Directiva NIS2: ce trebuie sa stiti despre cea mai recenta legislatie de securitate cibernetica din UE

Directiva NIS2: ce trebuie sa stiti despre cea mai recenta legislatie de securitate cibernetica din UE directiva nis2securitate cibernetica

ESET saluta decizia legiuitorilor UE de a adopta cea de-a doua Directiva privind securitatea retelelor si a informatiilor (NIS2), care urmareste consolidarea rezilientei cibernetice in intreaga Uniune. Aceasta noua legislatie raspunde dependentei tot mai mari a sectoarelor critice de digitalizare si expunerii tot mai mari a acestora la amenintari cibernetice.



In acest sens, un intreg ghid elaborat de ESET pe marginea acestui subiect, poate fi descarcat de aici.
 
Iata explicatiile specialistilor ESET care au analizat subiectul.
 
Ce noutati sunt prevazute in NIS2?

Directiva aprobata in prezent inlocuieste directiva NIS introdusa in 2016, prima legislatie la nivelul UE privind securitatea cibernetica. NIS2 introduce un domeniu de actiune mai larg, avand un impact asupra mai multor entitati din sectoarele „cu grad critic ridicat” - energie, transporturi, sector bancar, alimentare cu apa, ape reziduale - atat din domeniul public, cat si din cel privat. De asemenea, sunt prevazute noi obligatii pentru entitatile din alte sectoare „critice", cum ar fi industria prelucratoare (manufactura), industria alimentara, industria chimica, gestionarea deseurilor, serviciile postale si de curierat etc.
 
Companiile considerate ca fiind de „Nivel Critic Ridicat” vor trebui sa ia masuri tehnice si operationale pentru a se conforma cu NIS2, inclusiv in ceea ce priveste raspunsul la incidente, securitatea lantului de aprovizionare, criptarea si dezvaluirea vulnerabilitatilor, analiza adecvata a riscurilor, testarea si auditarea strategiilor de securitate cibernetica si planificarea gestionarii crizelor in vederea asigurarii continuitatii activitatii. In cazul unui incident cibernetic, aceste entitati vor trebui sa transmita o notificare initiala in termen de 24 de ore si informatii mai detaliate in termen de 72 de ore. Totodata, NIS2 introduce amenzi in caz de nerespectare, inclusiv suspendarea certificarii si raspunderea personala pentru functiile de conducere, in conformitate cu legislatia nationala.
 
Cine trebuie sa respecte noile reglementari?

In comparatie cu versiunea sa anterioara, noua directiva NIS2 stabileste o distinctie: entitati esentiale si entitati importante, care reflecta in mod corespunzator caracterul critic al entitatii, dimensiunea acesteia si probabilitatea de producere a incidentelor. Cerintele vor fi de aceea proportionale cu gradul de expunere a entitatii (esentiale sau importante) la riscuri si cu impactul social si economic pe care l-ar avea un incident.
 
NIS2 stabileste „aplicarea regulii plafonului de marime, conform careia, toate intreprinderile mijlocii si mari, care isi desfasoara activitatea in sectoarele indicate sau furnizeaza tipul de servicii reglementate de prezenta directiva, intra in domeniul de aplicare a acesteia”. Desi exclude intreprinderile mici si microintreprinderile de la obligatia de a se conforma noilor norme, se aplica unele exceptii, de exemplu pentru IMM-urile din sectoarele retelelor de comunicatii electronice sau al serviciilor de comunicatii electronice accesibile publicului, al furnizorilor de servicii de incredere sau al registrelor de nume de domenii de nivel superior (TLD).
 
In acest context, securitatea se refera la capacitatea retelelor si a sistemelor informatice de a rezista la actiuni care compromit disponibilitatea, autenticitatea, integritatea si confidentialitatea datelor. Regulamentul de punere in aplicare al Comisiei [Regulamentul (UE) 2018/151] precizeaza in continuare elementele de securitate care trebuie respectate: securitatea sistemelor si a facilitatilor, gestionarea incidentelor, gestionarea continuitatii activitatii, monitorizarea, controlul si testarea, precum si standardele internationale.  
 
