Implicațiile NIS2 pentru operatorii din energie și infrastructura critică

Article Implicațiile NIS2 pentru Energie și Infrastructura Critică: Obligații, Riscuri și Măsuri de Conformare

Introducere

Directiva NIS2 a apărut ca răspuns la necesitatea de a revizui directiva NIS1, din 2016, datorită provocărilor continue în zona securității cibernetice. Scopul ei este de a stabili un cadru juridic unificat pentru a susține securitatea cibernetică din sectoarele esențiale și importante, precum sectorul energiei (electricitate, gaz, rețele de încălzire), al transporturilor sau al sănătății. 

Dincolo de criteriul domeniului în care activează compania dvs., se aplică și criteriul locației. Astfel, compania dvs. trebuie să ofere servicii sau să desfășoare activități în orice țară membră a Uniunii Europene pentru a intra în aria de acoperire a directivei NIS2. Un ultim (dar nu cel din urmă sau mai bine zis, în context, nu definitoriu, pentru că se admit excepții), este criteriul dimensiunii companiei. Directiva NIS2 se aplică companiilor medii și mari. 

Cerințe cheie din NIS2 (obligațiile principale pentru domeniul vizat)

  • Identificarea aplicării Directivei NIS2 raportat la compania dvs. (punctual, verificarea celor 3 criterii amintite în introducere);
  • Analiza și gestionarea riscurilor aferente prin introducerea de politici și proceduri relevante, utilizarea efectivă a criptografiei și criptării și dezvoltarea unor procese de gestionare și divulgare a vulnerabilităților;
  • Raportarea și modul de răspuns la incidente. NIS2 impune cerințe stricte de gestionare a incidentelor, companiile dvs. trebuind să aibă proceduri bine definite asupra modului în care se gestionează incidentele;
  • Continuitatea și reziliența serviciului. Compania dvs. trebuie să aibă planuri de continuitate, metode de backup implementate și deja amintitele proceduri de răspuns la incidente; 
  • Asigurarea securității raportat la lanțul de furnizare. Compania dvs. este cea responsabilă pentru gestionarea securității cibernetice vizavi de furnizori sau terți;
  • Guvernanță și responsabilitate. Conducerea companiei dvs. este cea responsabilă de supravegherea securității cibernetice

Impact asupra companiilor - cum afectează direct operatorii, furnizorii sau clienții

1. Operatorii de energie și alte resurse critice sunt afectați direct de introducerea Directivei NIS 2. Astfel, aceștia trebuie să adapteze procesele interne. Securitatea cibernetică nu mai este doar o responsabilitate a departamentului IT al organizației dvs., ci se distribuie și în aria de responsabilitate a departamentului de guvernanță corporativă, a celui de management al riscului și conducerii.

Directiva NIS 2 impune companiilor să implementeze măsuri de securitate adecvate pentru a preveni incidentele și atacurile ce ar putea amenința domeniul critic în care acestea își desfășoară activitatea. 

Pentru a sigura conformarea cu cerințele cheie ale directive, compania dvs. va trebui să desemneze un responsabil cu implementarea cerințelor directive, care să evalueze constant riscurile asociate domeniului energiei și care să coopereze îndeaproape cu autoritățile naționale ți internaționale.

2. Furnizorii operatorilor de energie și din sectoarele critice vor experimenta un efect tip bulgăre de zăpadă, aceștia trebuiând, de asemenea, să pună un accent deosebit pe dezvoltarea securității proceselor interne. 

3. Clienții vor resimți și ei efectele introducerii Directivei NIS 2. Astfel, pe de-o parte, costurile serviciilor operatorilor de energie și alte sectoare critice vor crește, pentru a acoperi costurile implementării măsurilor de securitate sporite.  Pe de altă parte, nivelul de încredere al clienților în contractarea și serviciile oferite de operatorii amenințați va crește. 

Pași practici pentru conformare, recomandări concrete

1. Numiți un responsabil cu implementarea cerințelor Directivei NIS 2 care să supravegheze și ghideze introducerea măsurilor de securitate, care să evalueze constant riscurile associate și care să mențină o colaborare continua și active cu autoritățile de supraveghere naționale și internaționale. 

2. Mapați domeniul de aplicare. Verificați alături de responsabilul NIS 2 dacă organizația dvs. îndeplinește cele 3 criterii amintite în introducere (domeniu, dimensiune a organizației, localizare), astfel încât să descoperiți dacă vă aflați ăn sfera NIS 2. 

3. Efectuați un audit intern prin intermediul căruia să descoperiți nivelul actual de conformare din cadrul organizației dvs. Analizați procedurile, politicile, tehnologiile de care dispuneți, competențele resurselor umane, natura furnizorilor.

4. Concepeți un plan de acțiune, prioritizați riscurile, definiți gurvernanța, monitorizați furnizorii, asigurați continuitatea și sesiunile de training const. 

5. Implicați constant conducerea, managementul este cel care trebuie să aprobe noile politici de securitate și să asigure resursele necesare, deoarece răspunderea în caz de neconformare este în sarcina lor. 

6. Implementați efectiv măsurile de securitate, prin metode de back up reziliente, verificarea furnizorilor sau autentificare multi-factor.

7. Concepeți planuri de răspuns la incidentele de securitate prin crearea și aprobarea de proceduri, desemnați unei echipe care să dispună de resursele necesare pentru a răspunde prompt acestor incidente și colaborați eficient cu autoritățile. 

8. Monitorizați periodic măsurile implementate.

Concluzie

Datorită apariției și prin conformarea la NIS 2 operatorii care furnizează servicii din sectoarele critice sau energie, care au o vulnerabilitate sporită în fața atacurilor cibernetice, care se pot traduce printr-un efect tip bulgăre de zăpadă raportat la clienții acestor companii, beneficiză acum de o mai bună reziliență la acest tip de atacuri, creșterea încrederii din partea clienților și furnizorilor, evitarea costurilor majore asociate cu amenzile în cazul unor incidente de securitate și de un cadru de guvernanță și securitate bine definit. 




Oana Sîrbu

Junior Privacy & Data Protection Consultant

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Prevederile Uniunii Europene - DORA, NIS2 și Act AI, pe scurt

Prevederile Uniunii Europene - DORA, NIS2 și Act AI, pe scurt

Industria alimentară în era NIS2: vulnerabilități reale, obligații ferme și soluții practice pentru un lanț de aprovizionare sigur

Industria alimentară în era NIS2: vulnerabilități reale, obligații ferme și soluții practice pentru un lanț de aprovizionare sigur

NIS2 pentru furnizorii de servicii digitale și platformele online

NIS2 pentru furnizorii de servicii digitale și platformele online

Navigând un dublu regim NIS: Reziliența cibernetică în UE și UK

Navigând un dublu regim NIS: Reziliența cibernetică în UE și UK

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI