Consiliul a adoptat un act legislativ pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune, pentru a îmbunătăți și mai mult reziliența și capacitățile de răspuns la incidente atât ale sectorului public, cât și ale sectorului privat, precum și ale UE în ansamblu.
Noua directivă, denumită „NIS 2”, va înlocui actuala directivă privind securitatea rețelelor și a sistemelor informatice (Directiva NIS).
NIS 2 va stabili nivelul de referință pentru măsurile de gestionare a riscurilor în materie de securitate cibernetică și pentru obligațiile de raportare în toate sectoarele reglementate de directivă
Directiva NIS sau Directiva Uniunii Europene nr.1148/2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană își produce de anul acesta efectele și în România, cu impact puternic asupra companiilor care nu se conformează. Amenzile pot ajunge până la 5% din cifra de afaceri.
Operatorii de servicii esențiale precum cele medicale, bancare, de furnizarea și distribuirea de apă potabilă, transport sau un furnizor de servicii digitale, sunt obligati să aiba în vedere modalitățile practice prin care sa mentina un nivel minim de securitate cibernetică a rețelelor și sistemelor informatice pe care compania acestora le folosește.
Obiectivul Directivei NIS este, așadar, acela de a proteja cetățenii europeni, obligând companiile din industriile critice să adopte un set de măsuri și mecanisme standard prin care să poată asigura un nivel comun ridicat de securitate cibernetică. În plus, Directiva creează cadrul necesar pentru ca statele membre să poată colabora pentru identificarea și anihilarea rețelelor de furt cibernetic.
Operatorii de Servicii Esențiale (OSE) din 7 sectoare de activitate vitale pentru economie
- energie;
- transport;
- sectorul bancar;
- domeniul medical;
- infrastructuri ale pieței financiare;
- infrastructură digitală;
- furnizarea și distribuirea de apă potabilă.
Furnizorii de Servicii Digitale (FSD)
- piețe online;
- motoare de căutare online;
- servicii de cloud computing.
Dacă ești un furnizori de servicii digitale, dar faci parte din categoria IMM-urilor, nu ți se vor aplica mare parte dintre obligațiile pe care le vom menționa pe parcursul acestui articol.
Pentru a fi însă sigur de statutul companiei în raport cu Directiva NIS, cel mai bine consulți și Normele metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale. Le găsești în Monitorul Oficial, Partea I nr. 584 din 17 iulie 2019. De asemenea, Lista cu serviciile esențiale se poate consulta în Hotărârea nr. 963/2020.
Sancțiuni în cazul nerespectării Directivei NIS
Conform legii, organizatiile care ignora sau nu respecta normele NIS pot suporta amenzi usturatoare, care pot ajunge chiar si la 5% din cifra de afaceri (conform art 38/aln. b). Sanctiunile sunt individualizate, in functie de nivelul de pericol social asociat, perioada incalcarii legale a normelor NIS, precum si consecintelor rezultate.
Astfel, organizațiile ce activează în domenii esențiale pentru populație sunt obligate să își asigure securitatea informatică:
- să implementeze măsuri și protocoale de securitate cibernetică
- să colaboreze cu CERT-RO pentru prevenirea incidentelor
- să ofere răspunsuri articulate la eventualele atacuri informatice
De ce și compania ta are nevoie de măsuri privind securitatea cibernetică în acord cu Directiva NIS?
Dincolo de obligațiile introduse prin lege și chiar dacă acest cadru legal nu se adresează companiei tale, să iei măsurile adecvate pentru a menține un nivel înalt de securitate cibernetică reprezintă, de fapt, polița pe care o plătești pentru a nu înregistra daune materiale și de imagine în cazul unui atac cibernetic. O analiză recentă a SAS, liderul mondial în analitycs, atrage atenția că există premisele ca 2023 să fie anul fraudelor digitale.
Așadar, dacă ai făcut deja investiții în digitalizare sau ai permis telemunca, organizația ta a deschis, probabil, mai mule porți către rețeaua sa informatică. De aceea, ar trebui să te asiguri că rețelele și sistemele informatice ale companiei tale rămân în siguranță și nu riști pierderi financiare.
Cum poți începe?
- Analiza si evaluarea riscurilor
- Realizarea unor planuri de securitate și a unei politici de securitate
- Acreditarea de securitate
- Stabilirea unor indicatori de securitate
- Verificarea conformității privind securitatea informației și auditul de securitate
- Testarea și evaluarea securității rețelelor și sistemelor informatice
- Testarea și evaluarea securității rețelelor și sistemelor informatice
Ce urmează? De unde te poți aștepta la un atac cibernetic?
Normele de aplicare ale legislației ce transpune Directiv NIS te obligă să stabilești o “cartografiere a ecosistemului”. Este practic o listă cu riscurilor potențiale identificate și evaluarea acestora în furnizarea serviciilor esențiale ale companiei tale. Riscurile sunt reprezentate de relațiile cu părțile interesate ale ecosistemului, fie ele interne sau externe, incluzând, dar fără a se limita la furnizori – în special cei cu acces la gestionarea activelor critice ale companiei.
Cum te asiguri că totul funcționează?
Trebuie să te asiguri, prin acorduri la nivel de serviciu (SLA) și/sau mecanisme de audit, că și furnizorii tăi stabilesc măsuri de securitate adecvate. În acest sens elaborează și păstrează o listă cu acorduri la nivel de serviciu și/sau mecanisme de audit.
Respectarea intru totul a legislatiei privind securitatea retelelor si a sistemelor informatice, nu este un lucru pe care il poate face orice companie. Implica forta de munca specializata, care sa gestioneze intreg procesul si resursele financiare pentru ca strategia de securitate sa fie implementate si conforma cu Directiva NIS.
Aceste schimbari nu ar trebui insa sa fie motiv de ingrijorare. Asa cum au existat multe lucruri de lamurit si de implementat ca in cazul GDPR, legislatia europeana se aliniaza de cele maim ult ori la diverse standard internationala, in cazul acest fiind vorba despre Directiva NIS.
Cum te putem susține?
StarTech Team va poate sustine sa implementati si sa mentineti un nivel de securitate cibernetica curpinzator si respectand intru totul cerintele Directivei NIS.
Cu o experienta de peste 20 de ani, livram servicii 24/7, nationale, personalizate pentru tine, astfel incat tehnologia sa devina un aliat pentru afacerile din Romania si din intreaga lume.
Ne alocam toate resursele necesare pentru identificarea, investigarea, prioritizarea, escaladarea și rezolvarea problemelor, care de cele mai multe ori, sunt generate intenționat sau accidental de către resursa umană. Dispunem de o varietate de solutii pentru a va sustine sa implementati un program coerent de rezilienta cibernetica total in conformitate cu reglementarile NIS.
- Securitatea datelor și asigurarea capacității de restaurare în cazul unui atac informatic
- Protecția accesării datelor
- Echipă dedicată pentru updatarea sistemelor și a soluțiilor IT
- Echipă dedicată de securitate IT pentru administrarea soluțiilor și a serviciilor de securitate IT
- Audit IT, Penetration Testing & Social Engineering
- Security Operation Center
- Network Operation Center
- Scanare Periodică Vulnerabilități
- Colectarea logurilor de securitate
- Implementare Politică de Backup
- Creare plan de Disaster Recovery & Business Continuity
