Webinar Safetech Innovations: De la NIS1 la NIS2, cerințe și soluții eficiente de obținere a conformității

Webinar Safetech Innovations: De la NIS1 la NIS2, cerințe și soluții eficiente de obținere a conformității

Pe 4 martie 2025, Safetech Innovations, în parteneriat cu Asociația Română a Apei (ARA), a organizat webinarul „De la NIS1 la NIS2: cerințe și soluții eficiente pentru obținerea conformității”. Evenimentul a abordat provocările de conformitate cu NIS2 întâmpinate de entitățile reglementate anterior de NIS1 – categorie din care fac parte și organizațiile din domeniile de activitate Ape uzate și Furnizarea și distribuirea apei potabile. În cadrul prezentării susținute de Gheorghe Mărăcine (Manager al Departamentului de Audit, Safetech Innovations), au fost detaliate implicațiile noilor cerințe de reglementare și soluțiile tehnologice care pot sprijini tranziția organizațiilor către conformitatea cu NIS2.

Care sunt măsurile tehnice, operaționale și organizatorice minime impuse de NIS2?

Gheorghe Mărăcine și-a început prezentarea printr-un istoric al legislației și un rezumat al diferențelor dintre NIS1 și NIS2, cu accent pe măsurile minime și cerințe. Potrivit Directivei NIS2, entitățile esențiale și importante sunt obligate să implementeze măsuri tehnice, operaționale și organizatorice adecvate, menite să asigure un nivel ridicat de securitate cibernetică. Măsurile necesare includ următoarele:

• Politici și proceduri pentru analiza riscurilor și securitatea sistemelor informatice, revizuite periodic;
• Politici și proceduri de evaluare a eficienței măsurilor de gestionare a riscurilor cibernetice;
• Utilizarea criptografiei și, după caz, a criptării datelor;
• Securitatea lanțului de aprovizionare, inclusiv a relațiilor cu furnizorii și prestatorii de servicii direcți;
• Măsuri de securitate pentru achiziția, dezvoltarea, întreținerea și casarea rețelelor și sistemelor informatice, precum și gestionarea vulnerabilităților;
• Proceduri de gestionare a incidentelor de securitate;
• Planuri de continuitate a activității, inclusiv pentru realizarea copiilor de rezervă, redresarea în caz de dezastru și managementul crizelor;
• Practici de igienă cibernetică și programe de formare pentru angajați în domeniul securității cibernetice;
• Implementarea soluțiilor de autentificare multifactor sau a autentificării continue, precum și a sistemelor de comunicații securizate pentru comunicațiile interne și de urgență.

„Toate aceste măsuri vor fi detaliate prin ordine ale Directorului DNSC și ne așteptăm ca Directoratul să emită și ghiduri prin care cerințele vor fi cât mai clar explicitate. Dar până atunci, și având în vedere că noua ordonanță nu abrogă Legea 362, Capitolul 4 și Capitolul 5, respectiv asigurarea securității rețelelor și sistemelor informatice, și capitolul privind auditul și autorizarea, acestea vor produce efecte în continuare. Astfel, conform legii, toate entitățile impactate de vechea legislație vor trebui să asigure în continuare măsurile tehnice și organizatorice detaliate în 2020 prin normele tehnice respective”, a explicat reprezentantul Safetech Innovations, Gheorghe Mărăcine.

Norme tehnice. Cerințele și obligațiile legale sunt organizate în 4 domenii de securitate cibernetică

Normele tehnice definesc cerințele minime pentru securitatea rețelelor și sistemelor informatice, acoperind aspecte esențiale pentru protejarea infrastructurilor IT. Structurate pe patru domenii – guvernanță, protecție, apărare cibernetică și reziliență – acestea oferă un cadru clar pentru gestionarea riscurilor, prevenirea incidentelor și asigurarea continuității activității.

1. Guvernanța asigură o abordare controlată a riscurilor cibernetice, cu implicarea activă a managementului. Procesul începe prin identificarea situației actuale, continuă cu evaluarea riscurilor și se concretizează într-o politică de securitate adaptată întregii organizații.
2. Protecția se bazează pe implementarea unor controale administrative, tehnice și fizice pentru a asigura securitatea completă a sistemelor și echipamentelor. Aceste controale sunt esențiale pentru prevenirea și gestionarea riscurilor de securitate.
3. Apărarea cibernetică presupune monitorizarea continuă a sistemelor și răspunsul rapid la incidente de securitate, pentru a preveni și limita eventualele daune. Procesul include detectarea, analiza și remedierea evenimentelor, testare, cooperare, precum și raportarea incidentelor.
4. Reziliența se bazează pe implementarea unor proceduri, tehnologii și mecanisme de control pentru a asigura continuitatea activităților (planuri de continuitate, planuri de recuperare în caz de dezastru, testare și actualizare) și pentru a gestiona eficient crizele (analizare evenimente, investigare incidente, comunicare și cooperare, raportare).

Tehnologii și servicii necesare pentru obținerea conformității

În cadrul webinarului, reprezentantul Safetech a prezentat recomandarea acesteia pentru obținerea conformității cu cerințele NIS2, astfel:

Pasul 1: implementarea unui Sistem de Management al Securității Informației (SMSI)

Principalele activități pentru conformarea cu NIS2 sunt Notificarea/ Înregistrarea entității la DNSC, transmiterea către DNSC a evaluării nivelului de risc al entității, transmiterea către DNSC a autoevaluării nivelului de maturitate, întocmirea și transmiterea planului de măsuri pentru remedierea deficiențelor identificate și raportare.

Ținând cont de acestea, specialistul Safetech Innovations recomandă implementarea unui Sistem de Management al Securității Informației (SMSI) pentru îmbunătățirea continuă a securității cibernetice, bazat pe un plan de tipul „Plan-Do-Check-Act”, regăsit și în standardul ISO 27001:2002. Acesta asigură o abordare sistematică pentru gestionarea riscurilor într-o organizație. Un alt cadru recomandat în cadrul webinarului este NIST CSF 2.0, care structurează pașii de creare a unui SMSI în șase funcții (guvernanță, identificare, protejare, detecție, răspuns și recuperare) și oferă un cadru mai specific pentru anumite direcții de activitate precum, de exemplu, evaluarea riscurilor.

Pasul 2: stabilirea unui model de arhitectură pentru conformare

Safetech a recomandat membrilor ARA o arhitectură hibridă de securitate, care să țină cont de două concepte actuale: Defense in Depth (DiD) și Zero Trust Architecture (ZTA).

• Defense in Depth integrează măsuri de securitate pe mai multe niveluri (perimetru, rețea, aplicație, endpoint), fiecare strat oferind redundanță pentru protecția datelor și sistemelor. DiD răspunde și cerințelor privind detecția, protecția și recuperarea, respectiv minimizează impactul atacurilor cibernetice.
• Zero Trust Architecture presupune că nicio entitate, utilizator, dispozitiv sau aplicație, nu este implicit de încredere, fiecare acces este verificat și autentificat înainte de a fi permis. Caracteristici importante, din perspectiva NIS2, sunt: criptarea datelor, controlul accesului pe principiul privilegiului minim și soluțiile de autentificare multifactor.

Pornind de la aceste modele de arhitectură, Gheorghe Mărăcine a oferit mai multe detalii despre tehnologiile, soluțiile și serviciile necesare pentru asigurarea cerințelor NIS2, la nivel de securitate fizică, perimetrală, la nivel de rețea, de endpoint, securitatea aplicațiilor, securitatea datelor, dar și soluții de managementul politicilor și procedurilor, monotorizare și răspuns. Alegerea acestor soluții se face în funcție de riscurile specifice fiecărei organizații și bazat pe cadrul de guvernanță și procesele interne.