Protejează-ţi afacerea şi asigură-te că se aliniază cu directivele NIS2

Article Protejeaza-ti afacerea si asigura-te ca se aliniaza cu directivele NIS2 - Decalex.ro

Legislația europeană în domeniul securității cibernetice, prin Directiva NIS2, marchează trecerea pe nivelul următor ca prevederi noi față de prima Directivă NIS. Aceasta este în prezent implementată și în România, ca în toate țările UE, având ca scop principal creșterea nivelului general de securitate cibernetică. Cum anume? Prin extinderea domeniului de aplicare și introducerea unor măsuri mai stricte pentru protejarea infrastructurilor esențiale și ale celor digitale.

Prin stabilirea cerințelor de securitate de bază pentru operatorii de servicii esențiale și furnizorii de servicii digitale, prima versiune a directivei a pus bazele consolidării cibernetice în întreaga UE. Dar, pe măsură ce peisajul digital a evoluat și amenințările cibernetice au devenit mai sofisticate, deficiențele directivei inițiale au devenit evidente.

Astfel, NIS2 abordează aceste constrângeri printr-o strategie mai completă și unificată. Adoptată pe 14 decembrie 2022, NIS2 a devenit operațională pe 16 ianuarie 2023. Statele membre au avut termen de implementare până la 17 octombrie 2024 pentru a fi adoptată în legislațiile lor naționale.

Cine trebuie să se conformeze NIS2?

NIS2 se aplică tuturor entităților, industriale sau neindustriale din întreaga UE, precum și furnizorilor acestora din sectoarele critice, ca asistența medicală, transportul și logistica, energia și administrația publică. În cazul neconformării, companiile din aceste domenii pot fi afectate dacă furnizează servicii esențiale sau joacă un rol-cheie în lanțul de aprovizionare.

Potrivit prevederilor NIS2, organizațiile sunt împărțite în două grupuri principale, în funcție de sectorul și dimensiunea lor, astfel: entități importante și entități esențiale, acestea din urmă având de îndeplinit cerințe de conformitate mai stricte. Entitățile importante sunt cele care nu sunt considerate esențiale, dar intră totuși sub incidența obligațiilor NIS2.

Majoritatea companiilor mari şi medii care se încadrează în următoarele condiţii sunt obligate să aplice directiva:

  • au un număr de angajați între 50 și 250
  • au cifră de afaceri anuală între 10 și 50 de milioane de euro (și bilanț anual total între 10 și 43 milioane de euro).

Implicațiile nerespectării normelor

Nerespectarea prevederilor NIS2 atrage după sine implicații precum sancțiuni, amenzi semnificative și repercusiuni juridice, care vor afecta direct veniturile companiei, suspendarea activității, prejudicii de imagine și notorietatea brandului. 

Pe lângă faptul că ar putea fi supuse unei monitorizări sporite din partea autorităților de reglementare, organizațiile care nu respectă standardele NIS2 pot fi excluse din anumite parteneriate sau piețe. Pe de altă parte, vorbim despre posibile întreruperi ale activității de producție și consecințe financiare, dar și despre răspunderea personală a celor implicați, în cazul unor incidente majore nerezolvate și neraportate la timp.

Pe scurt:

  • Sancțiuni de până la 2% din veniturile la nivel anual sau 10 milioane de euro.
  • Acțiuni suplimentare impuse de autorități
  • Răspunderea personală a membrilor conducerii

Cum îți protejezi afacerea - 5 pași pentru a asigura conformitatea cu cerințele NIS2

Societățile afectate pot gestiona dificultățile și pot asigura conformitatea cu directiva NIS2 prin aplicarea imediată a prevederilor directivei, prin studierea atentă a legislației și prin instruirea întregii organizații.

Efectuarea unei evaluări a riscurilor

Primul pas în îndeplinirea cerințelor NIS2 constă în efectuarea unei evaluări complete a riscurilor. Aceasta presupune localizarea și evaluarea posibilelor amenințări cibernetice care ar putea afecta modul de funcționare al companiei.

O evaluare completă a riscurilor ar trebui să includă vulnerabilitățile specifice ale infrastructurii digitale, efectul posibil al unui incident cibernetic și probabilitatea producerii unui astfel de eveniment.

Companiile sunt nevoite, în acest context, să ia în considerare utilizarea structurilor și a instrumentelor care oferă analiza și monitorizarea continuă a riscurilor pentru a accelera acest proces și pentru a găsi punctele slabe din poziția actuală de securitate cibernetică.

