NIS2 este o directivă europeană care actualizează și extinde cerințele pentru securitatea cibernetică stabilite de prima Directivă NIS (Network and Information Security) din 2016. Scopul principal al NIS2 este de a crește reziliența cibernetică a infrastructurilor esențiale și de a asigura o aplicare unitară a măsurilor de securitate cibernetică în toate statele membre ale Uniunii Europene
Managementul entităților importante trebuie să ia o serie de măsuri specifice pentru a se conforma cerințelor Directivei NIS2. Aceste măsuri sunt menite să îmbunătățească securitatea cibernetică și să gestioneze eficient riscurile asociate. Printre măsurile necesare se numără:
- Implementarea unui cadru de gestionare a riscurilor cibernetice
Managementul trebuie să adopte un cadru de gestionare a riscurilor cibernetice care include evaluări periodice ale riscurilor și politici de securitate pentru sistemele informatice. Acest cadru trebuie să fie aliniat cu cerințele NIS2 și să se concentreze pe prevenirea, detectarea și răspunsul la incidentele de securitate cibernetică
- Măsuri de continuitate a afacerii și gestionare a crizelor
Entitățile importante trebuie să aibă un plan solid de continuitate a afacerii și un plan de gestionare a crizelor pentru a asigura continuitatea operațională în cazul unor incidente majore de securitate cibernetică. Aceste planuri ar trebui să includă proceduri de recuperare a datelor, strategii de backup și planuri de comunicare de urgență
- Responsabilitatea conducerii pentru măsurile de securitate
Conducerea trebuie să aprobe și să supervizeze măsurile de securitate cibernetică adoptate de companie. Aceasta include monitorizarea implementării politicilor de securitate și asigurarea că măsurile de securitate sunt în concordanță cu cerințele directivei. În caz de neconformitate, conducerea poate fi trasă la răspundere personal și poate primi sancțiuni severe, inclusiv interdicția de a ocupa funcții de management(
- Raportarea incidentelor cibernetice
Entitățile importante trebuie să stabilească proceduri clare de raportare a incidentelor cibernetice, cu obligația de a notifica autoritățile naționale competente în termen de 24 de ore de la detectarea unui incident major și de a furniza un raport complet în termen de 72 de ore. Aceste cerințe de raportare trebuie integrate în cadrul de gestionare a incidentelor
- Gestionarea securității lanțului de aprovizionare
Entitățile trebuie să implementeze măsuri de securitate pentru a gestiona riscurile asociate lanțului de aprovizionare, inclusiv evaluarea furnizorilor și implementarea politicilor de securitate pentru toți partenerii. Este important ca entitățile să stabilească procese pentru a identifica vulnerabilitățile din lanțul de aprovizionare și să asigure conformitatea cu cerințele NIS2 la nivelul întregii rețele de parteneri
- Asigurarea instruirii și conștientizării
Managementul trebuie să se asigure că personalul companiei primește instruire periodică privind securitatea cibernetică și că sunt promovate bune practici de securitate în cadrul organizației. Toate persoanele cu roluri în gestionarea riscurilor cibernetice trebuie să fie instruite corespunzător pentru a înțelege impactul măsurilor de securitate asupra activității companiei
Prin implementarea acestor măsuri, managementul entităților importante poate asigura conformitatea cu cerințele directivei NIS2 și poate reduce riscurile asociate securității cibernetice.
Entitățile importante (detalierea lor o gasiti aici: link ) trebuie să desfășoare audituri de securitate conform cerințelor NIS2. Directiva prevede că autoritățile naționale pot solicita implementarea auditului de securitate pentru a verifica conformitatea acestor entități cu măsurile de securitate impuse. Auditul poate fi obligatoriu în urma unor suspiciuni de neconformitate sau ca parte a verificărilor periodice pentru a se asigura că sunt respectate standardele de securitate cibernetică.
Entitățile importante sunt supuse unui regim de supraveghere ex-post, ceea ce înseamnă că auditul poate fi impus după ce se constată nereguli sau în baza unor rapoarte de neconformitate. Totuși, pentru a preveni eventualele sancțiuni, este recomandat ca managementul să desfășoare audituri interne regulate pentru a asigura conformitatea și pentru a identifica din timp eventualele deficiențe.
Prin urmare, auditul de securitate reprezintă o măsură preventivă și corectivă importantă pentru a se asigura că entitățile importante îndeplinesc cerințele directivei NIS2 și sunt pregătite să răspundă eficient la riscurile de securitate cibernetică.
Auditul pentru conformitatea cu NIS2 trebuie realizat de firme specializate în securitate cibernetică și managementul riscurilor, care au experiență în domeniul auditului de securitate și sunt acreditate să ofere astfel de servicii. Aceste firme trebuie să îndeplinească anumite criterii, cum ar fi certificările în securitate cibernetică și conformitate, și să aibă personal cu competențe relevante.
Pentru alegerea unei firme potrivite, companiile ar trebui să verifice dacă auditorul este acreditat de autoritățile naționale competente sau de instituțiile internaționale de reglementare, cum ar fi ENISA (European Union Agency for Cybersecurity) și alte organisme similare.
În România, Directoratul Național de Securitate Cibernetică (DNSC) este autoritatea competentă responsabilă de supravegherea implementării Directivei NIS2. DNSC se ocupă de monitorizarea și asigurarea conformității cu cerințele directivei pentru toate entitățile esențiale și importante care operează pe teritoriul României.
Pentru mai multe informații sau orice întrebări suplimentare, vă rugăm să nu ezitați să ne contactați:
➡ Telefon: (+4) 031 426 0745
📧 Email: office@grecupartners.ro
Suntem aici pentru a vă ajuta și pentru a oferi suportul nostru legal la toate situațiile dumneavoastră.
Așteptăm cu nerăbdare să discutăm cu dumneavoastră.
Avocat Elena Grecu
