IMPLEMENTAREA DIRECTIVELOR NIS

Article Securitate Cibernetică conform Directivei NIS: Cerințe și Consecințe în UE și România

Despre Directivele NIS

Directiva UE 2016/1148 privind securitatea rețelelor și a sistemelor informatice (Directiva NIS), implementată în România prin Legea nr.362/2018 (legea NIS), prevede cerințe de securitate cibernetică care trebuie implementate. NIS (Network and Information Security) vizează protejarea infrastructurilor critice și digitale pentru asigurarea funcționării sistemelor care sunt fundamentale pentru societate și stabilirea măsurilor în vederea obținerii unui nivel comun ridicat de securitate, luând în calcul riscurile asociate.

Potrivit Normelor tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale, compania trebuie să vegheze asupra patru domenii de securitate:

    guvernanță – se referă la elaborarea și implementarea unor politici de securitate la nivelul organizației și privește managementul de top al companiei.

   protecție – se referă la necesitatea de a asigura securitatea rețelelor și sistemelor informatice. Se include administrarea și mentenanța resurselor, rețelelor și sistemelor informatice și controlul accesului la elementele/componentele rețelelor și sistemelor informatice.

     apărare cibernetică – se referă la necesitatea de a asigura managementul incidentelor de securitate. Cum detectează compania incidentele care afectează securitatea rețelelor și sistemelor informatice? Cum le tratează?

    reziliență – se referă la managementul continuității serviciilor esențiale furnizate sau, altfel spus, business continuity. Cum sunt gestionate situațiile de criză, precum incidente de securitate care au un impact major asupra serviciilor esențiale?

Directiva NIS2, care a intrat în vigoare în ianuarie 2023, actualizează lista sectoarelor și a activităților vizate și prevede căi de atac și sancțiuni pentru a asigura respectarea legislației. Noua directivă impune obligații directe asupra managementului companiilor/ instituțiilor vizate în ceea ce privește punerea în aplicare și supravegherea respectării legislației de către organizația lor, ceea ce poate duce la amenzi și la interzicerea temporară a exercitării funcțiilor de conducere.

Entitățile vizate trebuie să implementeze măsuri de gestionare a riscurilor cibernetice, care includ cerințe de atenuare a riscurilor de securitate și obligația de diligență din partea furnizorilor/ furnizorilor de servicii terțe. În același timp, acestea trebui să identifice rapid impactul potențial al incidentelor, înainte sau pe măsură ce acestea se desfășoară, asupra rețelei și sistemelor informatice afectate, cât și asupra dependenței de aceste sisteme, precum și durata și gravitatea întreruperii serviciilor.

Au fost modificate și cerințele privind raportarea incidentelor, NIS2 impunând obligații de notificare în etape, inclusiv o notificare inițială în termen de 24 de ore de la luarea la cunoștință a anumitor incidente sau amenințări cibernetice, iar detaliile trebuie transmise în termen de 72 de ore. O raportare mai detaliată este necesară la o lună de la apariția unui incident semnificativ, ca măsură de monitorizare. Totuși, noul act legislativ raționalizează obligațiile de raportare pentru a evita raportarea excesivă și crearea unei sarcini excesive pentru entitățile vizate.

Cerinte minime de securitate

Conform Directivelor NIS și NIS2, în calitate de Operator de Servicii Esențiale (OSE) ai obligația de a implementa măsurile tehnice și organizatorice adecvate și proporționale pentru îndeplinirea cerințelor minime de securitate. Aceste cerințe minime de securitate se referă la:

       managementul drepturilor de acces;

       conștientizarea și instruirea utilizatorilor;

       jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice;

       testarea și evaluarea securității rețelelor și sistemelor informatice;

       managementul configurațiilor rețelelor și sistemelor informatice;

       asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor informatice;

       asigurarea securității lanțului de aprovizionare;

       managementul continuității funcționării serviciului esențial;

       managementul furnizorilor și a părților terțe;

       managementul identificării și autentificării utilizatorilor;

       răspunsul la incidente;

       mentenanța rețelelor și sistemelor informatice;

       managementul suporturilor de memorie externă;

       asigurarea protecției fizice a rețelelor și sistemelor informatice;

       realizarea planurilor de securitate;

       asigurarea securității personalului;

       analizarea și evaluarea riscurilor;

       asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice;

       managementul vulnerabilităților și alertelor de securitate.

Amenzi

Nerespectarea dispozițiilor Legii NIS poate atrage răspunderea juridică (civilă, contravențională sau penală). Amenzile contravenționale pornesc de la 3.000 lei și pot ajunge până la 5% din cifra de afaceri. Directiva NIS 2 introduce un regim de amenzi diferențiat pe tipuri de entități. Pentru Operatorii de Servicii Esențiale, amenzile maxime pentru nerespectarea cerințelor ar putea atinge valoarea de 10 milioane de euro.

Pentru detalii despre implementarea directivei NIS in organizatia dvs. ne ptueti scrie la office@decalex.ro

 

 

Share:
Diana Cojocaru
Autor: Diana Cojocaru

Privacy & Data Protection, Information Systems Auditor
Ultimele articole
Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Opinia EDPB vs “Pay or Okay”

Opinia EDPB vs “Pay or Okay”

Moderarea conținutului în Regatul Unit

Moderarea conținutului în Regatul Unit

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI