Business Hi-Tech

Robert Stoicescu şi Alin Raicu, PwC: Implementarea Directivei europene privind securitatea informatică intră în linie dreaptă. Ce trebuie să ştie companiile? Ce amenzi riscă?

Opinii

Robert Stoicescu şi Alin Raicu, PwC: Implementarea Directivei europene privind securitatea informatică intră în linie dreaptă. Ce trebuie să ştie companiile? Ce amenzi riscă?
20.01.2021, 16:26 120
 

Digitalizarea este o armă cu două tăişuri - este necesară, dar implică şi multe pericole, astfel că securitatea cibernetică a serviciilor prestate de companii şi în final a populaţiei în sine a devenit esenţială. Astfel că, după adoptarea reglementărilor GDPR, a venit rândul NIS - Directiva UE 2016/1148 privind securitatea informatică pentru protejarea infrastructurilor critice şi digitale şi asigurarea funcţionării sistemelor care sunt fundamentale pentru societate.

Şi iată că, la patru ani de la intrarea în vigoare a Directivei NIS şi la doi ani de la transpunerea de către statele membre în legislaţiile lor naţionale, România face progrese în procesul de implementare. Primul pas a fost făcut în iulie 2020, când Guvernul României a emis OUG 119 pentru modificarea şi completarea Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, care practic a deblocat procesul de implementare a directivei.

Operatorii de servicii esenţiale au acum obligaţia de a se înscrie în Registrul operatorilor de servicii esenţiale, administrat de CERT-RO (Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică), fără un raport de audit specializat, până la data de 21 Ianuarie 2021. Ulterior, această notificare trebuie însoţită de un Raport de audit elaborat de către un auditor de securitate NIS, atestat de către CERT-RO. Sectoarele de activitate vizate sunt: energie (electricitate, petrol, gaze naturale), transport (aerian, feroviar, pe apă, rutier), sectorul bancar, infrastructuri ale pieţei financiare, sectorul sănătăţii, furnizarea şi distribuirea de apă potabilă şi infrastructură digitală, dar şi administraţia publică.

Ce înseamnă pentru companii?

Practic, companiile care prestează servicii esenţiale pentru populaţie sunt obligate să elaboreze şi să implementeze soluţii avansate care să le asigure securitatea informatică şi să colaboreze cu statul pentru a garanta un răspuns coordonat la atacuri informatice.

Nerespectarea implementării directivei NIS aduce după sine consecinţe importante: de la sancţiuni din partea autorităţii competente (CERT-RO) la pierderi financiare în urma unor potenţiale atacuri şi chiar afectarea reputaţiei.

Sancţiunile prevăzute de lege  presupun:

  • Amendă de la 3.000 lei la 50.000 lei, iar în cazul constatării unor încălcări repetate limita maximă a amenzii este de 100.000 lei;
  • Pentru persoanele cu o cifră de afaceri de peste 2.000.000 lei, cu amendă în cuantum de la 0,5% la 2% din cifra de afaceri, iar, în cazul unor încălcări repetate, limita maximă a amenzii este de 5% din cifra de afaceri.

Situaţia la nivelul Uniunii Europene

Deşi Directiva a fost elaborată în urmă cu câţiva ani, implementarea efectivă a întârziat în multe state, media de adoptare fiind de 58,6%. Printre statele membre UE  mai avansate se numără Franţa (66,7%), Germania (70,6%), Italia (64%), Polonia (42,9%) şi Spania (48%), potrivit unui raport ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică).

În urma unui sondaj realizat de agenţie în rândul a 251 de organizaţii din ţările enumerate mai sus, 82% recunosc impactul pozitiv al Directivei NIS asupra securităţii informaţiilor.

Peste 80% dintre organizaţiile chestionate au declarat că programul lor de implementare a Directivei NIS este fie finalizat, fie în curs de finalizare, iar 8% intenţionează să o pună în aplicare, dar nu au început încă.

Programul mediu de implementare a NIS este între 14 şi 18 luni, iar bugetul mediu alocat este de aproximativ 175.000 euro. Circa 43% dintre organizaţiile vizate de această directivă au alocat între 100 şi 250.000 euro.

Puţin sub 50% dintre organizaţiile chestionate au trebuit să angajeze experţi suplimentari în materie de securitate (atât pe plan intern, cât şi prin creşterea personalului), în majoritatea cazurilor angajând până la 4 persoane.

Organizaţiile chestionate au acordat prioritate următoarelor domenii de securitate: guvernanţă, risc şi conformitate (GRC), securitate reţea, gestionarea continuităţii activităţii (BCM) şi managementul vulnerabilităţii (VM).

Pentru implementarea Directivei NIS, 64% dintre organizaţiile chestionate au procurat soluţii de colectare a jurnalelor de incidente şi evenimente de securitate, precum şi servicii de conştientizare şi instruire în materie de securitate.

Aproape 60% dintre organizaţiile chestionate au raportat incidente majore de securitate, iar 43% au experimentat incidente cu impact financiar de până la 500.000 euro.

 
 
AFACERI DE LA ZERO