Parlamentul și Comisia Europeană au adoptat recent o nouă versiune a Directivei pentru Securitatea Informației și a Rețelelor (Network and Information Security – NIS). Directiva NIS 2 reprezintă o actualizare a Directivei CE nr. 1.148/2016 care a devenit obligatorie pentru toate statele membre ale Uniunii în 2018. Update-ul legislativ are rolul de a îmbunătăți capacitatea de gestionare a riscurilor de securitate cibernetică la nivelul Uniunii Europene prin extinderea ariei de aplicare a directivei și introducerea unor cerințe suplimentare de securitate și raportare.
Conform estimărilor oficialilor europeni, Directiva NIS 2 va obliga peste 160.000 de organizații – publice sau private – să își consolideze capacitățile de protecție. Există posibilitatea ca și organizația dvs. să se afle printre „beneficiari“, așa că ar fi util să aflați acest lucru din timp, pentru a vă putea adapta la schimbări fără sincope și eforturi financiare mari.
1 – Ce tipuri de organizații vor fi afectate de Directiva NIS 2?
Unul dintre principalele obiective ale noii directive este cel de extindere a domeniului de aplicare la mai multe sectoare și entități considerate „esențiale pentru economie și societate“. Pentru aceasta, Directiva NIS 2 propune o nouă abordare a domeniilor economice vizate, pe care le împarte în Esențiale și Importante.
- Astfel, capitolul „Entități Esențiale“ include 11 sectoare (majoritatea se regăseau și în NIS 1) – energie, transport, sectorul bancar, piața financiară, sănătate, apă potabilă, ape uzate, infrastructură digitală, administrație publică, managementul serviciilor ITC (B2B), spațiu
- Și 9 subsectoare – electricitate, încălzire și răcire centralizată, petrol, gaze, hidrogen, transport aerian, transport feroviar, transport pe apă, transport rutier
- Capitolul „Entități Importante“ include 7 sectoare – poștă și curierat, gestionare deșeuri, fabricarea, producția și distribuția de substanțe chimice, alimente, fabricare, furnizori digitali și cercetare.
- Și 6 subsectoare – dispozitive medicale, computere, produse electronice și optice, echipamente electrice, mașini și echipamente neclasificate în altă parte, autovehicule, remorci și semiremorci, echipamente de transport.
În principiu, Directiva NIS 2 se aplică tuturor entităților economice care ating sau depășesc plafoanele pentru întreprinderile mijlocii, dar Directoratul Național de Securitate Cibernetică (DNSC) ia în considerare și includerea microîntreprinderilor și a întreprinderilor mici care îndeplinesc criteriile furnizorilor de servicii esențiale/importante.
2 – Ce măsuri vor trebuie să adopte organizațiile vizate de Directiva NIS 2?
Noua directivă impune entităților esențiale și importante să ia măsuri tehnice, operaționale și organizatorice adecvate pentru a gestiona riscurile care amenință securitatea sistemelor informatice utilizate pentru operațiunile lor și/sau pentru furnizarea serviciilor. Respectivele entități vor trebui, de asemenea, să prevină sau să reducă la minimum impactul incidentelor asupra utilizatorilor sau beneficiarilor serviciilor, precum și asupra altor servicii care depind de ele.
Cerințele includ:
- aplicarea analizei riscurilor și a politicilor de securitate a sistemelor informatice
- adoptarea unor metodologii standard de gestionare a incidentelor
- crearea de planuri de continuitate a activității
- utilizarea de proceduri de testare și audit în materie de securitate cibernetică, precum și de formare în domeniul securitățîi cibernetice
- introducerea de măsuri de securitate a lanțului de aprovizionare
3 – Care sunt cerințele de raportare a incidentelor?
Directiva NIS 2 impune organizațiilor vizate să notifice fără întârzieri nejustificate autoritățile competente cu privire la orice incident de securitate cibernetică care are un impact „semnificativ“ asupra activității și/sau furnizării serviciilor lor.
Pentru entitățile care trebuie să respecte atât Directiva NIS 2, cât și Regulamentul GDPR, în cazul unui incident poate fi necesară notificarea atât a autorității naționale în domeniul protecției datelor publice – ANSPCDCP în cazul României –, cât și a autorității de reglementare competentă în domeniul NIS – respectiv DNSC.
De asemenea, entitățile afectate de un eveniment de securitate au obligația să își notifice prompt partenerii și destinatarii serviciilor și să îi ajute să atenueze impactul incidentului. La rândul lor, companiile client și subcontractorii sunt obligați să se supună procedurilor de auditare pentru a avea garanția respectării standardelor de securitate.
4 – Care sunt consecințele nerespectării directivei?
Directiva NIS 2 introduce un regim de amenzi diferențiat pe tipuri de entități. Astfel, amenzile maxime pentru nerespectarea cerințelor ar putea atinge valoarea de 10 milioane de euro sau 2% din cifra de afaceri anuală globală pentru Entitățile Esențiale.
În cazul Entităților Importante, valoarea maximă este de 7 milioane de euro sau 1,4% din cifra de afaceri anuală globală.
Există însă și o „veste bună“ – dacă în urma unui eveniment de securitate se constată atât încălcarea cerințelor directivei, cât și cele GDPR, nu se vor aplica două amenzi, ci doar una singură.
5 – Când va fi aplicată efectiv Directiva NIS 2?
Statele membre dispun de 21 de luni pentru implementarea noi directive prin transpunerea în legislația națională a fiecărei țări. Ceea ce înseamnă că aplicarea ei efectivă va avea loc, cel mai devereme, la finalul lui 2023, iar cel mai probabil pe parcursul lui 2024 (până în luna septembrie).
Reamintim că, în România, NIS 1 a fost adoptată – prin Legea nr. 362 – în 2018, când directiva a devenit obligatorie pentru toate statele membre. Formă finală a legii a intrât în vigoare în ianuarie 2019, iar Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale au fost aprobate în 2020 (prin Ordinul nr. 1.323).
S-ar putea însă ca, în cazul NIS 2, lucrurile să se miște mai rapid. DNSC, în calitate de autoritate competentă la nivel național pentru securitatea rețelelor și a sistemelor informatice, a anunțat în noiembrie că a demarat deja procesul de stabilire a priorităților legislative pentru a implementa Directiva NIS 2 la nivel național.
Intrarea în vigoare a Directivei NIS 2 la nivel național va obligă numeroase organizații din România – publice sau private – să adopte schimbări importante în modul în care gestionează și raportează evenimentele de securitate.
Nu are sens însă să așteptați până în 2024 – partenerii NOD va pot ajuta să începeți încă de pe acum procesul de aliniere la cerințele prevăzute în Directiva NIS 2, încât să nu fiți luați prin surprindere.