Mergi la conținutul principal

Consolidați securitatea cibernetică și reziliența organizației dumneavoastră

Directiva NIS2 consolidează securitatea cibernetică și reziliența infrastructurii critice de la nivelul Uniunii Europene. Este organizația dumneavoastră pregătită? Utilizați tool-ul nostru pentru a evalua!

Directiva NIS2 consolidează securitatea cibernetică și reziliența infrastructurilor critice la nivelul Uniunii Europeane (UE). În urma adoptării oficiale în decembrie 2022, guvernul român și toate statele membre ale UE au fost obligate să transpună directiva la nivel național până la data de 17 octombrie 2024. Ca răspuns la această directivă, România a adoptat Ordonanța de urgență a Guvernului 155/2024. De la sectorul Financiar și Administrație publică, la Gestionarea deșeurilor și Spațiu, NIS2 impune măsuri sporite de securitate cibernetică și reziliență în mai multe sectoare de activitate. Având la baza ediția precedentă, NIS 1, directiva se concentrează pe creșterea nivelului de pregătire și coordonare între statele membre ale UE, aplicând în același timp măsuri de securitate cibernetică pentru sectoare cheie de activitate.

NIS2 se bazează pe trei piloni fundamentali:

  • Strategii naționale de securitate cibernetică: Statele membre ale UE trebuie să stabilească strategii naționale clare și coordonate pentru a îmbunătăți securitatea cibernetică în întreaga regiune.
  • Cooperarea strategică și schimbul de informații: NIS2 pune accentul pe colaborarea dintre statele membre și pe schimbul de informații privind securitatea cibernetică, promovând o apărare colectivă împotriva amenințărilor cibernetice.
  • Sectoare cheie: NIS2 se aplică sectoarelor critice pentru societate precum Energie, Sănătate, Transport și Infrastructură digitală, asigurându-se că entitățile mențin o apărare robustă de securitate cibernetică.

Care sunt noile cerințele ale Directivei NIS2?

NIS2 introduce mai multe cerințe noi pentru a îmbunătăți postura generală de securitate a organizațiilor și sectoarelor. Aceste cerințe se concentrează pe îmbunătățirea managementului riscurilor, guvernanței corporative, raportării incidentelor și continuității afacerii:

  • Managementul riscurilor și îmbunătățirea nivelului de securitate: Organizațiile trebuie să adopte măsuri pentru a minimiza riscurile cibernetice, inclusiv gestionarea incidentelor, securizarea lanțului de aprovizionare și îmbunătățirea securității rețelei. Acest lucru asigură o apărare proactivă împotriva amenințărilor în continuă evoluție.
  • Responsabilitatea corporativă: Managementul entităților trebuie să își asume responsabilitatea pentru securitatea cibernetică, inclusiv supravegherea, aprobarea și instruirea cu privire la măsurile de securitate ale organizației. Acest lucru poziționează securitatea cibernetică drept prioritate la cele mai înalte niveluri de luare a deciziilor.
  • Raportarea incidentelor de securitate: Organizațiile trebuie să aibă un proces clar pentru a raporta orice incidente majore de securitate, în special cele care ar putea avea un impact semnificativ asupra furnizării de servicii sau a utilizatorilor. Raportarea în timp util este esențială pentru atenuarea consecințelor atacurilor cibernetice.
  • Continuitatea afacerii: NIS2 impune dezvoltarea și implementarea planurilor de continuitate a afacerii pentru a se asigura că organizațiile pot menține operațiunile esențiale și se pot recupera rapid după incidente cibernetice majore, minimizând  întreruperile sau chiar oprirea activității.

Principalele implicații ale Directivei NIS2 pentru fiecare tip de entitate

Entitățile sunt clasificate diferit.

În prezent, există două categorii de entități care sunt grupate în funcție de încadrarea în categoria „critic” sau „extrem de critic” a sectorului asociat:

  • Entitățile esențiale aparțin sectoarelor considerate „extrem de critice".
  • Entitățile importante aparțin altor sectoare considerate doar „critice".

O distincție suplimentară se face în funcție de dimensiunea companiei și de cifra de afaceri.  Întreprinderile mici și microîntreprinderile nu sunt în domeniul de aplicare.

