English
Ştirile legate de breşe de date ce afectează datele sensibile sau confidenţiale ale companiilor sunt din ce în ce mai dese. În fiecare zi, mii de organizaţii suferă din cauza breşelor de securitate cibernetică, din acest motiv organizaţiile guvernamentale din întreaga lume caută să definească şi să consolideze cadrul de securitate ale sistemelor IT. Efectul urmărit este sporirea rezilienţei atât a entităţilor publice, cât şi a celor private, iar punerea în aplicare în această toamnă a Network and Information System Directive 2 (NIS2) - Directiva 2 a Uniunii Europene privind reţelele şi sistemele informatice reprezintă un progres semnificativ faţă de iniţiativele anterioare.
NIS2 se remarcă prin amploarea domeniilor acoperite şi prin accentul pe protejarea infrastructurii critice, în contrast cu alte standarde de securitate. Deşi cadre precum NIST CSF sunt recunoscute pentru bunele practici, ele nu dispun de nivelul de supraveghere şi de cerinţele stricte de raportare impuse de NIS2. Reglementări precum GDPR se concentrează pe protecţia datelor personale, dar nu abordează rezilienţa operaţională a sectoarelor critice. NIS2 completează, de asemenea, standarde ca ISO 27001, care se limitează la securitatea informaţiilor pentru anumite industrii. Astfel, NIS2 acoperă o gamă mai largă de sectoare şi impune un cadru uniform de securitate cibernetică la nivelul întregii Uniuni Europene, garantând protecţia datelor şi rezilienţa împotriva ameninţărilor cibernetice.
Impactul asupra Afacerilor
Noua directivă extinde domeniul de aplicare la peste 100.000 de entităţi, semnificativ mai mult decât în versiunea anterioară. Aceasta introduce două categorii de organizaţii: Entităţi Esenţiale, care includ sectoare precum energia, sănătatea şi infrastructura digitală, şi Entităţi Importante, care acoperă industrii precum producţia de alimente, serviciile poştale şi gestionarea deşeurilor. Aceste entităţi trebuie să implementeze măsuri de securitate cibernetică mai riguroase, îmbunătăţind rezilienţa şi capacităţile de reacţie la nivelul UE. Noua directivă asigură o protecţie mai cuprinzătoare a industriilor-cheie şi îmbunătăţeşte coordonarea şi supravegherea eforturilor de securitate cibernetică.
În plus, dacă o organizaţie are sediul în afara UE, dar oferă servicii critice pe teritoriul statelor membre UE, Directiva NIS2 se aplică şi în cazul acestora, deoarece directiva îşi extinde domeniul de aplicare pentru a acoperi entităţile din afara UE care furnizează servicii esenţiale sau importante în UE. Aceasta înseamnă că întreprinderile ar trebui să respecte măsurile de securitate cibernetică mai stricte sugerate în noile directive pentru a asigura securitatea şi rezilienţa serviciilor furnizate pe piaţa UE.
Diferenţele dintre directive şi reglementări
În Uniunea Europeană, directivele, cum ar fi NIS2, trebuie să fie transpuse în legislaţia naţională de către fiecare stat membru, permiţând interpretări locale. Spre deosebire de acestea, reglementările, cum ar fi GDPR, sunt obligatorii şi se aplică uniform în toate statele membre. Cadrele de bune practici, precum NIST CSF şi ISO 27001, nu sunt legale şi nu impun obligaţii. Prin urmare, NIS2 completează aceste cadre prin stabilirea unor standarde mai stricte şi coerente de securitate cibernetică în întreaga Uniune.
Deşi directiva trebuie să fie adoptată de fiecare stat, organizaţiile nu vor trebui să se conformeze imediat, deoarece termenul limită se aplică doar guvernelor. Companiile vor avea timp suplimentar pentru a se conforma odată ce legislaţia naţională este adoptată.
Pregătirea organizaţiilor pentru NIS2
NIS2 subliniază importanţa unei abordări proactive în securitatea cibernetică, punând accent pe prevenirea şi atenuarea riscurilor înainte de a se produce incidentele. Directiva se bazează pe patru piloni principali: responsabilitate corporativă, gestionarea riscurilor, obligaţiile de raportare şi continuitatea afacerii.
1.Responsabilitatea Corporativă: Securitatea cibernetică devine o prioritate strategică la nivelul conducerii, nu doar al departamentelor IT. Liderii trebuie să îşi asume responsabilitatea directă pentru postura de securitate cibernetică a organizaţiei.
2.Gestionarea Riscurilor: Odată cu implicarea mai activă a conducerii, organizaţiile trebuie să implementeze practici eficiente de gestionare a riscurilor, cum ar fi protocoalele de răspuns la incidente şi securizarea lanţului de aprovizionare.
3.Continuitatea Afacerii: NIS2 pune un accent deosebit pe planificarea continuităţii afacerii şi a recuperării în caz de dezastru, subliniind importanţa unor soluţii de backup robuste. Soluţiile de backup fiabile, precum Synology, care nu numai că protejează volumele de lucru fizice şi virtuale, dar asigură şi recuperarea în cel mai scurt timp, sunt esenţiale pentru menţinerea rezilienţei în peisajul actual al ameninţărilor.
4.Raportarea Rapidă a Incidentelor: Organizaţiile sunt obligate să notifice autorităţile imediat după ce identifică evenimente cibernetice semnificative, facilitând un răspuns coordonat şi rapid.
Timpul pentru conformare
Directiva NIS2 va întări măsurile de securitate cibernetică în sectoarele critice prin cerinţe de raportare stricte şi penalizări severe pentru neconformitate. Deşi termenul limită de transpunere este stabilit pentru octombrie 2024, organizaţiile au între 1 şi 2 ani pentru a se pregăti complet. Este recomandat ca organizaţiile să formeze grupuri de lucru dedicate pentru a adapta legislaţia NIS2 şi a evalua infrastructura de securitate cibernetică şi protecţia datelor.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
