Articol publicitar

NIS2: cea mai recentă legislație de securitate cibernetică în UE - Implicații și publicul țintă

0
0
Publicat:

ESET salută decizia legiuitorilor UE de a adopta cea de-a doua Directivă privind securitatea rețelelor și a informațiilor (NIS2), care vizează consolidarea rezilienței cibernetice în întreaga Uniune. Noua legislație vine ca răspuns la dependența tot mai mare a sectoarelor critice de digitalizare și la expunerea tot mai mare a acestora la amenințările cibernetice. 

1 NIS2 ESET jpg

Un întreg ghid pentru companii, elaborat de ESET pe marginea acestui subiect, este disponibil gratuit pentru descărcare aici.

Iată explicațiile specialiștilor ESET care au analizat subiectul.

Ce noutăți aduce NIS2?

Directiva aprobată cel mai recent înlocuiește directiva NIS introdusă în 2016, prima legislație la nivelul UE privind securitatea cibernetică. NIS2 introduce un domeniu de acțiune mai larg, având un impact asupra mai multor entități din sectoarele „cu grad critic ridicat” - energie, transporturi, sector bancar, alimentare cu apă, ape reziduale - atât din domeniul public, cât și din cel privat. În același timp, sunt introduse noi obligații pentru entitățile din alte sectoare „critice", cum ar fi industria prelucrătoare (manufactura), industria alimentară, industria chimică, gestionarea deșeurilor, serviciile poștale și de curierat etc.

Infrastructurile business și institutiile sau companiile clasificate ca fiind de „Nivel Critic Ridicat” vor trebui să ia măsuri tehnice și operaționale pentru a se conforma cu NIS2, inclusiv în ceea ce privește răspunsul la incidente, securitatea lanțului de aprovizionare, criptarea și dezvăluirea vulnerabilităților, analiza adecvată a riscurilor, testarea și auditarea strategiilor de securitate cibernetică și planificarea gestionării crizelor în vederea asigurării continuității activității. În cazul unui incident cibernetic, aceste entități vor trebui să transmită o notificare inițială în termen de 24 de ore și informații mai detaliate în termen de 72 de ore. NIS2 introduce, de asemenea, amenzi în caz de nerespectare, inclusiv suspendarea certificării și răspunderea personală pentru funcțiile de conducere, în conformitate cu legislația națională.

Ce companii sunt vizate de NIS2?

NIS2 stabilește „aplicarea regulii plafonului de mărime, conform căreia, toate întreprinderile mijlocii și mari, care își desfășoară activitatea în sectoarele indicate sau furnizează tipul de servicii reglementate de prezenta directivă, intră în domeniul de aplicare a acesteia”. Deși exclude întreprinderile mici și microîntreprinderile de la obligația de a se conforma noilor norme, se aplică unele excepții, de exemplu pentru IMM-urile din sectoarele rețelelor de comunicații electronice sau al serviciilor de comunicații electronice accesibile publicului, al furnizorilor de servicii de încredere sau al registrelor de nume de domenii de nivel superior (TLD).

Comparativ cu versiunea sa anterioară, noua directivă NIS2 stabilește o distincție: entități esențiale și entități importante, care reflectă în mod corespunzător caracterul critic al entității, dimensiunea acesteia și probabilitatea de producere a incidentelor. Cerințele vor fi de aceea  proporționale cu gradul de expunere a entității (esențiale sau importante) la riscuri și cu impactul social și economic pe care l-ar avea un incident.

În acest context, securitatea se referă la capacitatea rețelelor și a sistemelor informatice de a rezista la acțiuni care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor. Regulamentul de punere în aplicare al Comisiei [Regulamentul (UE) 2018/151] precizează în continuare elementele de securitate care trebuie respectate: securitatea sistemelor și a facilităților, gestionarea incidentelor, gestionarea continuității activității, monitorizarea, controlul și testarea, precum și standardele internaționale.  

Se recunoaște astfel că toate sectoarele și organizațiile care intră sub incidența NIS2 sunt de mare importanță pentru comunitățile din statele membre ale UE. Se înțelege de aceea că perturbarea acestora ar cauza prejudicii grave societății dacă nu ar mai fi în măsură să își îndeplinească funcțiile. În cele din urmă, cele două categorii au fost create pentru a distinge faptul că nu toate sectoarele au același impact asupra societății, la aceeași scară, în cazul unui incident.

2 NIS2 ESET jpg

Care este setul de măsuri impuse

Directiva NIS2 propune un set minim de măsuri, printre care se numără: efectuarea de analize de risc și instituirea de politici de securitate IT, adresarea incidentelor, continuitatea activității și gestionarea crizelor, securitatea lanțului de aprovizionare și securitatea la achiziție, dezvoltarea și întreținerea rețelelor și a sistemelor IT. Sunt vizate, de asemenea, politici și proceduri de evaluare a eficacității măsurilor de gestionare a riscurilor și a utilizării criptografiei și a criptării.

Suplimentar, entitățile esențiale și importante ar trebui:

  • să adopte o gamă largă de practici de bază în materie de igienă cibernetică (cum ar fi principiile Zero Trust, actualizările de software, configurarea corectă a dispozitivelor, segmentarea rețelei, gestionarea identității și a accesului sau creșterea gradului de conștientizare a riscurilor la nivelul utilizatorilor)
  • să organizeze cursuri de formare pentru personalul lor și să sensibilizeze publicul cu privire la amenințările cibernetice (phishing sau tehnici de inginerie socială). 

De asemenea, entitățile respective ar trebui să își reevalueze capacitățile de securitate cibernetică și, dacă este cazul, să urmărească integrarea tehnologiilor de consolidare a securității cibernetice, cum ar fi inteligența artificială sau sistemele de învățare automată, pentru a ranforsa capacitățile acestora și securitatea rețelelor și a sistemelor informatice.

În plus, pentru a demonstra conformitatea cu aceste măsuri, statele membre pot solicita entităților esențiale și importante să utilizeze produse, servicii sau procese IT&C specifice care vor fi certificate în cadrul sistemelor europene de certificare a securității cibernetice adoptate în temeiul Legii privind securitatea cibernetică [Regulamentul (UE) 2019/881].

Cerințele și reglementările noi aduse

Introducerea NIS2 va crește domeniul de reglementare, iar mai multe organizații vor trebui să înceapă să se conformeze cerințelor. Dar care sunt aceste cerințe și cum vor fi ele aplicate?

1. Obligația de diligență

Toate organizațiile vizate de NIS2 - esențiale sau importante - vor trebui să înceapă să se conformeze obligației de diligență. Directiva conține o listă de tipuri de măsuri minime pe care furnizorii de servicii trebuie să le respecte. Printre acestea se numără evaluarea riscurilor, gestionarea crizelor și asigurarea continuității operaționale în cazul unui incident cibernetic major, dar și păstrarea securității lanțului de aprovizionare. În plus, obligația de diligență include asigurarea securității rețelelor și a sistemelor informatice, utilizarea criptografiei și a criptării și existența unor politici și proceduri care să evalueze eficacitatea măsurilor de gestionare a riscurilor. 

2. Obligația de raportare

În cadrul noii directive NIS a fost introdusă obligația de a raporta incidentele care au un impact semnificativ asupra continuității serviciilor, în termen de 24 de ore de la data la care au luat cunoștință de un incident, urmată de o actualizare în 72 de ore și de o evaluare finală la o lună după aceea. Pentru a evalua dacă un incident are un impact semnificativ, ghidul descrie mai mulți parametri care trebuie luați în considerare, inclusiv numărul de utilizatori afectați, durata incidentului și dimensiunea zonei geografice afectate de incident. În cazul în care, pentru un furnizor, un incident pare să aibă un impact semnificativ asupra continuității serviciului furnizat, incidentul trebuie raportat fără întârziere echipei locale de răspuns la incidente de securitate informatică (CSIRT) sau autorității competente a statului membru. 

Statele membre trebuie să se asigure că efectuează o supraveghere eficientă pentru a verifica respectarea cerințelor directivei. În ceea ce privește entitățile esențiale, aceasta implică o supraveghere proactivă. În schimb, în cazul entităților importante, aceasta implică o supraveghere reactivă, care poate fi declanșată de dovezi, indicii sau informații conform cărora entitatea respectivă nu respectă directiva. NIS2 extinde, de asemenea, răspunderea la persoanele fizice. Astfel, pe lângă persoana juridică, poate fi tras la răspundere și directorul unei organizații.

3. Abordarea obligatorie a notificării

Directiva NIS2 prevede o „abordare în două etape” pentru raportarea incidentelor. Prima notificare vizează limitarea răspândirii potențiale a incidentelor și permite entităților să caute sprijin. A doua notificare ar trebui să fie completă, asigurând că se pot trage învățăminte din incidentele anterioare. Cu toate acestea, este important de remarcat faptul că ar putea fi necesare clarificări suplimentare pentru a evalua în mod corect incidentul și consecințele acestuia. 

A. Notificări inițiale - În termen de 24 de ore de la luarea la cunoștință a incidentului, fără întârzieri nejustificate, către autoritatea competentă sau către CISRT-ul relevant la nivel național, indicându-se, dacă este posibil, dacă un act ilegal sau rău intenționat a cauzat incidentul. În termen de 72 de ore de la transmiterea primei alerte, entitatea afectată trebuie, de asemenea, să transmită o actualizare și o evaluare cu mai multe detalii privind atacul și măsurile puse în aplicare. Dacă entitatea solicită acest lucru, este posibil să primească îndrumare privind punerea în aplicare a unor potențiale măsuri de atenuare și, dacă este necesar, asistență tehnică suplimentară. În cazul unui incident criminal, entitatea afectată primește, de asemenea, îndrumări privind raportarea incidentului către autoritățile de aplicare a legii.

B. Notificarea finală - În cele din urmă, în termen de o lună de la depunerea notificării inițiale sau a primului raport, trebuie să se prezinte un raport final, care să includă (i) o descriere detaliată a incidentului, a gravității și a consecințelor acestuia, (ii) tipul de amenințare sau de cauză care ar fi putut duce la incident și (iii) măsurile de atenuare aplicate și în curs de aplicare.

C. Amenințări cibernetice semnificative - Un incident este considerat semnificativ în cazul în acesta are, sau poate avea ca rezultat, perturbări operaționale semnificative sau pierderi financiare pentru entitatea în cauză sau dacă incidentul a afectat sau poate afecta persoane fizice sau juridice, provocând daune materiale sau imateriale semnificative.

D. Notificări voluntare - Entitățile care nu intră în domeniul de aplicare al Directivei NIS2 pot raporta în mod voluntar incidente semnificative, amenințări cibernetice sau incidente evitate din scurt. Autoritatea competentă sau CSIRT urmează procedura descrisă în cadrul „notificării în două etape”. Rapoartele transmise în mod voluntar nu pot face obiectul unor obligații suplimentare. Astfel, dacă o entitate face o notificare voluntară, aceasta nu ar trebui să fie supusă unor obligații mai oneroase decât dacă nu ar fi prezentat-o.

Sistemul de aplicare 

În cazul ambelor tipuri de entități, organismele competente vor avea puterea de a le supune unor inspecții la fața locului și unei supravegheri off-site ex-post efectuate de profesioniști calificați, prin audituri de securitate specifice, scanări de securitate, cereri de acces la date, documente și informații, precum și cereri de dovezi privind punerea în aplicare a politicilor de securitate cibernetică, cum ar fi rezultatele auditurilor de securitate efectuate de un auditor calificat și dovezile aferente. Verificările aleatorii extind și mai mult lista, împreună cu auditurile ad-hoc în cazul entităților esențiale. Cu excepția cazurilor justificate în mod corespunzător, entitățile auditate vor trebui să suporte costurile auditurilor de securitate.

În cazul în care se descoperă o încălcare, autoritățile competente pot exercita acțiuni precum: emiterea de avertismente, impunerea de instrucțiuni, obligarea entităților de a înceta desfășurarea activităților care încalcă directiva, obligarea entităților de a informa persoanele fizice sau juridice care ar putea fi afectate de incident sau chiar de a face publice informațiile. În cazul în care aceste măsuri nu duc la remedierea situației, autoritățile competente pot suspenda temporar activitățile entității și pe managerul organizației, care își exercită responsabilitățile la nivel de director general sau de reprezentant legal.

