De asemenea, entitatile respective ar trebui sa-si reevalueze capacitatile de securitate cibernetica si, daca este cazul, sa urmareasca integrarea tehnologiilor de consolidare a securitatii cibernetice, cum ar fi inteligenta artificiala sau sistemele de invatare automata, pentru a ranforsa capacitatile acestora si securitatea retelelor si a sistemelor informatice.
Aditional, pentru a demonstra conformitatea cu aceste masuri, statele membre pot solicita entitatilor esentiale si importante sa utilizeze produse, servicii sau procese IT&C specifice care vor fi certificate in cadrul sistemelor europene de certificare a securitatii cibernetice adoptate in temeiul Legii privind securitatea cibernetica [Regulamentul (UE) 2019/881].
Noi cerinte si reglementari incluse in NIS2
Introducerea NIS2 va creste domeniul de reglementare, iar mai multe organizatii vor trebui sa inceapa sa se conformeze cerintelor. Dar care sunt aceste cerinte si cum vor fi ele puse in aplicare?
1. Obligatia de diligenta
Toate organizatiile vizate de NIS2 - esentiale sau importante - vor trebui sa inceapa sa se conformeze obligatiei de diligenta. Directiva contine o lista de tipuri de masuri minime pe care furnizorii de servicii trebuie sa le respecte. Printre acestea se numara evaluarea riscurilor, gestionarea crizelor si asigurarea continuitatii operationale in cazul unui incident cibernetic major, dar si pastrarea securitatii lantului de aprovizionare. In plus, obligatia de diligenta include asigurarea securitatii retelelor si a sistemelor informatice, utilizarea criptografiei si a criptarii si existenta unor politici si proceduri care sa evalueze eficacitatea masurilor de gestionare a riscurilor.
2. Obligatia de raportare
In cadrul noii directive NIS a fost introdusa obligatia de a raporta incidentele care au un impact semnificativ asupra continuitatii serviciilor, in termen de 24 de ore de la data la care au luat cunostinta de un incident, urmata de o actualizare in 72 de ore si de o evaluare finala la o luna dupa aceea. Pentru a evalua daca un incident are un impact semnificativ, ghidul descrie mai multi parametri care trebuie luati in considerare, inclusiv numarul de utilizatori afectati, durata incidentului si dimensiunea zonei geografice afectate de incident. In cazul in care, pentru un furnizor, un incident pare sa aiba un impact semnificativ asupra continuitatii serviciului furnizat, incidentul trebuie raportat fara intarziere echipei locale de raspuns la incidente de securitate informatica (CSIRT) sau autoritatii competente a statului membru.
Statele membre trebuie sa se asigure ca efectueaza o supraveghere eficienta pentru a verifica respectarea cerintelor directivei. In ceea ce priveste entitatile esentiale, aceasta implica o supraveghere proactiva. In schimb, in cazul entitatilor importante, aceasta implica o supraveghere reactiva, care poate fi declansata de dovezi, indicii sau informatii conform carora entitatea respectiva nu respecta directiva. NIS2 extinde, de asemenea, raspunderea la persoanele fizice. Astfel, pe langa persoana juridica, poate fi tras la raspundere si directorul unei organizatii.
3. Abordarea obligatorie a notificarii
Directiva NIS2 prevede o „abordare in doua etape” pentru raportarea incidentelor. Prima notificare vizeaza limitarea raspandirii potentiale a incidentelor si permite entitatilor sa caute sprijin. A doua notificare ar trebui sa fie completa, asigurand ca se pot trage invataminte din incidentele anterioare. Cu toate acestea, este important de remarcat faptul ca ar putea fi necesare clarificari suplimentare pentru a evalua in mod corect incidentul si consecintele acestuia.
