Soluții practice pentru respectarea directivei NIS
La 5 ani de la apariția Directivei NIS, Operatorii de Servicii Esenţiale (OSE) încă mai au de lucru pentru tratarea optimă a cerințelor de conformitate. Între timp, a apărut însă o versiune revizuită a Directivei (NIS 2 apărută în ianuarie 2023), corelată cu evoluţia curentă a amenințărilor şi a tehnologiei.
Conform prevederilor Comisiei Europene, în etapa următoare vor fi adoptate normele tehnice şi metodologice pentru conformarea diverselor sectoare de activitate, care intră sub incidenţa NIS 2, urmând ca până la 17 octombrie 2024, noua Directivă să fie transpusa în legislaţiile ţărilor comunitate şi să devină activă.
Pentru a facilita alinierea operatorilor de servicii esenţiale la cerințele prezente şi viitoare ale Directivei NIS, Safetech Innovations a organizat un webinar dedicat respectării normelor de conformitate şi minimizării riscurilor, precum şi soluţiilor tehnice concrete pentru atingerea acestor obiective.
Înregistrarea webinarului ”Soluții practice pentru respectarea Directivei NIS transpuse prin Legea 362/2018” poate fi urmărită aici
Planificare și audit
Prima parte a webinarului a fost susţină de Marinel Stanilă, manager al departamentului de Audit, risc şi conformitate al Safetech Innovations, care a sintetizat ce acțiuni trebuie să întreprindă un operator de servicii esenţiale, pentru conformarea cu cerințele NIS pe parcursul a doi ani de activitate.
Pentru un operator de servicii esenţiale gestionarea securității este un proces continuu, care implică multiple acţiuni recurente, de la notificarea înscrierii în registrul OSE, până la prezentarea unui raport de audit la un termen de şase luni. Procesul se reia la fiecare doi ani cu revizuirea registrului şi furnizarea unui nou raport de audit. Totodată, în termen de 60 de zile de la înscrierea în registru, operatorul trebuie să implementeze mecanismul de interconectare cu CERT.RO. Această interconectare permite organizației să primească informații despre incidentele de securitate şi să poată adopta măsuri în consecinţă.
Expertul Safetech a prezentat un ghid etapizat cu toate acţiunile necesare acestui ciclul de doi ani:
• Inventarul activelor
• Analiza riscurilor generate de activitatea operaţionale
• Controale procedurale pentru respectarea SMSI (Sistem de Management al Securității Informației)
• Controale tehnice şi implementarea obiectivelor
• Instruirea resurselor umane
• Analiza și verificarea indicatorilor
• Acreditarea şi responsabilizarea managementului
• Monitorizare continuă şi revizuirea controalelor pentru menținerea nivelului de securitate
Acestor etape le corespund acțiuni tehnice care includ implementarea unei arhitecturi de securitate specifice NIS, cu diverse mecanisme software și hardware.
Abordarea Safetech este structurată pe patru direcții principale de acțiune:
• Construirea unui sistem de gestionare a securității la nivelul întregii organizații,
• Implementarea măsurilor organizatorice și tehnice corespunzătoare,
• Monitorizarea permanentă a nivelului de securitate,
• Testarea periodică a capacității de reziliență a organizației.
Prin această abordare integrată, Safetech susține operatorii de servicii esențiale să atingă obiectivele de conformitate, să monitorizeze și să reducă riscurile precum și să îmbunătățească nivelul de reziliență al organizației.
În proiecte, Safetech se bazează pe un sistem integrat de management, care oferă o perspectivă la 360 de grade asupra securităţii informatice. Compania are cunoștințele, abilitățile şi capacitatea de a pune în practică o arhitectura de securitate conformă cu cerințele NIS, pilonii principali fiind înţelegerea profundă a cadrului de reglementare şi cunoașterea celor mai bune practici din industria de securitate. Mai mult, Safetech are capacitatea de a detecta lacunele de securitate şi vulnerabilitățile din sistemele IT/OT ale operatorilor de servicii esențiale.
Soluții și servicii
Partea a doua a webinarului a fost susținută de Mihai Rauţă, managerul departamentului Soluţii de Securitate din cadrul Safetech. Prezentarea a evidenţiat soluţiile și serviciile de securitate necesare pentru îndeplinirea cerințelor şi asigurarea conformităţii cu Directiva NIS. Conform legislației, sistemele de securitate pot fi independente şi administrate local de către operatorii de servicii esenţiale sau integrate într-un CERT şi operate de un partener precum Safetech. (https://safetech.ro/ro/sti-cert-ideal-solution-monitoring-cybersecurity-incidents/)
Webinarul a sintetizat tipurile de soluţii de securitate recomandate (soluţii pentru endpoint şi echipamente mobile, securitatea perimetrului şi a centrelor de date, detecție şi răspuns la incidente etc) atât pentru medii IT cât și OT/SCADA și a evidențiat necesitatea integrării acestora într-o arhitectură unitară şi funcţională, printr-un sistem de tip SIEM (Security Information and Event Management).
Portofoliul Safetech include produse de generație nouă, bazate pe inteligență artificială şi machine learning, precum şi serviciile asociate, oferind astfel soluții practice la cele mai frecvente provocări ale departamentelor de securitate.
Soluţiile prezentate au fost:
• Cynet 360 – platformă XDR pentru automatizarea operațiunilor de securitate la nivelul întregii organizaţii care oferă detecție extinsă şi protecție end-to-endhttps://safetech.ro/ro/blog/cynet_xdr_platform/)
• Microsoft Defender for IOT – solutie dedicată protecţiei Sistemelor de Control Industrial şi a mediilor OT
• Darktrace Cyber AI Loop – soluție bazată pe algoritmi de machine learning pentru îmbunătăţirea capacității de detecţie a vulnerabilităţilor şi a celor mai avansate atacuri cibernetică
• Check Point Quantum NGFW, Spark, Lightspeed si Maestro – soluţi care centralizează şi simplifică managementul instanțelor de securitate prin intermediul unei console unicehttps://safetech.ro/ro/blog/check-point_maestro_hyper-scalability_in_cybersecurity/)
Safetech este partener certificat Check Point, Microsoft, Cynet și Darktrace şi oferă soluţiile menţionate anterior ca ”sisteme la cheie”. Pentru proiectele de aliniere la cerinţele NIS transpuse prin legea Legea 362/2018, Safetech Innovations oferă servicii complete de proiectare, instalare, configurare, instruire, management de proiecte, mentenanță și optimizare.
În peste 12 ani de activitate, Safetech a realizat numeroase proiecte de audit de conformitate pentru sectoarele financiar-bancar, asigurări, fonduri de pensii, brokeri de asigurări pentru companii din sectoare precum energie, utilități, administrație publică, sănătate, transporturi etc. Experienţa acumulată în peste 25 de proiecte de conformitate cu normele tehnice ale Directivei NIS, deja finalizate, face ca valoarea oferită de Safetech clienţilor să depăşească valoarea însumată a componentelor integrate în proiecte.
Pentru mai multe informații despre modul în care Safetech Innovations vă poate susține în alinierea la cerințele Directivei NIS, vă invităm să programați o discuție cu un reprezentant Safetech Innovations la [email protected] sau prin telefon la 021 316 05 65.