NIS2 pentru furnizorii de servicii digitale și platformele online

Article NIS2 pentru furnizorii de servicii digitale și platformele online: obligații, riscuri și conformare

NIS2 (Directiva UE 2022/2555) este cea de-a doua Directivă privind securitatea rețelelor și a sistemelor informatice, adoptată la nivelul UE pentru a consolida reziliența cibernetică. Aceasta a intrat în vigoare la 16 ianuarie 2023 și înlocuiește prima Directivă NIS din 2016, statele membre având obligația de a o transpune în legislațiile naționale până la 17 octombrie 2024. NIS2 extinde domeniul de aplicare față de predecesoarea sa, incluzând mai multe sectoare și furnizori de servicii digitale și platforme online, și impune cerințe de securitate cibernetică mai stricte, cu responsabilități sporite pentru conducerea organizațiilor.

Domeniul de aplicare al NIS2

Domeniul de aplicare al NIS2 cuprinde o gamă largă de sectoare critice și servicii esențiale pentru societate și economie, de la energie, transport și sănătate, până la infrastructuri digitale și servicii online. Directiva împarte entitățile reglementate în două categorii principale: entități esențiale și entități importante. Această nouă clasificare a înlocuit vechile categorii din NIS1 (operatori de servicii esențiale și furnizori de servicii digitale). Practic, NIS2 menține și extinde lista sectoarelor esențiale tradiționale (energie, transport, financiar, sănătate, apă etc.), incluzând totodată noi sectoare și servicii. În mod deosebit, sunt aduse în sfera de reglementare serviciile digitale și platformele online care joacă un rol crucial în economie, acestea fuseseră încadrate drept “Digital Service Providers (DSP)” în vechea directivă, însă acum sunt redistribuite între entități esențiale și importante. Astfel, NIS2 se aplică atât infrastructurilor digitale critice (de ex. servicii de cloud, centre de date), cât și marilor platforme online (piețe de comerț online, motoare de căutare, rețele de socializare etc), recunoscând importanța acestora în societatea de azi.

Entități esențiale vs. entități importante

Entitățile esențiale sunt companii din sectoare critice a căror perturbare ar avea impact major asupra societății și economiei. Lista entităților esențiale sub NIS2 include, printre altele, sectorul energetic, transporturile, sistemul bancar și financiar, sănătatea, apa, administrațiile publice, spațiul, dar și componenta de infrastructură digitală. În categoria infrastructurilor digitale esențiale intră, în mod explicit, furnizorii de servicii de cloud computing (IaaS, PaaS, SaaS), furnizorii de centre de date, rețelele de distribuție de conținut (CDN), registrele de domenii și furnizorii de servicii de încredere, precum și operatorii de rețele și servicii de comunicații electronice publice. Cu alte cuvinte, companiile care furnizează servicii de Cloud Computing și infrastructură digitală de bază sunt considerate entități esențiale în cadrul NIS2.

Entitățile importante reprezintă cealaltă categorie introdusă de NIS2 și includ sectoare și servicii care, deși nu sunt în mod tradițional critice, au o importanță semnificativă și pot afecta economia sau utilizatorii la scară largă dacă sunt compromise. În această categorie se află, de exemplu: servicii poștale și de curierat, managementul deșeurilor, industria chimică, producția alimentară, anumite sectoare de producție și cercetare, precum și furnizorii de servicii digitale. Concret, NIS2 definește ca entități importante platformele și serviciile online majore, cum ar fi piețele de comerț online, motoarele de căutare pe internet și platformele de rețele sociale. Aceste tipuri de platforme digitale, alături de alți furnizori de servicii online, intră sub incidența directivei dacă îndeplinesc criteriile de dimensiune și importanță. Astfel, marile marketplace-uri online, motoarele de căutare și rețelele sociale, care înainte, sub NIS1, erau incluse în categoria DSP (Digital Service Providers), sunt acum entități importante conform NIS2.

