Introducere 

Datele cu caracter persoanal sunt din ce în ce mai prețioase, ceea ce face ca și păstrarea lor în siguranță să devină din ce în ce mai importantă.

Odată cu creșterea dezvoltării tehnologice și a inteligenței artificiale, vulnerabilitățile de securitate și atacurile cibernetice sunt în creștere. Acest lucru determină atât țările cât și organizațiile să ia măsuri pentru a se proteja pe ele însele și pe cetățenii lor de aceste atacuri. Securitatea cibernetică este foarte importantă, la fel ca și securitatea militară sau alimentară, sau chiar mai importantă decât acestea. Dacă securitatea ta cibernetică este slabă, toate celelalte resurse ale statului sunt în pericol. 

De exemplu, gândiți-vă la un atac electronic prin care se pot accesa toate armele tale controlate de la distanță, sau la un alt atac ce este capabil să fure orice sumă de bani din băncile statului. Nu cred că mai e nevoie să discutăm importanța securității cibernetice raportată la importanța oricărui alt domeniu al statului.

Prin urmare, Uniunea Europeană se străduiește mereu să dezvolte și să consolideze securitatea cibernetică europeană pentru a menține securitatea informației cetățenilor și a diferitelor instituții. Unul dintre cele mai importante programe și legi dezvoltate de Uniunea Europeană este Directiva privind securitatea informației și a rețelelor (NIS).

Ce este Directiva UE privind securitatea informației și a rețelelor (NIS)?

Directiva NIS (Network and Information Security – Securitatea rețelelor și a informațiilor) este o strategie a UE în domeniul securității cibernetice care are ca scop asigurarea celui mai înalt nivel posibil de protecție a securității cibernetice pentru a proteja cetățenii și organismele din Uniunea Europeană de atacurile cibernetice sau de furtul datelor lor. Primul acord informal la care au ajuns Parlamentul și Consiliul European pentru a crea Directiva privind securitatea informației și a rețelelor (NIS) a avut loc la 7 decembrie 2015, în timp ce aceasta a intrat în vigoare în august 2016. În cele din urmă, statele membre au început să transfere Directiva NIS în legislațiile lor naționale la 10 mai 2018.

Diferența dintre GDPR și NIS

Regulamentul general privind protecția datelor (General Data Protection Regulation – GDPR) este o lege care are ca scop reglementarea și protejarea datelor cetățenilor împotriva utilizării abuzive de către companii și organizații, în timp ce Directiva NIS este o strategie care vizează creșterea și consolidarea securității cibernetice a diferitelor sectoare ale Uniunii Europene, în special a sectoarelor economice, pentru a le proteja de atacurile cibernetice.

Articolul 32 din Regulamentul General privind Protecția Datelor  679/2016 se referă la securitatea prelucrării datelor cu caracter personal.

Vă recomandăm să parcurgeți și ghidul practic care conține cele mai bune practici în materie de securitate cibernetică – recomandări ENISA, CERT-EU & GDPR Complet.

Ce a determinat Uniunea Europeană să propună o strategie mai puternică de securitate cibernetică și să creeze Directiva NIS?

Principalul motiv care a determinat Uniunea Europeană să înființeze un astfel de program a fost creșterea numărului de atacuri cibernetice. Numărul de vulnerabilități în securitatea cibernetică europeană s-a dublat în ultimii patru ani, potrivit celui mai recent raport anual al asociației profesionale non-profit de securitate cibernetică (ISC), care a intervievat 3.237 de persoane. Se preconizează că aproximativ 22,4 miliarde de dispozitive noi vor fi conectate la internet până în 2024, iar asta va crește șansele de atacuri cibernetice.

Iată un exemplu care ilustrează creșterea numărului de atacuri cibernetice asupra agențiilor și furnizorilor de servicii din Uniunea Europeană. Un incident a avut loc pe 14 mai 2021, când un cetățean pe nume Donna Marie aștepta să primească radioterapie în cadrul tratamentului pentru tumora sa cerebrală, iar în timp ce aștepta tratamentul a primit un apel. Rețeaua IT a serviciului de sănătate irlandez a fost piratată și a determinat să nu mai primească radioterapia. Acesta este unul dintre sutele de accidente care au loc în Uniunea Europeană ca urmare a deficiențelor europene în materie de securitate cibernetică, ceea ce a determinat Uniunea Europeană să creeze Directiva pentru securitatea informației și a rețelelor (NIS).

Printre motivele care au determinat guvernul UE să înființeze Directiva pentru securitatea informației și a rețelelor (NIS) se numără, de asemenea, informațiile sensibile partajate de organismele UE, ceea ce le face ținte atractive pentru hackeri. Rusia este unul dintre dușmanii constanți în această problemă specială, deoarece desfășoară atacuri puternice și organizate, iar cel mai periculos lucru este tocmai capacitatea sa de a ascunde identitatea autorului, ceea ce face și mai dificilă arătarea directă cu degetul. Rusia folosește astfel de atacuri pentru a-și consolida poziția de superputere și pentru a ataca membrii NATO și Uniunea Europeană. Printre țările care au fost atacate în mod repetat de ruși se numără Germania, Italia, Olanda și Danemarca, țări care au anunțat că autorul acestor atacuri este Rusia.

Care sunt principiile și legile Directivei privind securitatea informației și a rețelelor (NIS) și care este mecanismul acesteia?

Directiva NIS se concentrează în jurul a două lucruri principale: Operatorii de servicii esențiale (OES) și furnizorii de servicii digitale (DSP). Haideți să vedem ce înseamnă acestea.

Ce sunt operatorii de servicii esențiale (OES)?

Un OES este o entitate publică sau privată care furnizează un serviciu esențial pentru menținerea activităților societale și/sau economice esențiale. OES sunt companii care se bazează pe internet pentru a-și furniza serviciile și includ următoarele sectoare: energie, transporturi, sectorul bancar, infrastructura pieței financiare, sectorul sănătății, aprovizionarea și distribuția apei potabile și infrastructura digitală.

Ce sunt furnizorii de servicii digitale (DSP)?

Piețele online, motoarele de căutare, serviciile de căutare online, furnizorii de servicii cloud sunt considerate DSP. Pentru a fi unul dintre furnizorii de servicii digitale, trebuie să vă oferiți serviciile unei entități sau persoane externe. De exemplu, dacă furnizați un serviciu pe un site unui cetățean sau unei organizații, sunteți un DSP, în timp ce dacă furnizați același site, dar angajaților dumneavoastră, acest lucru nu este considerat servicii digitale.

Pentru a se conforma Directivei NIS, OES și DSP trebuie să ia măsuri de securitate adecvate și să notifice autoritățile naționale competente (ANC) relevante.

Care sunt sectoarele implicate în directorul NIS?

  • Energie (electricitate, petrol, gaz).
  • Transport (aerian, feroviar, pe apă, rutier).
  • Bănci.
  • Infrastructurile pieței financiare .
  • Sectorul sănătății (spitale și clinici private).
  • Alimentarea cu apă potabilă.
  • Infrastructura digitală (IPX-uri, furnizori de NDS, furnizori de registre TLD).

Principiile și regulile directivei NIS.

Proiectul se aplică organizațiilor care își furnizează serviciile prin intermediul sistemului IT, atât companiilor private, cât și celor publice care furnizează servicii electronice. Directorul de sistem IT obligă organizațiile să aplice măsuri stricte de securitate pentru serviciile pe care le oferă clienților lor. Iată care sunt obligațiile directorului programului NIS:

  • Să se asigure că statele membre dispun de un cadru național, astfel încât să fie echipate pentru a gestiona incidentele de securitate cibernetică și pentru a supraveghea punerea în aplicare a directivei. Acesta include strategia națională de securitate cibernetică, echipa de răspuns la incidente de securitate informatică (CSIRT) și autoritatea națională competentă în materie de securitate cibernetică, sau autoritățile competente.
  • Statele membre au autoritatea de a verifica sistemul de securitate al societăților pentru a se asigura că normele directorului NIS sunt în vigoare. 
  • Statele membre sunt cele care stabilesc cuantumul amenzilor pentru organizațiile care încalcă legile directorului NIS. 
  • Orice atac cibernetic trebuie raportat autorităților locale. 
  • Organizațiile trebuie să cunoască și să evalueze riscurile legate de securitatea cibernetică. 
  • Organizațiile trebuie să se asigure că există măsuri de securitate adecvate pentru a proteja rețelele și sistemele informatice care susțin funcțiile esențiale împotriva atacurilor cibernetice. 
  • Datele și documentele care sunt stocate și transmise în format electronic trebuie să fie protejate împotriva unor potențiale atacuri. 
  • Personalul societății trebuie să fie educat și instruit astfel încât să poată asigura cerințele de protecție cerute de director. 
  • În cazul în care organizația se încadrează atât în DSP, cât și în OES, atunci va trebui să aplice regulile pe care directorul SRI le impune atât pentru OES, cât și pentru DSP.
  • În cazul în care o companie are mai puțin de 50 de angajați sau un buget secundar mai mic de 10 milioane de euro, aceasta nu este acoperită de directorul NIS. 
  • Atacurile cibernetice, chiar dacă nu au succes, trebuie identificate și trebuie raportate autorităților responsabile.

Citiți si articolul în care se detaliază conceptul de ”incident de securitate” și ” încălcare a securității datelor cu caracter personal” în contextul GDPR.

Reguli care trebuie urmate în cazul unei încălcări efective.

Toate OES trebuie să notifice CCT cu privire la incidentele care ating pragurile desemnate. În urma notificării și după o perioadă de rezolvare și recuperare, CCT/CAA va decide dacă incidentul necesită sau nu o investigație ulterioară. Aceasta poate include solicitarea de detalii suplimentare privind incidentul.

Obiectivul intervenției autorităților este:

  1. în primul rând, de a determina cauza încălcării și de a stabili dacă motivul poate fi prevenit sau nu
  2. în al doilea rând, de a stabili dacă au fost luate măsuri eficiente și adecvate după incident sau nu
  3. iar în al treilea rând, de a stabili dacă organizația este sau nu cauza.

În cazul în care motivul încălcării este nerespectarea de către organizație a reglementărilor, se va aplica o amendă stabilită de stat. Este demn de remarcat faptul că, în cazul în care nevinovăția organizației apare ulterior, aceasta are dreptul de a-și recupera banii.

Citiți mai mult despre gestionarea breșelor de securitate GDPR

Cerințe pentru operatorii de servicii esențiale (OES) și furnizorii de servicii digitale.

  • Să aplice toate măsurile de securitate adecvate pentru a gestiona riscurile de securitate a rețelelor și a sistemelor informatice.
  • Să furnizeze toate datele necesare pentru a evalua securitatea rețelei și a sistemului informatic, inclusiv politicile de securitate.
  • Să furnizeze dovezi suficiente care să ateste aplicarea tuturor normelor directivei NIS și asigurarea standardelor de siguranță necesare.
  • Să desemneze un delegat în UE în cazul nerezidenței în Uniunea Europeană, cu prestarea unui serviciu specific pentru cetățenii europeni. 
  • Să raporteze orice incident sau tentativă de atac, autorităților responsabile sau echipei de răspuns la incidente de securitate informatică (CSIRT).

Cerințe impuse de statele membre.

  • Statele membre sunt obligate să ia măsurile necesare pentru a se asigura că strategiile directivei NIS nu intră în conflict cu legislația locală a statului. 
  • Încercarea de a spori cooperarea între sectorul public și cel privat și de a face schimb de strategii de securitate cibernetică. 
  • Statele membre trebuie, de asemenea, să desemneze o autoritate specializată pentru a pune în aplicare și a monitoriza directiva NIS la nivel local. 
  • Statele membre ar trebui să stabilească un punct de contact unic (SPoC) pentru a coordona comunicarea și cooperarea între autoritățile locale din toate statele membre. 
  • Fiecare țară ar trebui să înființeze una sau mai multe echipe de răspuns la incidente de securitate informatică (CSIRT), care au responsabilitatea de a gestiona orice incident și de a descoperi vulnerabilitățile potențiale.

