ESET salută decizia legiuitorilor UE de a adopta cea de-a doua Directivă privind securitatea rețelelor și a informațiilor (NIS2), care vizează consolidarea rezilienței cibernetice în întreaga Uniune. Noua legislație vine ca răspuns la dependența tot mai mare a sectoarelor critice de digitalizare și la expunerea crescută a acestora la amenințările cibernetice.
Un întreg ghid, elaborat de ESET pe marginea acestui subiect, poate fi descărcat de aici.
Dar să urmărim explicațiile specialiștilor ESET care au analizat subiectul.
Ce este nou în NIS2?
NIS2, noua directivă aprobată, înlocuiește legislația anterioară NIS, introdusă în 2016, marcând un pas semnificativ în reglementarea securității cibernetice la nivelul Uniunii Europene. Această revizuire aduce cu sine un domeniu de aplicare extins, afectând un număr mai mare de entități din sectoarele considerate cu grad ridicat de criticitate, precum energie, transporturi, sector bancar, alimentare cu apă și ape reziduale, atât din sfera publică, cât și din cea privată. De asemenea, sunt introduse obligații noi pentru entitățile din alte sectoare considerate critice, cum ar fi industria prelucrătoare, industria alimentară, industria chimică, gestionarea deșeurilor, serviciile poștale și de curierat, și altele.
Citeste si:
Companiile clasificate ca fiind de „Nivel Critic Ridicat” vor trebui să ia măsuri tehnice și operaționale pentru a se conforma cu NIS2, inclusiv în ceea ce privește răspunsul la incidente, securitatea lanțului de aprovizionare, criptarea și dezvăluirea vulnerabilităților, analiza adecvată a riscurilor, testarea și auditarea strategiilor de securitate cibernetică și planificarea gestionării crizelor în vederea asigurării continuității activității. În cazul unui incident cibernetic, aceste entități vor trebui să transmită o notificare inițială în termen de 24 de ore și informații mai detaliate în termen de 72 de ore. NIS2 introduce, de asemenea, amenzi în caz de nerespectare, inclusiv suspendarea certificării și răspunderea personală pentru funcțiile de conducere, în conformitate cu legislația națională.
Citeste si:
Cine trebuie să se conformeze la NIS2?
NIS2 determină că toate întreprinderile mijlocii și mari care activează în sectoarele menționate sau furnizează servicii reglementate de această directivă intră sub incidența sa, conform aplicării principiului mărimii. Deși întreprinderile mici și microîntreprinderile sunt exceptate de la noile cerințe, există anumite excepții, cum ar fi IMM-urile din domeniile rețelelor de comunicații electronice, serviciilor de comunicații electronice accesibile publicului sau furnizorilor de servicii de încredere și registrelor de nume de domenii de nivel superior (TLD).
Comparativ cu versiunea sa anterioară, noua directivă NIS2 stabilește o distincție: entități esențiale și entități importante, care reflectă în mod corespunzător caracterul critic al entității, dimensiunea acesteia și probabilitatea de producere a incidentelor. Cerințele vor fi de aceea proporționale cu gradul de expunere a entității (esențiale sau importante) la riscuri și cu impactul social și economic pe care l-ar avea un incident.
Citeste si:
În acest context, securitatea se referă la capacitatea rețelelor și a sistemelor informatice de a rezista la acțiuni care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor. Regulamentul de punere în aplicare al Comisiei [Regulamentul (UE) 2018/151] precizează în continuare elementele de securitate care trebuie respectate: securitatea sistemelor și a facilităților, gestionarea incidentelor, gestionarea continuității activității, monitorizarea, controlul și testarea, precum și standardele internaționale.
Se recunoaște astfel că toate sectoarele și organizațiile care intră sub incidența NIS2 sunt de mare importanță pentru comunitățile din statele membre ale UE. Se înțelege de aceea că perturbarea acestora ar cauza prejudicii grave societății dacă nu ar mai fi în măsură să își îndeplinească funcțiile. În cele din urmă, cele două categorii au fost create pentru a distinge faptul că nu toate sectoarele au același impact asupra societății, la aceeași scară, în cazul unui incident.
Citeste si:
Măsuri minime
Directiva NIS2 propune un set minim de măsuri, care includ realizarea de analize de risc și implementarea politicilor de securitate IT, gestionarea incidentelor, asigurarea continuității activității și gestionarea crizelor, securitatea lanțului de aprovizionare și securitatea achizițiilor, precum și dezvoltarea și întreținerea rețelelor și sistemelor IT. Aceste măsuri vizează, de asemenea, elaborarea de politici și proceduri pentru evaluarea eficacității măsurilor de gestionare a riscurilor și utilizarea criptografiei și criptării.
Suplimentar, entitățile esențiale și importante ar trebui:
• să adopte o serie de practici de igienă cibernetică de bază, precum principiile Zero Trust, actualizările software-ului, configurarea corectă a dispozitivelor, segmentarea rețelei, gestionarea identității și accesului, și să crească gradul de conștientizare a riscurilor la nivelul utilizatorilor.
Citeste si:
• să ofere formare pentru personalul lor și să sensibilizeze publicul cu privire la amenințările cibernetice, cum ar fi phishing-ul sau tehnici de inginerie socială.
• să își reevalueze capacitățile de securitate cibernetică și, după caz, să exploreze integrarea tehnologiilor de consolidare a securității cibernetice, cum ar fi inteligența artificială sau sistemele de învățare automată, pentru a îmbunătăți capacitățile și securitatea rețelelor și sistemelor informatice.
În plus, pentru a demonstra conformitatea cu aceste măsuri, statele membre pot solicita entităților esențiale și importante să utilizeze produse, servicii sau procese IT&C specifice care vor fi certificate în cadrul sistemelor europene de certificare a securității cibernetice adoptate în temeiul Legii privind securitatea cibernetică [Regulamentul (UE) 2019/881].
Citeste si:
Noi cerințe și reglementări
Introducerea NIS2 aduce extinderea domeniului de reglementare, determinând mai multe organizații să înceapă să se conformeze noilor cerințe. Dar ce presupun aceste cerințe și cum vor fi ele implementate?
1. Obligația de diligență
Toate organizațiile incluse sub incidența NIS2 - fie că sunt esențiale sau importante - trebuie să respecte obligația de diligență. Directiva definește un set de măsuri minime pe care furnizorii de servicii trebuie să le respecte. Acestea includ evaluarea riscurilor, gestionarea crizelor și asigurarea continuității operaționale în cazul unui incident cibernetic major, precum și menținerea securității lanțului de aprovizionare. De asemenea, obligația de diligență cuprinde asigurarea securității rețelelor și a sistemelor informatice, utilizarea criptografiei și a criptării, precum și existența unor politici și proceduri pentru evaluarea eficacității măsurilor de gestionare a riscurilor.
2. Obligația de raportare
NIS2 introduce obligația de a raporta incidentele care au un impact semnificativ asupra continuității serviciilor, în termen de 24 de ore de la identificarea incidentului, urmată de o actualizare în 72 de ore și o evaluare finală într-o lună. Pentru a determina dacă un incident are un impact semnificativ, se iau în considerare mai mulți parametri, cum ar fi numărul de utilizatori afectați, durata incidentului și extinderea geografică a impactului. În cazul în care un incident pare să aibă un impact semnificativ, trebuie raportat fără întârziere către autoritățile competente sau către echipele locale de răspuns la incidente de securitate informatică (CSIRT).
Statele membre trebuie să se asigure că efectuează o supraveghere eficientă pentru a verifica respectarea cerințelor directivei. În ceea ce privește entitățile esențiale, aceasta implică o supraveghere proactivă. În schimb, în cazul entităților importante, aceasta implică o supraveghere reactivă, care poate fi declanșată de dovezi, indicii sau informații conform cărora entitatea respectivă nu respectă directiva. NIS2 extinde, de asemenea, răspunderea la persoanele fizice. Astfel, pe lângă persoana juridică, poate fi tras la răspundere și directorul unei organizații.
3. Abordarea obligatorie a notificării
Directiva NIS2 prevede o abordare în două etape pentru raportarea incidentelor. Prima notificare, în termen de 24 de ore, vizează limitarea răspândirii potențiale a incidentului și solicitarea de sprijin. A doua notificare, completă, trebuie făcută ulterior și trebuie să includă o analiză detaliată a incidentului, impactul acestuia și măsurile de atenuare. Incidentele considerate semnificative trebuie raportate conform procedurilor stabilite.
A. Notificări inițiale - În termen de 24 de ore de la luarea la cunoștință a incidentului, fără întârzieri nejustificate, către autoritatea competentă sau către CISRT-ul relevant la nivel național, indicându-se, dacă este posibil, dacă un act ilegal sau rău intenționat a cauzat incidentul. În termen de 72 de ore de la transmiterea primei alerte, entitatea afectată trebuie, de asemenea, să transmită o actualizare și o evaluare cu mai multe detalii privind atacul și măsurile puse în aplicare. Dacă entitatea solicită acest lucru, este posibil să primească îndrumare privind punerea în aplicare a unor potențiale măsuri de atenuare și, dacă este necesar, asistență tehnică suplimentară. În cazul unui incident criminal, entitatea afectată primește, de asemenea, îndrumări privind raportarea incidentului către autoritățile de aplicare a legii.
B. Notificarea finală - În cele din urmă, în termen de o lună de la depunerea notificării inițiale sau a primului raport, trebuie să se prezinte un raport final, care să includă (i) o descriere detaliată a incidentului, a gravității și a consecințelor acestuia, (ii) tipul de amenințare sau de cauză care ar fi putut duce la incident și (iii) măsurile de atenuare aplicate și în curs de aplicare.
C. Amenințări cibernetice semnificative - Un incident este considerat semnificativ în cazul în acesta are, sau poate avea ca rezultat, perturbări operaționale semnificative sau pierderi financiare pentru entitatea în cauză sau dacă incidentul a afectat sau poate afecta persoane fizice sau juridice, provocând daune materiale sau imateriale semnificative.
D. Notificări voluntare - Entitățile care nu intră în domeniul de aplicare al Directivei NIS2 pot raporta în mod voluntar incidente semnificative, amenințări cibernetice sau incidente evitate din scurt. Autoritatea competentă sau CSIRT urmează procedura descrisă în cadrul „notificării în două etape”. Rapoartele transmise în mod voluntar nu pot face obiectul unor obligații suplimentare. Astfel, dacă o entitate face o notificare voluntară, aceasta nu ar trebui să fie supusă unor obligații mai oneroase decât dacă nu ar fi prezentat-o.
Mecanisme de punere în aplicare
Pentru ambele categorii de entități, autoritățile competente vor avea capacitatea de a efectua inspecții la fața locului și de a supraveghea activitatea off-site prin intermediul profesioniștilor calificați, folosind audituri de securitate specializate, scanări de securitate, cereri de acces la date și documente, precum și solicitări de dovezi privind implementarea politicilor de securitate cibernetică. Lista de verificări poate fi extinsă prin inspecții aleatorii și audituri ad-hoc pentru entitățile esențiale. Cu excepția cazurilor justificate, costurile auditurilor de securitate vor fi suportate de către entitățile auditate.
În cazul în care se constată o încălcare, autoritățile competente pot lua măsuri precum emiterea de avertismente, impunerea de instrucțiuni, oprirea activităților care încalcă directiva, notificarea persoanelor sau entităților afectate de incident și chiar publicarea informațiilor relevante. Dacă aceste măsuri nu sunt suficiente, autoritățile pot suspenda temporar activitățile entității și pot lua măsuri împotriva conducerii acesteia, inclusiv directorul general sau reprezentantul legal.
Directiva NIS2 stabilește sancțiuni minime aplicabile pentru încălcarea obligațiilor de gestionare a riscurilor și raportare. Acestea includ instrucțiuni obligatorii, implementarea recomandărilor dintr-un audit de securitate, alinierea măsurilor de securitate cu cerințele NIS și amenzi administrative. În privința acestor amenzi, directiva face distincție între entitățile esențiale și importante.
Statele membre sunt obligate să ofere autorităților competente capacitatea de a impune amenzi considerabile. În cazul entităților esențiale, amenzile administrative pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală, în timp ce pentru entitățile importante, amenzile pot ajunge până la 7 milioane de euro sau 1,4% din cifra de afaceri anuală globală. Organele de conducere ale acestor entități pot fi și ele trase la răspundere pentru nerespectarea directivelor.
Autoritățile competente ar trebui să ia în considerare circumstanțele specifice ale fiecărui caz atunci când aplică sancțiunile, inclusiv natura, gravitatea și durata încălcării, precum și prejudiciile sau pierderile rezultate, și dacă încălcarea a fost intenționată sau rezultatul neglijenței.
Calendarul de punere în aplicare
NIS2 a intrat în vigoare la 16 ianuarie 2023, dar va deveni aplicabilă după ce statele membre ale UE vor transpune directiva în legislația națională, cu termen limită până în septembrie 2024. Cu toate acestea, organizațiile ar putea planifica să fie pregătite mai devreme, nu numai pentru a fi la timp în ceea ce privește procesul de implementare, ci și pentru a testa diferite bune practici privind gestionarea incidentelor, politicile de control și de raportare.
ESET este un lider global în domeniul securității digitale, cu rădăcini în Uniunea Europeană. Timp de peste 3 decenii, a fost pionier în domeniul software-ului și serviciilor de securitate IT de top pentru companii și consumatori din întreaga lume. De atunci, ESET a devenit cea mai mare companie de securitate IT din Uniunea Europeană, cu soluții care variază de la securitate endpoint, XDR și securitatea mobilă, până la criptare și autentificare cu doi factori.
Prin specialiștii proprii și consultanții parteneri, ESET vă poate ajuta, oferind îndrumare pentru a vă conforma cu noile cerințe NIS2 care sunt relevante pentru organizația dumneavoastră.
Soluțiile ESET pot fi testate gratuit de către companii, indiferent de dimensiunea acestora, fără obligații ulterioare. Pentru descărcarea unei variante de test, click aici.
Sursa foto: safetica.ro
Calculator Salariu: Află câți bani primești în mână în funcție de salariul brut »
Te-ar putea interesa și:
