avocatnet.ro 
În România, Directiva NIS1 este transpusă prin Legea 362/2018, care a introdus, acum câțiva ani, măsuri obligatorii de securitate cibernetică pentru anumite firme. Directoratul Național de Securitate Cibernetică (DNSC) a pus în dezbatere un proiect de lege pentru transpunerea NIS2 în cursul lunii august 2024, care acum câteva zile a fost republicat sub formă de proiect de OUG - asta înseamnă că în curând vom vedea noutățile pe masa Executivului și apoi în Monitorul Oficial.
Pentru a afla mai multe despre NIS2, redacția noastră a obținut lămuriri utile companiilor de la Constantin Burdun, Deputy CEO la certSIGN.
1. De ce a apărut necesitatea directivelor NIS?
Constantin Burdun: Directivele NIS au apărut pentru a crește nivelul de pregătire al statelor UE pentru a face față la incidentele de securitate informatică și, respectiv, creșterea gradului de încredere al cetățenilor în Piața Digitală Unică. Acest lucru s-a întâmplat deoarece amenințările de securitate cibernetică se înmulțesc în mod continuu și, din ce în ce mai mult, se și concretizează, din păcate, ceea ce obligă la o reacție din partea victimelor - să își ia măsuri pentru a-și întări securitatea cibernetică a sistemelor lor. Companiile și oamenii au conștientizat acest lucru, iar pentru a implementa eficient măsuri de securitate a fost necesară și evoluția cadrului legal, care să definească responsabilități și acțiuni clare.
2. Care sunt principalele noutăți aduse de Directiva NIS2, față de ce prevede acum Directiva NIS1?
Constantin Burdun: Principalele noutăți constau în:
A. Extinderea sectoarelor cărora li se aplică directiva NIS2. Directiva NIS1 asigură că măsurile de securitate cibernetică sunt luate în șapte sectoare, care sunt vitale pentru economia și societatea noastră și care se bazează în mare măsură pe TIC, cum ar fi energia, transporturile, serviciile bancare, infrastructurile pieței financiare, apa potabilă, asistența medicală și infrastructura digitală.
Entitățile publice și private identificate de statele membre ca operatori de servicii esențiale în aceste sectoare sunt obligate să efectueze o evaluare a riscurilor de securitate cibernetică și să pună în aplicare măsuri de securitate adecvate și proporționale. Aceștia au obligația de a notifica incidentele grave autorităților competente. În plus, furnizorii de servicii digitale cheie (furnizorii de servicii digitale sau DSP), cum ar fi motoarele de căutare, serviciile de cloud computing și piețele online, trebuie, de asemenea, să respecte cerințele de securitate și notificare din directivă. În același timp, acestea din urmă sunt supuse unui așa-numit regim de reglementare relaxat în NIS1, ceea ce presupune ca acele entități să nu fie supuse unor măsuri de supraveghere ex-ante.
Directiva NIS2 extinde în mod semnificativ domeniul de aplicare al sectoarelor și introduce un prag de dimensiune pentru a defini ce entități intră în domeniul său de aplicare și ar trebui să raporteze incidentele semnificative de securitate cibernetică autorităților naționale competente. NIS2 acoperă entități din următoarele sectoare:
- sectoare cu o importanță critică ridicată: energie (electricitate, termoficare și răcire, petrol, gaz și hidrogen); transport (aerian, feroviar, naval și rutier); bancar; infrastructuri ale pieței financiare; sănătate, inclusiv fabricarea de produse farmaceutice, inclusiv vaccinuri; apă potabilă; ape uzate; infrastructură digitală (puncte de schimb de internet; furnizori de servicii DNS; registre de nume TLD; furnizori de servicii de cloud computing; furnizori de servicii de centre de date; rețele de livrare de conținut; furnizori de servicii de încredere; furnizori de rețele publice de comunicații electronice și servicii de comunicații electronice accesibile publicului); managementul serviciilor TIC (furnizori de servicii gestionate și furnizori de servicii de securitate gestionată), administrație publică și spațiu;
- alte sectoare cu importanță critică: servicii poștale și de curierat; managementul deșeurilor; chimicale; alimente; fabricarea de dispozitive medicale, calculatoare și electronice, mașini și echipamente, autovehicule, remorci și semiremorci și alte echipamente de transport; furnizori digitali (piețe online, motoare de căutare online și platforme de servicii de rețele sociale) și organizații de cercetare.