A. Notificari initiale - In termen de 24 de ore de la luarea la cunostinta a incidentului, fara intarzieri nejustificate, catre autoritatea competenta sau catre CISRT-ul relevant la nivel national, indicandu-se, daca este posibil, daca un act ilegal sau rau intentionat a cauzat incidentul. In termen de 72 de ore de la transmiterea primei alerte, entitatea afectata trebuie, de asemenea, sa transmita o actualizare si o evaluare cu mai multe detalii privind atacul si masurile puse in aplicare. Daca entitatea solicita acest lucru, este posibil sa primeasca indrumare privind punerea in aplicare a unor potentiale masuri de atenuare si, daca este necesar, asistenta tehnica suplimentara. In cazul unui incident criminal, entitatea afectata primeste, de asemenea, indrumari privind raportarea incidentului catre autoritatile de aplicare a legii.
B. Notificarea finala - In cele din urma, in termen de o luna de la depunerea notificarii initiale sau a primului raport, trebuie sa se prezinte un raport final, care sa includa (i) o descriere detaliata a incidentului, a gravitatii si a consecintelor acestuia, (ii) tipul de amenintare sau de cauza care ar fi putut duce la incident si (iii) masurile de atenuare aplicate si in curs de aplicare.
C. Amenintari cibernetice semnificative - Un incident este considerat semnificativ in cazul in acesta are, sau poate avea ca rezultat, perturbari operationale semnificative sau pierderi financiare pentru entitatea in cauza sau daca incidentul a afectat sau poate afecta persoane fizice sau juridice, provocand daune materiale sau imateriale semnificative.
D. Notificari voluntare - Entitatile care nu intra in domeniul de aplicare al Directivei NIS2 pot raporta in mod voluntar incidente semnificative, amenintari cibernetice sau incidente evitate din scurt. Autoritatea competenta sau CSIRT urmeaza procedura descrisa in cadrul „notificarii in doua etape”. Rapoartele transmise in mod voluntar nu pot face obiectul unor obligatii suplimentare. Astfel, daca o entitate face o notificare voluntara, aceasta nu ar trebui sa fie supusa unor obligatii mai oneroase decat daca nu ar fi prezentat-o.
Mecanisme de punere in aplicare si sanctiuni
In cazul ambelor tipuri de entitati, organismele competente vor avea puterea de a le supune unor inspectii la fata locului si unei supravegheri off-site ex-post efectuate de profesionisti calificati, prin audituri de securitate specifice, scanari de securitate, cereri de acces la date, documente si informatii, precum si cereri de dovezi privind punerea in aplicare a politicilor de securitate cibernetica, cum ar fi rezultatele auditurilor de securitate efectuate de un auditor calificat si dovezile aferente. Verificarile aleatorii extind si mai mult lista, impreuna cu auditurile ad-hoc in cazul entitatilor esentiale. Cu exceptia cazurilor justificate in mod corespunzator, entitatile auditate vor trebui sa suporte costurile auditurilor de securitate.
In cazul in care se descopera o incalcare, autoritatile competente pot exercita actiuni precum: emiterea de avertismente, impunerea de instructiuni, obligarea entitatilor de a inceta desfasurarea activitatilor care incalca directiva, obligarea entitatilor de a informa persoanele fizice sau juridice care ar putea fi afectate de incident sau chiar de a face publice informatiile. In cazul in care aceste masuri nu duc la remedierea situatiei, autoritatile competente pot suspenda temporar activitatile entitatii si pe managerul organizatiei, care isi exercita responsabilitatile la nivel de director general sau de reprezentant legal.
Directiva NIS2 stabileste un cadru coerent de sanctiuni minime aplicabile pentru incalcarea obligatiilor de gestionare a riscurilor si de raportare. Aceste sanctiuni includ instructiuni obligatorii, punerea in aplicare a recomandarilor unui audit de securitate, aducerea masurilor de securitate in conformitate cu cerintele NIS si amenzi administrative. In ceea ce priveste sanctiunile administrative, noua directiva NIS face distinctie intre entitatile esentiale si cele importante.
Statele membre trebuie sa ofere autoritatilor relevante capacitatea de a impune amenzi considerabile. In ceea ce priveste entitatile esentiale, Directiva NIS2 impune statelor membre sa prevada un anumit nivel al amenzilor administrative, in special o suma maxima de pana la 10 milioane de euro sau 2% din cifra de afaceri anuala totala la nivel mondial, din exercitiul financiar precedent, oricare dintre acestea este mai mare. In ceea ce priveste entitatile importante, Directiva NIS2 impune statelor membre sa prevada o amenda maxima de pana la 7 milioane de euro sau 1,4% din cifra de afaceri anuala totala, la nivel mondial a exercitiului financiar precedent, oricare dintre acestea este mai mare.
Organele de conducere ale entitatilor esentiale si importante pot fi, de asemenea, trase la raspundere pentru nerespectarea dispozitiilor Directivei NIS2.
Atunci cand isi exercita competentele de executare, autoritatile competente ar trebui sa tina seama in mod corespunzator de circumstantele specifice fiecarui caz, cum ar fi natura, gravitatea si durata incalcarii, prejudiciile cauzate sau pierderile suferite, precum si caracterul intentionat sau neglijent al incalcarii.
Termenul de punere in aplicare
NIS2 a intrat in vigoare la 16 ianuarie 2023, dar va deveni aplicabila dupa ce statele membre ale UE vor transpune directiva in legislatia nationala, cu termen limita pana in septembrie 2024. Cu toate acestea, organizatiile ar putea planifica sa fie pregatite mai devreme, nu numai pentru a fi la timp in ceea ce priveste procesul de implementare, ci si pentru a testa diferite bune practici privind gestionarea incidentelor, politicile de control si de raportare.
ESET este un lider global in domeniul securitatii digitale, cu radacini in Uniunea Europeana. Timp de peste 3 decenii, a fost pionier in domeniul software-ului si serviciilor de securitate IT de top pentru companii si consumatori din intreaga lume. De atunci, ESET a devenit cea mai mare companie de securitate IT din Uniunea Europeana, cu solutii care variaza de la securitate endpoint, XDR si securitatea mobila, pana la criptare si autentificare cu doi factori.
Prin specialistii proprii si consultantii parteneri, ESET va poate ajuta, oferind indrumare pentru a va conforma cu noile cerinte NIS2 care sunt relevante pentru organizatia dumneavoastra.
Solutiile ESET pot fi testate gratuit de catre companii, indiferent de dimensiunea acestora, fara obligatii ulterioare. Pentru descarcarea unei variante de test, click aici.
Ultimele NOUTATI
Secretele freelancingului de succes: cum poti sa faci bani online fara experienta anterioara
Premiile Comertului Online Romanesc acordate in cadrul editiei de 19 ani a Galei Premiilor eCommerce
Nu ai bani de chirie? Iata cum poti negocia cu proprietarul, desi ai contract deja semnat
4 mari greseli pe care le fac toti oamenii saraci cand vine vorba de bani – si cum sa le eviti!
Cum sa platesti cu 50% mai putin la intretinere in aceasta iarna. Furnizorii nu vor sa stii cum!
Partenerii nostri
Documente necesare pentru decontarea diurnei si a cheltuielilor de transport si cazare
Concediere pentru inaptitudine medicala - PROCEDURA explicata de specialisti
Ministrul Muncii: Reducerea deficitului de forta de munca este prioritara
Incasare in numerar PFA: este obligata sa achizitioneze casa de marcat?
[INFOGRAFIC] PFA in sistem real vs. PFA la norma de venit: ce taxe si impozite datoreaza in 2024
Reevaluarea imobilizarilor corporale: GHID complet de teorie si practica
Somajul tehnic, ca solutie pentru reducerea costurilor: ce trebuie sa stii
Adeverinta vechime in munca MODEL
Demisie dupa prima zi la locul de munca. "Suntem obligati sa-i platim persoanei ziua respectiva?"
Te-ar putea interesa si
Nu ai bani de chirie? Iata cum poti negocia cu proprietarul, desi ai contract deja semnat
4 mari greseli pe care le fac toti oamenii saraci cand vine vorba de bani – si cum sa le eviti!