Companiile din Romania care activeaza in sectoarele esentiale si critice pentru societate si economie, respectiv energie, transport, sanatate, financiar-bancar, apa potabila si infrastructura digitala, precum si din alte domenii considerate importante precum serviciile postale si de curierat, gestionarea deseurilor, industria chimica sau cea alimentara trebuie sa se conformeze prevederilor directivei europene NIS2 privind securitatea cibernetica. Guvernul a publicat la finalul anului 2024 ordonanta de urgenta care transpune in legislatia nationala NIS2 si care impune o serie de masuri de gestionare a riscurilor de securitate cibernetica precum continuitatea activitatii, gestionarea incidentelor sau securitatea lantului de aprovizionare. Aceasta presupune, de asemenea, entitatilor vizate sa raporteze autoritatilor competente incidentele care au un impact semnificativ asupra activitatii lor. Sarcinile de supraveghere si asigurare a respectarii reglementarilor revine Directoratului National de Securitate Cibernetica (DNSC), autoritate competenta responsabila cu securitatea cibernetica.
De ce este importanta directiva NIS2?
Atacurile cibernetice au devenit o realitate cotidiana o data cu cresterea nivelului de digitalizare, interconectarea sistemelor informatice si aparitia noilor tehnologii - 5G, IoT, AI, dar si a instabilitatii geopolitice, iar cele mai vizate sunt companiile din sectoare critice. De altfel, in ordonanta de urgenta a Guvernului de la finalul anului 2024 care transpune in legislatia nationala directiva NIS2, este amintit incidentul din primul trimestru al anului 2024, care a afectat 26 de spitale la nivel national. Consecintele atacurilor pot fi devastatoare, de la pierderea de date si intreruperea activitatii pana la daune reputationale si amenzi substantiale.
Spre exemplu, in cazul unui atac cibernetic care afecteaza operatiunile din cauza unui proces de gestionare a riscurilor insuficient monitorizat la o entitate extrem de critica, printre consecinte se regasesc cheltuieli precum plati de rascumparare, costuri pentru furnizorii externi de servicii, amenzi pentru incalcarea reglementarilor specifice, cat si a cerintelor DNSC, dar si raspunderea directorilor generali si executivi pentru prejudiciile suferite ca urmare a incalcarii obligatiilor de monitorizare (cu exceptia sectorului administratiei publice).
Ce inseamna NIS 2 pentru companii?
Entitatile care fac obiectul NIS2 trebuie sa aiba in vedere imbunatatirea atat a masurilor lor de gestionare a riscurilor de securitate cibernetica, cat si a programelor de raportare a incidentelor, pentru a se conforma cerintelor impuse. Nerespectarea NIS2 poate conduce la amenzi semnificative din partea autoritatilor, dar si la costuri semnificative pentru organizatii.
Pentru a se pregati, entitatile vizate de NIS 2 trebuie sa ia in considerare: stabilirea unui cadru de guvernanta privind securitate cibernetica care sa acopere toate aspectele identificarea, evaluarea si gestionarea riscurilor, actualizarea periodica a politicilor de securitate IT, implementarea unor controale stricte referitoare la accesul la date, microsegmentarea, adoptarea unor tehnologii (avansate) de detectie si raspuns aliniate la obiectivele si principalele zone de risc ale business-ului, proceduri clare de raportare a incidentelor, detectare si monitorizare automatizata in timp real sau periodic, formarea continua a personalului, inregistrarea detaliata a incidentelor de securitate cibernetica, evaluari regulate ale riscurilor si audituri. Implementarea acestor masuri va sprijini un management integrat al riscurilor la nivelul companiei.
Masurile luate trebuie sa asigure un nivel de securitate cibernetica adecvat nivelului de risc al entitatii, care se evalueaza conform metodologiei cuprinse in ordinul directorului DNSC. De asemenea, entitatile esentiale si cele importante sunt obligate sa se supuna efectuarii unui audit de securitate cibernetica in conditiile si cu periodicitatea stabilite de DNSC, in functie de nivelul de risc.
Companiile vizate trebuie sa raporteze, fara intarzieri nejustificate, orice incident care are un impact semnificativ asupra prestarii serviciilor lor prin intermediul Platformei nationale pentru raportarea incidentelor de securitate cibernetica - PNRISC. Astfel, trebuie sa raporteze nu mai tarziu de 24 de ore de la data la care au luat cunostinta de incidentul semnificativ, o avertizare timpurie care, dupa caz, daca exista suspiciuni ca incidentul este cauzat de actiuni ilicite sau rauvoitoare sau ca ar putea avea un impact transfrontalier sau nu mai tarziu de 72 de ore din momentul in care au luat cunostinta de incidentul semnificativ daca prezinta o evaluare initiala a acestuia, inclusiv a gravitatii si a impactului acestuia, precum si a indicatorilor de compromitere.
Un incident este considerat semnificativ sau impactul unui incident este considerat semnificativ daca a provocat sau poate provoca perturbari operationale grave ale serviciilor sau pierderi financiare pentru entitatea in cauza, a afectat sau poate afecta alte persoane fizice sau juridice, cauzand prejudicii materiale sau nonmateriale considerabile.
DNSC poate derula activitati de supraveghere, verificare si control efectuate de persoane desemnate in acest sens si poate dispune efectuarea de audituri de securitate ad-hoc, realizate de un auditor de securitate cibernetica atestat.
Care sunt consecintele nerespectarii reglementarilor?
Urmatoarele fapte constituie incalcari grave: neindeplinirea obligatiei de notificare sau de remediere a incidentelor semnificative, neindeplinirea obligatiei de remediere a deficientelor constatate de catre autoritatile competente, obstructionarea auditurilor sau a activitatii de monitorizare dispuse de DNSC in urma constatarilor, furnizarea de informatii false sau vadit denaturate, ingradirea accesului personalului desemnat de catre DNSC in spatiile supuse controlului, cat si asupra datelor si informatiilor necesare controlului, etc.
Vor fi aplicate contraventii pentru nerespectarea, printre altele, a obligatiilor privind luarea unor masuri tehnice, operationale si organizatorice, de a se supune unui audit de securitate cibernetica in conditiile stabilite, de a transmite datele solicitate, de a realiza si transmite anual autoevaluarea nivelului de maturitate, de a intocmi si transmite planul de masuri pentru remedierea deficientelor, in termen de 30 de zile de la realizarea autoevaluarii, de a pune in aplicare masurile de gestionare a riscurilor, de a urma cursuri de formare profesionala in domeniul securitatii cibernetice, etc
Pentru entitatile esentiale, amenzile pornesc de la 10.000 lei si pot ajunge la 10 milioane euro sau cel mult 2% din cifra de afaceri neta, luandu-se in considerare valoarea cea mai mare dintre acestea.
Pentru entitatile importante, amenzile pot ajunge pana la cel mult 7 milioane euro sau cel mult 1,4% din cifra de afaceri neta.
Sectoare de importanta critica ridicata sunt energie, transport, sectorul financiar-bancar, sanatate, apa potabila, infrastrtuctura, digitala, administratie publica. Alte sectoare de importanta critica sunt serviciile postale si de curierat, gestionarea deseurilor, fabricarea, productia si distributia de substante chimice, productia, prelucrarea si distributia de alimente, fabricarea de dispozitive medicale, computere, echipamente electronice si furnizorii de servicii digitale.