Directiva privind securitatea rețelelor și a informațiilor – Network and Information Security (NIS2) vizează consolidarea rezilienței cibernetice în toate statele Uniunii Europene. Aceasta a intrat în vigoare din 16 ianuarie 2023 și devine aplicabilă în fiecare stat membru ale Uniunii după transpunerea directivei în legislația națională. Se apropie însă termenul – limită (18 octombrie 2024) și este important pentru companii să analizeze cum trebuie să-și adapteze sistemele de securitate cibernetica în acord cu noile reglementări.
Cristiana Deca, expert în cyberscurity și GDPR, CEO&cofondator Decalex, explică în detaliu ce au de făcut companiile, în următoarele 50 de zile, pentru a se conforma noilor reglementări.
Noua legislație încearcă să rezolve aspectele sensibile generate de dependența tot mai mare a sectoarelor economice critice de digitalizare și la expunerea tot mai mare a acestora la amenințările cibernetice.
Vorbim despre un context în care probabilitatea de producere a incidentelor cibernetice a crescut, iar cerințele reglementărilor NIS2 vor fi, pentru fiecare sector și companie în parte, în acord cu gradul de expunere la riscuri, dar și cu repercusiunile sociale și economice pe care l-ar avea un potențial incident cibernetic.
Prevederile directivei se referă la capacitatea rețelelor și a sistemelor informatice de a rezista la acțiuni care compromit integritatea și confidențialitatea datelor. Regulamentul de punere în aplicare al Comisiei [Regulamentul (UE) 2018/151) precizează în detaliu elementele de securitate care trebuie respectate: securitatea sistemelor și a facilităților, gestionarea incidentelor, gestionarea continuității activității, monitorizarea, controlul și testarea, precum și standardele internaționale.
Cine trebuie să se conformeze la NIS2?
Directiva NIS2 extinde domeniul de acțiune, care devine mult mai larg comparativ cu NIS1 (adoptată în anul 2016), prin urmare vizează mai multe entități din sectoarele considerate ca fiind cu grad critic ridicat – energie, transporturi, sector bancar, alimentare cu apă, ape reziduale – atât din domeniul public, cât și din cel privat. În același timp, sunt introduse noi obligații pentru entitățile din alte sectoare „critice”, cum ar fi industria prelucrătoare (producția), industria alimentară, industria chimică, gestionarea deșeurilor, serviciile poștale și de curierat etc.
Devine, astfel, obligatoriu pentru companiile clasificate ca fiind de Nivel Critic Ridicat să ia măsuri tehnice și operaționale pentru a se conforma cu NIS2, inclusiv în ceea ce privește răspunsul la incidente, securitatea lanțului de aprovizionare, criptarea vulnerabilităților, analiza riscurilor, auditul planului intern de securitate cibernetică și al gestionării crizelor.
NIS2 vine și cu amenzi în caz de nerespectare, inclusiv suspendarea certificării și răspunderea personală pentru funcțiile de conducere, în conformitate cu legislația națională. Deși exclude întreprinderile mici și microîntreprinderile de la obligația de a se conforma noilor norme, directiva prevede și excepții, cum ar fi IMM-urile din sectoarele rețelelor de comunicații electronice sau al serviciilor de comunicații electronice accesibile publicului, al furnizorilor de servicii de încredere sau al registrelor de nume de domenii de nivel superior (TLD).
Ce trebuie să facă companiile pentru conformare în aplicarea NIS2
Directiva stabilește cerințe mai stricte pentru companii și instituții, fiind imperativ deja, cu numai o lună înainte, ca organizațiile să se pregătească în vederea conformării la noile reglementări.
Companiile din sectoarele esențiale, precum energie, transporturi, apă, sănătate, finanțe, dar și cele din sectorul digital, vor trebui să implementeze măsuri de securitate mai stricte și să raporteze incidentele de securitate cibernetică prompt și detaliat.
Primul pas în pregătirea pentru conformitate este evaluarea riscurilor și a vulnerabilităților existente. Companiile trebuie să efectueze audituri de securitate pentru a identifica punctele slabe ale rețelelor și sistemelor informatice. Acest proces implică evaluarea infrastructurii IT, a practicilor de securitate curente și a capacității de reacție la incidente.
Pe de altă parte, implementarea Măsurilor de Securitate Directiva NIS2 impune adoptarea unor măsuri de securitate proporționale cu riscurile identificate. Aceste măsuri ar trebui să includă:
- Implementarea unor soluții de protecție avansate: firewall-uri, sisteme de detectare a intruziunilor și criptare.
- Dezvoltarea și implementarea unor politici de management al riscurilor cibernetice, cu proceduri de prevenire, detectare și răspuns la incidente.
- Crearea planurilor de recuperare în caz de dezastru și de continuitate a afacerii, pentru funcționarea neîntreruptă a serviciilor esențiale.
- Educarea și formarea angajaților, prin cursuri de formare, sesiuni periodice de instruire pe teme de securitate cibernetică.
- Exerciții practice care simulează atacuri cibernetice pentru a testa și îmbunătăți reacția organizației la incidente.
Directiva NIS2 subliniază importanța colaborării între sectorul privat și autorități. Companiile trebuie să stabilească canale de comunicare eficiente cu autoritățile naționale responsabile de securitatea cibernetică și să participe activ la schimbul de informații cu partenerii din industrie. Această colaborare este esențială pentru detectarea timpurie a amenințărilor și pentru răspunsul coordonat în cazul unui incident major.
În loc de concluzii, am putea spune că este nevoie, pentru companii, să adopte practici de bază în securitatea cibernetică testate, să organizeze cursuri de formare pentru personalul lor și să sensibilizeze publicul cu privire la amenințările cibernetice (phishing sau tehnici de inginerie socială), să-și reevalueze capacitățile de securitate cibernetică și să urmărească integrarea tehnologiilor de consolidare a securității cibernetice, de tip AI, de exemplu, pentru a crește securitatea sistemelor informatice interne.
Pregătirea pentru Directiva NIS2 nu se încheie la 18 octombrie 2024. Companiile trebuie să mențină un proces continuu de monitorizare și adaptare a măsurilor de securitate. Dezvoltarea amenințărilor cibernetice necesită o actualizare permanentă a politicilor de securitate și a tehnologiilor utilizate, fiind esențială nu doar la respectarea legii, ci mai ales la protejarea integrității și a reputației companiilor.