Cum afectează Directiva NIS2 companiile și ce măsuri trebuie să implementeze pentru conformitatea securității cibernetice?

Directiva NIS2, adoptată oficial în decembrie 2022, vine ca un răspuns necesar la amenințările cibernetice în creștere, consolidând reziliența infrastructurilor critice din statele membre. România, alături de celelalte țări ale UE, a fost obligată să transpună această directivă în legislația națională până la 17 octombrie 2024, ceea ce a dus la introducerea Ordonanței de Urgență a Guvernului nr. 155/2024.

Această directivă impune măsuri de securitate cibernetică mai stricte în multiple sectoare esențiale, de la administrație publică și servicii financiare până la gestionarea deșeurilor și infrastructura digitală. Prin crearea unor strategii naționale clare, intensificarea cooperării între statele membre și stabilirea unor cerințe riguroase de conformitate, NIS2 vizează protejarea unor domenii critice de activitate.

Ce înseamnă un incident de securitate cibernetică?

Un incident de securitate cibernetică este un eveniment care compromite una sau mai multe dintre caracteristicile de: disponibilitate, autenticitate, integritate și/sau confidențialitate, având impact clar asupra:

• Datelor stocate, transmise sau procesate
• Serviciilor transmise prin rețele și sisteme de informații.

Principalii piloni ai Directivei NIS2

Directiva NIS2 se bazează pe trei piloni fundamentali:

1. Strategii naționale de securitate cibernetică – Statele membre ale UE trebuie să dezvolte și să implementeze strategii clare și coordonate pentru îmbunătățirea securității cibernetice la nivel național.
2. Cooperare strategică și schimb de informații – Directiva pune accent pe colaborarea dintre statele membre și schimbul de informații despre amenințările cibernetice, pentru o apărare colectivă mai eficientă.
3. Securitatea în sectoare-cheie – NIS2 se aplică unor domenii vitale pentru societate, inclusiv sănătate, energie, transport și infrastructură digitală, impunând standarde ridicate de securitate.

Ce cerințe aduce Directiva NIS2?

Pentru a crește securitatea organizațiilor și sectoarelor afectate, Directiva NIS2 introduce mai multe cerințe esențiale:

1. Gestionarea riscurilor și îmbunătățirea securității

Organizațiile trebuie să adopte măsuri proactive pentru minimizarea riscurilor cibernetice, inclusiv:

• Gestionarea incidentelor de securitate;
• Protecția lanțului de aprovizionare IT;
• Consolidarea securității rețelelor pentru prevenirea atacurilor.

2. Responsabilitatea managementului corporativ

Conducerea organizațiilor are acum un rol esențial în securitatea cibernetică. Managerii sunt responsabili pentru:

• Aprobarea și supervizarea măsurilor de securitate;
• Instruirea și pregătirea în domeniul securității cibernetice;
• Crearea unui cadru de guvernanță clar pentru gestionarea riscurilor digitale.

3. Raportarea incidentelor de securitate

Orice incident major de securitate trebuie raportat rapid autorităților competente. Această cerință ajută la reducerea impactului atacurilor cibernetice asupra serviciilor esențiale și utilizatorilor.

4. Continuitatea afacerii și reziliența operațională

Companiile trebuie să implementeze planuri de continuitate a activității pentru a minimiza efectele incidentelor cibernetice și a reduce timpii de nefuncționare.

Cum sunt afectate companiile în funcție de categoria din care fac parte?

Organizațiile sunt clasificate în două categorii principale:

• Entități esențiale (Highly Critical Sectors) – Acestea sunt supuse unor controale și inspecții periodice, având obligația de a respecta standarde stricte de securitate.
• Entități importante (Critical Sectors) – Deși trebuie să respecte aceleași cerințe de securitate, acestea sunt supuse unui regim de supraveghere post-factum, cum ar fi audituri și cereri de informații.

Sancțiunile pentru neconformitate pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri globală anuală a companiei.

Sectoarele vizate de NIS2

Cele 11 domenii de activitate esențiale includ:

Acestea au fost identificate ca având un impact imediat asupra funcționării societății, sănătății publice și economiei:

1. Administrație publică
2. Bănci
3. Infrastructuri ale piețelor financiare
4. Energie
5. Transport
6. Spațiu
7. Infrastructură digitală
8. Managementul serviciilor TIC
9. Apă potabilă
10. Ape reziduale
11. Sănătate

Cele 7 sectoare critice

Aceste sectoare sunt considerate esențiale datorită consecințelor majore pe care le-ar avea un atac cibernetic asupra lor:

1. Servicii poștale și de curierat
2. Industrie manufacturieră
3. Producția, procesarea și distribuția alimentelor
4. Fabricarea, producția și distribuția de substanțe chimice
5. Gestionarea deșeurilor
6. Furnizori de servicii digitale
7. Cercetare

Cum pot companiile să se conformeze Directivei NIS2?

• Evaluarea riscurilor – Identificarea vulnerabilităților și implementarea strategiilor de reducere a riscurilor.
• Monitorizare și detecție – Utilizarea unor soluții software pentru detectarea și răspunsul rapid la atacuri.
• Protecția infrastructurii IT – Aplicarea de măsuri pentru asigurarea securității rețelelor și a datelor.

Vrei să afli mai multe despre cum te poate impacta pe tine Directiva și care sunt soluțiile software de conformitate NIS2? Completează formularul de mai jos sau trimite un e-mail pe adresa [email protected]