Responsabilitățile autorităților competente

Responsabilitățile de supraveghere și de aplicare a reglementărilor NIS revin autorității competente relevante și includ:

  • să elaboreze și să publice orientări pentru a ajuta OES și DSP să îndeplinească cerințele reglementărilor.
  • să identifice companiile și organizațiile care sunt clasificate ca OES sau DSP.
  • să evalueze conformitatea operatorilor cu cerințele Directivei NIS. 
  • să se asigure că există procese pentru incidente non-cyber și
  • să emită orientări pentru a sprijini companiile care se ocupă de incidente non-cibernetice.

Autoritățile competente ar trebui, de asemenea, să colaboreze îndeaproape cu alte autorități de reglementare pentru a se asigura că, în cazul în care un incident a încălcat mai multe cerințe legale, impactul cumulativ al sancțiunilor multiple aplicate de diferite autorități de reglementare nu duce la o sancțiune generală disproporționată sau punitivă.

Autoritățile competente ar trebui să aibă în vedere elaborarea unui proces de control prin care să poată fi monitorizată punerea în aplicare a reglementărilor. Autoritățile competente ar trebui să colaboreze cu birourile de sisteme globale din sectoarele lor pentru a conveni asupra locului și momentului în care vor fi aduse îmbunătățiri în ceea ce privește securitatea informației și a rețelelor. Pentru a face acest lucru, autoritățile competente trebuie să caute expertiză relevantă și să adopte o abordare coerentă și consecventă. Birourile de sisteme de execuție vor propune autorității competente relevante măsurile pe care le consideră adecvate, dar, în cele din urmă, decizia aparține autorității competente și nu birourilor de sisteme de execuție.

Grupul de cooperare NIS

Este o strategie al cărei scop este de a crea o cooperare între țările Uniunii, cu scopul de a spori cooperarea între țările membre, de a intensifica schimbul de informații și de a conveni asupra modului de punere în aplicare a directivei NIS în mod consecvent în întreaga UE.

Membrii grupului de cooperare NIS sunt reprezentanți ai ministerelor naționale relevante și ai agențiilor naționale de securitate cibernetică.

Această colaborare realizează acțiuni precum:

  • Monitorizarea procedurilor de succes din aceste țări și transferul lor în restul țărilor UE. 
  • Sprijinirea procesului de raportare a incidentelor de securitate cibernetică la nivelul UE, prin dezvoltarea de praguri, modele și instrumente. 
  • Să convină asupra unor metode și proceduri comune.
  • Ajutarea statelor membre să abordeze probleme comune de securitate cibernetică.

Provocări cu care se confruntă organizațiile implicate

Punerea în aplicare a instrucțiunilor directivei nu este un lucru ușor și necesită mult efort, timp și bani. Una dintre cele mai importante provocări cu care se confruntă organizațiile atunci când implementează directorul NIS este determinarea și elaborarea planului inițial de implementare și identificare a părților importante ale datelor care trebuie să fie protejate. Aceasta este o etapă foarte importantă care necesită efort și timp.

De asemenea, o altă provocare este raportarea oricărui accident sau încălcare a sistemului de securitate într-un timp scurt, din cauza amenzilor impuse pentru raportarea cu întârziere.

Unele sectoare industriale, cum ar fi cel bancar sau cel al telecomunicațiilor, sunt foarte mature în acest domeniu, în timp ce altele ar putea fi nevoite să îmbunătățească în mod semnificativ capacitățile de detectare a incidentelor și de reacție la acestea sau chiar să le creeze de la zero.

Ai nevoie de ajutor în implementarea GDPR?
Apelează la serviciile noastre de consultanță GDPR online.

  • Îți evaluăm riscurile în cel mai mic detaliu

  • Te asistăm pas cu pas în implementare

  • Îți instruim angajații care prelucrează date

  • Îți oferim proceduri și documente tipizate

AFLĂ MAI MULTE DESPRE SERVICIILE NOASTRE DE CONSULTANȚĂ

Noua Directivă privind securitatea informației și a rețelelor – NIS 2

Având în vedere pandemia COVID19 din 2020, cererea tot mai mare de servicii digitale și de muncă de la domiciliu a reprezentat o provocare pentru soliditatea securității cibernetice europene, astfel încât, în decembrie, Comisia Europeană a prezentat o propunere pentru Directiva NIS 2, care acoperă o parte din defectele și deficiențele constatate în NIS 1.

Ce a determinat Uniunea Europeană să transforme Directiva NIS în Directiva NIS 2 ?

Obiectivul principal al Directivei privind securitatea informației și a rețelelor (NIS 1) este de a dezvolta și consolida securitatea cibernetică europeană în toate statele membre, atât în instituțiile publice, cât și în cele private. În ciuda acestui fapt, Directiva NIS nu a reușit să îndeplinească obiectivele care se așteptau de la ea. De asemenea, Directiva NIS a întâmpinat dificultăți chiar și în punerea sa în aplicare, iar principalul motiv a fost lipsa unor standarde de bază clare pentru punerea în aplicare, ceea ce lasă libertatea de acțiune în mâinile țărilor și a politicilor locale ale acestora, iar acest lucru face ca fiecare țară să pună în aplicare Directiva NIS într-un mod diferit față de cealaltă țară, ceea ce are ca rezultat multe lacune iar programul nu are un nivel de protecție egal în toate țările UE.

Deficiențe ale Directivei NIS 1

Companiile din Uniunea Europeană nu au un nivel suficient de reziliență cibernetică, iar prin reziliență cibernetică mă refer aici la capacitatea de a reveni după ce au fost supuse unui atac cibernetic. Există un conflict între statele membre și sectoare în ceea ce privește reziliența cibernetică.

De asemenea, nu există niciun acord sau înțelegere între statele membre cu privire la amploarea provocărilor și amenințărilor.

O altă deficientă este faptul că nu include toate sectoarele și serviciile.

Lipsa unui cadru general de aplicare a directivei, care a dus la diferențe între standardele de aplicare în rândul statelor membre. 

Ce este nou în Directiva NIS 2?

  • Adăugarea unor cerințe noi, mai stricte, care să fie puse în aplicare de către furnizorii de servicii în lista cerințelor minime.
  • Securitatea lanțurilor de aprovizionare și a furnizorilor.
  • Măsuri stricte de supraveghere din partea autorităților responsabile.
  • Eliminarea distincției dintre operatorii de servicii de bază și furnizorii de servicii digitale.
  • Una dintre cele mai importante și majore noi modificări este adăugarea de noi sectoare la Directiva 2 NIS, pentru a include noi organizații medii și mari, cum ar fi vaccinurile și produsele medicale critice, Transporturi, Bănci, Instituții ale pieței financiare, Sănătate, Apă potabilă, Apă uzată, Infrastructură digitală, Administrații publice, Administrații publice, administrație publică și spațiu.
  • Ca și în cazul NIS1, microentitățile și entitățile mici sunt excluse din domeniul de aplicare. 
  • Aceasta consolidează cooperarea între statele membre, facilitând cooperarea strategică și schimbul de informații.
  • Noua propunere elimină distincția dintre OES și DSP, în loc să clasifice entitățile ca fiind esențiale sau importante.
  • Sunt instituite controale și amenzi (similare celor prevăzute de GDPR) în cazul oricărei încălcări a legislației privind securitatea cibernetică.
  • Consolidarea cerințelor de securitate pentru întreprinderile care fac obiectul normelor prin furnizarea unei liste minime de elemente de securitate obligatorii de bază și prin introducerea unor rapoarte mai precise privind răspunsul la incidente.
  • Raționalizarea obligațiilor de raportare: poziția Consiliului menține obligațiile de raportare pentru entitățile esențiale și semnificative în ceea ce privește incidentele care au un impact semnificativ asupra furnizării serviciilor lor. Ca urmare a preocupărilor exprimate de statele membre potrivit cărora acest lucru ar supraîncărca entitățile care intră sub incidența directivei NIS2 și ar duce la o supraîncărcare sau raportarea obligatorie a amenințărilor cibernetice semnificative către autoritățile relevante sau echipele de răspuns la incidente de securitate informatică (CSIRT) (desemnate de acele entități care ar putea duce la un accident major) au fost excluse din textul Consiliului.

