Directiva NIS2, privind securitatea cibernetică pentru protejarea infrastructurilor critice şi digitale, care a intrat în vigoare săptămâna aceasta, actualizează lista sectoarelor şi a activităţilor vizate şi prevede căi de atac şi sancţiuni pentru a asigura respectarea legislaţiei. Actul normativ trebuie transpus în legislaţiile statelor membre în termen de 21 de luni.
În contextul intensificării şi agresivităţii atacurilor cibernetice din ultimii ani marcaţi de pandemie, război, criză energetică, noile norme vin astfel să consolideze rezilienţa infrastructurilor critice la o serie de ameninţări, inclusiv la riscuri naturale, atacuri teroriste sau sabotaj. În acelaşi timp, statele membre vor trebui să adopte o strategie naţională şi să efectueze evaluări periodice ale riscurilor pentru a identifica entităţile considerate critice sau vitale pentru societate şi economie.
Potrivit raportului “PwC 2023 Digital Trust Insights” pentru Europa Centrală şi Est, circa 60% dintre directorii generali din această zonă, inclusiv din România, susţin că securitatea
cibernetică s-a îmbunătăţit ca urmare a investiţiilor masive în infrastructura cibernetică şi îmbunătăţirii colaborării din interiorul companiei, însă mai este mult de lucru având în vedere creşterea complexităţii, prin interconectarea a tot mai multe sisteme şi date, şi a atacurilor tot mai elaborate. De altfel, probabilitatea unui atac cibernetic major se află pe locul doi în topul celor cinci scenarii pe care directorii generali le integrează în planurile de rezilienţă pentru 2023, după recesiunea globală, şi au în plan continuarea creşterii bugetului pentru investiţii în securitatea cibernetică.
Care sunt principalele modificări aduse de noua directivă
În primul rând, se aplică unui număr mai mare de sectoare şi entităţi decât cele reglementate până acum de NIS1. Astfel, lista de aplicare a NIS2 a fost extinsă de la operatorii de servicii esenţiale la toate entităţile mijlocii şi mari care îşi desfăşoară activitatea în sectoarele reglementate de directivă sau care furnizează servicii reglementate de directivă. Un număr de 11 sectoare sunt vizate de către noua directiva, printre care: sectorul energetic, transporturi, sectorul bancar, infrastructuri ale pieţei financiare, servicii digitale, sănătate, etc.
Noua directivă impune obligaţii directe asupra managementului companiilor/instituţiilor vizate în ceea ce priveşte punerea în aplicare şi supravegherea respectării legislaţiei de către organizaţia lor, ceea ce poate duce la amenzi şi la interzicerea temporară a exercitării funcţiilor de conducere.
Entităţile vizate trebuie să implementeze măsuri de gestionare a riscurilor cibernetice, care includ cerinţe de atenuare a riscurilor de securitate şi obligaţia de diligenţă din partea furnizorilor/ furnizorilor de servicii terţe. În acelaşi timp, acestea trebui să identifice rapid impactul potenţial al incidentelor, înainte sau pe măsură ce acestea se desfăşoară, asupra reţelei şi sistemelor informatice afectate, cât şi asupra dependenţei de aceste sisteme, precum şi durata şi gravitatea întreruperii serviciilor.
Au fost modificate şi cerinţele privind raportarea incidentelor, NIS2 impunând obligaţii de notificare în etape, inclusiv o notificare iniţială în termen de 24 de ore de la luarea la cunoştinţă a anumitor incidente sau ameninţări cibernetice, iar detaliile trebuie transmise în termen de 72 de ore. O raportare mai detaliată este necesară la o lună de la apariţia unui incident semnificativ,ca măsură de monitorizare. Totuşi, noul act legislativ raţionalizează obligaţiile de raportare pentru a evita raportarea excesivă şi crearea unei sarcini excesive pentru entităţile vizate.
În ceea ce priveşte sancţiunile, statelor membre li se acordă libertatea de a stabili măsurile pentru nerespectarea reglementărilor NIS2, precum şi amenzi administrative pentru anumite încălcări, de până la 10 milioane euro sau 2% din cifra de afaceri totală.
În plus, Directiva va institui în mod oficial Reţeaua europeană a organizaţiilor de legătură în materie de crize cibernetice, UE-CyCLONe, care va sprijini gestionarea coordonată a incidentelor şi crizelor de securitate cibernetică de mare amploare.
Textul clarifică, de asemenea, faptul că directiva nu se va aplica entităţilor care desfăşoară activităţi în domenii precum apărarea sau securitatea naţională, siguranţa publică şi asigurarea respectării legii. Sistemul judiciar, parlamentele şi băncile centrale sunt de asemenea excluse din domeniul de aplicare. NIS2 se va aplica, însă, administraţiilor publice de la nivel central şi regional. În plus, statele membre pot decide ca aceasta să se aplice unor astfel de entităţi şi la nivel local.
