Soluții și servicii Safetech pentru conformitatea cu Directiva NIS2
Directiva NIS2 este legislația la nivelul UE privind securitatea cibernetică. Acesta prevede măsuri juridice pentru a stimula nivelul general de securitate cibernetică în UE. Normele UE în materie de securitate cibernetică introduse în 2016 prin Directiva NIS au fost actualizate prin Directiva NIS2, care a intrat în vigoare în 2023. Acesta a modernizat cadrul juridic existent pentru a ține pasul cu creșterea digitalizării și cu evoluția peisajului amenințărilor la adresa securității cibernetice.
Termenul pentru transpunerea Directivei NIS2 în legislația națională (17 octombrie 2024) se apropie rapid, iar procesul de aliniere la noile cerințe este unul complex. Pentru organizațiile care nu au intrat sub incidența NIS1 conformitatea cu noua Directivă impune schimbări semnificative în procesele interne. Acestea pot include noi politici și unelte de securitate, formarea personalului și implementarea de noi proceduri de răspuns la incidente.
Prin urmare, pentru a asigura conformitatea și pentru a evita sancțiunile mai aspre anunțate de NIS2, devine esențială o abordare timpurie și bine structurată. Safetech Innovations a pregătit un pachet de servicii pentru conformitatea cu Directiva NIS2, care oferă ghidare și suport pentru fiecare etapă a acestui proces.
Ce schimbări aduce Directiva NIS2
Obiectivul principal al NIS2 este îmbunătățirea securității cibernetice în Uniunea Europeană prin consolidarea/extinderea cadrului legal stabilit inițial prin Directiva NIS1, și prin soluționarea deficiențelor acesteia. Noua Directivă stabilește măsuri pentru a asigura un nivel minim de securitate cibernetică pentru toate statele membre, pentru a proteja infrastructurile critice și a preveni incidentele de securitate. În plus, îmbunătățește cooperarea între autorități în domeniul securității cibernetice și consolidează nivelul de raportare a incidentelor. Directiva NIS2 aduce schimbări pe trei paliere principale:
1. Extinderea ariei de acoperire către noi sectoare de activitate
NIS2 propune o nouă clasificare a organizațiilor vizate, împărțindu-le în „entități esențiale” (EE) și „entități importante” (EI), și extinde domeniul de acțiune al NIS1 introducând mai multe sectoare și subsectoare de „importanță critică” și „importanță critică ridicată”. Printre sectoarele care intră sub incidența NIS2 menționăm:
- Sectoare cu o importanță critică ridicată: energie (electricitate, termoficare și răcire, petrol, gaz și hidrogen); transport (aerian, feroviar, naval și rutier); bancar; infrastructuri ale pieței financiare; sănătate, inclusiv fabricarea de produse farmaceutice; apă potabilă; ape uzate; infrastructură digitală (puncte de schimb de internet; furnizori de servicii DNS; registre de nume TLD; furnizori de servicii de cloud computing; furnizori de servicii de centre de date; rețele de livrare de conținut; furnizori de servicii de încredere; furnizori de rețele publice de comunicații electronice și servicii de comunicații electronice accesibile publicului); managementul serviciilor TIC (furnizori de servicii gestionate și furnizori de servicii de securitate gestionată); administrație publică și spațiu și
- Sectoare cu importanță critică: servicii poștale și de curierat; managementul deșeurilor; chimicale; alimente; fabricarea de dispozitive medicale, calculatoare și electronice, mașini și echipamente, autovehicule, remorci și semiremorci și alte echipamente de transport; furnizori digitali (piețe online, motoare de căutare online și platforme de servicii de rețele sociale) și organizații de cercetare.
Găsiți toate sectoarele/subsectoarele, precum și informații suplimentare, pe pagina oficială a UE dedicată NIS2.
Potrivit NIS2, principalele entități care intră sub incidența noii Directive sunt organizațiile de dimensiuni mari (> 250 de angajați) și medii (> 50 de angajați), care „își desfășoară activitatea în sectoarele indicate sau furnizează tipul de servicii reglementate” de Directivă. Întreprinderile mici și microîntreprinderile nu sunt vizate, însă NIS2 prevede anumite excepții pentru cele considerate la rândul lor entități critice, de exemplu, pentru IMM-urile cu activitate în sectoarele de comunicații electronice. Aceste excepții vor fi precizate explicit de fiecare stat membru al EU.
Termenul limită pentru întocmirea listelor EE și EI de către fiecare stat membru UE este 17 aprilie 2025.
2. Impunerea unor cerințe minime de protecție
NIS2 obligă EE și EI să își definească politicile de securitate și să deruleze analize a riscurilor și vulnerabilităților, să raporteze vulnerabilitățile, să gestioneze eficient incidentele (prevenire, detectare și răspuns) și să testeze constant eficacitatea măsurilor de securitate cibernetică, să folosească tehnologii de criptare și să aplice proceduri de evaluare a măsurilor pentru gestionarea riscurilor (testare și audit).
În plus, noua Directivă mărește atribuțiile la nivel de top management, care va fi responsabil pentru implementarea măsurilor de securitate și pentru instruirea angajaților, și va putea fi tras la răspundere. Apar și proceduri mai complexe de guvernanță și raportare: rapoarte suplimentare, accent pe continuitatea afacerii (analiză de impact asupra activității, planuri de asigurare a continuității), audituri interne/externe, testări de securitate, revizuirea politicilor etc.
Totodată, NIS2 acordă o atenție sporită securității întregului lanț de aprovizionare. Se cere identificarea vulnerabilităților specifice fiecărui furnizor direct, responsabilizarea întregului lanț de aprovizionare, și sunt încurajate divulgarea vulnerabilităților și procedurile de verificare a securității produselor și serviciilor achiziționate.
Vă invităm să accesați soluțiile propuse de Safetech pentru securitatea cibernetică a furnizorilor și subcontractorilor, în acest articol.
NIS2 va impune și o abordare multi-risc (all-hazards) bazată pe metode variate de protecție, cu accent pe prevenție și igienă cibernetică (autentificarea multifactor, principii „Zero Trust”, threat hunting, honeypot etc.), și pe eficientizarea activităților de cybersecurity, inclusiv prin sisteme de Inteligență Artificială.
Măsuri minime de protecție prevazute în Directivă:
- Gestionarea riscurilor: Implementarea unor politici și proceduri pentru identificarea, evaluarea și gestionarea riscurilor de securitate cibernetică.
- Securitatea rețelelor și a sistemelor informatice: Asigurarea protecției rețelelor și sistemelor informatice împotriva amenințărilor cibernetice prin utilizarea de controale tehnice și organizaționale adecvate.
- Gestionarea incidentelor: Dezvoltarea și menținerea unor proceduri pentru detectarea, raportarea și gestionarea incidentelor de securitate cibernetică, inclusiv notificarea autorităților competente.
- Continuitatea operațiunilor: Implementarea de planuri și măsuri pentru asigurarea continuității operațiunilor și recuperarea după incidente de securitate cibernetică.
- Controlul accesului: Implementarea de măsuri pentru controlul accesului la rețelele și sistemele informatice, inclusiv autentificarea și autorizarea utilizatorilor.
- Securitatea datelor: Protejarea confidențialității, integrității și disponibilității datelor prin utilizarea de măsuri adecvate de securitate a datelor, cum ar fi criptarea și backup-ul regulat.
- Securitatea furnizorilor și partenerilor: Asigurarea că furnizorii și partenerii respectă cerințele de securitate cibernetică, inclusiv prin utilizarea de contracte și evaluări periodice de securitate.
- Pregătirea și instruirea angajaților: Dezvoltarea și implementarea de programe de conștientizare și formare pentru angajați cu privire la securitatea cibernetică și bunele practici de securitate.
- Audit și testare: Efectuarea de audituri periodice și teste de securitate pentru a evalua eficiența măsurilor de securitate implementate și pentru a identifica vulnerabilitățile.
- Raportarea către autorități: Notificarea promptă a autorităților competente în cazul incidentelor de securitate cibernetică care afectează în mod semnificativ continuitatea serviciilor esențiale sau securitatea datelor.
3. Termene de raportare
Directiva NIS2 specifică procedura de raportare a incidentelor către autoritățile competente. În România, Directoratul Național de Securitate Cibernetică (DNSC) a fost desemnat autoritatea națională competentă, cu rol inclusiv de reglementare și cu funcție de echipă națională de răspuns la incidente de securitate informatică (CSIRT), în baza Legii 362/2018 (care pune în aplicare la nivel național prevederile NIS1). Lista echipelor CSIRT locale pentru toate statele membre UE a fost publicată de Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) și poate fi consultată aici.
Apare termenul de „incident semnificativ”, definit drept incidentul de cybersecurity cu impact important asupra continuității activității afacerii/serviciilor. Mai exact, vor fi raportate incidentele care „provocă perturbări operaționale grave ale serviciilor sau pierderi financiare pentru entitatea în cauză”, dar și cele care pot afecta alte persoane fizice sau juridice (daune morale/materiale).
În privința raportării propriu-zise, aceasta se realizează în patru etape. Incidentul semnificativ trebuie raportat în maxim 24 de ore de la data la care s-a luat cunoștință de el (etapa 1). Mai multe informații vor fi furnizate în termen de 72 de ore de la luarea la cunoștință, printr-o notificare a incidentului (evaluare inițială a incidentului, include gravitatea, impactul, indicatori de compromitere) (etapa 2). În acest punct, organizația poate cere îndrumare și asistență tehnică suplimentară de la autorități.
Ulterior, la cererea organelor competente, va fi furnizat un raport intermediar privind actualizarea relevantă a situației (3), urmat de un raport final în termen de cel mult o lună de la transmiterea notificării incidentului (4). În funcție de etapă, EE și EI au cerințe specifice de raportare. De exemplu, în prima etapă trebuie menționate măsurile de securitate luate de organizația în cauză ca răspuns la amenințare.
În cazul unui incident în curs de desfășurare, NIS2 prevede și o a cincea etapă, un raport privind evoluția/progresul situației. Entitățile care nu sunt vizate de NIS2 pot raporta voluntar incidentele de securitate semnificative, fără obligații suplimentare.
Riscurile nealinierii la NIS2
NIS2 introduce mecanisme stricte de punere în aplicare a măsurilor de securitate cibernetică. Organismele competente vor avea autoritatea de a efectua inspecții, supravegheri (la fața locului sau off-site, post eveniment), audituri de securitate și scanări de securitate. De asemenea, pot solicita informații, acces la date și documente, precum și dovezi de conformitate. Entitățile esențiale vor fi supuse inclusiv la verificări și audituri ad-hoc/aleatorii.
În cazul în care este descoperită o încălcare a prevederilor Directivei, organizațiile vor primi avertismente, instrucțiuni obligatorii și termene limită pentru implementarea acestora. Entitățile pot fi obligate și să informeze persoanele fizice/juridice afectate de incident. Dacă aceste indicații nu sunt respectate, autoritățile vor impune sancțiuni precum suspendarea temporară a serviciilor/activităților sau amenzi administrative.
NIS2 mărește plafonul maxim al amenzilor, unde face distincția între entități esențiale și entități importante. Astfel, Entitățile Esențiale vor putea fi supuse unor amenzi având o limită superioară de cel puțin 10 000 000 EUR sau o limită superioară de cel puțin 2 % din cifra de afaceri mondială totală anuală. Amenzile pentru Entitățile Importante vor avea o limită superioară de cel puțin 7 000 000 EUR sau de cel puțin 1,4 % din cifra de afaceri mondială totală anuală, înregistrată în exercițiul financiar precedent. Dacă incidentul raportat conduce la o încălcare a GDPR, pentru NIS2 se vor aplica doar sancțiuni non-financiare, potrivit prevederilor noii Directive.
Mai mult, directorii executivi/reprezentanții legali își pot pierde temporar funcțiile în organizație, o măsură care are rolul de responsabiliza în mod real persoanele fizice aflate în funcții superioare de conducere, care au sarcina de a pune în aplicare noua Directivă.
Cum vă poate ajuta Safetch pentru obținerea conformitătii cu NIS2
Safetech Innovations a asistat peste 50 de clienți prin soluții și servicii conforme cu prevederile NIS1 (în România, Legea 362/2018) și a demarat deja colaborări pentru conformitatea cu NIS2 în domeniile retail și asigurări. Compania pune la dispoziția clienților din sectoarele de importanță critică expertiza și experiența acumulate în acest domeniu, furnizând un pachet complet și customizabil de servicii și soluții tehnice pentru obținerea și menținerea conformității.
Echipa Safetech include 6 angajați acreditați de Directoratul Național de Securitate Cibernetică (DNSC) în calitate de auditori de securitate cibernetică, înscriși în Registrul Național al Auditorilor de Securitate Cibernetică.
Un element important în portofoliul matur de servicii pentru menținerea conformității NIS este centrul STI CERT® (Safetech Innovations Computer Emergency Response Team). Acesta funcționează de peste 8 ani, asigură acoperire 24/7 în 3 schimburi și gestionează securitatea cibernetică pentru peste 60.000 de angajați ai clienților noștri. STI-CERT este structurat pe trei niveluri de competență pentru a asigura o monitorizare eficientă și promptă a amenințărilor cibernetice.
Safetech deține toate competențele necesare pentru a furniza conformitatea cu NIS2, în decurs de 6 luni, oferind ghidare în fiecare etapă a procesului, ce include următoarele etape:
- Evaluarea inițială,
- Pregătirea dosarului de acreditare,
- Implementarea planului de măsuri rezultat din evaluarea inițială,
- Consultanța necesară în guvernanță,
- Implementarea soluțiilor tehnice necesare,
- Inițierea serviciilor de monitorizare a securității cu acoperire 24/7.
Recomandarea Safetech este să începeți procesul de evaluare și conformitate cu Directiva NIS2 cât mai de timpuriu posibil, iar în acest sens vă invităm să ne contactați prin email la sales @ safetech.ro sau prin telefon la +40 21 316 0565.