Ce trebuie sa stim despre Directiva NISv2?

Written By Rares Popa

Directiva NISv2 (Network and Information Systems Directive 2) este o actualizare a Directivei NIS originale, adoptată de Uniunea Europeană în 2016, și stabilește cerințe mai stricte pentru securitatea cibernetică în cadrul statelor membre. Implementarea acesteia afectează organizațiile din diverse sectoare critice și introduce noi obligații. Iată ce trebuie să știe o firmă despre Directiva NISv2:

1. Obiectivele Directivei NISv2

  • Consolidarea securității cibernetice: Scopul principal este de a întări reziliența și protecția împotriva amenințărilor cibernetice în UE.

  • Extinderea domeniului de aplicare: NISv2 include mai multe sectoare și entități decât versiunea originală.

  • Armonizarea cerințelor: Reduce discrepanțele dintre statele membre prin reguli mai uniforme.

2. Cine este vizat de NISv2?

Firmele trebuie să determine dacă sunt incluse în categoriile vizate:

  • Entități esențiale: Energie, transport, sănătate, apă potabilă, infrastructuri digitale, administrații publice, etc.

  • Entități importante: Furnizori de servicii digitale, industria alimentară, deșeuri, produse chimice, etc.

  • Se aplică atât firmelor mari, cât și unor IMM-uri care operează în domenii critice.

3. Obligațiile companiilor

Companiile trebuie să respecte următoarele cerințe:

  • Evaluarea riscurilor: Implementarea unor măsuri tehnice și organizaționale adecvate pentru a gestiona riscurile cibernetice.

  • Raportarea incidentelor:

    • Incidentele care afectează semnificativ funcționarea sau securitatea trebuie raportate către autoritățile desemnate.

    • Termene mai stricte pentru raportare (de exemplu, 24 sau 72 de ore, în funcție de gravitate).

  • Protecția lanțului de aprovizionare: Firmele trebuie să ia în considerare riscurile asociate cu furnizorii și partenerii.

  • Audite și conformitate:

    • Autoritățile pot solicita dovezi privind respectarea cerințelor.

    • Posibile penalități pentru neconformitate.

4. Diferențele cheie față de NISv1

  • Lista extinsă de sectoare și entități acoperite.

  • Categorii noi de entități (esențiale vs. importante).

  • Sancțiuni mai severe pentru nerespectarea regulilor.

  • Consolidarea mecanismelor de cooperare între statele membre.

5. Pașii pe care trebuie să-i urmeze firmele

  1. Determinarea aplicabilității directivei:

    • Analiza dacă firma se încadrează ca entitate esențială sau importantă.

  2. Evaluarea securității:

    • Auditarea infrastructurii IT existente.

    • Identificarea și remedierea vulnerabilităților.

  3. Implementarea măsurilor de conformitate:

    • Dezvoltarea unui plan de gestionare a riscurilor.

    • Instruirea angajaților cu privire la bunele practici de securitate.

  4. Stabilirea unui plan de raportare a incidentelor.

  5. Colaborarea cu autoritățile naționale competente:

    • Urmărirea ghidurilor emise de autorități pentru aplicarea NISv2.

6. Sancțiuni

Neconformitatea poate duce la sancțiuni financiare semnificative, precum și la daune reputaționale. Sancțiunile sunt mai clare și mai uniforme în NISv2 decât în versiunea anterioară.

7. Resurse utile

  • Consultarea autorității naționale responsabile pentru securitatea cibernetică (de exemplu, CERT-RO în România).

  • Accesarea documentației oficiale și a ghidurilor de implementare.

Rares Popa
Next

De ce este esențială securitatea cibernetică pentru companiile mici și mijlocii?