Implementarea Directivei NIS, în linie dreaptă. Ce trebuie să știe companiile?

Digitalizarea este o armă cu două tăișuri – este necesară, dar implică și multe pericole, astfel că securitatea cibernetică a serviciilor prestate de companii și în final a populației în sine a devenit esențială. Astfel că, după adoptarea reglementărilor GDPR, a venit rândul NIS – Directiva UE 2016/1148 privind securitatea informatică pentru protejarea infrastructurilor critice și digitale și asigurarea funcționării sistemelor care sunt fundamentale pentru societate.

Și iată că, la patru ani de la intrarea în vigoare a Directivei NIS și la doi ani de la transpunerea de către statele membre în legislațiile lor naționale, România face progrese în procesul de implementare. Primul pas a fost făcut în iulie 2020, când Guvernul României a emis OUG 119 pentru modificarea și completarea Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, care practic a deblocat procesul de implementare a directivei.

Operatorii de servicii esențiale au acum obligația de a se înscrie în Registrul operatorilor de servicii esențiale, administrat de CERT-RO (Centrul Național de Răspuns la Incidente de Securitate Cibernetică), fără un raport de audit specializat, până la data de 21 ianuarie 2021. Ulterior, această notificare trebuie însoțită de un Raport de audit elaborat de către un auditor de securitate NIS, atestat de către CERT-RO. Sectoarele de activitate vizate sunt: energie (electricitate, petrol, gaze naturale), transport (aerian, feroviar, pe apă, rutier), sectorul bancar, infrastructuri ale pieței financiare, sectorul sănătății, furnizarea și distribuirea de apă potabilă și infrastructură digitală, dar și administrația publică.

Ce înseamnă pentru companii?

Practic, companiile care prestează servicii esențiale pentru populație sunt obligate să elaboreze și să implementeze soluții avansate care să le asigure securitatea informatică și să colaboreze cu statul pentru a garanta un răspuns coordonat la atacuri informatice.

Nerespectarea implementării directivei NIS aduce după sine consecințe importante: de la sancțiuni din partea autorității competente (CERT-RO) la pierderi financiare în urma unor potențiale atacuri și chiar afectarea reputației.

Sancțiunile prevăzute de lege  presupun:

− Amendă de la 3.000 lei la 50.000 lei, iar în cazul constatării unor încălcări repetate limita maximă a amenzii este de 100.000 lei;

− Pentru persoanele cu o cifră de afaceri de peste 2.000.000 lei, cu amendă în cuantum de la 0,5% la 2% din cifra de afaceri, iar, în cazul unor încălcări repetate, limita maximă a amenzii este de 5% din cifra de afaceri.

Situația la nivelul Uniunii Europene

Deși Directiva a fost elaborată în urmă cu câțiva ani, implementarea efectivă a întârziat în multe state, media de adoptare fiind de 58,6%. Printre statele membre UE  mai avansate se numără Franța (66,7%), Germania (70,6%), Italia (64%), Polonia (42,9%) și Spania (48%), potrivit unui raport ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică).

În urma unui sondaj realizat de agenție în rândul a 251 de organizații din țările enumerate mai sus, 82% recunosc impactul pozitiv al Directivei NIS asupra securității informațiilor.

Peste 80% dintre organizațiile chestionate au declarat că programul lor de implementare a Directivei NIS este fie finalizat, fie în curs de finalizare, iar 8% intenționează să o pună în aplicare, dar nu au început încă.

Programul mediu de implementare a NIS este între 14 și 18 luni, iar bugetul mediu alocat este de aproximativ 175.000 euro. Circa 43% dintre organizațiile vizate de această directivă au alocat între 100 și 250.000 euro.

Puțin sub 50% dintre organizațiile chestionate au trebuit să angajeze experți suplimentari în materie de securitate (atât pe plan intern, cât și prin creșterea personalului), în majoritatea cazurilor angajând până la 4 persoane.

Organizațiile chestionate au acordat prioritate următoarelor domenii de securitate: guvernanță, risc și conformitate (GRC), securitate rețea, gestionarea continuității activității (BCM) și managementul vulnerabilității (VM).

Pentru implementarea Directivei NIS, 64% dintre organizațiile chestionate au procurat soluții de colectare a jurnalelor de incidente și evenimente de securitate, precum și servicii de conștientizare și instruire în materie de securitate.

Aproape 60% dintre organizațiile chestionate au raportat incidente majore de securitate, iar 43% au experimentat incidente cu impact financiar de până la 500.000 euro.