Crearea unei politici clare de securitate a datelor

După identificarea riscurilor, este esențial să fie pusă la punct o politică foarte clară și strictă de securitate a informațiilor care să le cuprindă într-o proporție cât mai mare. Etapele și măsurile necesare pentru a asigura protecția resurselor digitale, cum ar fi criptarea de date, controlul accesului și modalitățile de reacție la incidente, ar trebui să fie detaliate în această politică.

Instruirea periodică în domeniul securității cibernetice a personalului, dar și procedurile de bază în materie de securitate cibernetică, fac parte integrantă din această politică internă. Aceasta trebuie să fie transpusă în proceduri clare, care să prevadă foarte clar canalele de comunicare sigure și autentificarea multifactor - două elemente esențiale ale cerințelor de securitate NIS2.

Stabilirea procedurilor de securitate cibernetică în practică

Este necesară o abordare stratificată a securității care să includă controale de prevenție și de detecție. Actualizările periodice, patch-urile și utilizarea tehnologiilor avansate de securitate sunt, de asemenea, necesare pentru a menține conformitatea și a minimiza riscul de incidente cibernetice. 

Utilizarea instrumentelor de automatizare pentru eficientizarea procedurilor de conformitate și pentru reducerea volumului de operațiuni efectuate manual devine, în acest context, esențială. NIS2 impune punerea în aplicare a unor măsuri specifice de securitate cibernetică pentru a atenua riscurile identificate, cum ar fi securizarea rețelei și a sistemelor informatice, depășirea punctelor vulnerabile și menținerea fiabilității serviciilor de importanță majoră.

Stabilirea sistemelor de raportare și gestionare a incidentelor

Incidentele semnificative de securitate cibernetică trebuie raportate autorităților competente în termen de 24 de ore. Conform NIS2, raportarea incidentelor urmează o procedură sistematică care include o primă notificare în 24 de ore, un raport de monitorizare în 72 de ore și un raport complet în termen de o lună:

  • De ce 24 de ore? Scopul este de a coopera cu organele de aplicare a legii pentru a preveni extinderea incidentului.
  • De ce 72 de ore? Pentru ca raportul să includă impactul, gravitatea și cauza probabilă. Acesta trebuie să detalieze incidentul, inclusiv natura pericolului, orice prejudiciu adus organizației și o explicație a măsurilor de limitare utilizate.

Instruirea personalului la nivelul organizației

O companie care ia în considerare respectarea securității cibernetice trebuie să asigure o pregătire continuă. Aceasta permite conformitatea cu reglementările NIS2, ajutând membrii echipei să recunoască și să gestioneze pericolele de natură cibernetică. Integrând securitatea în activitățile de rutină, aceasta încurajează, pe lângă respectarea legislației, o cultură proactivă de management al riscurilor. Trainingul sprijină procesul de adaptare prin menținerea personalului la curent cu riscurile noi. De asemenea, este necesar ca acesta să abordeze aspecte etice și legale, astfel încât să se adopte o atitudine orientată spre securitate. Aceste programe de pregătire înseamnă o abordare preventivă a unei culturi preocupate de securitate și de respectare a normelor NIS2.

Oportunități pentru companii care respectă cerințele NIS2 

În ciuda cerințelor legale aparent excesive, respectarea normelor NIS2 are multe beneficii pentru companii, care merg dincolo de simpla evitare a amenzilor. Capacitatea unei companii de a preveni, identifica și soluționa incidentele cibernetice crește categoric prin implementarea riguroasă a cerințelor NIS2, ceea ce duce la creșterea gradului de protecție cibernetică în cadrul activităților.

Majoritatea criteriilor NIS2 sunt în conformitate cu cele mai bune practici de securitate cibernetică, ceea ce poate crește gradul de performanță operațională și reduce posibilitatea unor întreruperi costisitoare ale activității.

În mod deosebit, punerea în aplicare a măsurilor NIS2 reduce șansele de încălcare a securității datelor și a sistemelor, dar și daunele financiare și de imagine, care pot avea un efect de durată asupra situației financiare a unei companii.

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Recrutarea prin AI sau recrutarea 3.0 – beneficiile și riscurile inteligenței artificiale în dinamica acestui proces

Recrutarea prin AI sau recrutarea 3.0 – beneficiile și riscurile inteligenței artificiale în dinamica acestui proces

AI în diagnosticarea medicală: Cum navigăm între inovația clinică și protecția datelor sensibile

AI în diagnosticarea medicală: Cum navigăm între inovația clinică și protecția datelor sensibile

Despre cei 5 piloni DORA și implicațiile asupra companiilor care lucrează cu instituții financiare

Despre cei 5 piloni DORA și implicațiile asupra companiilor care lucrează cu instituții financiare

Securitatea cibernetică în era inteligenței artificiale generative

Securitatea cibernetică în era inteligenței artificiale generative

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI