Noi reglementări europene de securitate cibernetică din 18 octombrie. Ce au de făcut companiile?
Termenul – limită impus de Uniunea Europeană (UE) pentru adoptarea noilor măsuri de securitate cibernetică se apropie (18 octombrie 2024) și este important pentru companii să analizeze cum să-și adapteze sistemele de securitate cibernetică în acord cu noile reglementări, care încearcă să rezolve aspectele sensibile generate de amenințările cibernetice şi de dependența tot mai mare a sectoarelor economice critice de digitalizare.
Amenințările cibernetice nu doar că au devenit din ce în ce mai dese și mai sofisticate dar, în lipsa adaptării sistemelor interne ale companiilor la noile reglementări UE (Directiva NIS2), acestea vor avea capacitatea de a disturba major sectoare economice esențiale, înalt-dependente de digitalizare.
Ce este de făcut în acest nou peisaj?
Cristiana Deca, expert în cyberscurity și GDPR, CEO&Cofondator Decalex, explică în detaliu ce au de făcut companiile, în următoarele zile, pentru a se conforma noilor reglementări.
Directiva privind securitatea rețelelor și a informațiilor – Network and Information Security (NIS2) vizează consolidarea rezilienței cibernetice în toate statele Uniunii Europene. Aceasta a intrat în vigoare din 16 ianuarie 2023 și devine aplicabilă în fiecare stat membru ale Uniunii după transpunerea directivei în legislația națională. Se apropie însă termenul – limită (18 octombrie 2024) și este important pentru companii să analizeze cum trebuie să-și adapteze sistemele de securitate cibernetica în acord cu noile reglementări.
Vorbim despre un context în care probabilitatea de producere a incidentelor cibernetice a crescut, iar cerințele reglementărilor NIS2 vor fi, pentru fiecare sector și companie în parte, în acord cu gradul de expunere la riscuri, dar și cu repercusiunile sociale și economice pe care l-ar avea un potențial incident cibernetic.
Cine trebuie să se conformeze la NIS2?
Directiva NIS2 extinde domeniul de acțiune, care devine mult mai larg comparativ cu NIS1 (adoptată în anul 2016), prin urmare vizează mai multe entități din sectoarele considerate ca fiind cu grad critic ridicat – energie, transporturi, sector bancar, alimentare cu apă, ape reziduale – atât din domeniul public, cât și din cel privat. În același timp, sunt introduse noi obligații pentru entitățile din alte sectoare „critice”, cum ar fi industria prelucrătoare (producția), industria alimentară, industria chimică, gestionarea deșeurilor, serviciile poștale și de curierat etc.
Devine, astfel, obligatoriu pentru companiile clasificate ca fiind de Nivel Critic Ridicat să ia măsuri tehnice și operaționale pentru a se conforma cu NIS2, inclusiv în ceea ce privește răspunsul la incidente, securitatea lanțului de aprovizionare, criptarea vulnerabilităților, analiza riscurilor, auditul planului intern de securitate cibernetică și al gestionării crizelor.
Directiva europeană vine și cu amenzi
NIS2 vine și cu amenzi în caz de nerespectare, inclusiv suspendarea certificării și răspunderea personală pentru funcțiile de conducere, în conformitate cu legislația națională.
Deși exclude întreprinderile mici și microîntreprinderile de la obligația de a se conforma noilor norme, directiva prevede și excepții, cum ar fi IMM-urile din sectoarele rețelelor de comunicații electronice sau al serviciilor de comunicații electronice accesibile publicului, al furnizorilor de servicii de încredere sau al registrelor de nume de domenii de nivel superior (TLD).
Ce trebuie să facă companiile pentru conformare
Directiva stabilește cerințe mai stricte pentru companii și instituții, fiind imperativ deja, cu numai o lună înainte, ca organizațiile să se pregătească în vederea conformării la noile reglementări.
Companiile din sectoarele esențiale, precum energie, transporturi, apă, sănătate, finanțe, dar și cele din sectorul digital, vor trebui să implementeze măsuri de securitate mai stricte și să raporteze incidentele de securitate cibernetică prompt și detaliat.
Primul pas în pregătirea pentru conformitate este evaluarea riscurilor și a vulnerabilităților existente.
Companiile trebuie să efectueze audituri de securitate pentru a identifica punctele slabe ale rețelelor și sistemelor informatice.
Acest proces implică evaluarea infrastructurii IT, a practicilor de securitate curente și a capacității de reacție la incidente.
Pe de altă parte, implementarea Măsurilor de Securitate Directiva NIS2 impune adoptarea unor măsuri de securitate proporționale cu riscurile identificate.
Aceste măsuri ar trebui să includă:
• Implementarea unor soluții de protecție avansate: firewall-uri, sisteme de detectare a intruziunilor și criptare.
• Dezvoltarea și implementarea unor politici de management al riscurilor cibernetice, cu proceduri de prevenire, detectare și răspuns la incidente.
• Crearea planurilor de recuperare în caz de dezastru și de continuitate a afacerii, pentru funcționarea neîntreruptă a serviciilor esențiale.
• Educarea și formarea angajaților, prin cursuri de formare, sesiuni periodice de instruire pe teme de securitate cibernetică.
• Exerciții practice care simulează atacuri cibernetice pentru a testa și îmbunătăți reacția organizației la incidente.
Directiva NIS2 subliniază importanța colaborării între sectorul privat și autorități.
Companiile trebuie să stabilească canale de comunicare eficiente cu autoritățile naționale responsabile de securitatea cibernetică și să participe activ la schimbul de informații cu partenerii din industrie.
Această colaborare este esențială pentru detectarea timpurie a amenințărilor și pentru răspunsul coordonat în cazul unui incident major.
În loc de concluzii
În loc de concluzii, am putea spune că este nevoie, pentru companii, să adopte practici de bază în securitatea cibernetică testate, să organizeze cursuri de formare pentru personalul lor și să sensibilizeze publicul cu privire la amenințările cibernetice (phishing sau tehnici de inginerie socială), să-și reevalueze capacitățile de securitate cibernetică și să urmărească integrarea tehnologiilor de consolidare a securității cibernetice, de tip AI, de exemplu, pentru a crește securitatea sistemelor informatice interne.