NIS2 – Reglementarea pentru un viitor mai sigur
NIS2 este așa-numita directivă UE privind securitatea cibernetică care a intrat în vigoare în octombrie 2024. În comparație cu NIS1, NIS2 introduce modificări semnificative, care vor impune, de asemenea, obligații mai stricte în materie de securitate cibernetică mai multor organizații. Statele membre vor trebui să adopte noi dispoziții care să conțină aceste măsuri mai stricte de control și executare pentru a asigura conformitatea cu directiva. NIS2 înlocuiește directiva NIS1, rezultând câteva diferențe semnificative față de NIS1: NIS2 extinde domeniul de aplicare la entități mai mari, cum ar fi producătorii de produse chimice și dispozitive medicale, producătorii de alimente și furnizorii de rețele sociale, care nu erau anterior acoperite de NIS1. NIS2 înlocuiește distincția dintre „operatorul de servicii esențiale” și „furnizorul de servicii digitale” cu „entități esențiale” și „entități critice” bazate, printre altele, pe dimensiune și sector. Deși ambele au obligații similare, entitățile esențiale sunt supuse unor măsuri mai stricte de aplicare și control. Autoritatea de supraveghere sectorială trebuie să fie responsabilă pentru măsurile de control.
NIS2 impune noi obligații de securitate cibernetică entităților „esențiale” și „critice”, inclusiv gestionarea riscurilor și a lanțului de aprovizionare, raportarea incidentelor cibernetice și schimbul de informații. Pentru a se conforma acestor cerințe, entitățile vizate vor trebui să elaboreze și să pună în aplicare noi politici și proceduri. NIS2 cere statelor membre ale UE să își îmbunătățească strategiile naționale de securitate cibernetică și să răspundă amenințărilor digitale cu care se confruntă. Este important ca organizațiile să rămână la curent cu viitoarele inițiative ale statelor membre în acest domeniu.
Cerințe de securitate sporite
NIS2 va îmbunătăți cerințele de securitate ale întreprinderilor prin introducerea unei metodologii de gestionare a riscurilor și a unei liste minime de elemente de securitate de bază. Directiva conține, de asemenea, dispoziții mult mai detaliate privind raportarea incidentelor, inclusiv, de exemplu, conținutul și calendarul rapoartelor. În conformitate cu directiva, notificarea trebuie făcută în termen de 24 de ore de la producerea incidentului și trebuie să includă un proces de raportare mai detaliat. NIS2 necesită, de asemenea, abordarea securității lanțului de aprovizionare. Aceasta include, de asemenea, riscurile prezentate de relațiile de co-măsurare. NIS2 subliniază, de asemenea, responsabilitatea conducerii pentru securitatea cibernetică a organizației și responsabilizează individual organismele de conducere, cum ar fi consiliile de administrație și conducerea, pentru a asigura punerea în aplicare eficientă a cerințelor de securitate cibernetică. Organizațiile pot face obiectul diferitelor ordine de executare, iar nerespectarea acestora poate duce la amenzi substanțiale.