Directiva NIS2 nu se va aplica entităților care desfășoară în principal activități în domeniul apărării, al securității naționale, al securității publice, al aplicării legii sau activități legate de securitatea națională sau de apărare. De asemenea, au fost excluse sistemul judiciar, parlamentele și băncile centrale.

Care este următorul pas în NIS 2 ?

Comisia ITER din cadrul Parlamentului European a votat acum propunerea NIS 2. Statele membre ale Uniunii trebuie să adopte o poziție politică cu privire la propunerea NIS 2, iar apoi, în etapa următoare, Parlamentul European și Comisia Europeană vor discuta despre recentele legi privind NIS 2. Dacă se ajunge la un acord, statele membre ale UE vor avea la dispoziție aproximativ doi ani pentru a transpune directiva în legislația lor locală, pentru a fi aplicată efectiv.

Ce puteți face pentru a aplica în mod corespunzător Directiva NIS și pentru a evita încălcarea acesteia?

Punerea în aplicare a legilor din Directiva NIS nu este un lucru ușor, ci este foarte dificil și necesită mult timp și efort.

Ar trebui să vă concentrați asupra principalelor părți ale afacerii dvs. și să le protejați, deoarece, de fapt, protejarea tuturor părților și sectoarelor afacerii dvs. este aproape imposibilă și este bine să determinați care parte a companiei dvs. este mai vulnerabilă la atacuri cibernetice. Se știe că datele transmise prin internet și prin mass-media sunt partea cea mai vulnerabilă De asemenea, trebuie să vă întrebați care sunt cele mai importante și confidențiale date, astfel încât să vă concentrați pe protejarea lor, iar aceste date sunt, de obicei, datele clienților, ale cetățenilor și valorile mobiliare ale companiei. De asemenea, trebuie să studiați istoricul atacurilor cibernetice pentru a ști care sunt cele mai frecvente vulnerabilități, ce metode folosesc de obicei atacatorii și care sunt modalitățile de protecție împotriva acestor atacuri. De asemenea, ar trebui să aveți o abordare documentată a clasificării informațiilor, a analizei riscurilor și a măsurilor de securitate rezonabile. De asemenea, este important să educați angajații și să vă asigurați că aceștia înțeleg cum să își desfășoare activitatea și care este rolul lor în procesul de securitate a informației.

Provocările cu care se confruntă punerea în aplicare a Directivei privind securitatea informației și a rețelelor (NIS).

Dificultatea coordonării și a ajungerii la un acord unitar între statele membre reprezintă un obstacol în calea punerii în aplicare a Directivei NIS, din cauza legislației locale diferite din fiecare țară.

Costul implementării directivei NIS va fi de aproximativ 180.000 de euro pentru fiecare dintre organizațiile chestionate, inclusiv pentru cele cu bugete mai mici, ceea ce va reprezenta o povară uriașă pentru aceste organizații.

Concluzii

În zilele noastre, securitatea cibernetică este unul dintre cele mai importante lucruri, așa că trebuie depuse toate eforturile pentru a o consolida, pentru a proteja persoanele și organizațiile, iar directorul NIS este o încercare a Uniunii Europene de a-și consolida securitatea cibernetică. În ciuda dificultății de punere în aplicare și a sarcinilor pe care le impune companiilor, a obținut succese considerabile, ceea ce a determinat guvernul să încerce să îl dezvolte în NIS 2 pentru a spori aceste succese și a aborda defectele.

Dacă aveți întrebări referitoare la securitatea informației și a rețelelor și aveți nevoie de asistență în ceea ce privește implementarea standardului GDPR în compania sau instituția pe care o reprezentați, contactați-ne pe contact@gdprcomplet.ro.