Până la data de 17 octombrie 2024, fiecare stat membru este obligat să transpună în legislația națională măsurile de conformare cu Directiva NIS 2 (Network Information Security Directive), ceea ce înseamnă că începând din 18 octombrie, toate organizațiile vizate trebuie să se conformeze cerințelor acesteia. Obiectivul final este obținerea unui nivel ridicat și comun de securitate cibernetică în întreaga Uniune Europeană.
NIS 2 înlocuiește Directiva inițială NIS, pe care o actualizează. Noua Directivă vizează în principal companiile de mărime mijlocie și mare, și a extins lista inițială a sectoarelor și subsectoarelor cărora li se adresează. În plus, NIS 2 clasifică diferit întreprinderile „beneficiare”, în „entități esențiale” (energie, transport, financiar-bancar, sănătate, infrastructură digitală etc.) și „entități importante” (poștă și curierat, alimente, fabricare, furnizori digitali etc.) În plus, NIS 2 crește penalitățile și valoarea amenzilor. Pe acest subiect, citiți și „Directiva NIS 2 – 5 lucruri pe care trebuie să le știți”.
Observăm că, în discuțiile din industrie despre NIS 2, se pune prea mult accent pe sancțiuni și schimbări, în timp ce măsurile minime necesare pentru conformitate sunt adesea neglijate. În acest articol vă propunem să ne concentrăm pe partea practică a implementării Directivei. Cerințele minime sunt împărțite în 4 categorii.
Guvernanță
Potrivit Directivei NIS 2, conducerea organizațiilor vizate va avea sarcina de a aproba măsurile de gestionare a riscurilor de securitate cibernetică adoptate în respectivele întreprinderi. Top managementul va supraveghea și implementarea acestora, și poate fi chiar și tras la răspundere (suspendare temporară din funcție). Tocmai de aceea, echipa executivă este obligată să urmeze cursuri de instruire în domeniul securității cibernetice, fiind încurajată să ofere training similar și angajaților (identificarea riscurilor de cybersecurity, practici de gestionare a acestora, impactul lor asupra serviciilor organizației).
Sistemele de certificare europene
Potrivit articolului 24 din Directiva NIS 2, statele membre ar putea solicita companiilor să îndeplinescă cerințele de conformitate în cadrul rețelelor lor, produse, servicii și procese care sunt certificate conform unor framework-uri europene de certificare a securității cibernetice, precum Cybersecurity Act. Dacă acestea nu sunt disponibile la nivel european, organizațiilor li se recomandă să se ghideze după standardele internaționale. În ceea ce privește standardele industriale pentru mediile OT (Tehnologie Operațională), UE recomandă adoptarea standardului IEC 62443.
Managementul riscurilor de securitate cibernetică
Entitățile esențiale și importante trebuie să adopte măsuri tehnice și operaționale pentru a gestiona riscurile la adresa propriilor rețele și sisteme informatice. Măsurile trebuie să fie proporționale cu expunerea organizației la risc și cu dimensiunea acesteia. Totodată, trebuie să țină cont de posibilul impact economic și social pe care l-ar putea avea incidentele de securitate.
De fapt, Directiva NIS 2 obligă companiile la o abordare care presupune pregătirea pentru o gamă completă de incidente și situații de urgență. Pentru a-și putea proteja rețelele și sistemele informatice, precum și mediul fizic al acestora, cerințele minime trebuie să includă:
- Analiza riscurilor și implementarea politicilor de securitate a informațiilor;
- Gestionarea și răspunsul la incidente de securitate;
- Asigurarea continuității operațiunilor;
- Protejarea securității lanțului de aprovizionare;
- Implementarea autentificării multi-factor și a sistemelor de comunicare securizată.
- Proceduri pentru evaluarea măsurilor de gestionare a riscurilor de cybersecurity;
- Practici de igienă cibernetică și training de securitate cibernetică;
- Politici și protocoale pentru criptare și criptografie;
- Securitatea resurselor umane, politici de control al accesului și gestionarea activelor;
- Gestionarea și raportarea vulnerabilităților;
Obligații de raportare pentru conformitatea cu Directiva NIS 2
NIS 2 oferă mai multe informații despre practica de raportare a „incidentelor semnificative”, adică acelea care au provocat/pot provoca perturbarea severă a serviciilor sau pierderi financiare pentru companie, sau care afectează/provoacă daune de orice fel altor persoane fizice/juridice.
În primul rând, organizațiile sunt obligate să îi informeze pe destinatarii serviciilor lor, care ar putea fi afectați, despre măsurile luate ca răspuns la amenințare, sau, după caz, despre amenințarea în sine.
În România, raportarea se realizează către Directoratul Național de Securitate Cibernetică (DNSC) în mod etapizat, astfel:
- Avertisment timpuriu. Un incident semnificativ de securitate cibernetică trebuie raportat în maximum 24 de ore după a fost detectat. Avertismentul va include informații despre natura incidentului (dacă a fost cauzat de acte ilegale/malițioase, posibilul impact transfrontalier etc.)
- Notificare a incidentului, în termen de 72 de ore de la luarea la cunoștință de incidentul semnificativ. Notificarea actualizează avertismentul timpuriu printr-o evaluare inițială care include gravitatea și impactul incidentului, și, după caz, indicatori de compromitere.
- Raport intermediar, la cererea DNSC sau a altor autorități competente, care include actualizări relevante ale statusului incidentului.
- Raport final. Va fi transmis în termen de cel mult o lună de la notificarea incidentului.
Octombrie 2024 – termen limită pentru NIS 2
Noua Directivă impune măsuri de gestionare a riscurilor de securitate cibernetică mai stricte, cu accent pe raportare, instruirea angajaților și siguranța întregului lanț de aprovizionare, împreună cu o abordare de tip „all-hazards” (multi-risc). Deși termenul limită este aproape, organizațiile care nu au făcut deja primii pași către alinierea cu NIS 2, pot începe acum, prin câteva acțiuni de bază:
- Crearea unui cadru de guvernanță prin identificarea și documentarea rolurilor și responsabilităților principalilor factori de decizie (consiliul de administrație, managementul superior și personalul IT);
- Organizarea de traininguri pentru angajați (gestionarea parolelor, phishing, importanța raportării activităților suspecte etc.);
- Stabilirea unui plan complet de răspuns la incidente (detectarea și raportarea incidentelor, mitigare ș.a.);
- Evaluarea periodică a riscurilor (inclusiv pentru securitatea lanțului de aprovizionare)
- Implementarea instrumentelor corecte de detectare a amenințărilor și monitorizare, Threat Intelligence și pentru securizarea rețelelor și a dispozitivelor terminale.
Măsurile minime pentru respectarea Directivei NIS 2 sunt fundamentale pentru protejarea infrastructurii digitale în fața amenințărilor cibernetice. Prin respectarea lor, organizațiile își reduc riscurile și asigură securitatea și reziliența operațională în mediul cibernetic modern. Este însă o acțiune complexă, mai ales pentru organizațiile lipsite de resurse interne calificate.
Luați legătura cu NOD pentru a demara procesul de conformare cu directiva NIS 2 în compania dumneavoastră.