Directiva NIS 2 reprezintă o necesitate în contextul cibernetic actual, nu doar o obligaţie legală (analiză)

Potrivit acestora, securitatea cibernetică a devenit un pilon fundamental al economiei şi al stabilităţii funcţionale a serviciilor esenţiale, România înregistrând deja progrese notabile în acest domeniu prin adoptarea de legislaţie specifică, precum transpunerea primei versiuni a Directivei NIS prin Legea 362/2018, înfiinţarea Directoratului Naţional de Securitate Cibernetică prin OUG 104/2021 sau adoptarea Strategiei Naţionale de Securitate Cibernetică a României prin HG 1321/2021, toate sub cupola Legii 58/2023 privind securitate şi apărarea cibernetică a României.

Cu toate acestea, ritmul accelerat al procesului de transformare digitală şi complexitatea tot mai mare a atacurilor cibernetice au evidenţiat necesitatea unui cadru extins şi actualizat. Directiva NIS 2, în esenţă, abordează vulnerabilităţile infrastructurilor critice şi armonizează standardele de securitate cibernetică la nivelul Uniunii Europene, construind pe baza reglementărilor anterioare şi remediind lacunele din gestionarea riscurilor şi modul de răspuns la incidente, conform analizei.

"Directiva NIS 2 impune politici stricte pentru identificarea, atenuarea şi gestionarea riscurilor de securitate cibernetică, organizaţiile fiind obligate să efectueze evaluări regulate ale riscurilor pentru potenţialele vulnerabilităţi, să implementeze măsuri adecvate pentru a aborda toată această gamă de riscuri de natură cibernetică şi să rămână vigilente prin sisteme de monitorizare proactivă. Accentul pus pe managementul riscului se extinde dincolo de procedurile interne, incluzând şi securitatea lanţurilor de aprovizionare, vizând astfel vulnerabilităţile furnizorilor terţi de servicii", se menţionează în analiza citată.

Existenţa unui cadru robust pentru raportarea incidentelor de securitate cibernetică este un element central al Directivei NIS 2, consideră specialiştii Deloitte. Entităţile sunt obligate să raporteze, fără întârzieri nejustificate, orice eveniment care are un impact semnificativ asupra prestării serviciilor echipei de răspuns la incidente de securitate cibernetică la nivel naţional, fiind astfel asigurată o partajare rapidă a informaţiilor şi o gestionare mai eficientă a incidentelor.

"Spre deosebire de Directiva NIS 1, pentru a cărei implementare erau responsabili în principal reprezentanţii desemnaţi din organizaţie, NIS 2 transferă această responsabilitatea către echipa de top management. Echipa de conducere are acum obligaţia de a aproba şi de a supraveghea măsurile de gestionare a riscurilor, dar şi de a se asigura că sunt alocate resurse adecvate pentru componenta de securitate cibernetică. De asemenea, membrii echipei de conducere trebuie să participe la instruiri periodice în domeniul securităţii cibernetice, cum ar fi exerciţii de simulare a crizelor de natură cibernetică, asigurându-se că deţin cunoştinţele necesare pentru a supraveghea eficient procesul de management al riscurilor", se mai spune în analiza Deloitte.

Ca urmare a implementării noii directive, organizaţiile sunt obligate să adopte măsuri stricte în ceea ce priveşte dezvoltarea şi implementarea planurilor de continuitate a afacerii în cazul unui incident major de securitate cibernetică, accentul fiind pus pe pregătirea şi asigurarea continuităţii serviciilor esenţiale.

Mai mult, noua directivă extinde domeniul de aplicabilitate prin includerea a 11 noi sectoare critice, printre care se numără energie, transporturi, sănătate, infrastructură digitală şi financiar-bancar. Sectoarele precum serviciile poştale, managementul deşeurilor, producţia chimică, cercetarea şi producţia, prelucrarea şi distribuţia de alimente sunt integrate în reglementarea europeană, reflectând creşterea nivelului de conştientizare în materie de ameninţări de securitate cibernetică la adresa diverselor industrii ce susţin funcţionarea societăţii.

"Prin accentul pus pe gestionarea riscurilor, transferul responsabilităţii privind supravegherea procesului de management al riscului către echipa de top management, prevederile stricte de raportare a incidentelor, inclusiv cele care vizează lanţurile de aprovizionare, transpunerea Directivei NIS 2 la nivel local impune o schimbare majoră către un model proactiv în materie de securitate cibernetică care reprezintă mai mult decât o obligaţie legală. Pentru organizaţii, măsurile impuse de această directivă, respectiv de textul legislativ transpus la nivel naţional, reprezintă o oportunitate în vederea gestionării eficiente a riscurilor de natură cibernetică şi a asigurării continuităţii operaţiunilor", încheie specialiştii Deloitte analiza despre legislaţia privind ameninţărilor cibernetice.