Ce trebuie să știi despre ultima directivă europeană privind securitatea cibernetică (NIS2)
7 minute • Elliza Ciurea • 30 ianuarie 2023
Pe 10 noiembrie 2022, Parlamentul European a adoptat noi norme cu rol în consolidarea rezilienței cibernetice la nivelul Uniunii Europene (UE).
NIS2 este noua politică a UE în materie de securitate cibernetică prin care își propune să protejeze atât organizațiile critice, cât și infrastructura existente la nivelul UE, de amenințările cibernetice și să atingă un nivel ridicat de securitate comună în întreaga uniune.
Pentru a atinge acest obiectiv, NIS2 se concentrează asupra organizațiilor care oferă servicii esențiale și importante de care societatea depinde pentru funcționarea sa normală. No worries, explicăm imediat 😉
🔎Cui i se aplică această directivă?
Directiva NIS2 se aplică tuturor entităților economice care ating sau depășesc plafoanele pentru întreprinderile mijlocii și se încadrează în unul din sectoarele sau subsectoarele despre care îți povestim mai jos. Directiva se adresează atât entităților care sunt localizate pe teritoriul Uniunii Europene, dar și entităților care sunt localizate în afara Uniunii, dar care prestează servicii sau își desfășoară activitățile în cadrul Uniunii.
📌Principalele modificări
NIS2 nu se mai aplică doar Operatorilor de Servicii Esențiale sau Furnizorilor de Servicii Digitale. Aceste terminologii au fost eliminate, iar noua terminologie se referă la entități esențiale sau importante.
Spre deosebire de Directiva NIS care prevedea 7 sectoare esențiale, Directiva NIS2 propune o nouă abordare, respectiv 11 sectoare esențiale și 7 sectoare importante.
| NIS | NIS2 | NIS 2 |
| Sectoare esențiale | Alte sectoare importante | |
| Energie Electricitate Petrol Gaze naturale Transport Transport aerian Transport feroviar Transport pe apă Transport rutier Sectorul bancar Infrastructuri ale pieței financiare Sectorul sănătății a. instituții de asistență medicală (inclusiv spitale și clinici private Furnizarea și distribuirea de apă potabilă Infrastructură digitală | Energie Electricitate Încălzire centralizată și răcire centralizată Petrol Gaze Hidrogen Transport Transport aerian Transport feroviar Transport pe apă Transport rutier Sectorul bancar Infrastructuri ale pieței financiare Sectorul sănătății Apă potabilă Ape uzate Infrastructură digitală Gestionarea serviciilor TIC (B2B) Administrație publică Spațiu | Servicii poștale și de curierat Gestionarea deșeurilor Fabricarea, producția și distribuția de substanțe chimice Producția, prelucrarea și distribuția de alimente Fabricarea: de dispozitive medicale și de dispozitive medicale pentru diagnostic in vitro; computerelor și a produselor electronice și optice; echipamentelor electrice; altor mașini și echipamente (neclasificate în altă parte); autovehiculelor, remorcilor și semiremorcilor; alte echipamente de transport. Furnizori digitali Cercetare |
Obligații
Statele membre se asigură că entitățile esențiale și entitățile importante iau măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care entitățile respective le utilizează pentru operațiunile lor sau pentru a furniza servicii și pentru a preveni sau reduce la minimum impactul incidentelor asupra beneficiarilor serviciilor lor și asupra altor servicii. Astfel:
1.Raportare
Entitățile au obligația de a trimite în 24 de ore de la producerea unui incident un raport preliminar, iar în termen de 72 de ore un raport mai detaliat, care actualizează informațiile inițiale și indică o evaluare a incidentului. Raportul final se transmite instituțiilor competente în termen de o lună de la data producerii evenimentului.
2. Managementul riscului
Entitățile vor fi obligate să facă evaluări de securitate prin care să identifice ce anume perturbă funcționarea normală a sistemelor informatice, amenințările și vulnerabilitățile existente.
Sancțiuni
Pentru amenzile administrative, cuantumul se stabilește de la caz la caz ținând cont de circumstanțe.
Directiva stabilește o listă de sancțiuni administrative (similare cu cele din GDPR), astfel statele membre se asigură că încălcările obligațiilor obligațiilor de raportare a incidentelor și de gestionare a riscurilor de securitate cibernetică, se sancționează cu aplicarea unor amenzi administrative maxime de 10.000.000 EUR sau de 2% din cifra de afaceri totală anuală a entității, luându-se în considerare valoarea cea mai mare, mai exact:
Pentru încălcarea prevederilor referitoare la gestionarea riscurilor și obligația de raportare a unui incident entitățile esențiale sunt riscă aplicarea unei amenzi administrative având o limită superioară de cel puțin 10 000 000 EUR sau o limită superioară de cel puțin 2 % din cifra de afaceri mondială totală anuală, înregistrată în exercițiul financiar precedent, a întreprinderii căreia îi aparține entitatea esențială, luându-se în considerare valoarea cea mai mare dintre acestea.
Pentru încălcarea prevederilor referitoare la gestionarea riscurilor și obligația de raportare a unui incident, entitățile importante sunt supuse unor amenzi administrative având o limită superioară de cel puțin 7 000 000 EUR sau având o limită superioară de cel puțin 1,4 % din cifra de afaceri mondială totală anuală, înregistrată în exercițiul financiar precedent, a întreprinderii căreia îi aparține entitatea importantă, luându-se în considerare valoarea cea mai mare dintre acestea.
Măsuri coercitive
Pentru entitățile importante se prevăd în mod expres atribuțiile autorității competente atunci când exercită activitatea de supraveghere (de ex. inspecții la fața locului, audituri de securitate specifice bazate pe evaluări ale riscurilor sau pe informații disponibile legate de riscuri, cereri de acces la date, la documente și/sau la informații necesare pentru îndeplinirea sarcinilor de supraveghere).
Totodată, sunt prevăzute măsurile coercitive pe care le poate aplica (ex. pot emite avertismente, instrucțiuni obligatorii, ordine prin care solicită entităților să remedieze deficiențele identificate, pot dispune ca entitățile respective să informeze persoanele fizice sau juridice cărora le furnizează servicii sau activități care sunt potențial afectate de o amenințare cibernetică semnificativă cu privire la toate măsurile de protecție sau de remediere pe care le-ar putea lua persoana în cauză, de a desemna un ofițer de monitorizare pentru a supraveghea respectarea obligațiilor, de a face o declarație publică în care identifică persoana responsabilă pentru încălcarea unei obligații prevăzute în prezenta directivă și natura încălcării respective).
Ce trebuie să facă organizațiile
În vederea asigurării unui nivel comun de securitate la nivelul UE, NIS2 prevede ca organizațiile să întreprindă următoarele măsuri:
- Analiză de risc și implementarea de politicii de securitate;
- Prevenirea, detecția și răspunsul la incidente de securitate cibernetică, într-o manieră adecvată;
- Managementul crizelor și continuitatea operațională în cazul unui incident cibernetic major;
- Plan de continuare a activității și de recuperare în caz de dezastre;
- Asigurarea securității lanțului lor de aprovizionare, inclusiv a furnizorilor de servicii de prelucrare sau stocare a datelor;
- Asigurarea securității rețelelor și sistemelor informatice, pe toată perioada ciclului de viață a acestora;
- Implementarea de politici și proceduri care să evalueze eficacitatea practicilor de management al riscului de securitate cibernetică;
- Politici și proceduri privind utilizarea criptografiei și, după caz, a criptării;
- Utilizarea de soluții de autentificare în mai mulți pași sau de autentificare continuă, comunicații vocale, video și text securizate și sisteme de comunicații de urgență securizate în cadrul entității, după caz;
- Politici de control al accesului și gestionarea activelor;
- Formare profesională.
Transpunere
Aceasta directivă se transpune până la data de 17 octombrie 2024, iar în caz contrat România poate intra infringement, adică Comisia Europeană poate iniția o procedură formală de constatare a neîndeplinirii obligațiilor.
📚Orice directivă europeană trebuie transpusă pentru a fi aplicabilă la nivelul statului membru, aceasta nu este direct aplicabilă așa cum este un Regulament. O directivă intră în vigoare în termen de douăzeci de zile de la publicarea sa în Jurnalul Oficial al Uniunii Europene.
Fotografie de Kaitlyn Baker pe Unsplash
