Introducere
Recent, Parlamentul și Comisia Europeană au actualizat Directiva privind Securitatea Informației și a Rețelelor (NIS). Noua versiune, NIS 2, aduce îmbunătățiri semnificative față de Directiva NIS 1 adoptată în 2016. Scopul principal este consolidarea capacităților de gestionare a riscurilor de securitate cibernetică în întreaga Uniune Europeană.
Impactul Directivei NIS 2
Directiva NIS 2 va afecta aproximativ 160.000 de organizații din diverse sectoare publice și private. Este crucial pentru organizații să determine dacă intră sub incidența acestei directive pentru a se conforma noilor cerințe fără dificultăți majore.
Organizații vizate
Directiva extinde aria de aplicare, clasificând entitățile în două categorii:
– Entități Esențiale: Include 11 domenii precum energie, transporturi, bănci, sănătate, aprovizionare cu apă și infrastructură digitală. Se adaugă subsectoare precum producția de energie, petrol, gaze naturale și transporturi.
– Entități Importante: Include 7 domenii precum servicii poștale, managementul deșeurilor, industria manufacturieră și servicii digitale. Se adaugă subsectoare precum echipamente medicale și vehicule motorizate.
Conformitate
Organizațiile trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a gestiona riscurile de securitate cibernetică, inclusiv:
– Analiza riscurilor și strategii de securitate
– Gestionarea incidentelor prin metode standardizate
– Planuri de continuitate a afacerii
– Testare și audit de securitate cibernetică
– Securizarea lanțului de aprovizionare
Raportarea incidentelor
Entitățile trebuie să raporteze prompt orice incident de securitate cibernetică semnificativ, atât către autoritățile naționale de protecție a datelor, cât și către autoritățile competente în domeniul NIS.
Sancțiuni
Încălcarea directivei poate atrage amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală anuală pentru entitățile esențiale și 7 milioane de euro sau 1,4% din cifra de afaceri pentru entitățile importante.
Implementare
Țările membre au termen până în septembrie 2024 pentru a transpune Directiva NIS 2 în legislația națională. În România, procesul este deja în curs de desfășurare, cu priorități legislative stabilite de Directoratul Național de Securitate Cibernetică.
Pentru mai multe informații și suport în procesul de aliniere la noile cerințe, TOPSYS vă stă la dispoziție.
