Webinar Safetech Innovations: NIS2 – cerințe și soluții eficiente pentru obținerea conformității

Webinar Safetech Innovations: NIS2 – cerințe și soluții eficiente pentru obținerea conformității

Directiva NIS1 a fost adoptată la nivelul UE în 2016 și a fost transpusă în legislația română în 2018. Ulterior, Uniunea Europeană a inițiat actualizarea acestei reglementări. OUG 155/30.12.2024, act normativ ce transpune în legislatia națională Directiva NIS2, extinde aria de acoperire, existând astfel multe organizații care se confruntă pentru prima dată cu reglementările specifice pentru securizarea rețelelor și sistemelor informatice.

Webinarul „NIS2, cerințe și soluții eficiente de obținere a conformității”, desfășurat de Safetech Innovations în data de 6 februarie 2025 s-a adresat în mod special entităților care nu s-au aflat sub incidența NIS1și au fost incluse în domeniul de aplicare al Directivei NIS2. Aceste organizații sunt, în general, mai puțin familiarizate cu cerințele NIS și, implicit, mai expuse riscurilor de securitate cibernetică. Pentru a evita vulnerabilitățile și eventualele sancțiuni, acestea trebuie să înceapă rapid procesul de aliniere la noile cerințe.

În cadrul webinarului, experții Safetech Gheorghe Mărăcine, Manager al Departamentului de Audit, și Cătălin Gherghiceanu, Presales Manager, au oferit acestei categorii de organizații clarificări esențiale despre obligațiile impuse de NIS2.

NIS 2: acoperire, măsuri tehnice și organizatorice, raportare și responsabilitățile managerilor

Gheorghe Mărăcine a deschis webinarul cu un rezumat al Directivei NIS2, cu accent pe domeniile impactate. Astfel, Anexa 1 din OUG 155/2024 include 11 domenii de activitate cu importanță critică ridicată, precum Transport, Sectorul bancar, Infrastructuri ale pieței financiare, Sectorul sănătății și altele, completate de 9 subsectoare esențiale din industriile Energie și Transport, inclusiv Industria petrolului, Gazele naturale și Transportul pe apă, aerian, feroviar și rutier. Anexa 2 detaliază alte 7 sectoare critice, printre care Gestionarea deșeurilor, Producția și distribuția de substanțe chimice și Industria manufacturieră. Aceasta include 6 subsectoare suplimentare, cum ar fi echipamente medicale, computere, aparatură electrică și fabricarea autovehiculelor și echipamentelor de transport.

Potrivit managerului departamentului de audit din cadrul Safetech Innovations, NIS2 adaugă noi responsabilități pentru conducerea organizațiilor vizate. Acestea includ aprobarea măsurilor de securitate, supravegherea implementării acestora și asumarea răspunderii în cazul încălcării reglementărilor. De asemenea, echipele de conducere trebuie să urmeze cursuri de formare profesională acreditate în domeniul securității cibernetice.

Gheorghe Mărăcine a prezentat și obligațiile de audit ale organizațiilor vizate de NIS2: „Anual, va fi realizată o autoevaluare a nivelului de maturitate al măsurilor implementate. În plus, va fi efectuat și un audit periodic. În maximum 5 zile de la finalizarea oricărui tip de audit de securitate cibernetică, entitatea auditată trebuie să transmită rezultatele către DNSC. Apoi, în cel mult 15 zile lucrătoare de la primirea raportului de audit, entitățile au obligația să întocmească și să transmită către DNSC, pe baza recomandărilor auditorului, un plan de măsuri pentru remedierea deficiențelor identificate, inclusiv termenele asumate pentru implementarea acestora”, a completat specialistul Safetech.

Tehnologia necesară conformării cu NIS2 și etapele de implementare

În partea a doua, Cătălin Gherghiceanu a abordat aspecte mai practice, concentrându-se pe implementarea propriu-zisă a Directivei NIS2, din perspectivă tehnologiei și metodologiei necesare. Potrivit acestuia, ca prim pas, organizațiile care consideră că se afla sub incidența Directivei NIS2 trebuie să notifice DNSC, furnizând informații de identificare și contact. Dacă DNSC confirmă că organizația respectivă se încadrează în cerințele Directivei, aceasta va fi înregistrată într-un registru al entităților.

Următorii pași sunt: adoptarea unei politici interne de securitate cibernetică, efectuarea unei evaluări a nivelului de risc al entității și transmiterea ei către DNSC, întocmirea și transmiterea planului de măsuri pentru gestionarea riscurilor asociate rețelelor și sistemelor informatice. Parcurgând acești pași, entitățile vor deveni auditabile. DNSC nu va efectua auditul direct, acesta va fi realizat de una din companiile acreditate de DNSC, iar costurile serviciilor de audit vor fi suportate de entitatea vizată.

Potrivit Managerului de Presales al Safetech, implementarea unui sistem de management al securității cibernetice conform cu cerințele NIS2 poate fi realizat într-o manieră structurată prin aplicarea recomandărilor standardelor ISO 27001:2022 sau NIST CSF 2.0, care este mai util pe partea de măsuri de gestionare a incidentelor de securitate cibernetică. Cătălin Gherghiceanu a prezentat modelele de arhitecturi de securitate cibernetică recomandate de Safetech entităților vizate: Defense in Depth (DiD) și Zero Trust Architecture (ZTA).

Care sunt pașii recomandați de Safetech Innovations pentru implementarea măsurilor de conformitate cu NIS2? „Ideal este să pornim de la un Sistem de Management al Securității Informatice (SMSI), fie că există deja și îl adaptăm la ceea ce înseamnă conformarea cu NIS 2, fie că îl inițializăm. În această etapă, Safetech definește contextul organizației, o politică de securitate a informației, responsabilități din punct de vedere al securității informației în firmă etc.”, a precizat Cătălin Gherghiceanu. Dupa aceasta, Safetech recomandă efectuarea unei analize de risc, implementarea măsurilor necesare pentru îndeplinirea obiectivelor urmărite, instruirea personalului, efectuarea operațiunilor curente de securitate și de gestionarea incidentelor, monitorizarea și testarea securității si implementarea măsurilor corective necesare.