Diferența principală între entitățile esențiale și cele importante constă mai puțin în cerințele de securitate (care sunt aproape identice), ci mai mult în regimul de supraveghere și aplicare a legii. Cerințele de securitate cibernetică se aplică în aceeași măsură ambelor categorii, fără un regim “mai blând” pentru entitățile importante. În schimb, entitățile esențiale sunt supuse unui regim de supraveghere proactivă din partea autorităților competente încă de la intrarea în vigoare a NIS2, ceea ce poate implica inspecții periodice, audituri regulate, verificări la fața locului sau solicitări de informații și dovezi de conformare. Entitățile importante, pe de altă parte, nu vor fi supravegheate de rutină, ci vor face obiectul unei supravegheri ex-post, adică autoritățile vor interveni în cazul în care apar dovezi sau incidente ce indică neconformarea lor.

Un alt aspect distinct este nivelul sancțiunilor în caz de neconformare: deși ambele categorii riscă amenzi semnificative, plafonul amenzilor este mai ridicat pentru entitățile esențiale (până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală) comparativ cu entitățile importante (până la 7 milioane EUR sau 1,4% din cifra de afaceri globală). Acest lucru reflectă impactul potențial mai mare al entităților esențiale asupra societății, însă subliniază și că orice organizație în sfera NIS2 trebuie să ia foarte în serios obligațiile de securitate cibernetică.

Cine se încadrează sub NIS2?

Din perspectiva furnizorilor de servicii digitale și a platformelor online, se încadrează sub Directiva NIS2 toți operatorii din categoriile menționate (cloud, centre de date, marketplace-uri online, motoare de căutare, platforme social media etc.) care ating anumite praguri de mărime sau importanță. Directiva introduce o regulă numită “size-cap”: unde în general, companiile medii și mari, adică cele cu cel puțin 50 de angajați și cifră de afaceri sau bilanț anual de peste 10 milioane EUR, din cadrul sectoarelor vizate trebuie să se conformeze NIS2. Prin urmare, un furnizor de servicii cloud sau o platformă online care se încadrează în aceste criterii de dimensiune va intra sub incidența NIS2.

Există însă și excepții: anumite organizații mai mici (micro sau mici întreprinderi) pot fi totuși incluse dacă natura serviciilor lor este critică, astfel încât o perturbare a acestor servicii ar avea un impact semnificativ asupra siguranței publice, sănătății, securității sau bunăstării cetățenilor. De exemplu, o platformă online de nișă, dar care furnizează un serviciu esențial pentru populație sau administrație, ar putea fi inclusă chiar dacă dimensiunea sa este sub pragul general. Totodată, NIS2 se aplică și entităților din afara UE care oferă servicii în UE în sectoarele vizate, furnizorii străini de servicii digitale trebuie să respecte cerințele dacă activează pe piața europeană.

Pe scurt, orice furnizor de servicii digitale sau platformă online de dimensiune medie/mare (chiar și mică, dacă serviciul este critic) trebuie să verifice dacă intră sub incidența NIS2. Directiva prevede principiul auto-evaluării: entitățile din sectoarele menționate au responsabilitatea de a determina ele însele dacă se califică drept entitate esențială sau importantă, în funcție de criteriile de sector și mărime, și deci dacă trebuie să implementeze cerințele NIS2. În caz de dubiu, este recomandabil ca organizațiile să consulte legislația națională de transpunere sau autoritățile competente, deoarece listele de entități pot fi extinse de statele membre (unele țări pot adăuga categorii suplimentare sau pot clasifica anumite entități importante ca esențiale în funcție de contextul național).