Nu mai există distincție între operatorii de servicii esențiale (OSE) și furnizorii de servicii digitale (FSD).

Principalele implicații NIS2 pentru fiecare tip de entitate 

  • Atât entitățile esențiale cât și cele importante vor trebui să respecte aceleași cerințe de securitate și să facă obiectul unui regim de supraveghere ex post, cu mențiunea că entitățile esențiale se vor supune și unui regim de supraveghere ex ante (de exemplu, inspecții, verificări aleatorii, audituri, solicitări de informații).
  • Amenzile administrative vor fi de până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală totală a companiei.
  • Obligă entitățile din domeniul de aplicare să adopte practici specifice de gestionare a riscurilor cibernetice;
  • Introduce o abordare în două etape pentru raportarea incidentelor
  • Consolidează securitatea lanțului de aprovizionare;
  • Conducerea executivă poate fi responsabilă personal pentru entitățile esențiale; în timp ce;
  • Nu este prevăzută nicio responsabilitate personală pentru entitățile importante.
Care sunt sectoarele vizate?

Unsprezece sectoare au fost identificate ca fiind highly critical pe baza impactului imediat asupra funcțiilor societale, sănătății publice și economiei, în cazul în care entitățile esențiale din cadrul acestor sectoare ar fi compromise. Aceste sectoare pot fi, de asemenea, văzute ca servind drept bază a economiei, de care depind alte sectoare, amplificând astfel impactul perturbărilor generate.

  • Administrația publică
  • Sectorul financiar bancar
  • Infrastructurile pieței financiare
  • Energie
  • Transport
  • Spațiu
  • Infrastructura digitală
  • Managementul serviciilor tehnologiei informațiilor și a comunicațiilor
  • Apă potabilă
  • Ape reziduale
  • Sănătate

Alte șapte sectoare au fost identificate ca fiind „critice" pe baza consecințelor semnificative apărute ca urmare a perturbării serviciilor importante furnizate.

  • Servicii poștale și de curierat
  • Fabricare
  • Producția, prelucrarea și distribuția alimentelor
  • Fabricarea, producția și distribuția de substanțe chimice
  • Managementul deșeurilor
  • Furnizori de servicii digitale
  • Cercetare
Cum poate ajuta Deloitte

Trebuie mai întâi să confirmați dacă cerințele Directivei NIS2 vi se aplică. Noi vă putem ajuta:

  • Realizați o analiză la nivelul organizației pentru a verifica dacă aceasta se încadrează în categoria de entități din domeniul de aplicare;
  • Definiți și detaliați cerințele Directivei NIS2 aplicabile organizației dvs., luând în considerare contextul jurisdicțional.

Dacă organizația dumneavoastră este supusă cerințelor Directivei NIS2, va trebui să evaluați nivelul de pregătire în cazul unui potențial incident .

În acest sens, vă putem ajuta cu:

  • Efectuarea unei evaluări a lacunelor în raport cu cerințele de securitate NIS2, inclusiv prin alinierea cu alte reglementări aplicabile organizației dumneavoastră; și
  • Evaluarea practicilor de gestionare a riscurilor cu terții.

Dacă aveți nevoie de asistență în implementarea măsurilor de securitate cerute de NIS2, vă putem asista cu:

  • Definirea unui plan detaliat de remediere pentru atenuarea riscurilor de ordin cibernetic și creșterea nivelului de conformitate;
  • Suport în implementarea măsurilor de securitate cibernetică necesare. Acesta include în special:
    • Elaborarea și actualizarea politicilor și procedurilor necesare;
    • Furnizarea de activități de instruire și de conștientizare în domeniul securității cibernetice pentru reprezentanții conducerii și personalul organizației;
    • Servicii de penetrare (pentest);
  • Servicii juridice.

Dacă aveți nevoie de asistență pentru respectarea legislației în ceea ce privește abordarea în două etape a raportării incidentelor, vă putem ajuta cu:

  • Alinierea procesului de raportare a incidentelor cu noile cerințe impuse;
  • Asistență pentru revizuirea, testarea și îmbunătățirea mecanismelor de detectare a incidentelor de securitate.

Află mai multe despre Directiva NIS2

Under the hat

A Deloitte digest for cybersecurity experts

    

For an in-depth exploration of our cybersecurity expertise