Directiva NIS2, privind securitatea cibernetica pentru protejarea infrastructurilor critice si digitale, care a intrat in vigoare saptamana aceasta, actualizeaza lista sectoarelor si a activitatilor vizate si prevede cai de atac si sanctiuni pentru a asigura respectarea legislatiei. Actul normativ trebuie transpus in legislatiile statelor membre in termen de 21 de luni.
In contextul intensificarii si agresivitatii atacurilor cibernetice din ultimii ani marcati de pandemie, razboi, criza energetica, noile norme vin astfel sa consolideze rezilienta infrastructurilor critice la o serie de amenintari, inclusiv la riscuri naturale, atacuri teroriste sau sabotaj. In acelasi timp, statele membre vor trebui sa adopte o strategie nationala si sa efectueze evaluari periodice ale riscurilor pentru a identifica entitatile considerate critice sau vitale pentru societate si economie.
Potrivit raportului “PwC 2023 Digital Trust Insights” pentru Europa Centrala si Est, circa 60% dintre directorii generali din aceasta zona, inclusiv din Romania, sustin ca securitatea cibernetica s-a imbunatatit ca urmare a investitiilor masive in infrastructura cibernetica si imbunatatirii colaborarii din interiorul companiei, insa mai este mult de lucru avand in vedere cresterea complexitatii, prin interconectarea a tot mai multe sisteme si date, si a atacurilor tot mai elaborate. De altfel, probabilitatea unui atac cibernetic major se afla pe locul doi in topul celor cinci scenarii pe care directorii generali le integreaza in planurile de rezilienta pentru 2023, dupa recesiunea globala, si au in plan continuarea cresterii bugetului pentru investitii in securitatea cibernetica.
Care sunt principalele modificari aduse de noua directiva
In primul rand, se aplica unui numar mai mare de sectoare si entitati decat cele reglementate pana acum de NIS1. Astfel, lista de aplicare a NIS2 a fost extinsa de la operatorii de servicii esentiale la toate entitatile mijlocii si mari care isi desfasoara activitatea in sectoarele reglementate de directiva sau care furnizeaza servicii reglementate de directiva. Un numar de 11 sectoare sunt vizate de catre noua directiva, printre care: sectorul energetic, transporturi, sectorul bancar, infrastructuri ale pietei financiare, servicii digitale, sanatate, etc.
Noua directiva impune obligatii directe asupra managementului companiilor/institutiilor vizate in ceea ce priveste punerea in aplicare si supravegherea respectarii legislatiei de catre organizatia lor, ceea ce poate duce la amenzi si la interzicerea temporara a exercitarii functiilor de conducere.
Entitatile vizate trebuie sa implementeze masuri de gestionare a riscurilor cibernetice, care includ cerinte de atenuare a riscurilor de securitate si obligatia de diligenta din partea furnizorilor/ furnizorilor de servicii terte. In acelasi timp, acestea trebui sa identifice rapid impactul potential al incidentelor, inainte sau pe masura ce acestea se desfasoara, asupra retelei si sistemelor informatice afectate, cat si asupra dependentei de aceste sisteme, precum si durata si gravitatea intreruperii serviciilor.
Au fost modificate si cerintele privind raportarea incidentelor, NIS2 impunand obligatii de notificare in etape, inclusiv o notificare initiala in termen de 24 de ore de la luarea la cunostinta a anumitor incidente sau amenintari cibernetice, iar detaliile trebuie transmise in termen de 72 de ore. O raportare mai detaliata este necesara la o luna de la aparitia unui incident semnificativ,ca masura de monitorizare. Totusi, noul act legislativ rationalizeaza obligatiile de raportare pentru a evita raportarea excesiva si crearea unei sarcini excesive pentru entitatile vizate.
In ceea ce priveste sanctiunile, statelor membre li se acorda libertatea de a stabili masurile pentru nerespectarea reglementarilor NIS2, precum si amenzi administrative pentru anumite incalcari, de pana la 10 milioane euro sau 2% din cifra de afaceri totala.
In plus, Directiva va institui in mod oficial Reteaua europeana a organizatiilor de legatura in materie de crize cibernetice, UE-CyCLONe, care va sprijini gestionarea coordonata a incidentelor si crizelor de securitate cibernetica de mare amploare.
Textul clarifica, de asemenea, faptul ca directiva nu se va aplica entitatilor care desfasoara activitati in domenii precum apararea sau securitatea nationala, siguranta publica si asigurarea respectarii legii. Sistemul judiciar, parlamentele si bancile centrale sunt de asemenea excluse din domeniul de aplicare. NIS2 se va aplica, insa, administratiilor publice de la nivel central si regional. In plus, statele membre pot decide ca aceasta sa se aplice unor astfel de entitati si la nivel local.