Se recunoaste astfel ca toate sectoarele si organizatiile care intra sub incidenta NIS2 sunt de mare importanta pentru comunitatile din statele membre ale UE. Se intelege de aceea ca perturbarea acestora ar cauza prejudicii grave societatii daca nu ar mai fi in masura sa isi indeplineasca functiile. In cele din urma, cele doua categorii au fost create pentru a distinge faptul ca nu toate sectoarele au acelasi impact asupra societatii, la aceeasi scara, in cazul unui incident.


 
Impunerea unor masuri minime
 
Directiva NIS2 propune un set minim de masuri, printre care se numara: efectuarea de analize de risc si instituirea de politici de securitate IT, adresarea incidentelor, continuitatea activitatii si gestionarea crizelor, securitatea lantului de aprovizionare si securitatea la achizitie, dezvoltarea si intretinerea retelelor si a sistemelor IT. Sunt vizate, de asemenea, politici si proceduri de evaluare a eficacitatii masurilor de gestionare a riscurilor si a utilizarii criptografiei si a criptarii.
 
Entitatile esentiale si importante ar trebui sa puna in practica masuri suplimentare, precum:

• sa adopte o gama larga de practici de baza in materie de igiena cibernetica (cum ar fi principiile Zero Trust, actualizarile de software, configurarea corecta a dispozitivelor, segmentarea retelei, gestionarea identitatii si a accesului sau cresterea gradului de constientizare a riscurilor la nivelul utilizatorilor)
• sa organizeze cursuri de formare pentru personalul lor si sa sensibilizeze publicul cu privire la amenintarile cibernetice (phishing sau tehnici de inginerie sociala). 

 
De asemenea, entitatile respective ar trebui sa-si reevalueze capacitatile de securitate cibernetica si, daca este cazul, sa urmareasca integrarea tehnologiilor de consolidare a securitatii cibernetice, cum ar fi inteligenta artificiala sau sistemele de invatare automata, pentru a ranforsa capacitatile acestora si securitatea retelelor si a sistemelor informatice.
 
Aditional, pentru a demonstra conformitatea cu aceste masuri, statele membre pot solicita entitatilor esentiale si importante sa utilizeze produse, servicii sau procese IT&C specifice care vor fi certificate in cadrul sistemelor europene de certificare a securitatii cibernetice adoptate in temeiul Legii privind securitatea cibernetica [Regulamentul (UE) 2019/881].
 
Noi cerinte si reglementari incluse in NIS2
 
Introducerea NIS2 va creste domeniul de reglementare, iar mai multe organizatii vor trebui sa inceapa sa se conformeze cerintelor. Dar care sunt aceste cerinte si cum vor fi ele puse in aplicare?
 
1. Obligatia de diligenta
Toate organizatiile vizate de NIS2 - esentiale sau importante - vor trebui sa inceapa sa se conformeze obligatiei de diligenta. Directiva contine o lista de tipuri de masuri minime pe care furnizorii de servicii trebuie sa le respecte. Printre acestea se numara evaluarea riscurilor, gestionarea crizelor si asigurarea continuitatii operationale in cazul unui incident cibernetic major, dar si pastrarea securitatii lantului de aprovizionare. In plus, obligatia de diligenta include asigurarea securitatii retelelor si a sistemelor informatice, utilizarea criptografiei si a criptarii si existenta unor politici si proceduri care sa evalueze eficacitatea masurilor de gestionare a riscurilor. 
 
2. Obligatia de raportare
In cadrul noii directive NIS a fost introdusa obligatia de a raporta incidentele care au un impact semnificativ asupra continuitatii serviciilor, in termen de 24 de ore de la data la care au luat cunostinta de un incident, urmata de o actualizare in 72 de ore si de o evaluare finala la o luna dupa aceea. Pentru a evalua daca un incident are un impact semnificativ, ghidul descrie mai multi parametri care trebuie luati in considerare, inclusiv numarul de utilizatori afectati, durata incidentului si dimensiunea zonei geografice afectate de incident. In cazul in care, pentru un furnizor, un incident pare sa aiba un impact semnificativ asupra continuitatii serviciului furnizat, incidentul trebuie raportat fara intarziere echipei locale de raspuns la incidente de securitate informatica (CSIRT) sau autoritatii competente a statului membru. 
 
Statele membre trebuie sa se asigure ca efectueaza o supraveghere eficienta pentru a verifica respectarea cerintelor directivei. In ceea ce priveste entitatile esentiale, aceasta implica o supraveghere proactiva. In schimb, in cazul entitatilor importante, aceasta implica o supraveghere reactiva, care poate fi declansata de dovezi, indicii sau informatii conform carora entitatea respectiva nu respecta directiva. NIS2 extinde, de asemenea, raspunderea la persoanele fizice. Astfel, pe langa persoana juridica, poate fi tras la raspundere si directorul unei organizatii.
 
3. Abordarea obligatorie a notificarii
Directiva NIS2 prevede o „abordare in doua etape” pentru raportarea incidentelor. Prima notificare vizeaza limitarea raspandirii potentiale a incidentelor si permite entitatilor sa caute sprijin. A doua notificare ar trebui sa fie completa, asigurand ca se pot trage invataminte din incidentele anterioare. Cu toate acestea, este important de remarcat faptul ca ar putea fi necesare clarificari suplimentare pentru a evalua in mod corect incidentul si consecintele acestuia. 
 
A. Notificari initiale - In termen de 24 de ore de la luarea la cunostinta a incidentului, fara intarzieri nejustificate, catre autoritatea competenta sau catre CISRT-ul relevant la nivel national, indicandu-se, daca este posibil, daca un act ilegal sau rau intentionat a cauzat incidentul. In termen de 72 de ore de la transmiterea primei alerte, entitatea afectata trebuie, de asemenea, sa transmita o actualizare si o evaluare cu mai multe detalii privind atacul si masurile puse in aplicare. Daca entitatea solicita acest lucru, este posibil sa primeasca indrumare privind punerea in aplicare a unor potentiale masuri de atenuare si, daca este necesar, asistenta tehnica suplimentara. In cazul unui incident criminal, entitatea afectata primeste, de asemenea, indrumari privind raportarea incidentului catre autoritatile de aplicare a legii.
 
B. Notificarea finala - In cele din urma, in termen de o luna de la depunerea notificarii initiale sau a primului raport, trebuie sa se prezinte un raport final, care sa includa (i) o descriere detaliata a incidentului, a gravitatii si a consecintelor acestuia, (ii) tipul de amenintare sau de cauza care ar fi putut duce la incident si (iii) masurile de atenuare aplicate si in curs de aplicare.
 
C. Amenintari cibernetice semnificative - Un incident este considerat semnificativ in cazul in acesta are, sau poate avea ca rezultat, perturbari operationale semnificative sau pierderi financiare pentru entitatea in cauza sau daca incidentul a afectat sau poate afecta persoane fizice sau juridice, provocand daune materiale sau imateriale semnificative.

D. Notificari voluntare - Entitatile care nu intra in domeniul de aplicare al Directivei NIS2 pot raporta in mod voluntar incidente semnificative, amenintari cibernetice sau incidente evitate din scurt. Autoritatea competenta sau CSIRT urmeaza procedura descrisa in cadrul „notificarii in doua etape”. Rapoartele transmise in mod voluntar nu pot face obiectul unor obligatii suplimentare. Astfel, daca o entitate face o notificare voluntara, aceasta nu ar trebui sa fie supusa unor obligatii mai oneroase decat daca nu ar fi prezentat-o.
 
Mecanisme de punere in aplicare si sanctiuni
 
In cazul ambelor tipuri de entitati, organismele competente vor avea puterea de a le supune unor inspectii la fata locului si unei supravegheri off-site ex-post efectuate de profesionisti calificati, prin audituri de securitate specifice, scanari de securitate, cereri de acces la date, documente si informatii, precum si cereri de dovezi privind punerea in aplicare a politicilor de securitate cibernetica, cum ar fi rezultatele auditurilor de securitate efectuate de un auditor calificat si dovezile aferente. Verificarile aleatorii extind si mai mult lista, impreuna cu auditurile ad-hoc in cazul entitatilor esentiale. Cu exceptia cazurilor justificate in mod corespunzator, entitatile auditate vor trebui sa suporte costurile auditurilor de securitate.
 
In cazul in care se descopera o incalcare, autoritatile competente pot exercita actiuni precum: emiterea de avertismente, impunerea de instructiuni, obligarea entitatilor de a inceta desfasurarea activitatilor care incalca directiva, obligarea entitatilor de a informa persoanele fizice sau juridice care ar putea fi afectate de incident sau chiar de a face publice informatiile. In cazul in care aceste masuri nu duc la remedierea situatiei, autoritatile competente pot suspenda temporar activitatile entitatii si pe managerul organizatiei, care isi exercita responsabilitatile la nivel de director general sau de reprezentant legal.
 
Directiva NIS2 stabileste un cadru coerent de sanctiuni minime aplicabile pentru incalcarea obligatiilor de gestionare a riscurilor si de raportare. Aceste sanctiuni includ instructiuni obligatorii, punerea in aplicare a recomandarilor unui audit de securitate, aducerea masurilor de securitate in conformitate cu cerintele NIS si amenzi administrative. In ceea ce priveste sanctiunile administrative, noua directiva NIS face distinctie intre entitatile esentiale si cele importante.
 
Statele membre trebuie sa ofere autoritatilor relevante capacitatea de a impune amenzi considerabile. In ceea ce priveste entitatile esentiale, Directiva NIS2 impune statelor membre sa prevada un anumit nivel al amenzilor administrative, in special o suma maxima de pana la 10 milioane de euro sau 2% din cifra de afaceri anuala totala la nivel mondial, din exercitiul financiar precedent, oricare dintre acestea este mai mare. In ceea ce priveste entitatile importante, Directiva NIS2 impune statelor membre sa prevada o amenda maxima de pana la 7 milioane de euro sau 1,4% din cifra de afaceri anuala totala, la nivel mondial a exercitiului financiar precedent, oricare dintre acestea este mai mare.
 
Organele de conducere ale entitatilor esentiale si importante pot fi, de asemenea, trase la raspundere pentru nerespectarea dispozitiilor Directivei NIS2. 
 
Atunci cand isi exercita competentele de executare, autoritatile competente ar trebui sa tina seama in mod corespunzator de circumstantele specifice fiecarui caz, cum ar fi natura, gravitatea si durata incalcarii, prejudiciile cauzate sau pierderile suferite, precum si caracterul intentionat sau neglijent al incalcarii.
 
Termenul de punere in aplicare
 
NIS2 a intrat in vigoare la 16 ianuarie 2023, dar va deveni aplicabila dupa ce statele membre ale UE vor transpune directiva in legislatia nationala, cu termen limita pana in septembrie 2024. Cu toate acestea, organizatiile ar putea planifica sa fie pregatite mai devreme, nu numai pentru a fi la timp in ceea ce priveste procesul de implementare, ci si pentru a testa diferite bune practici privind gestionarea incidentelor, politicile de control si de raportare. 
 
ESET este un lider global in domeniul securitatii digitale, cu radacini in Uniunea Europeana. Timp de peste 3 decenii, a fost pionier in domeniul software-ului si serviciilor de securitate IT de top pentru companii si consumatori din intreaga lume. De atunci, ESET a devenit cea mai mare companie de securitate IT din Uniunea Europeana, cu solutii care variaza de la securitate endpoint, XDR si securitatea mobila, pana la criptare si autentificare cu doi factori.
Prin specialistii proprii si consultantii parteneri, ESET va poate ajuta, oferind indrumare pentru a va conforma cu noile cerinte NIS2 care sunt relevante pentru organizatia dumneavoastra.  
Solutiile ESET pot fi testate gratuit de catre companii, indiferent de dimensiunea acestora, fara obligatii ulterioare. Pentru descarcarea unei variante de test, click aici.