest lucru din timp, pentru a vă putea adapta din timp politicile și acțiunile necesare.

Dacă  prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice sunt publicate 9 sectoare de activitate, Directiva NIS 2 extinde aceste sectoare la 11 esențiale și 7 importante.  Astfel, Directiva NIS2 se aplică tuturor entităților economice care ating sau depășesc plafoanele pentru întreprinderile mijlocii.

Directiva NIS2 propune o nouă abordare a actorilor, entități esențiale și entități importante, respectiv a sectoarelor economice, respectiv 11 sectoare esențiale și 7 sectoare importante.

Entități esențiale:

  • 11 sectoare: Energie, Transport, Bancar, Piața financiară, Sănătate, Apă potabilă, Ape uzate, Infrastructură digitală, Administrație publică, Managementul serviciilor ITC (B2B) și Spațiu.
  • 9 subsectoare: Electricitate, Încălzire și răcire centralizată, Petrol, Gaze, Hidrogen, Transport aerian, Transport feroviar, Transport pe apă și Transport Rutier.

Entități importante

  • 7 sectoare: Poștă și curierat, Gestionare deșeuri, Fabricarea, producția și distribuția de substanțe chimice, Alimente, Fabricare, Furnizori digitali și Cercetare.
  • 6 subsectoare: Dispozitive medicale, Computere, produse electronice și optice, Echipamente electrice, Mașini și echipamente n.a.p (neclasificate în altă parte), Autovehicule, remorci și semiremorci, Echipamente de transport.

Ce măsuri vor trebuie să adopte organizațiile
vizate de Directiva NIS 2?

Noua directivă impune entităților esențiale și importante să ia măsuri tehnice, operaționale și organizatorice adecvate pentru a gestiona riscurile care amenință securitatea sistemelor informatice utilizate pentru operațiunile lor și/sau pentru furnizarea serviciilor. Respectivele entități vor trebui, de asemenea, să prevină sau să reducă la minimum impactul incidentelor asupra utilizatorilor sau beneficiarilor serviciilor, precum și asupra altor servicii care depind de ele.

Cerințele includ:

  • aplicarea analizei riscurilor și a politicilor de securitate a sistemelor informatice
  • adoptarea unor metodologii standard de gestionare a incidentelor
  • crearea de planuri de continuitate a activității
  • utilizarea de proceduri de testare și audit în materie de securitate cibernetică, precum și de formare în domeniul securitățîi cibernetice
  • introducerea de măsuri de securitate a lanțului de aprovizionare

Care sunt consecințele nerespectării directivei?

Directiva NIS 2 introduce un regim de amenzi diferențiat pe tipuri de entități. Astfel, amenzile maxime pentru nerespectarea cerințelor ar putea atinge valoarea de 10 milioane de euro sau 2% din cifra de afaceri anuală globală pentru Entitățile Esențiale. 

În cazul Entităților Importante, valoarea maximă este de 7 milioane de euro sau 1,4% din cifra de afaceri anuală globală.

Există însă și o „veste bună“ – dacă în urma unui eveniment de securitate se constată atât încălcarea cerințelor directivei, cât și cele GDPR, nu se vor aplica două amenzi, ci doar una singură.

Partenerii DPO DATA CONSULTING vă pot ajuta să începeți încă de pe acum procesul de aliniere la cerințele prevăzute în Directiva NIS 2, încât să nu fiți luați prin surprindere.

Solicită o cerere de ofertă

Call Now Button