Directiva NIS2 este cea mai nouă legislație europeană care reglementează securitatea cibernetică - ce schimbări aduce și cui i se adresează?

ESET sprijină hotărârea Uniunii Europene de a adopta cea de-a doua Directivă privind securitatea rețelelor și a informațiilor (NIS2), care are ca scop o reziliență cibernetică consolidată în toate statele membre. Noua legislație este o contramăsură la dependența tot mai mare a sectoarelor critice de digital și la expunerea acestora tot mai mare la amenințările cibernetice. 

Iată, pe scurt, ce spun specialiștii ESET despre acest subiect. Pentru consultarea ghidului complet pe marginea acestui subiect, descărcați-l de aici.

Ce aduce nou Directiva NIS2?

Directiva NIS, introdusă în 2016, a fost prima legislație la nivelul UE privind securitatea cibernetică. Directiva NIS2, aprobată în prezent, înlocuiește NIS și introduce un domeniu de acțiune mai larg, care va avea impact asupra mai multor entități din sectoarele „cu grad critic ridicat” (de exemplu: energie, transporturi, sector bancar, alimentare cu apă, ape reziduale), vizându-le atât pe cele din domeniul privat, cât și din cel public. Concomitent, sunt introduse noi obligații și pentru entitățile din alte sectoare „critice" (cum ar fi industria alimentară, industria chimică, industria prelucrătoare - manufactura, serviciile poștale și de curierat, gestionarea deșeurilor, etc.)

Companiile clasificate ca fiind de „Nivel Critic Ridicat” vor trebui să ia măsuri tehnice și operaționale pentru a se conforma cu NIS2, pentru situații precum: testarea și auditarea strategiilor de securitate cibernetică, planificarea gestionării crizelor în vederea asigurării continuității activității, răspunsul la incidente, securitatea lanțului de aprovizionare, criptarea și dezvăluirea vulnerabilităților și analiza adecvată a riscurilor. În cazul unui incident informatic, aceste entități vor trebui să transmită notificări astfel: o notificare inițială în termen de 24 de ore, un raport mai detaliat în termen de 72 de ore și apoi un raport complet în termen de o lună de la incident. NIS2 cuprinde și o listă de amenzi în caz de nerespectare, cum ar fi suspendarea certificării și răspunderea personală pentru funcțiile de conducere, în conformitate cu legislația națională.

Pe cine vizează Directiva NIS2?

NIS2 reglementează „regula plafonului de mărime: toate întreprinderile mijlocii și mari, care își desfășoară activitatea în sectoarele indicate sau furnizează tipul de servicii reglementate de prezenta directivă, intră în domeniul de aplicare a acesteia”. Deși exclude IMM-urile de la obligația de a se conforma noilor norme, se aplică unele excepții, pentru cele din sectoarele serviciilor de comunicații electronice accesibile publicului, al furnizorilor de servicii de încredere sau al registrelor de nume de domenii de nivel superior (TLD) sau cel al rețelelor de comunicații electronice.

Față de prima versiune, noua directivă NIS2 stabilește două categorii principale: entități esențiale și entități importante, prin care se arată caracterul critic al entității, dimensiunea acesteia și probabilitatea de producere a incidentelor. Astfel, cerințele vor fi proporționale cu gradul de expunere la riscuri și cu impactul social și economic pe care l-ar avea un incident.

În acest context, securitatea se referă la capacitatea rețelelor și a sistemelor informatice de a rezista la acțiuni care compromit integritatea, confidențialitatea, disponibilitatea și  autenticitatea datelor. Regulamentul de punere în aplicare al Comisiei [Regulamentul (UE) 2018/151] precizează în continuare elementele de securitate care trebuie respectate: gestionarea continuității activității, monitorizarea, controlul și testarea, securitatea sistemelor și a facilităților, gestionarea incidentelor, precum și standardele internaționale.  

Se recunoaște astfel că toate sectoarele și organizațiile care intră sub incidența NIS2 sunt de mare importanță pentru comunitățile din statele membre ale UE, dar și faptul că orice perturbare a acestora ar cauza prejudicii grave societății (dacă nu ar mai fi în măsură să își îndeplinească funcțiile). În concluzie, cele două categorii au fost create pentru a sublinia că nu toate sectoarele au același impact asupra societății, la aceeași scară, în cazul unui incident.

Set de măsuri minime

Directiva NIS2 propune un set minim de măsuri, printre care se numără: securitatea lanțului de aprovizionare și securitatea la achiziție, dezvoltarea și întreținerea rețelelor și a sistemelor IT, efectuarea de analize de risc și instituirea de politici de securitate IT, adresarea incidentelor, continuitatea activității și gestionarea crizelor. Sunt cuprinse, de asemenea, politici și proceduri de evaluare a eficacității măsurilor de gestionare a riscurilor și a utilizării criptografiei și a criptării.

Suplimentar, entitățile esențiale și importante ar trebui:

• să organizeze cursuri de formare pentru personalul lor și să sensibilizeze publicul cu privire la amenințările cibernetice (tehnici de phishing sau de inginerie socială). 

• să adopte o gamă largă de practici de bază în materie de igienă cibernetică (cum ar fi gestionarea identității și a accesului, configurarea corectă a dispozitivelor, segmentarea rețelei, principiile Zero Trust, actualizările de software sau creșterea gradului de conștientizare a riscurilor la nivelul utilizatorilor)
   

De asemenea, entitățile respective ar trebui să își reevalueze capacitățile de securitate cibernetică și, dacă este cazul, să urmărească implementarea de tehnologii de consolidare a securității cibernetice, cum ar fi AI sau sistemele de Machine Learning, pentru a consolida capacitățile acestora și securitatea rețelelor și a sistemelor IT.

În plus, pentru a demonstra conformitatea cu aceste măsuri, statele membre pot solicita entităților esențiale și importante să utilizeze produse, servicii sau procese IT&C specifice care vor fi certificate în cadrul sistemelor europene de certificare a securității cibernetice adoptate în temeiul Legii privind securitatea cibernetică [Regulamentul (UE) 2019/881].

Care sunt noile cerințe și reglementări?

Introducerea NIS2 va extinde domeniul de reglementare, iar mai multe organizații vor trebui să înceapă să se conformeze. Dar care sunt aceste cerințe și cum vor fi ele aplicate?

1. Obligația de raportare

În cadrul noii directive NIS a fost introdusă obligația de a raporta incidentele care au un impact semnificativ asupra continuității serviciilor, în termen de 24 de ore de la data la care au luat cunoștință de un incident, urmată de o actualizare în 72 de ore și de o evaluare finală la o lună după aceea. Pentru a evalua dacă un incident are un impact semnificativ, ghidul descrie mai mulți parametri care trebuie luați în considerare (dimensiunea zonei geografice afectate de incident, numărul de utilizatori afectați și durata incidentului). În cazul în care, pentru un furnizor, un incident pare să aibă un impact semnificativ asupra continuității serviciului furnizat, respectivul incident trebuie raportat fără întârziere autorității competente a statului membru sau echipei locale de răspuns la incidente de securitate informatică (CSIRT). 

Statele membre trebuie să se asigure că efectuează o supraveghere eficientă pentru a verifica respectarea cerințelor directivei. Entitățile esențiale implică o supraveghere proactivă. În schimb, entitățile importante implică o supraveghere reactivă, care poate fi declanșată de dovezi, indicii sau informații conform cărora entitatea respectivă nu respectă directiva. NIS2 extinde, de asemenea, răspunderea la persoanele fizice. Astfel, pe lângă persoana juridică, poate fi tras la răspundere și directorul unei organizații.

2. Obligația de diligență

Toate organizațiile vizate de NIS2, fie acestea esențiale sau importante, vor trebui să înceapă să se conformeze obligației de diligență. Directiva conține o listă de tipuri de măsuri minime pe care furnizorii de servicii trebuie să le respecte: evaluarea riscurilor, gestionarea crizelor și asigurarea continuității operaționale în cazul unui incident cibernetic major, dar și păstrarea securității lanțului de aprovizionare. În plus, obligația de diligență include utilizarea criptografiei și a criptării și existența unor politici și proceduri care să evalueze eficacitatea măsurilor de gestionare a riscurilor și asigurarea securității rețelelor și a sistemelor informatice. 

3. Abordarea obligatorie a notificării

Directiva NIS2 prevede o „abordare în două etape” pentru raportarea incidentelor. Prima notificare vizează limitarea răspândirii potențiale a incidentelor și permite entităților să caute sprijin. A doua notificare este un raport complet, care aduce la lumină vulnerabilități și soluții de reținut pentru viitor. De la caz la caz, există posibilitatea unor clarificări suplimentare pentru a evalua în mod corect incidentul și consecințele acestuia. 

A. Notificări inițiale - În termen de 24 de ore de la luarea la cunoștință a incidentului, fără întârzieri nejustificate, către autoritatea competentă sau către CISRT-ul relevant la nivel național, indicându-se, dacă este posibil, dacă un act ilegal sau rău intenționat a cauzat incidentul. În termen de 72 de ore de la transmiterea primei alerte, entitatea afectată trebuie, de asemenea, să transmită o actualizare și o evaluare cu mai multe detalii privind atacul și măsurile puse în aplicare. Dacă entitatea solicită acest lucru, există posibilitatea să primească îndrumare pentru implementarea unor potențiale măsuri de atenuare și, dacă este necesar, asistență tehnică suplimentară. În cazul unui incident criminal, entitatea afectată primește, de asemenea, îndrumări privind raportarea incidentului către autoritățile de aplicare a legii.

B. Notificarea finală - În cele din urmă, în termen de o lună de la depunerea notificării inițiale sau a primului raport, trebuie să se prezinte un raport final, care să includă:

• o descriere detaliată a incidentului, a gravității și a consecințelor acestuia,
• tipul de amenințare sau de cauză care ar fi putut duce la incident 
• măsurile de atenuare aplicate și în curs de aplicare.

