Directiva NIS pune multe companii pe jar, atât prin apariţia constantă a unor modificări, cât şi prin efortul care trebuie depus pentru atingerea nivelului minim de securitate solicitat. Multe companii încă nu știu dacă intră sub incidenţa Directivei NIS, însă Comisia Europeană tinde să includă aproape orice organizație care contează în economie. Oricare ar fi însă situația, orice proiect de aliniere la cerințele NIS, trebuie să înceapă cu un audit de securitate.
În decembrie anul trecut, Comisia Europeană a lansat oficial propunerea de revizuire a Directivei UE 2016/1148 privind securitatea rețelelor și a sistemelor informatice, transpusă în legislația națională prin Legea 362/2018. În decursul celor 10 luni care au trecut, proiectul de revizuire a Directivei NIS a avansat, tot mai multe modificări propuse fiind confirmate deja.
Una dintre principalele schimbări aduse de Directiva NIS 2.0 constă în extinderea ariei de adresabilitate. În versiunea inițială, lista publicată pe site-ul CERT-RO – autoritatea naţională competentă care se ocupă de aplicarea și respectarea directivei – făcea referire la Operatorii de Servicii Esențiale (OES) din șapte sectoare:
Acestora li se adaugă Furnizorii de Servicii Digitale (DSP) din trei categorii: piețe online, motoare de căutare online și servicii Cloud Computing.
NIS 2.0 extinde lista OES la 10, incluzând administrația publică, spațiul și apă reziduală, precum și o serie de servicii pentru entităţile importante, precum serviciile poştale şi de curierat, de management al deşeurilor și substanţelor chimice etc.
Conform estimărilor Comisiei Europene, extinderea ariei de adresabilitate va genera o creștere de aproape șapte ori (de la 15.500 la peste 110.000 de organizații), categoriile OES și DSP fiind înlocuite cu cele de „entități esențiale“ și „entități importante“. Practic, noua directivă se va adresa tuturor organizațiilor mijlocii și mari din sectoarele esențiale, precum și celor de dimensiuni mici dar cu rol critic pentru economie sau societate. Potrivit studiului de impact realizat de CE, aplicarea prevederilor NIS 2.0 în companiile nou incluse sub umbrela directivei va genera o creștere a cheltuielilor IT cu 22%, spre deosebire de +12%, cât va fi creșterea în cazul companiilor care s-au aliniat deja la cerințele primei versiuni a directivei.
Înainte însă ca o „entitate“ să demareze demersurile de aliniere la cerințele Directivei NIS și să facă orice investiție în IT, trebuie să știe stadiul real în care se află. Iar cea mai eficientă și rapidă metodă de a afla acest lucru este să apeleze la serviciile unui auditor extern cu experiență în domeniul securității IT.
Vă spuneam într-o postare anterioară că auditul de securitate reprezintă un control de sănătate necesar oricărei companii. În cazul companiilor care se vor încadra în categoria entităților esențiale/importante prevăzute în NIS 2.0, controlul va deveni obligatoriu.
În primul rând pentru că, spre deosebire de vechea versiune a directivei, NIS 2.0 stipulează clar îndatoririle managementului entităților în ceea ce privește securitatea informatică. Astfel, Articolul 18, Alineatul 2 prevede că acestea trebuie să: a) realizeze analize de risc și ale politicilor de securitate IT, precum și f) • definească politici și proceduri (testări și audituri) pentru evaluarea eficacității măsurilor de gestionare a riscului de securitate cibernetică. În mod evident, asemenea cerințe depășesc cu mult competențele interne ale companiilor non-IT. Analiza riscurilor, a procedurilor și măsurilor de securitate, rapoartele de audit, cele de evaluare a nivelului de conformitate, stabilirea indicatorilor de securitate care trebuie respectați nu fac parte din fișa de administratorilor IT nici chiar în companiile mari.
Prin urmare, dacă vreți să vă pregătiți din timp pentru alinierea la cerințele noii Directive NIS 2.0 și să țineți costurile sub control, cel mai indicat este să porniţi de la un audit de securitate. Pentru sfaturi, dar şi servicii ne puteţi contacta pe orice canal de comunicare.
