Până la finalul lunii octombrie, Directiva NIS 2 a Uniunii Europene intră în vigoare în legislaţia naţională, fiind transpusă de către DNSC. Aceasta îşi propune să creeze un cadru tehnic şi legislativ de securitate pentru companiile din Europa.
Principalele dificultăţi în implementarea directivei sunt cuantificarea beneficiilor în raport cu costurile, integrarea procedurilor şi a uneltelor cu sistemele existente şi nivelul scăzut de educaţie în materie de securitate.
Blackshell a publicat un studiu asupra impactului directivei în România, care poate fi consultat aici.
De ce este nevoie de NIS 2?
Ca orice altă industrie care se află la frontiera inovaţiei, securitatea cibernetică a suferit multe schimbări fundamentale în ultimii ani. Incidentele de securitate sunt din ce în ce mai mari şi mai prezente, iar companiile nu reuşesc să se protejeze în mod adecvat.
NIS 2 fortifică protecţia cibernetică, introducând protocoale robuste de securitate, măsuri standard pentru a răspunde incidentelor, precum şi procese clare de raportare a vulnerabilităţilor si a incidentelor.
Cine este afectat de această directivă?
Directiva vine ca o actualizare a NIS 1, adoptată în 2016 şi vizează o serie de entităţi economice suplimentare, împărţite în două categorii.
Organizaţiile din aceste sectoare care sunt cele mai afectate sunt cele mari (cel puţin 250 angajaţi şi o cifră de afaceri de peste 50 de milioane de euro sau un bilanţ anual total de peste 43 de milioane de euro) şi cele mijlocii (cel puţin 50 de angajaţi şi o cifră de afaceri de peste 10 milioane de euro sau un bilanţ anual total de peste 10 milioane de euro). Chiar şi aşa, DNSC poate identifica şi încadra alte IMM-uri sub incidenţa directivei, în cazul în care sunt din sectoarele reţelelor de comunicaţii electronice sau al serviciilor de comunicaţii electronice accesibile publicului, al furnizorilor de servicii de încredere sau al registrelor de nume de domenii de nivel superior (TLD).
Impactul pe care această directivă îl are asupra companiilor subliniază că securitatea cibernetică este mai importantă ca niciodată, iar NIS 2 trebuie văzut ca un aliat, nicidecum ca o povară operaţională.
Ce trebuie să facă o companie care este în această situaţie?
NIS 2 urmăreşte principii standard de securitate cibernetică şi este important de menţionat faptul că aceşti paşi sunt esenţiali pentru orice tip de organizaţie în contextul actual. În majoritatea cazurilor, securitatea cibernetică nu este încă văzută ca un aspect operaţional central, dar noua legislaţie modifică priorităţile pentru companii, transformând această temă într-un aspect necesar pentru asigurarea creşterii şi a dezvoltării
Pentru companii, cel mai bun început este un audit de securitate IT. Pornind de la acesta, diverse măsuri de securitate trebuie adoptate.
Directive prevede şi posibile penalităţi pentru nerespectarea măsurilor. Penalităţile financiare variază în funcţie de dimensiunea organizaţiei, putând ajunge până la 50.000.000 RON sau 2% din cifra de afaceri, iar cele non-financiare pot include suspendarea din funcţie a persoanelor responsabile.
Cât de pregătite sunt companiile din România?
Există companii pe piaţa care, fie pentru că se aflau sub incidenţa altor pachete legislative, fie din motive de management al riscului, deja au implementat majoritatea cerinţelor. Totuşi, piaţa locală este încă în spate din punct de vedere al digitalizării, majoritatea companiilor neavând încă un partener de încredere care înţelege cerinţele NIS 2.
Blackshell este o companie de securitate cibernetică construită pentru a servi nevoilor IMM-urilor, oferind produse cheie pentru sporirea măsurilor de siguranţă şi alinierea cu Directiva NIS 2.