C. Amenințări cibernetice semnificative - Un incident este considerat semnificativ în cazul în acesta are, sau poate avea ca rezultat, perturbări operaționale semnificative sau pierderi financiare pentru entitatea în cauză sau dacă incidentul a afectat sau poate afecta persoane fizice sau juridice, provocând daune materiale sau imateriale semnificative.

D. Notificări voluntare - Entitățile care nu intră în domeniul de aplicare al Directivei NIS2 pot raporta în mod voluntar incidente semnificative, amenințări cibernetice sau incidente evitate din scurt. Apoi, autoritatea competentă sau CSIRT urmează procedura descrisă mai sus, în cadrul „notificării în două etape”. Rapoartele transmise în mod voluntar nu pot face obiectul unor obligații suplimentare.

Cum se aplică Directiva NIS2?

În cazul ambelor tipuri de entități, organismele competente vor avea puterea de a le supune unor inspecții la fața locului și unei supravegheri off-site ex-post efectuate de profesioniști calificați, prin: cereri de dovezi privind punerea în aplicare a politicilor de securitate cibernetică (cum ar fi rezultatele auditurilor de securitate efectuate de un auditor calificat și dovezile aferente), audituri de securitate specifice, scanări de securitate, cereri de acces la date, documente și informații. Verificările aleatorii extind și mai mult lista, împreună cu auditurile ad-hoc în cazul entităților esențiale. Cu excepția cazurilor justificate în mod corespunzător, costurile auditurilor de securitate vor fi suportate de către entitățile auditate.

În cazul în care se descoperă o încălcare, autoritățile competente pot exercita acțiuni precum: obligarea entităților de a înceta desfășurarea activităților care încalcă directiva, obligarea entităților de a informa persoanele fizice sau juridice care ar putea fi afectate de incident sau chiar de a face publice informațiile emiterea de avertismente sau impunerea de instrucțiuni obligatorii. În cazul în care aceste măsuri nu duc la remedierea situației, autoritățile competente pot suspenda temporar activitățile entității și pe managerul organizației, care își exercită responsabilitățile la nivel de director general sau de reprezentant legal.

Directiva NIS2 stabilește un cadru coerent de sancțiuni minime aplicabile pentru încălcarea obligațiilor de gestionare a riscurilor și de raportare. De exemplu: instrucțiuni obligatorii, punerea în aplicare a recomandărilor unui audit de securitate, aducerea măsurilor de securitate în conformitate cu cerințele NIS și amenzi administrative (diferențiate pentru cele două categorii de entități: esențiale și importante).

Statele membre trebuie să ofere autorităților relevante capacitatea de a impune amenzi considerabile. În ceea ce privește entitățile importante, Directiva NIS2 impune statelor membre să prevadă o amendă maximă de până la 7 milioane de euro sau 1,4% din cifra de afaceri anuală totală, la nivel mondial a exercițiului financiar precedent, oricare dintre acestea este mai mare. În ceea ce privește entitățile esențiale, Directiva NIS2 impune statelor membre să prevadă un anumit nivel al amenzilor administrative, în special o sumă maximă de până la 10 milioane de euro sau 2% din cifra de afaceri anuală totală la nivel mondial, din exercițiul financiar precedent, oricare dintre acestea este mai mare. 

Organele de conducere ale entităților esențiale și importante pot fi, de asemenea, trase la răspundere pentru nerespectarea dispozițiilor Directivei NIS2. 

Atunci când își exercită drepturile de executare, autoritățile competente ar trebui să țină seama în mod corespunzător de circumstanțele specifice fiecărui caz (cum ar fi prejudiciile cauzate sau pierderile suferite, natura, gravitatea și durata încălcării, precum și caracterul intenționat sau neglijent al încălcării).

Termene limită de punere în aplicare

NIS2 a intrat în vigoare la 16 ianuarie 2023, dar va deveni aplicabilă după ce statele membre ale UE vor transpune directiva în legislația națională, cu termen limită până în septembrie 2024. Cu toate acestea, este recomandat ca organizațiile să planifice și să se pregătească cât mai curând, atât pentru a respecta termenele inițiale pentru procesul de implementare, cât și pentru a face teste cu diferite bune practici privind gestionarea incidentelor, politicile de control și de raportare. 

ESET este un lider global în domeniul securității digitale, cu rădăcini în Uniunea Europeană. Timp de peste 3 decenii, a fost pionier în domeniul software-ului și serviciilor de securitate IT de top pentru companii și consumatori din întreaga lume. De atunci, ESET a devenit cea mai mare companie de securitate IT din Uniunea Europeană, cu soluții care variază de la securitate endpoint, XDR și securitatea mobilă, până la criptare și autentificare cu doi factori.

Prin specialiștii proprii și consultanții parteneri, ESET vă poate ajuta, oferind îndrumare pentru a vă conforma cu noile cerințe NIS2 care sunt relevante pentru organizația dumneavoastră.  

Soluțiile ESET pot fi testate gratuit de către companii, indiferent de dimensiunea acestora, fără obligații ulterioare. Pentru descărcarea unei variante de test, click aici. 

Articol susținut de ESET