Măsuri de securitate cibernetică obligatorii (minime)

NIS2 stabilește un set de măsuri minime de gestionare a riscurilor de securitate cibernetică pe care toate entitățile incluse (atât esențiale, cât și importante) trebuie să le implementeze. Articolul 21 al Directivei enumeră 10 cerințe de bază pentru managementul riscurilor, menite să asigure un nivel adecvat de protecție cibernetică și reziliență. Aceste măsuri acoperă aspecte tehnice și organizatorice diverse, de la politici de securitate și evaluarea riscurilor, până la planuri de răspuns la incidente și securitatea lanțului de aprovizionare. În continuare prezentăm pe scurt cele 10 măsuri obligatorii pe care furnizorii de servicii digitale și platformele online trebuie să le adopte:

1. Politici de analiză a riscurilor și securitatea sistemelor informatice – Implementarea de politici interne pentru evaluarea periodică a riscurilor de securitate cibernetică și asigurarea securității rețelelor și sistemelor informatice. Acest lucru implică identificarea resurselor critice (inclusiv a datelor și infrastructurii folosite, fie on-premise, fie în cloud) și analiza continuă a amenințărilor și vulnerabilităților, astfel încât riscurile să fie bine înțelese și abordate. Practic, organizația trebuie să aibă un proces formal de evaluare a riscurilor și o politică de securitate actualizată pe baza acestei evaluări.

2. Gestionarea incidentelor de securitate (Incident handling) – Stabilirea de proceduri și mecanisme pentru detectarea, raportarea, răspunsul și recuperarea în cazul incidentelor cibernetice. Fiecare entitate trebuie să elaboreze un plan de răspuns la incidente care definește rolurile și responsabilitățile clare în situația unui atac sau breach, precum și canale de comunicare internă și către autorități. De asemenea, este recomandată implementarea de soluții tehnice de monitorizare și detecție (de ex. sisteme IDS/IPS, monitorizare de log-uri prin SIEM, alerte automate) pentru identificarea în timp real a activităților malițioase.

3. Continuitatea activității (Business continuity) – Dezvoltarea de strategii și planuri de continuitate a afacerii pentru a asigura operarea neîntreruptă a funcțiilor critice în cazul unor incidente majore. Aceasta presupune, între altele, realizarea periodică de backup-uri pentru date și sisteme critice și testarea mecanismelor de recuperare, configurarea infrastructurilor în high-availability (redundanță), acolo unde este posibil și pregătirea unor planuri de urgență pentru diferite scenarii (cădere de sistem, atac ransomware, indisponibilitatea furnizorului cloud etc.). În contextul serviciilor cloud, planul de continuitate ar trebui să includă și strategii multi-zonale sau multi-region pentru a evita dependența de un singur centru de date, precum și un plan de exit pentru situația în care serviciul cloud devine indisponibil.

4. Securitatea lanțului de aprovizionare (Supply chain security) – Implementarea de măsuri pentru gestionarea riscurilor de securitate asociate furnizorilor și partenerilor terți de care depind serviciile organizației. În practică, entitățile trebuie să evalueze nivelul de securitate al furnizorilor de produse și servicii IT (inclusiv furnizori cloud, dezvoltatorii de software etc.) și să se asigure că aceștia respectă standarde de securitate adecvate. Măsurile pot include politici de securitate în relațiile contractuale, de exemplu, impunerea în contracte a unor clauze privind securitatea cibernetică, drepturi de audit la furnizor, notificarea incidentelor de către furnizor, garanții privind continuitatea serviciilor și utilizarea subcontractanților. Scopul este de a evita compromiterea entității indirect prin vulnerabilitățile din cadrul lanțului de aprovizionare.

5. Achiziția, dezvoltarea și mentenanța sistemelor de rețea și informații – Aplicarea principiilor de securitate by-design și best practices de securitate în procesul de achiziție de tehnologii IT, dezvoltare de software și mentenanță a sistemelor. Organizațiile trebuie să includă cerințe de securitate la achiziția de echipamente sau aplicații, să urmeze practici sigure de dezvoltare a software-ului (cu testări de securitate, remedierea vulnerabilităților, update-uri regulate) și să întrețină infrastructura IT cu patch-uri și actualizări la zi pentru a minimiza expunerea la vulnerabilități cunoscute. Această măsură asigură că pe întreg ciclul de viață al sistemelor, securitatea este luată în considerare în mod sistematic.

