Directiva NIS2, adoptată de Uniunea Europeană ca Directivă (UE) 2022/2555, extinde și consolidează cerințele de securitate cibernetică, răspunzând nevoii crescânde de a proteja infrastructuri critice și servicii digitale esențiale. Această reglementare introduce o abordare mai integrată, extinzând numărul de sectoare acoperite și solicitând o gestionare mai riguroasă a riscurilor pentru toate organizațiile care intră în sfera sa de aplicare.

 

Schimbări principale în NIS2

 

Noua directivă se remarcă prin extinderea domeniului său către mai multe companii și industrii, care acum trebuie să respecte o serie de cerințe fundamentale, inclusiv obligația de:

 

• Evaluarea și gestionarea riscurilor cibernetice pe întregul lanț de aprovizionare.
• Instruirea în securitate cibernetică a tuturor angajaților și efectuarea de audituri periodice de securitate.
• Stabilirea responsabilității directe a conducerii pentru daunele rezultate din neconformitatea cu reglementarea.

 

De asemenea, NIS2 introduce sancțiuni semnificative, până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală, în caz de neconformitate pentru companiile esențiale, și stabilește termene stricte pentru notificarea incidentelor de securitate cibernetică.

 

 

Extinderea domeniului și entitățile afectate

 

 

NIS2 elimină vechea diviziune între Operatorii de Servicii Esențiale și Furnizorii de Servicii Digitale, concentrându-se pe toate companiile mijlocii și mari din sectoare cheie (critice și esențiale). Directiva acoperă începând cu 2024 infrastructuri critice din energie, sănătate, transport, infrastructuri digitale și aprovizionare cu apă, printre altele. În termeni de mărime, afectează companii cu peste 50 de angajați sau o cifră de afaceri anuală minimă de 10 milioane de euro.

 

 

Responsabilitate și formare a conducerii

 

 

Se stabilește responsabilitatea echipelor de management și a CISO (Chief Information Security Officer) pentru aprobarea și implementarea măsurilor adecvate de securitate cibernetică. De asemenea, directiva impune o formare continuă în acest domeniu pentru personalul cheie, asigurând actualizarea constantă în practicile de securitate.

 

 

Cerințe tehnice și măsuri de securitate cibernetică

 

 

Companiile trebuie să adopte măsuri tehnice și organizatorice, inclusiv:

• Politici de securitate și analiză a riscurilor, cu atenție specială asupra lanțului de aprovizionare.
• Controlul accesului și autentificarea multifactor (MFA).
• Prevenirea atacurilor cibernetice și recuperarea în caz de dezastru prin sisteme de continuitate a afacerii.
• Criptare și politici de securitate în dezvoltarea și întreținerea sistemelor.

 

 

Spre o securitate cibernetică proactivă

 

 

De asemenea, NIS2 promovează o abordare colaborativă și proactivă, încurajând schimbul de informații despre amenințări și vulnerabilități pentru a facilita un răspuns rapid la incidente.

 

Directiva NIS2 stabilește un nou standard în securitatea cibernetică, cu un domeniu extins și cerințe mai stricte care vor impulsiona securitatea în întreaga Uniune Europeană, în special pentru companiile din sectoarele critice și pentru cele mijlocii și mari.