B. Securitatea lanțurilor de aprovizionare. NIS2 extinde aplicabilitatea cerințelor în exteriorul entităților cărora li se aplică în mod direct. Directiva abordează securitatea lanțurilor de aprovizionare și a relațiilor cu furnizorii, solicitând companiilor individuale să abordeze riscurile de securitate cibernetică din lanțurile de aprovizionare și relațiile cu furnizorii. La nivel european, directiva consolidează securitatea cibernetică a lanțului de aprovizionare pentru tehnologiile-cheie ale informației și comunicațiilor. Statele membre, în cooperare cu Comisia și ENISA, pot efectua evaluări coordonate ale riscurilor de securitate la nivelul Uniunii ale lanțurilor de aprovizionare critice, bazându-se pe abordarea de succes adoptată în contextul recomandării Comisiei privind securitatea cibernetică a rețelelor 5G.
C. Utilizarea sistemelor certificate. Este foarte important de subliniat ca Directiva NIS2 solicită utilizarea sistemelor europene de certificare a securității cibernetice și solicită statelor membre să încurajeze entitățile esențiale și importante să utilizeze servicii de încredere calificate. Astfel, putem remarca faptul că Directiva NIS2 vine cu această premieră, prin faptul că aduce în atenție că un serviciu de încredere calificat, de exemplu, semnatura electronică calificată, reflectă de fapt certificarea unui sistem de semnătură electronică, în primul rând din perspectiva îndeplinirii de către acesta a cerințelor de securitate cibernetică.
D. Actualizarea cadrului de cooperare. Pe baza strategiei NIS1 privind securitatea rețelelor și a sistemelor de informații, pentru a atinge un nivel ridicat de pregătire al statelor membre, Directiva NIS2 impune acestora să adopte o strategie națională de securitate cibernetică. Statele membre trebuie, de asemenea, să desemneze echipe naționale de răspuns la incidente de securitate informatică (CSIRT), care sunt responsabile de gestionarea riscurilor și incidentelor, o autoritate națională competentă de securitate cibernetică și un punct unic de contact (SPOC). SPOC trebuie să exercite o funcție de legătură pentru a asigura cooperarea transfrontalieră între autoritățile statelor membre cu autoritățile relevante din alte state membre și, după caz, cu Comisia și ENISA, precum și să asigure cooperarea transsectorială cu alte autorități competente din cadrul respectivului stat membru.
Directiva NIS2 continuă, de asemenea, cadrul NIS1 prin care se înființează Grupul de cooperare NIS, pentru a sprijini și facilita cooperarea strategică și schimbul de informații între statele membre, precum și rețeaua CSIRT, care promovează cooperarea operațională rapidă și eficientă între CSIRT-urile naționale. Directiva NIS2 sporește rolul grupului de cooperare în formarea deciziilor strategice de politică și are în vedere intensificarea schimbului de informații și cooperarea între autoritățile statelor membre. De asemenea, îmbunătățește cooperarea operațională în cadrul rețelei CSIRT și înființează rețeaua europeană a organizațiilor de legătură în situații de criză cibernetică (EU-CyCLONe), pentru a sprijini gestionarea coordonată a incidentelor și crizelor de securitate cibernetică la scară largă.
NIS2 stabilește, de asemenea, un cadru de bază cu actori-cheie responsabili cu privire la schimbul coordonat de informații cu privire la vulnerabilitățile nou-descoperite în UE și creează o bază de date a vulnerabilităților UE pentru vulnerabilități cunoscute public identificate la produsele și serviciile informatice, bază de date care urmează să fie operată și întreținută de către agenția UE pentru securitate cibernetică (ENISA). Noua directivă NIS plasează supravegherea și aplicarea în centrul sarcinilor autorităților competente și stabilește un cadru coerent pentru toate activitățile de supraveghere și de punere în aplicare în statele membre.
