Directiva NIS2 Un nou avatar al securității cibernetice la nivelul UE

Introducere

Prima lege la nivelul UE privind securitatea cibernetică, Directiva NIS, a intrat în vigoare în 2016 și a contribuit la atingerea unui nivel mai ridicat și mai uniform de securitate a rețelelor și a sistemelor informatice în întreaga UE. Având în vedere digitalizarea fără precedent, au fost introduse noi norme pentru a asigura o mai mare securitate cibernetică. Aceasta este denumită „Directiva NIS 2” privind măsurile pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune. Directiva NIS 2 este introdusă pentru a asigura o Europă mai sigură și mai puternică prin extinderea semnificativă a sectoarelor și a tipului de entități critice care intră în domeniul de aplicare al acesteia. Printre acestea se numără furnizorii de rețele și servicii publice de comunicații electronice, servicii de centre de date, gestionarea apelor uzate și a deșeurilor, fabricarea de produse critice, servicii poștale și de curierat și entități din administrația publică, precum și, în general, sectorul sănătății. În plus, se așteaptă ca NIS 2 să consolideze cerințele de gestionare a riscurilor în materie de securitate cibernetică pe care companiile sunt obligate să le respecte, precum și să raționalizeze obligațiile de raportare a incidentelor cu dispoziții mai precise privind raportarea, conținutul și calendarul. Directiva NIS 2 înlocuiește normele privind securitatea rețelelor și a sistemelor informatice, prima legislație la nivelul UE privind securitatea cibernetică.

Ce înseamnă NIS 2 pentru companii

În septembrie 2022, Comisia a adoptat propunerea de Lege privind reziliența cibernetică, care stabilește cerințe de securitate cibernetică pentru produsele cu element digital, care acoperă atât hardware, cât și software. În conformitate cu Directiva NIS 2, companiile vor trebui să ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile de securitate cibernetică, pentru a preveni și a minimiza impactul potențialelor incidente. Această cerință devine mult mai concretă în cadrul NIS 2, cu o listă de măsuri specifice care includ, printre altele:

răspunsul la incidente și gestionarea crizelor,
gestionarea și dezvăluirea vulnerabilităților,
politici și proceduri de evaluare a eficacității gestionării riscurilor în materie de securitate cibernetică
măsuri, și
igiena și formarea în domeniul securității cibernetice

Directiva NIS 2 pune accentul pe intensificarea schimbului de informații și a cooperării în domeniul cibernetic.
gestionare a crizelor atât la nivel național, cât și la nivelul UE, directiva raționalizează obligațiile de raportare a incidentelor prin dispoziții mai precise privind raportarea, conținutul și calendarul. În plus, există măsuri de supraveghere mai stricte pentru autoritățile naționale, precum și cerințe de aplicare mai stricte, alături de o listă de sancțiuni administrative, inclusiv amenzi pentru încălcarea obligațiilor de gestionare a riscurilor în materie de securitate cibernetică și de raportare.

Directiva NIS 2: Lucruri de știut

Directiva NIS2 urmărește să remedieze deficiențele normelor anterioare, să o adapteze la nevoile actuale și să o facă să fie pregătită pentru viitor. Directiva extinde domeniul de aplicare a normelor anterioare prin adăugarea de noi sectoare în funcție de gradul de digitalizare și interconectare și de importanța lor pentru economie și societate, prin introducerea unei reguli clare privind pragul de mărime – ceea ce înseamnă că toate întreprinderile mijlocii și mari din sectoarele selectate vor fi incluse în domeniul de aplicare. În același timp, aceasta lasă statelor membre o anumită marjă de apreciere pentru a identifica entitățile mai mici cu un profil de risc de securitate ridicat, care ar trebui să fie, de asemenea, acoperite de obligațiile prevăzute de noua directivă.

Noua directivă elimină distincția dintre operatorii de servicii esențiale și furnizorii de servicii digitale. Entitățile vor fi clasificate în funcție de importanța lor și împărțite în două categorii: entități esențiale și importante, care vor fi supuse unui regim de supraveghere diferit. Aceasta consolidează și raționalizează cerințele de securitate și de raportare pentru întreprinderi prin impunerea unei abordări de gestionare a riscurilor, care prevede o listă minimă de elemente de securitate de bază care trebuie aplicate. Noua directivă introduce dispoziții mai precise privind procesul de raportare a incidentelor, conținutul rapoartelor și termenele limită.

NIS2 abordează securitatea lanțurilor de aprovizionare și a relațiilor cu furnizorii, cerând companiilor individuale să abordeze riscurile de securitate cibernetică în lanțurile de aprovizionare și în relațiile cu furnizorii. La nivel european, directiva consolidează securitatea cibernetică a lanțului de aprovizionare pentru tehnologiile-cheie ale informației și comunicațiilor. Statele membre, în cooperare cu Comisia și ENISA, pot efectua evaluări coordonate la nivelul Uniunii ale riscurilor de securitate ale lanțurilor de aprovizionare critice, pe baza abordării de succes adoptate în contextul Recomandării Comisiei privind securitatea cibernetică a rețelelor 5G.