Directiva NIS2 stabilește un cadru coerent de sancțiuni minime aplicabile pentru încălcarea obligațiilor de gestionare a riscurilor și de raportare. Aceste sancțiuni includ instrucțiuni obligatorii, punerea în aplicare a recomandărilor unui audit de securitate, aducerea măsurilor de securitate în conformitate cu cerințele NIS și amenzi administrative. În ceea ce privește sancțiunile administrative, noua directivă NIS face distincție între entitățile esențiale și cele importante.

Statele membre trebuie să ofere autorităților relevante capacitatea de a impune amenzi considerabile. În ceea ce privește entitățile esențiale, Directiva NIS2 impune statelor membre să prevadă un anumit nivel al amenzilor administrative, în special o sumă maximă de până la 10 milioane de euro sau 2% din cifra de afaceri anuală totală la nivel mondial, din exercițiul financiar precedent, oricare dintre acestea este mai mare. În ceea ce privește entitățile importante, Directiva NIS2 impune statelor membre să prevadă o amendă maximă de până la 7 milioane de euro sau 1,4% din cifra de afaceri anuală totală, la nivel mondial a exercițiului financiar precedent, oricare dintre acestea este mai mare.

Organele de conducere ale entităților esențiale și importante pot fi, de asemenea, trase la răspundere pentru nerespectarea dispozițiilor Directivei NIS2. 

Atunci când își exercită competențele de executare, autoritățile competente ar trebui să țină seama în mod corespunzător de circumstanțele specifice fiecărui caz, cum ar fi natura, gravitatea și durata încălcării, prejudiciile cauzate sau pierderile suferite, precum și caracterul intenționat sau neglijent al încălcării.

Datele de implementare planificate

NIS2 a intrat în vigoare la 16 ianuarie 2023, dar va deveni aplicabilă după ce statele membre ale UE vor transpune directiva în legislația națională, cu termen limită până în septembrie 2024. Cu toate acestea, organizațiile ar putea planifica să fie pregătite mai devreme, nu numai pentru a fi la timp în ceea ce privește procesul de implementare, ci și pentru a testa diferite bune practici privind gestionarea incidentelor, politicile de control și de raportare. 

ESET este un lider global în domeniul securității digitale, cu rădăcini în Uniunea Europeană. Timp de peste 3 decenii, a fost pionier în domeniul software-ului și serviciilor de securitate IT de top pentru companii și consumatori din întreaga lume. De atunci, ESET a devenit cea mai mare companie de securitate IT din Uniunea Europeană, cu soluții care variază de la securitate endpoint, XDR și securitatea mobilă, până la criptare și autentificare cu doi factori.

Prin specialiștii proprii și consultanții parteneri, ESET vă poate ajuta, oferind îndrumare pentru a vă conforma cu noile cerințe NIS2 care sunt relevante pentru organizația dumneavoastră.  

Soluțiile ESET pot fi testate gratuit de către companii, indiferent de dimensiunea acestora, fără obligații ulterioare. Pentru descărcarea unei variante de test, click aici. 

3 NIS2 ESET jpg
Tehnologie

Top articole

loading Se încarcă comentariile...

Partenerii noștri

image
O fetiță le-a spus părinților că are un monstru în cameră, dar ei nu au luat-o în seamă. Ce au descoperit după i-a șocat: „Un coșmar”
digi24.ro
image
România, evitată de transportul de arme americane către Ucraina. Traseul-surpriză ales în detaliu de SUA prin Europa
stirileprotv.ro
image
Tradiţii şi obiceiuri de Florii 2024. De ce este bine să avem salcie în casă pe 28 aprilie
observatornews.ro
image
Legea pe care trebuie să o știe toți proprietarii de apartamente. Care sunt, de fapt, părțile comune de pe scara blocului și nu numai. Ești responsabil pentru ele și riști amenzi uriașe
fanatik.ro
image
Tulburătoarea poveste de dragoste a unui fotbalist fabulos din România. Comuniștii le-au distrus familia, dar legătura lor a fost dincolo de limite
gsp.ro
image
Doi angajați de la o bancă din București au văzut că un client avea o sumă mare în cont și i-au furat 140.000 €
digi24.ro
image
Cum alegi cel mai bun peşte pentru Florii. Detaliile care îţi arată că este proaspăt
playtech.ro
image
Declarație neașteptată a unui diplomat occidental. Știe mutarea surpriză a lui Putin de a opri războiul, în 5 minute
ziare.com
image
București sau Nicușorești?
canal33.ro
image
Minciuna de la Lidl a ieșit la suprafață. Produsul care ar trebui să fie grecesc, este fabricat în România
bugetul.ro
image
Românul cu una dintre cele mai scumpe mașini. Puțini au auzit de acest milionar
evz.ro
image
S-a aflat! Vor întârzia sau nu pensiile în luna mai 2024? Daniel Baciu a făcut anunțul așteptat de milioane de români
kanald.ro
image
Mădălina Ghenea, așa cum n-a mai fost surprinsă NICIODATĂ! Imaginile care taie respirația
playsport.ro
image
Horoscop 28 aprilie 2024. Racii petrec timp de calitate cu cei dragi, Vărsătorii sunt deschiși la noi colaborări
antena3.ro
image
„Sarcină ușoară!” Jador și Oana Ciocan s-au căsătorit în Dubai după ce au aflat că vor deveni părinți?!
wowbiz.ro
image
FOTO Lucra ca vânzătoare la fast-food, dar a făcut o schimbare radicală și acum câștigă o mulțime de bani
digisport.ro
image
Legea pe care trebuie să o știe toți proprietarii de apartamente. Care sunt, de fapt, părțile comune de pe scara blocului și nu numai. Ești responsabil pentru ele și riști amenzi uriașe
fanatik.ro
image
Vortexul polar și-a schimbat direcția și acum se învârte în sens invers deasupra Arcticii. Vom avea turbioane extreme toată vara
romaniatv.net
image
Răsturnare de situație pentru cei cu TELEFOANE mobile. Au anunțat că este total INTERZIS
capital.ro
image
FOTO. Ioana Marcu, soția lui Ciprian Marica, apariție îndrăzneață cu bustul generos la vedere!
prosport.ro
image
Decizia radicală luată de fiica cea mare a lui Cristi Borcea, la 20 de ani. Momentul care îi poate schimba total viaţa
as.ro
image
S-a aflat de ce Parma l-a exclus din lot pe Dennis Man! Anunțul făcut în Italia
digisport.ro
image
Șocul lui Ioan Andone, după ce s-a mutat în Spania: „Am 4 dormitoare. Știți cât plătesc pe curent?”
gsp.ro
image
Andreea Marin, apariție ravisantă la Gala «Nu există nu se poate». A slăbit atât de mult încât zici că are 20 de ani, iar rochia cu crăpătură i-a venit perfect: „Ar trebui să îmi țin mai în frâu inima”
actualitate.net
image
Alexandru Ciucu, gest de milioane față de Alina Sorescu, la trei zile după ce a fost filmat cu noua iubită. Ce cadou i-a luat, în semn de împăcare: „Aduc mereu bucurie ...”
actualitate.net
Regele Charles foto GettyImages jpg
Planurile pentru înmormântarea lui Charles au fost modificate! „Regele nu e bine deloc"
Internațional
norvegia pixabay jpg
Țara unde românii au un salariu de 5.000 de euro pe lună. Ce spune Daniel, stabilit de mai bine de 30 de ani: „Există un mit, când vorbim de salariu"
Fapt divers
YouTube Instagram RSS
Ultimele știri
Cele mai citite

Click!

image
O poveste extraordinară de viață din care avem toți de învățat. „Totul a început cu niște semințe. De bostan, cu sare”
image
Descalificare la Survivor All Stars România. Cine este concurentul care va părăsi competiția din Republica Dominicană

OK! Magazine

image
Regele Charles, o victorie în lupta cu cancerul: medicii i-au dat permisiunea să se întoarcă la muncă

Click! Pentru femei

image
Courteney Cox, părăsită de iubit în prima ședință de terapie de cuplu: „M-a șocat!”

Click! Sănătate

image
Poţi să descoperi cele 3 diferenţe din imagini în 9 secunde?