Comentarii

Opinie Robert Gîrdoc, Senior Manager, şi Răzvan Cioc, Manager PwC România: Implementarea noii Directive NIS2, în linie dreaptă. Care sunt noutăţile pentru companii?

Directiva NIS2, privind securitatea cibernetică pentru protejarea infrastructurilor critice şi digitale, care a intrat în vigoare săptămâna aceasta, actualizează lista sectoarelor şi a activităţilor vizate şi prevede căi de atac şi sancţiuni pentru a asigura respectarea legislaţiei. Actul normativ trebuie transpus în legislaţiile statelor membre în termen de 21 de luni.

În contextul intensificării şi agresivităţii atacurilor cibernetice din ultimii ani marcaţi de pandemie, război, criză energetică, noile norme vin astfel să consolideze rezilienţa infrastructurilor critice la o serie de ameninţări, inclusiv la riscuri naturale, atacuri teroriste sau sabotaj. În acelaşi timp, statele membre vor trebui să adopte o strategie naţională şi să efectueze evaluări periodice ale riscurilor pentru a identifica entităţile considerate critice sau vitale pentru societate şi economie.

Potrivit raportului “PwC 2023 Digital Trust Insights” pentru Europa Centrală şi Est, circa 60% dintre directorii generali din această zonă, inclusiv din România, susţin că securitatea

cibernetică s-a îmbunătăţit ca urmare a investiţiilor masive în infrastructura cibernetică şi îmbunătăţirii colaborării din interiorul companiei, însă mai este mult de lucru având în vedere creşterea complexităţii, prin interconectarea a tot mai multe sisteme şi date, şi a atacurilor tot mai elaborate. De altfel, probabilitatea unui atac cibernetic major se află pe locul doi în topul celor cinci scenarii pe care directorii generali le integrează în planurile de rezilienţă pentru 2023, după recesiunea globală, şi au în plan continuarea creşterii bugetului pentru investiţii în securitatea cibernetică.

Care sunt principalele modificări aduse de noua directivă

În primul rând, se aplică unui număr mai mare de sectoare şi entităţi decât cele reglementate până acum de NIS1. Astfel, lista de aplicare a NIS2 a fost extinsă de la operatorii de servicii esenţiale la toate entităţile mijlocii şi mari care îşi desfăşoară activitatea în sectoarele reglementate de directivă sau care furnizează servicii reglementate de directivă. Un număr de 11 sectoare sunt vizate de către noua directiva, printre care: sectorul energetic, transporturi, sectorul bancar, infrastructuri ale pieţei financiare, servicii digitale, sănătate, etc.

Noua directivă impune obligaţii directe asupra managementului companiilor/instituţiilor vizate în ceea ce priveşte punerea în aplicare şi supravegherea respectării legislaţiei de către organizaţia lor, ceea ce poate duce la amenzi şi la interzicerea temporară a exercitării funcţiilor de conducere.

Entităţile vizate trebuie să implementeze măsuri de gestionare a riscurilor cibernetice, care includ cerinţe de atenuare a riscurilor de securitate şi obligaţia de diligenţă din partea furnizorilor/ furnizorilor de servicii terţe. În acelaşi timp, acestea trebui să identifice rapid impactul potenţial al incidentelor, înainte sau pe măsură ce acestea se desfăşoară, asupra reţelei şi sistemelor informatice afectate, cât şi asupra dependenţei de aceste sisteme, precum şi durata şi gravitatea întreruperii serviciilor.

Au fost modificate şi cerinţele privind raportarea incidentelor, NIS2 impunând obligaţii de notificare în etape, inclusiv o notificare iniţială în termen de 24 de ore de la luarea la cunoştinţă a anumitor incidente sau ameninţări cibernetice, iar detaliile trebuie transmise în termen de 72 de ore. O raportare mai detaliată este necesară la o lună de la apariţia unui incident semnificativ,ca măsură de monitorizare.

 » Citește în continuare articolul

Related Articles

Back to top button