Directiva introduce măsuri de supraveghere mai stricte pentru autoritățile naționale, cerințe de aplicare mai stricte și vizează armonizarea regimurilor de sancțiuni în toate statele membre.
De asemenea, consolidează rolul Grupului de cooperare în elaborarea deciziilor strategice de politică și sporește schimbul de informații și cooperarea între autoritățile statelor membre. De asemenea, consolidează cooperarea operațională în cadrul rețelei CSIRT și instituie rețeaua europeană de organizații de legătură pentru crize cibernetice (EU-CyCLONe) pentru a sprijini gestionarea coordonată a incidentelor și crizelor de securitate cibernetică la scară largă. NIS 2 stabilește, de asemenea, un cadru de bază cu actorii-cheie responsabili privind dezvăluirea coordonată a vulnerabilităților nou descoperite în întreaga UE și creează o bază de date a UE privind vulnerabilitățile cunoscute în mod public ale produselor și serviciilor TIC, care va fi gestionată și întreținută de agenția UE pentru securitate cibernetică (ENISA).

Creșterea cooperării cibernetice la nivelul UE

Directiva NIS 2 pledează pentru o cooperare sporită între statele membre ale UE și a sugerat înființarea unei rețele europene de organizații de legătură în caz de criză cibernetică (EU- CyCLONe), care să sprijine gestionarea coordonată a incidentelor de securitate cibernetică de mare amploare și a incidentelor de securitate cibernetică.
criză la nivelul UE. Rețeaua acestei organizații contribuie la o dezvăluire coordonată a vulnerabilităților.
de asemenea. În plus, obligații simplificate de raportare a incidentelor, cu prevederi mai precise privind procesul de raportare, conținutul și calendarul, în special pentru operatorii de servicii esențiale (OES) și furnizorii de servicii digitale (DSP), deoarece aceștia sunt esențiali pentru cetățeni. Pe scurt, directiva NIS 2 prevede măsuri pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune Europeană. Directiva NIS2 este strâns legată de alte două inițiative, Directiva privind reziliența entităților critice (CER) și Regulamentul privind reziliența operațională digitală pentru sectorul financiar (Digital Operational Resilience Act, DORA).

Mai precis, statele membre vor putea supraveghea în comun punerea în aplicare a normelor UE și își vor putea acorda asistență reciprocă în cazul unor practici frauduloase transfrontaliere, vor avea un dialog mai structurat cu sectorul privat și vor putea coordona dezvăluirea vulnerabilităților descoperite în programele informatice și în echipamentele hardware vândute pe piața internă. De asemenea, acestea vor putea să lucreze în mod coordonat pentru a evalua riscurile și amenințările la adresa securității legate de noile tehnologii, așa cum s-a întâmplat pentru prima dată în cazul 5G. Se va avansa cooperarea la nivelul UE pentru îmbunătățirea capacităților naționale prin schimburi de personal între autorități și evaluări inter pares. Grupurile existente, în special Grupul de cooperare care reunește autoritățile naționale în domeniul securității cibernetice și Rețeaua echipelor de răspuns la incidente de securitate informatică (CSIRT) vor contribui la progresul cooperării, atât la nivel strategic, cât și la nivel tehnic. Autoritățile competente din cadrul DORA ar putea să se consulte și să facă schimb de informații relevante cu punctele unice de contact (SPOC) și CSIRT-urile instituite în cadrul NIS2. Autoritățile competente, SPOC-urile sau CSIRT-urile înființate în cadrul NIS2 ar primi, de asemenea, detalii privind incidentele majore legate de TIC de la autoritățile competente în cadrul DORA.

2023-03-09

OCTACSIRT

Guvernanță, risc și conformitate

CISO ca serviciu

DPO ca serviciu

Audituri și consultanță privind conformitatea securității

Servicii de testare a penetrării

SOC ca serviciu

Servicii de conformitate cu Directiva NIS2

Consultanță în domeniul combaterii mitei și corupției

Securitatea IoT

SIEM, NDR și securitate unificată

Securitate Endpoint

Securitate și protecție cibernetică

Gestionarea vulnerabilităților și a patch-urilor

Securitate mobilă

Soluții de gestionare a accesului și gestionarea parolelor

Criptare

Sistem de detectare a intruziunilor (IDS)

Back-up/ continuitatea activității și recuperarea în caz de dezastru

Clasificarea datelor, audit și DLP

Instruire în domeniul securității informațiilor ISO/IEC 27001

Cursuri de formare și certificare ISO/IEC 27002

Cursuri de formare în domeniul securității cibernetice ISO/IEC 27032

Hacking etic - Cursuri de instruire Certificare

ISO 31000 Managementul riscului - Curs de formare și certificare

ISO 22316 Formări în domeniul rezilienței organizaționale

ISO 37001 Anti-mită - Curs de formare profesională Certificare

Curs de sistem de management al conformității ISO 37301

Cursuri de formare privind sistemul de management al continuității activității ISO 22301

Formări de recuperare în caz de dezastru

Cursuri de formare și certificare ISO/IEC 27701

GDPR - Formare și certificare pentru Regulamentul privind protecția datelor

ISO 9001 Managementul calității Formări în domeniul managementului calității

ISO/IEC 20000 - Cursuri de formare și certificare

INSTRUIRI DE CONȘTIENTIZARE A SECURITĂȚII

TRAININGURI PERSONALIZATE

Consolidarea securității digitale cu ISO/IEC 27032

ISO/IEC 27005 Managementul riscurilor în domeniul securității informațiilor - Training