Pentru că în media se discută mult despre Directiva NIS 2, noua reglementare cu privire la respectarea regulilor de securitate cibernetică, termenul cu siguranță vă este cunoscut. Circulă însă și numeroase informații incomplete sau eronate, așa că încercăm să explicăm de la început ce prevede această nouă directivă și mai ales cui se aplică.

Este important de menționat că Directiva NIS 2 vizează două aspecte principale. Primul este creșterea cooperării între statele membre și stabilirea unui cadru comun de lucru, iar al doilea este crearea unei culturi de securitate cibernetică la nivelul companiilor/organizațiilor europene relevante pentru economie și societate. Primul aspect ne interesează mai puțin și se referă la agențiile și instituțiile guvernamentale. Cel de-al doilea are o acoperire mult mai largă și va genera numeroase schimbări în anumite companii (denumite generic operatori de servicii esențiale pe multiple domenii de activitate) care gestionează securitatea cibernetică și notifică autoritățile naționale asupra incidentelor de securitate. Având în vedere că securitatea cibernetică nu este o abordare solitară, acest proces va avea implicații și asupra relațiilor cu alți parteneri de afaceri, deci va avea o influență destul de largă.

Care sunt principalele prevederi?

La modul general, Directiva NIS 2 cere ca rețelele/sistemele informatice ale companiilor să reziste până la un nivel ridicat de încredere la orice incident care le-ar putea compromite disponibilitatea, autentificarea sau confidențialitatea datelor stocate, procesate sau transmise sau a serviciilor oferite, intermediare sau accesate prin respectivele rețele sau sisteme informatice. Această situație implică implementarea eficientă a unor măsuri de diminuare a riscurilor și totodată solicită partajarea informațiilor și raportarea incidentelor către autorități (în România către directoratul național de securitate cibernetică). Directiva nu pune accent pe arhitectura de securitate necesară și nici pe tehnologiile necesare. Conturează însă o serie de măsuri minime, printre care se află:

  • Analiza riscurilor și definirea unor politici de securitate
  • Evaluarea constantă a eficienței măsurilor de securitate
  • Utilizarea tehnicilor de criptare a datelor
  • Trasarea unui plan pentru gestionarea incidentelor de securitate
  • Politici pentru identificarea vulnerabilităților
  • Adoptarea unor măsuri de igienă cibernetică și pregătirea angajaților
  • Gestiunea accesului la resurse și proceduri speciale pentru angajații care accesează date sensibile
  • Conturarea unui plan de continuitate operațională, în timpul și după un incident de securitate, cu acces la backup și restaurare/recuperare
  • Adoptarea soluțiilor de autentificare multi-factor
  • Securizarea rețelelor de parteneri și distribuitori (supply chain)

Este NIS 2 un alt fel de GDPR?

Există voci pe piață care spun că Directiva NIS 2 este similară GDPR-ului. Adevărul este undeva la mijloc. GDPR (Regulamentul General privind Protecția Datelor) își propune să consolideze protecția datelor și să protejeze drepturile individuale la confidențialitate, în timp ce Directiva NIS 2 (Network and Information Security) este concepută pentru a îmbunătăți securitatea și reziliența infrastructurilor critice și a serviciilor esențiale.

Astfel, GDPR se concentrează pe protecția datelor personale ale cetățenilor UE și cere organizațiilor să implementeze măsuri tehnice și organizaționale pentru protejarea acestor date. Pe de altă parte, NIS 2  urmărește creșterea gradului de securizare a rețelelor și sistemelor informatice în general, pentru a minimiza riscul perturbării acestora și a serviciilor pe care le oferă, în urma unui incident cibernetic.  La nivel de asemănări, ambele reglementări solicită companiilor să raporteze incidentele și de asemenea, prevăd sancțiuni drastice în situația nerespectării cerințelor. În ambele cazuri, valoarea amenzilor este ridicată, putând ajunge la milioane de euro în cazul organizațiilor mari.

Cui se aplică Directiva NIS 2

Companiile mari din domeniile economice cheie sunt deja obișnuite cu Directiva NIS 1. NIS 2 extinde însă mult aria de acoperire, cuprinzând organizații care tradițional nu alocă bugete consistente pentru securitatea cibernetică. Documentele Comisiei Europene clasifică organizațiile vizate în două categorii: „Entități Esențiale” și „Entități Importante”.

În prima categorie sunt incluse 11 sectoare economice majore (prezente și în Directiva NIS 1) precum energie, transporturi, servicii bancare, servicii financiare, sănătate, utilități publice (apă/canal), infrastructura digitală, administrația publică, servicii IT pentru companii și sectorul aero-spațial. Legislația menționează explicit și 9 sub-sectoare: producția și distribuția de electricitate, sistemele de încălzire și răcire centralizată, petrol, gaze, hidrogen, transport aerian, feroviar, naval și rutier. Pe lista entităților Importante se regăsesc 7 sectoare de activitate: poștă și curierat, managementul deșeurilor, industria manufacturieră, producția și distribuția de substanțe chimice, industria alimentară, furnizarea de servicii digitale, activități de cercetare și dezvoltare. Există și câteva sub-sectoare menționate: echipamente și dispozitive medicale, computere, produse electronice și optice, aparatură electrică, mașini și utilaje, vehicule motorizate, remorci și semiremorci, echipamente de transport.

Alături de sectoarele de activitate, contează și dimensiunea organizației. Cel mai probabil, aplicarea Directivei va acoperi până la nivelul companiilor medii (peste 10 milioane euro și 50 de angajați), însă aceste detalii vor fi cunoscute doar după ce vor exista normele pentru transpunerea Directivei NIS 2 în legislația locală. Experții în domeniu consideră că pentru anumiți furnizori plafonul ar putea fi mai jos. Conform legislației UE, până în aprilie 2025, la nivelul fiecărui stat va exista un registru cu toate entitățile esențiale și importante vizate de Directiva NIS 2, care va fi actualizat la cel puțin doi ani.

Impact real sau doar birocrație?

Având în vedere peisajul cybercrime actual, cu atacuri tot mai multe și mai complexe, adaptarea la cerințele Directivei NIS 2 poate avea un impact major asupra întregii economii. Acest proces va include investiții potențiale în soluții moderne de securitate, ajustări ale infrastructurii IT, dar și pregătirea suplimentară a angajaților în domeniul securității cibernetice. Astfel de măsuri sunt esențiale pentru minimizarea riscurilor cibernetice, pentru creșterea încrederii clienților în securitatea datelor lor și pentru asigurarea continuității afacerii.

Ca și în cazul GDPR, este important ca organizațiile să nu vadă în aceste cerințe doar ca pe o povară, ci și o oportunitate de a-și întări reziliența la amenințările cibernetice și a reduce riscurile.  

Abordată serios, Directiva NIS 2 va avea un impact pozitiv, mai ales că are în vedere formarea unei culturi de securitate, care depășește perimetrul unei singure companii. O cultură puternică de securitate ajută la creșterea conștientizării riscurilor de securitate, influențează comportamentul angajaților și, în cele din urmă, întărește rezistența companiei la amenințările cibernetice.

Vom ajunge acolo dacă în realizarea conformității cu Directiva NIS 2 companiile apelează la specialiști și respectă bunele practici din domeniul securității rețelelor și informațiilor.