6. Politici și proceduri de evaluare a eficacității măsurilor de securitate – Instituirea de mecanisme de audit și testare periodică pentru a verifica dacă măsurile de management al riscurilor cibernetice sunt eficiente. Aici intră efectuarea de audituri de securitate, teste de penetrare periodice, evaluări de conformitate și revizuiri ale politicilor, astfel încât conducerea să aibă vizibilitate asupra nivelului de securitate și să poată face ajustări când este necesar. Practic, nu este suficientă implementarea unor controale – NIS2 cere și validarea continuă a acestora, pentru a asigura un ciclu de îmbunătățire continuă a securității.

7. Practici de igienă cibernetică de bază și instruire în materie de securitate – Asigurarea unui nivel minim de igienă cibernetică în organizație și derularea de programe de conștientizare și training pentru angajați. Igiena cibernetică include măsuri simple dar esențiale precum gestionarea actualizărilor, utilizarea de parole puternice și unice (ideal gestionate printr-un password manager), evitarea reutilizării credențialelor, politici de principiu al celui mai mic privilegiu pentru acces, etc. De asemenea, personalul trebuie instruit în mod regulat privind bunele practici de securitate, cum să recunoască tentativele de phishing sau inginerie socială și cum să reacționeze în cazul unui incident.

8. Politici și proceduri privind utilizarea criptografiei și a criptării – Adoptarea de politici pentru utilizarea mijloacelor criptografice în protejarea datelor și comunicațiilor. NIS2 cere protejarea datelor sensibile atât în repaus (at rest), cât și în tranzit, ceea ce înseamnă că entitățile trebuie să aplice metode de criptare a datelor stocate și transmise, să utilizeze protocoale de comunicare sigure (ex: TLS pentru trafic web, VPN pentru acces remote, etc.) și să gestioneze în mod corespunzător cheile criptografice. Politicile ar trebui să cuprindă și aspecte precum utilizarea algoritmilor puternici, rotația cheilor, stocarea securizată a certificatelor și, acolo unde criptarea nu este fezabilă, măsuri alternative de protecție.

9. Securitatea personalului, controlul accesului și managementul activelor – Măsuri care vizează dimensiunea umană și administrativă a securității: proceduri de verificare a personalului (atunci când este cazul, pentru roluri sensibile), definirea clară a drepturilor de acces la sisteme (bazate pe roluri și necesitate), gestionarea conturilor privilegiate, precum și evidența și protecția activelor (active IT și date). Controlul accesului trebuie să includă politici stricte de autentificare și autorizare, revizuirea periodică a permisiunilor utilizatorilor și dezactivarea promptă a accesului pentru angajații care părăsesc organizația sau își schimbă rolul. Managementul activelor presupune să știm ce echipamente, sisteme, aplicații și date deținem și unde sunt localizate, astfel încât să putem aplica măsuri de securitate adecvate fiecărui activ și să reacționăm rapid în caz de incident ce le afectează.

10. Autentificare multi-factor (MFA) – Implementarea mecanismelor de autentificare cu mai mulți factori pentru accesul la sistemele și datele sensibile ale organizației. MFA devine practic obligatorie sub NIS2 ca măsură de securizare a accesului, suplimentând autentificarea clasică cu user și parolă cu factori adiționali (cum ar fi coduri unice, aplicații de autentificare, token-uri hardware sau elemete biometrice). În situațiile limită unde MFA nu poate fi aplicată (de exemplu, pe anumite sisteme de tip legacy), entitatea trebuie să dispună de măsuri compensatorii de autentificare pentru a asigura un nivel comparabil de protecție. Scopul este reducerea riscului de acces neautorizat chiar dacă parolele sunt compromise.

Aceste măsuri formează un cadru minim pe care entitățile în scopul de aplicare NIS2 trebuie să-l implementeze în procesul de management al riscului cibernetic. De reținut că Directiva nu dictează soluții tehnice concrete, ci stabilește obiective și domenii în care trebuie luate măsuri, lăsând organizațiilor flexibilitatea de a alege controalele specifice potrivit riscurilor și resurselor proprii. Recomandările ENISA și standardele internaționale (precum ISO/IEC 27001) pot servi ca referință în adoptarea acestor măsuri. Important este ca entitatea să poată demonstra că a integrat aceste cerințe în politicile și procedurile sale interne și că le menține în mod continuu.

