Cum se pregateste compania ta pentru auditul NIS?

Article Directiva NIS: Conformitate și Securitate Cibernetică în UE

Incepand cu 12 ianuarie 2019, Directiva NIS a fost adoptata. Obiectivul acesteia este de a asigura un standard ridicat de securitate a retelelor si informatiilor, comun tuturor statelor membre ale Uniunii care ofera servicii esentiale pentru societate.

Avand in vedere ca aceste servicii se bazeaza tot mai mult pe infrastructuri de retele IT, masurile au scopul de a consolida nivelul de pregatire al statelor UE in fata amenintarilor la adresa securitatii cibernetice, intarind astfel increderea generala in piata digitala unica.

Astfel, Directiva NIS este o reglementare europeana de importanta capitala ce contribuie la sustenabilitatea noii economii digitale.

Pasii pentru acreditare (Directiva NIS)

In cadrul legislatiei, dupa ce compania se identifica la Directoratului National de Securitate Cibernetica (DNSC) drept Operator de Servicii Esentiale, aceasta este obligata sa depuna mapa de acreditare, care contine toate documentele necesare pentru dovedirea conformitatii in vederea masurilor minime de securitate. 

Mapa de acreditare cuprinde urmatoarele documente:

  • analiza riscuri si obiective de securitate
  • proceduri si masuri de securitate aplicate
  • rapoarte de audit de securitate
  • rapoarte de evaluare a conformitatii
  • riscuri reziduale si motive care justifica acceptarea acestora

Astfel, pentru a fi acreditat drept un Operator de Servicii Esentiale, este necesar sa prezinti toate procedurile si masurile de securitate aplicate, un raport de evaluare a conformitatii intern companiei si un raport a unui auditor de securitate cibernetica, acreditat CERT-RO / DNSC.

Ce este auditul NIS?

Auditul NIS implica evaluarea controalelor de securitate din cadrul companiei pentru a determina daca acestea sunt adecvate in protejarea retelei si sistemelor organizatiei impotriva amenintarilor cibernetice. Acest audit este unul de conformitate fata de Legea Legea 362/2018 si reprezinta o conditie obligatorie in vederea legislatiei NIS. Astfel incat oricare operator care se incadreaza in Operatorii de Servicii Esentiale sau ofera servicii catre infrastructura operatoriilor de servicii esentiale este obligat sa il efectueze.

In timpul unui audit NIS, auditorii vor evalua sistemele si retelele organizatiei pentru a identifica vulnerabilitati de securitate si riscuri potentiale. Acestea includ verificarea politicilor si procedurilor de securitate, evaluarea sistemelor de control de acces, testarea sistemelor pentru detectarea si raspunsul la incidente si verificarea conformitatii cu reglementarile privind protectia datelor.

Auditorii vor utiliza o varietate de instrumente si tehnici pentru a evalua securitatea retelelor si sistemelor organizatiei, cum ar fi scanarea porturilor, testarea vulnerabilitatilor si testarea penetrarii. Acestea pot fi efectuate manual sau cu ajutorul unor instrumente software specializate. Rezultatele auditului sunt apoi documentate intr-un raport si prezentate atat conducatorilor organizatiei, cat si Directoratului National de Securitate Cibernetica.

Pasii pentru pregatirea auditului NIS

Avand in vedere ca auditul NIS este unul de conformare, compania trebuie sa se asigura ca are pregatite toate documentele necesare pentru a indeplini cerintele minime de securitate din cadrul legislatiei.

Pregatirea pentru auditul NIS implica, printre altele, si: 

  • realizarea unei analize de risc si ale politicilor de securitate IT, 
  • crearea unei evaluari a nivelului de conformitate
  • stabilirea indicatorilor de securitate care trebuie respectati
  • definirea politicilor si procedurilor pentru evaluarea eficacitatii masurilor de gestionare a riscului de securitate cibernetica

In mod evident, asemenea cerinte depasesc cu mult competentele interne ale companiilor non-IT si nu fac parte din fisa de post a administratorilor IT nici chiar in companiile mari.

Pentru a asigura eficienta si rapiditatea auditului NIS, ce reprezinta un ultim pas in acreditarea Operaturului de Servicii Esentiale, compania poate sa apeleze la serviciile de “pre-audit” a unei echipe in domeniul securitatii IT. Prin acest serviciu, compania se asigura ca a implementat documentele si masurile de securitate necesare in vederea conformitatii.

Serviciul de pre-audit cuprinde:

  • o analiza initiala a masurilor de securitate implementate de catre companie,
  • asistenta in crearea procedurilor si documentatiei necesare,
  • asistenta in implementarea masurilor tehnice din cadrul companiei pentru indeplinirea masurilor minime de securitate,
  • ajutor in organizarea mapei de acreditare, pentru a facilita procesul de aplicare la DNSC.

Echipa necesara pentru pregatirea auditului NIS

Echipa care se ocupa atat de pregatirea auditului NIS, cat si de securitatea retelelor si sistemelor informatice trebuie sa includa atat departamentul de IT al companiei, cat si o persoana desemnata pentru legatura cu CERT-RO/ANSRSI.

 

Avand in vedere ca aceste cerinte pentru pregatirea auditului NIS depasesc competentele interne, recomandam companiilor sa includa o persoana/ echipa cu expertiza in domeniul securitatii IT. Aceasta persoana/ echipa poate fi desemnata si pentru legatura dintre Operatorul de Servicii Esentiale si DNSC.

Pentru informatii despre servicii de audit NIS, sau Responsabil directiva NIS ne puteti scrie la office@decalex.ro

Share:
Diana Cojocaru
Autor: Diana Cojocaru

Privacy & Data Protection, Information Systems Auditor
Ultimele articole
Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Opinia EDPB vs “Pay or Okay”

Opinia EDPB vs “Pay or Okay”

Moderarea conținutului în Regatul Unit

Moderarea conținutului în Regatul Unit

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI