Transpunerea Directivei NIS (Network and Information Security) 2 in legislatia romaneasca prin OUG 155/2024 marcheaza un moment definitoriu in eforturile locale de consolidare a rezilientei in fata amenintarilor cibernetice din ce in ce mai complexe. Acest pas legislativ, parcurs pe fondul unui context geopolitic cu multe provocari si al unui peisaj al amenintarilor cibernetice in crestere, urmareste sa imbunatateasca modul proactiv de gestionare a riscurilor, sa asigure continuitate operationala si sa pozitioneze Romania pe un loc fruntas in materie de securitate cibernetica.
Securitatea cibernetica a devenit un pilon fundamental al economiei si al stabilitatii functionale a serviciilor esentiale, Romania inregistrand deja progrese notabile in acest domeniu prin adoptarea de legislatie specifica, precum transpunerea primei versiuni a Directivei NIS prin Legea 362/2018, infiintarea Directoratului National de Securitate Cibernetica prin OUG 104/2021 sau adoptarea Strategiei Nationale de Securitate Cibernetica a Romaniei prin HG 1321/2021, toate sub cupola Legii 58/2023 privind securitate si apararea cibernetica a Romaniei.
Cu toate acestea, ritmul accelerat al procesului de transformare digitala si complexitatea tot mai mare a atacurilor cibernetice au evidentiat necesitatea unui cadru extins si actualizat. Directiva NIS 2, in esenta, abordeaza vulnerabilitatile infrastructurilor critice si armonizeaza standardele de securitate cibernetica la nivelul Uniunii Europene, construind pe baza reglementarilor anterioare si remediind lacunele din gestionarea riscurilor si modul de raspuns la incidente.
Elementele definitorii si de noutate ale Directivei NIS 2
Directiva NIS 2 impune politici stricte pentru identificarea, atenuarea si gestionarea riscurilor de securitate cibernetica, organizatiile fiind obligate sa efectueze evaluari regulate ale riscurilor pentru potentialele vulnerabilitati, sa implementeze masuri adecvate pentru a aborda toata aceasta gama de riscuri de natura cibernetica si sa ramana vigilente prin sisteme de monitorizare proactiva. Accentul pus pe managementul riscului se extinde dincolo de procedurile interne, incluzand si securitatea lanturilor de aprovizionare, vizand astfel vulnerabilitatile furnizorilor terti de servicii.
Existenta unui cadru robust pentru raportarea incidentelor de securitate cibernetica este un element central al Directivei NIS 2. Entitatile sunt obligate sa raporteze, fara intarzieri nejustificate, orice eveniment care are un impact semnificativ asupra prestarii serviciilor echipei de raspuns la incidente de securitate cibernetica la nivel national, fiind astfel asigurata o partajare rapida a informatiilor si o gestionare mai eficienta a incidentelor.
Spre deosebire de Directiva NIS 1, pentru a carei implementare erau responsabili in principal reprezentantii desemnati din organizatie, NIS 2 transfera aceasta responsabilitatea catre echipa de top management. Echipa de conducere are acum obligatia de a aproba si de a supraveghea masurile de gestionare a riscurilor, dar si de a se asigura ca sunt alocate resurse adecvate pentru componenta de securitate cibernetica. De asemenea, membrii echipei de conducere trebuie sa participe la instruiri periodice in domeniul securitatii cibernetice, cum ar fi exercitii de simulare a crizelor de natura cibernetica, asigurandu-se ca detin cunostintele necesare pentru a supraveghea eficient procesul de management al riscurilor.
Ca urmare a implementarii noii directive, organizatiile sunt obligate sa adopte masuri stricte in ceea ce priveste dezvoltarea si implementarea planurilor de continuitate a afacerii in cazul unui incident major de securitate cibernetica, accentul fiind pus pe pregatirea si asigurarea continuitatii serviciilor esentiale.
Mai mult, noua directiva extinde domeniul de aplicabilitate prin includerea a 11 noi sectoare critice, printre care se numara energie, transporturi, sanatate, infrastructura digitala si financiar-bancar. Sectoarele precum serviciile postale, managementul deseurilor, productia chimica, cercetarea si productia, prelucrarea si distributia de alimente sunt integrate in reglementarea europeana, reflectand cresterea nivelului de constientizare in materie de amenintari de securitate cibernetica la adresa diverselor industrii ce sustin functionarea societatii.
Ce masuri pot lua organizatiile vizate pentru a se pregati?
Prin accentul pus pe gestionarea riscurilor, transferul responsabilitatii privind supravegherea procesului de management al riscului catre echipa de top management, prevederile stricte de raportare a incidentelor, inclusiv cele care vizeaza lanturile de aprovizionare, transpunerea Directivei NIS 2 la nivel local impune o schimbare majora catre un model proactiv in materie de securitate cibernetica care reprezinta mai mult decat o obligatie legala.
Pentru organizatii, masurile impuse de aceasta directiva, respectiv de textul legislativ transpus la nivel national, reprezinta o oportunitate in vederea gestionarii eficiente a riscurilor de natura cibernetica si a asigurarii continuitatii operatiunilor.