E. Evaluarea securității și raportarea incidentelor. NIS2 Întărește și eficientizează cerințele de securitate și raportare pentru companii prin impunerea unei abordări de gestionare a riscurilor, care oferă o listă minimă de elemente de securitate de bază care trebuie aplicate. Noua directivă introduce prevederi mai precise privind procesul de raportare a incidentelor, conținutul rapoartelor și termenele.
Evaluarea normelor actuale privind cerințele de securitate și de raportare a incidentelor a arătat că, în unele cazuri, statele membre au implementat aceste cerințe în moduri semnificativ diferite. Acest lucru a creat o povară suplimentară pentru companiile care operează în mai mult de un stat membru. În plus, când vine vorba de cerințele de securitate cibernetică, se doreste asigurarea că toate companiile abordează setul de elemente de bază necesare în politicile lor de gestionare a riscului de securitate cibernetică. Din acest motiv, NIS2 include o listă de zece elemente-cheie pe care toate companiile trebuie să le abordeze sau să le implementeze ca parte a măsurilor pe care le iau, inclusiv gestionarea incidentelor, securitatea lanțului de aprovizionare, gestionarea și divulgarea vulnerabilităților, utilizarea criptografiei și, acolo unde este cazul, criptarea.
Când vine vorba de raportarea incidentelor, NIS2 asigură echilibrul între nevoia de raportare rapidă pentru a evita răspândirea potențială a incidentelor și nevoia de raportare aprofundată pentru a extrage lecții învățate din incidente individuale. Noua directivă prevede, astfel, o abordare în mai multe etape a raportării incidentelor. Companiile afectate au la dispoziție 24 de ore de la momentul în care au luat cunoștință de un incident pentru a transmite o avertizare timpurie către CSIRT sau autoritatea națională competentă, care le-ar permite, de asemenea, să solicite asistență (îndrumare sau consiliere operațională cu privire la implementarea unor posibile măsuri de atenuare). Avertizarea timpurie trebuie să fie urmată de o notificare de incident în termen de 72 de ore de la luarea la cunoștință a incidentului și de un raport final care trebuie elaborat nu mai târziu de o lună de la data la care incidentul a avut loc.
F. Listă minimă de mijloace de supraveghere. Pentru a consolida supravegherea care ajută la asigurarea conformității efective, NIS2 prevede o listă minimă de mijloace de supraveghere prin care autoritățile competente pot supraveghea entitățile esențiale și importante. Acestea includ audituri regulate cu verificări ale sistemelor, inclusiv locațiile fizice, cu solicitarea de informații și accesul la documente sau dovezi care să ateste îndeplinirea cerințelor. În plus, noua directivă stabilește o diferențiere a regimurilor de supraveghere între entitățile esențiale și cele importante, în vederea asigurării unui echilibru bazat pe principii de proporționalitate a obligațiilor atât pentru entități, cât și pentru autoritățile competente.
G. Răspunderea persoanelor fizice. Pentru a asigura responsabilitatea reală pentru măsurile de securitate cibernetică la nivel organizațional, NIS2 introduce prevederi privind răspunderea persoanelor fizice care dețin funcții de conducere superioară în entitățile care intră în domeniul de aplicare al noii Directive NIS.
H. Sancțiuni. În ceea ce privește punerea în aplicare, până acum a existat o reticență generală în statele membre de a aplica sancțiuni entităților care nu pun în aplicare măsuri de securitate sau nu raportează incidente. Acest lucru poate avea consecințe negative pentru reziliența cibernetică a entităților. Pentru a face aplicarea eficientă, noua directivă stabilește un cadru coerent pentru sancțiuni în întreaga Uniune. Prin urmare, stabilește o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscului de securitate cibernetică și de raportare prevăzute în Directiva NIS2. Aceste sancțiuni au în vedere neimplementarea recomandărilor unui audit de securitate, pentru a aduce măsurile de securitate în conformitate cu cerințele NIS, inclusiv amenzi administrative.
În ceea ce privește amenzile administrative, noua directivă NIS face distincție între entitățile esențiale și cele importante. În ceea ce privește entitățile esențiale, aceasta solicită statelor membre să prevadă un anumit nivel de amenzi administrative, maximul fiind de zece milioane de euro sau 2% din cifra de afaceri anuală totală a entității auditate, cifra de afaceri fiind cea de la nivel global a exercițiului financiar precedent, oricare dintre acestea este mai mare. În ceea ce privește entitățile importante, NIS2 solicită statelor membre să prevadă o amendă maximă de șapte milioane de euro sau 1,4% din cifra de afaceri anuală totală la nivel global a exercițiului financiar precedent, oricare dintre acestea este mai mare. Atunci când își exercită competențele de executare, autoritățile competente trebuie să țină seama în mod corespunzător de circumstanțele particulare ale fiecărui caz, cum ar fi natura, gravitatea și durata încălcării, prejudiciul cauzat sau pierderile suferite, caracterul intenționat sau neglijent al încălcării.
3. Tehnic vorbind, NIS2 doar modifică NIS1 sau vorbim de o înlocuire completă a cadrului legal?
Constantin Burdun: NIS2 abrogă Directiva NIS1. În România există un proiect de ordonanță de urgență privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil prin care se abrogă Legea 362/2018. Conform notei de fundamentare a proiectului de OUG: „Pentru o transpunere completă a directivei NIS2 sunt necesare: modificarea cadrului legislativ aferent directivei prin act normativ cu putere de lege, care va înlocui Legea 362/2018; asigurarea, prin noi acte normative și administrative subsecvente, a aplicării acesteia; abrogarea unor prevederi în vigoare și completarea corelativă a altor acte normative în vigoare”. Cadrul legislativ va fi actualizat. Principiile rămân, dar trebuie avute în vedere noutățile și detaliile aduse de noua directivă.
4. În ce stadiu este în prezent transpunerea NIS2 în România?
Constantin Burdun: DNSC a publicat în consultare, pe 15 octombrie 2024, proiectul de OUG privind transpunerea Directivei NIS2. Directoratul a demarat consultarea publică la finalul lunii aprilie, iar în august a fost publicat proiectul de lege pentru NIS2.
5. Există aspecte problematice la proiectul de transpunere a Directivei NIS2?
Constantin Burdun: Nu am identificat aspecte problematice în proiectul de transpunere.
6. Ce altceva ar mai fi important de știut, de către operatorii economici, în contextul aplicării NIS2?
Constantin Burdun: Aria de aplicare a NIS2 s-a extins. Operatorii economici trebuie să verifice, în primul rând, dacă legislația li se aplică în mod direct și să înceapă să se pregătească. O noutate importantă este că NIS2 se aplică și indirect, pe lanțul de aprovizionare. În acest fel se asigură că cerințele de securitate și măsurile de protecție se propagă de la operatorii economici din sectoarele cărora NIS2 se aplică, în mod direct, către furnizorii lor. Astfel, impactul este mult mai mare.
Pentru a se pregăti în asigurarea conformității cu NIS2, firmele pot urma câteva etape:
- identificarea sistemelor informatice vizate și măsurile de securitate aplicabile. Se poate realiza un preaudit, intern sau extern, pentru a identifica diferențele dintre ce este implementat și cerințe, precum și măsurile de remediere;
- implementarea măsurilor pentru asigurarea conformității. Acestea vor fi măsuri tehnice și proceduri de lucru. Trebuie avut în vedere lanțul de aprovizionare;
- realizarea auditului de conformitate;
- monitorizarea permanentă, testarea măsurilor de securitate și îmbunătățirea continuă a măsurilor de protecție;
- incidentele de securitate trebuie raportate, fiind definite termene pentru diferite tipuri de raportări. Acestea încep de la 24 de ore de la luarea la cunoștință de producerea incidentului.
ContSters155407
Comentarii articol (0)