Directiva NIS: securitatea cibernetică, o prioritate principală a companiilor în 2022

În data de 12 ianuarie 2019, a intrat în vigoare Legea nr. 362/2018 (Directiva Europeană NIS) privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Această lege se adresează Operatorilor de Servicii Esențiale (OSE) din 7 sectoare de activitate economică: Energie, Transport, Sectorul bancar, Infrastructuri ale pieței financiare, Sectorul sănătății, Furnizarea și distribuirea de apă potabilă, Infrastructură digitală și Furnizorilor de Servicii Digitale (FSD) din trei categorii, respectiv: piețe online, motoare de căutare online, servicii de cloud computing.

Un prim pas în implementarea acestei legi îl reprezintă înscrierea în Registrul operatorilor a entităților care îndeplinesc condițiile de Operatori de Servicii Esențiale.

Toate entitățile care s-au înscris sau urmează să se înscrie în Registrul operatorilor de servicii esențiale (ROSE) vor trebui să realizeze un audit, care să ateste îndeplinirea cerințelor minime de securitate. Acest audit trebuie realizat de către auditorii de securitate informatică ce dețin atestat valabil eliberat de către CERT. Lista poate fi consultată pe website-ul instituției.

Pentru a răspunde amenințărilor tot mai mari reprezentate de digitalizare și de creșterea atacurilor cibernetice, Comisia Europeană a prezentat în data de 16 decembrie 2020, ca proiect de propunere, Directiva NIS 2.

Directiva NIS 2 urmează să înlocuiască actuala Directivă privind securitatea rețelelor și a sistemelor informatice și are ca obiectiv:

• mărirea nivelului de reziliență cibernetică a unui set cuprinzător de întreprinderi, care își desfășoară activitatea în Uniunea Europeană (UE) in toate sectoarele relevante;
• îmbunătățirea nivelului de conștientizare comună a situației și capacitatea colectivă de a se pregăti și de a răspunde unui atac cibernetic.

Directiva „NIS 2” va lărgi cadrul de aplicare actual al directivei NIS și va stabili ca toate entitățile de dimensiunii medii și mari, care sunt active în sectoarele acoperite de cadrul noii directive, să respecte în mod automat regulile de securitate prezentate în propunere.

Directiva se va aplica anumitor entități esențiale, publice sau private, care își desfășoară activitatea în următoarele sectoare: energie, transporturi, sectorul bancar, infrastructuri ale pieței financiare, sănătate, apă potabilă, ape uzate, infrastructura digitală, administrația publică și spațiu, precum și anumitor entități importante, care își desfășoară activitatea în sectoarele: servicii poștale și de curierat, gestionarea deșeurilor, fabricarea, producerea și distribuția de produse chimice, producția, prelucrarea și distribuția de alimente, producători și furnizori digitali.

Microentitățile și entitățile mici, în sensul Recomandării 2003/361/CE a Comisiei din 6 mai 2003, sunt excluse din domeniul de aplicare al Directivei, cu excepția funirzorilor de rețele de comunicații electronice sau de servicii de comunicații electronice accesibile publicului, a furnizorilor de servicii de încredere, a registrelor de nume de domenii de prim nivel (Top-level domain name – TLD) și a administrației publice, precum și a anumitor alte entități, precum furnizorul unic al unui serviciu într-un stat membru.

Directiva „NIS 2”, prin obligarea efectivă a mai multor entități și sectoare să ia măsuri, va contribui la creșterea nivelului de securitate cibernetică în Europa pe termen lung.

Mazars Romania este atestată de către CERT-RO să realizeze audituri de securitate cibernetică, pentru conformitatea entităților din România cu Directiva Europeană NIS. Pentru a afla mai multe informații despre acest subiect, contactați echipa de consultanță și audit în IT.