Directiva NIS2: Ce au de făcut companiile cu 50 de zile înainte de termenul - limită impus de UE pentru adoptarea măsurilor de securitate cibernetică

Directiva privind securitatea reţelelor şi a informaţiilor - Network and Information Security (NIS2) vizează consolidarea rezilienţei cibernetice în toate statele Uniunii Europene. Aceasta a intrat în vigoare din 16 ianuarie 2023 şi devine aplicabilă în fiecare stat membru ale Uniunii după transpunerea directivei în legislaţia naţională. Se apropie însă termenul – limită  (18 octombrie 2024) şi este important pentru companii să analizeze cum trebuie să-şi adapteze sistemele de securitate cibernetica în acord cu noile reglementări.

Noua legislaţie încearcă să rezolve aspectele sensibile generate de dependenţa tot mai mare a sectoarelor economice critice de digitalizare şi la expunerea tot mai mare a acestora la ameninţările cibernetice.

Vorbim despre un context în care probabilitatea de producere a incidentelor cibernetice a crescut, iar cerinţele reglementărilor NIS2 vor fi, pentru fiecare sector şi companie în parte, în acord cu gradul de expunere la riscuri, dar şi cu repercusiunile sociale şi economice pe care l-ar avea un potenţial incident cibernetic.

Prevederile directivei se referă la capacitatea reţelelor şi a sistemelor informatice de a rezista la acţiuni care compromit integritatea şi confidenţialitatea datelor. Regulamentul de punere în aplicare al Comisiei [Regulamentul (UE) 2018/151) precizează în detaliu elementele de securitate care trebuie respectate: securitatea sistemelor şi a facilităţilor, gestionarea incidentelor, gestionarea continuităţii activităţii, monitorizarea, controlul şi testarea, precum şi standardele internaţionale.

Cine trebuie să se conformeze la NIS2?

Directiva NIS2 extinde domeniul de acţiune, care devine mult mai larg comparativ cu NIS1 (adoptată în anul 2016), prin urmare vizează mai multe entităţi din sectoarele considerate ca fiind cu grad critic ridicat – energie, transporturi, sector bancar, alimentare cu apă, ape reziduale – atât din domeniul public, cât şi din cel privat. În acelaşi timp, sunt introduse noi obligaţii pentru entităţile din alte sectoare „critice”, cum ar fi industria prelucrătoare (producţia), industria alimentară, industria chimică, gestionarea deşeurilor, serviciile poştale şi de curierat etc.

Devine, astfel, obligatoriu pentru companiile clasificate ca fiind de Nivel Critic Ridicat să ia măsuri tehnice şi operaţionale pentru a se conforma cu NIS2, inclusiv în ceea ce priveşte răspunsul la incidente, securitatea lanţului de aprovizionare, criptarea vulnerabilităţilor, analiza riscurilor, auditul planului intern de securitate cibernetică şi al gestionării crizelor.

NIS2 vine şi cu amenzi în caz de nerespectare, inclusiv suspendarea certificării şi răspunderea personală pentru funcţiile de conducere, în conformitate cu legislaţia naţională. Deşi exclude întreprinderile mici şi microîntreprinderile de la obligaţia de a se conforma noilor norme, directiva prevede şi excepţii, cum ar fi IMM-urile din sectoarele reţelelor de comunicaţii electronice sau al serviciilor de comunicaţii electronice accesibile publicului, al furnizorilor de servicii de încredere sau al registrelor de nume de domenii de nivel superior (TLD).

Ce trebuie să facă companiile pentru conformare în aplicarea NIS2

Directiva stabileşte cerinţe mai stricte pentru companii şi instituţii, fiind imperativ deja, cu numai o lună înainte, ca organizaţiile să se pregătească în vederea conformării la noile reglementări.

Companiile din sectoarele esenţiale, precum energie, transporturi, apă, sănătate, finanţe, dar şi cele din sectorul digital, vor trebui să implementeze măsuri de securitate mai stricte şi să raporteze incidentele de securitate cibernetică prompt şi detaliat.
Primul pas în pregătirea pentru conformitate este evaluarea riscurilor şi a vulnerabilităţilor existente. Companiile trebuie să efectueze audituri de securitate pentru a identifica punctele slabe ale reţelelor şi sistemelor informatice. Acest proces implică evaluarea infrastructurii IT, a practicilor de securitate curente şi a capacităţii de reacţie la incidente.

Pe de altă parte, implementarea Măsurilor de Securitate Directiva NIS2 impune adoptarea unor măsuri de securitate proporţionale cu riscurile identificate. Aceste măsuri ar trebui să includă:

• • Implementarea unor soluţii de protecţie avansate: firewall-uri, sisteme de detectare a intruziunilor şi criptare.
• • Dezvoltarea şi implementarea unor politici de management al riscurilor cibernetice, cu proceduri de prevenire, detectare şi răspuns la incidente.
• • Crearea planurilor de recuperare în caz de dezastru şi de continuitate a afacerii, pentru funcţionarea neîntreruptă a serviciilor esenţiale.
• • Educarea şi formarea angajaţilor, prin cursuri de formare, sesiuni periodice de instruire pe teme de securitate cibernetică.
• • Exerciţii practice care simulează atacuri cibernetice pentru a testa şi îmbunătăţi reacţia organizaţiei la incidente.

Directiva NIS2 subliniază importanţa colaborării între sectorul privat şi autorităţi. Companiile trebuie să stabilească canale de comunicare eficiente cu autorităţile naţionale responsabile de securitatea cibernetică şi să participe activ la schimbul de informaţii cu partenerii din industrie. Această colaborare este esenţială pentru detectarea timpurie a ameninţărilor şi pentru răspunsul coordonat în cazul unui incident major.

În loc de concluzii, am putea spune că este nevoie, pentru companii, să adopte practici de bază în securitatea cibernetică testate, să organizeze cursuri de formare pentru personalul lor şi să sensibilizeze publicul cu privire la ameninţările cibernetice (phishing sau tehnici de inginerie socială), să-şi reevalueze capacităţile de securitate cibernetică şi să urmărească integrarea tehnologiilor de consolidare a securităţii cibernetice, de tip AI, de exemplu, pentru a creşte securitatea sistemelor informatice interne.

Pregătirea pentru Directiva NIS2 nu se încheie la 18 octombrie 2024. Companiile trebuie să menţină un proces continuu de monitorizare şi adaptare a măsurilor de securitate. Dezvoltarea ameninţărilor cibernetice necesită o actualizare permanentă a politicilor de securitate şi a tehnologiilor utilizate, fiind esenţială nu doar la respectarea legii, ci mai ales la protejarea integrităţii şi a reputaţiei companiilor.