Obligații și responsabilități ale entităților vizate

Pe lângă implementarea măsurilor de securitate de mai sus, furnizorii de servicii digitale și platformele online incluse sub NIS2 au o serie de obligații procedurale și de raportare, precum și responsabilități sporite la nivelul conducerii. Iată care sunt cele mai importante obligații și responsabilități ce decurg din directivă:

  • Obligația de notificare a incidentelor – NIS2 introduce termene stricte pentru raportarea incidentelor de securitate către autoritățile competente. În cazul unui incident care are un impact semnificativ asupra serviciilor, entitatea trebuie să trimită o alertă preliminară în cel mult 24 de ore de la constatarea incidentului (un “early warning” inițial). Ulterior, în decurs de 72 de ore, trebuie transmis un raport detaliat al incidentului, cu descrierea breșei, a impactului și a măsurilor de remediere luate. De asemenea, poate fi necesar un raport final în termen de o lună, care să includă rezultatele investigațiilor și acțiunile de îmbunătățire pe termen lung . Nerespectarea acestor termene de raportare poate atrage sancțiuni, similare modului în care GDPR sancționează depășirea termenului de notificare a autorităților în caz de breach.
  • Supunerea la supraveghere și controale – Așa cum am menționat anterior, entitățile esențiale pot fi supuse proactiv auditurilor, inspecțiilor și verificărilor periodice din partea autorităților naționale de profil, pentru a se asigura conformarea cu cerințele NIS2. Aceste controale pot include inspecții la fața locului, verificarea documentației de securitate, scanări sau teste tehnice, solicitarea de dovezi privind implementarea politicilor de securitate (de exemplu rapoarte de audit terț sau certificate de conformitate). Entitățile importante nu sunt controlate de rutină, însă tot pot face obiectul unor investigații sau inspecții post-incident, mai ales dacă există plângeri sau indicii de nerespectare a obligațiilor. În practică, orice organizație în scopul NIS2 trebuie să fie pregătită să demonstreze oricând conformitatea, menținând documentația actualizată (politici, evaluări de risc, rapoarte de incidente, evidențe de training etc.) și cooperând cu autoritățile de reglementare la nevoie.
  • Răspunderea și implicarea conducerii – Un lucru major adus de NIS2 este accentul pus pe responsabilizarea la nivelul organelor de conducere ale entităților. Managementul de vârf (board-ul, directorii executivi) are acum obligația legală de a aproba și supraveghea implementarea măsurilor de management al riscurilor cibernetice în organizație. Mai mult, conducerea trebuie să se asigure că deține cunoștințele și abilitățile necesare pentru a evalua riscurile de securitate – directiva prevede chiar necesitatea ca membrii board-ului să beneficieze de instruire în domeniul cybersecurity pentru a-și îndeplini aceste îndatoriri. În cazul în care o entitate esențială eșuează grav în respectarea obligațiilor NIS2, autoritățile pot dispune suspendarea temporară a unor membri ai conducerii (de exemplu, directorul general sau reprezentantul legal) din funcțiile lor de management. De asemenea, statele membre trebuie să se asigure că se poate angaja răspunderea personală a factorilor de decizie de rang înalt pentru încălcarea obligațiilor NIS2. Cu alte cuvinte, un eșec de conformare nu mai atrage doar o amendă corporativă, ci poate avea consecințe și pentru persoanele din conducere, sub forma sancțiunilor financiare personale sau a interdicției de a ocupa funcții de conducere. Acest cadru legal nou subliniază faptul că securitatea cibernetică nu mai este doar “problema IT-ului”, ci o responsabilitate strategică la nivel de leadership.
  • Sancțiuni și penalități – Nivelul este ridicat al amenzilor administrative (până la 10 mil. EUR sau 2% din cifra de afaceri pentru esențiale; până la 7 mil. EUR sau 1,4% din cifra de afaceri pentru importante) în caz de neconformare . Pe lângă acestea, entitățile ar putea suferi daune reputaționale majore în urma unui incident sau al dezvăluirii neconformității, precum și posibile acțiuni în justiție din partea clienților sau partenerilor afectați de incidente de securitate . NIS2 prevede și posibilitatea sancționării individuale a managerilor, conform legislațiilor naționale, după cum am menționat. În ansamblu, regimul de penalizare este comparabil ca severitate cu cel din GDPR, evidențiind importanța conformării.

Recomandări pentru conformare și concluzii

Având în vedere complexitatea cerințelor NIS2, furnizorii de servicii digitale și platformele online ar trebui să adopte o abordare proactivă pentru a asigura conformitatea până la intrarea în vigoare a legislației naționale de transpunere. În practică, un prim pas esențial este realizarea unui audit de gap față de cerințele NIS2, identificarea domeniilor în care politicile și controalele existente ale organizației nu îndeplinesc încă standardele impuse. Pe baza acestei analize, se pot implementa treptat măsurile necesare: de la instituirea formală a unui Sistem de Management al Securității Informației (dacă nu există deja) și actualizarea politicilor de securitate, la întărirea guvernanței (ex: desemnarea unui ofițer responsabil cu securitatea, implicarea activă a top managementului), formarea personalului și efectuarea de exerciții de testare (simulări de incidente, teste de penetrare). De asemenea, este important ca entitățile vizate să-și implice furnizorii și partenerii în demersul de conformare; de exemplu, revizuirea contractelor cu furnizorii de cloud și alte servicii digitale pentru a include cerințe de securitate și drepturi de audit, asigurându-se astfel că lanțul de aprovizionare nu reprezintă o verigă slabă. De asemenea, companiile ar trebui să monitorizeze ghidurile și standardele emise de organisme precum ENISA sau autoritățile naționale, care pot oferi clarificări tehnice asupra implementării NIS2, și să mențină un dialog deschis cu autoritățile competente pentru a înțelege așteptările de conformitate. NIS2 reprezintă un pas semnificativ în creșterea securității cibernetice la nivelul UE, extinzând responsabilitățile și asupra furnizorilor de servicii digitale și platformelor online care deservesc milioane de utilizatori. 

În concluzie, aceste entități trebuie să adopte o poziție proactivă și preventivă față de riscurile cibernetice, integrând cerințele directivei în strategia lor de afaceri și de guvernanță. Beneficiile vor fi pe măsură: o reziliență sporită împotriva atacurilor, încredere mai mare din partea clienților și partenerilor și evitarea sancțiunilor care pot fi devastatoare financiar și reputațional. Pentru mai multe informații despre acest subiect sau pentru suport în procesul de conformare, ne puteți scrie la office@decalex.ro (echipa noastră de specialiști vă poate ajuta să înțelegeți cerințele Directivei NIS2 și să pregătiți organizația pentru noul cadru de securitate).




Alexandru Baloiu

Cyber Security Consultant

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Prevederile Uniunii Europene - DORA, NIS2 și Act AI, pe scurt

Prevederile Uniunii Europene - DORA, NIS2 și Act AI, pe scurt

Industria alimentară în era NIS2: vulnerabilități reale, obligații ferme și soluții practice pentru un lanț de aprovizionare sigur

Industria alimentară în era NIS2: vulnerabilități reale, obligații ferme și soluții practice pentru un lanț de aprovizionare sigur

Navigând un dublu regim NIS: Reziliența cibernetică în UE și UK

Navigând un dublu regim NIS: Reziliența cibernetică în UE și UK

Măsura în care angajații tăi sunt pregătiți pentru utilizarea IA te va diferenția de competiție

Măsura în care angajații tăi sunt pregătiți pentru utilizarea IA te va diferenția de competiție

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI