În acest scurt articol de blog, ne propunem să evidențiem diferențele aduse de Directiva NIS2, în comparație cu mandatul NIS anterior.
Directiva NIS
Directiva NIS (Network and Information Security) a fost primul act legislativ al Uniunii Europene uniform in toate statele membre privind securitatea cibernetica. Scopul acestei directive a fost implementarea unui nivel comun ridicat de securitate cibernetica in toate aceste tari.
In contextul cresterii amenintarilor de securitate in urma proceselor de digitalizare si a situatiei geopolitice actuale, implementarea directivei NIS1 s-a dovedit a fi dificila si fragmentata in fiecare stat.
Astfel, directiva NIS2, care a intrat in vigoare la 16 ianuarie anul curent, vine sa extinda spectrul de aplicare in materie de sectoare si entitati si aduce noi clarificari la nivel de raportari ale incidentelor si sanctiuni. Statele membre au 21 de luni sa o transpuna la nivel de legislatie nationala si astfel companiile vor trebui sa respecte prevederile directivei incepand cu toamna anului 2024. Desi pare a fi destul timp pana atunci, este important ca firmele sa se pregateasca din timp cu complianta, in functie de politicile de securitate cibernetica si de nivelul actual de pregatire.
Mai exact, care sunt modificările introduse de Directiva 2 NIS în comparație cu Directiva 1 NIS?
1. Modalitati imbunatatite de supraveghere si executare a prevederilor: O lista de sanctiuni a fost introdusa, incluzand amenzi pentru incalcarea directivelor de managementul riscului si obligatiile de raportare
2. Crearea unei organizatii pentru a facilita coordonarea administrarii incidentelor de securitate la nivel de UE (EU-CyCLONe): Acest organism va ajuta la cooperarea intre statele membre privind descoperirea de noi vulnerabilitati
3. Managementul riscului de securitate cibernetica: Intarirea cerintelor referitoare la masurile luate in cazul incidentelor de securitate, managementul de criza, procedurile si politicile in descoperirea si dezvaluirea vulnerabilitatilor, bune practici de constientizare si instruire in materie de securitate cibernetica a angajatilor, utilizarea criptarii, politici de control al accesului si managementul asset-urilor.
Domenii de activitate vizate
Directiva NIS2 acopera mai multe industrii si sectoare de activitate decat cea initiala, ingloband astfel pe cele incluse initial in NIS:
- Sanatatea
- Infrastructura digitala
- Transport
- Apa
- Energie
- Banci si servicii financiare
- Furnizori de servicii digitale
In plus se adauga:
- Furnizori de comunicatii electronice, retele sau servicii
- Furnizori de servicii digitale precum platforme de retele sociale si servicii de hosting Data Center
- Apa reziduala si gestionarea deseurilor
- Industria alimentara
- Administratia Publica
- Servicii de Posta si Curierat
- Industria Spatiala
- Fabricarea
Lista detaliata, cu explicatiile aferente fiecarui sector, o puteti gasi in textul complet al directivei in limba romana.
În concluzie,
Expertii Arctic Stream va stau la dispozitie pentru evaluarea posturii de securitate cibernetica a companiei dumneavoastra si recomandarea de bune practici si solutii adecvate pentru obiectivele de business pe care le aveti. De asemenea, divizia de training poate oferi cursuri specializate pe zona de constientizare a riscurilor, precum si in zona de proceduri de raspuns la incidente.
Alte referinte: