Ce este NIS2?
Directiva privind rețelele și sistemele informaționale (NIS2) se concentrează pe creșterea securității cibernetice în Uniunea Europeană (UE) și pe contribuția la modelarea viitorului digital al UE. Un accent special a fost pus pe răspunsul la incidente de securitate cibernetică, cu obligații de raportare pentru incidentele semnificative și partajarea acestor informații între echipele de răspuns la incidente de securitate cibernetică (CSIRT) din statele membre ale UE pentru a preveni răspândirea incidentelor de securitate cibernetică.
NIS2 va înlocui Directiva privind rețelele și sistemele informaționale (NIS) din mai 2018 și va intra în vigoare la 18 octombrie 2024. Statele membre UE trebuie să aibă directiva transpusă în legislația națională și să aibă autorități locale de supraveghere și de aplicare.
Comisia Europeană a convenit asupra unor sancțiuni semnificative pentru organizațiile care nu respectă cerințele NIS2. Aceștia pot primi o amendă administrativă de până la 10 milioane EUR sau 2% din veniturile totale anuale globale pentru sectoarele esențiale sau 7 milioane EUR sau 1,4% din veniturile totale anuale globale pentru sectoare importante și o posibilă suspendare a conducerii de vârf a organizației.
În ce sectoare se aplică NIS2
Sectoarele din domeniul de aplicare al NIS2 sunt împărțite în două grupuri – esențiale și importante:
NIS2 se aplică mai multor sectoare în comparație cu Directiva NIS, așa cum se arată în imaginea de mai sus. NIS2 se aplică și organizațiilor din afara UE dacă oferă servicii esențiale sau importante în UE. În plus, furnizorii (IT) ai organizațiilor din domeniul de aplicare al NIS2 vor trebui să respecte și cerințele NIS2, făcând parte din lanțurile de aprovizionare ale organizațiilor.
Care sunt cerințele cheie ale NIS2?
Directiva NIS2 stabilește o direcție generală pentru cerințele de management al riscului de securitate cibernetică, iar cerințe mai detaliate sunt în curs de dezvoltare. Cu toate acestea, efortul semnificativ în îndeplinirea cerințelor NIS2 va fi în următoarele domenii:
Evaluarea riscurilor și politici de securitate
Gestionarea incidentelor
Continuitatea afacerii, recuperarea în caz de dezastru și managementul crizelor
Securitatea lanțului de aprovizionare
Securitate în dezvoltarea și întreținerea sistemelor
Politici și proceduri de evaluare a securității
Igienă cibernetică, instruire și conștientizare (la bord).
Politici și proceduri de criptare
Securitatea resurselor umane, controlul accesului și managementul activelor
Obligații de raportare
Una dintre noile cerințe este responsabilitatea la nivel de consiliu pentru supravegherea, aprobarea și monitorizarea măsurilor de management al riscului de securitate cibernetică. Consiliul ar trebui să fie instruit în domeniul securității cibernetice și poate fi tras (personal) responsabil în cazul în care organizația nu îndeplinește cerințele NIS2.
O cerință importantă NIS2 este raportarea incidentelor semnificative de securitate cibernetică. Termenele de raportare sunt dificile, deoarece autoritățile de supraveghere trebuie să fie notificate în termen de 24 de ore după ce au luat cunoștință de un incident semnificativ. În termen de 72 de ore, trebuie furnizat un raport de incident, urmat de un raport final după o lună. De asemenea, clienții trebuie să fie informați și să li se ofere îndrumări cu privire la modul în care ar trebui să se protejeze de orice amenințări legate de incident.