Material de opinie de Raluca Anton, Cyber Strategy Senior Manager, și Octavian Popa, Cyber Strategy Manager, Deloitte România
Transpunerea Directivei NIS (Network and Information Security) 2 în legislația românească prin OUG 155/2024 marchează un moment definitoriu în eforturile locale de consolidare a rezilienței în fața amenințărilor cibernetice din ce în ce mai complexe. Acest pas legislativ, parcurs pe fondul unui context geopolitic cu multe provocări și al unui peisaj al amenințărilor cibernetice în creștere, urmărește să îmbunătățească modul proactiv de gestionare a riscurilor, să asigure continuitate operațională și să poziționeze România pe un loc fruntaș în materie de securitate cibernetică.
Securitatea cibernetică a devenit un pilon fundamental al economiei și al stabilității funcționale a serviciilor esențiale, România înregistrând deja progrese notabile în acest domeniu prin adoptarea de legislație specifică, precum transpunerea primei versiuni a Directivei NIS prin Legea 362/2018, înființarea Directoratului Național de Securitate Cibernetică prin OUG 104/2021 sau adoptarea Strategiei Naționale de Securitate Cibernetică a României prin HG 1321/2021, toate sub cupola Legii 58/2023 privind securitate și apărarea cibernetică a României.
Cu toate acestea, ritmul accelerat al procesului de transformare digitală și complexitatea tot mai mare a atacurilor cibernetice au evidențiat necesitatea unui cadru extins și actualizat. Directiva NIS 2, în esență, abordează vulnerabilitățile infrastructurilor critice și armonizează standardele de securitate cibernetică la nivelul Uniunii Europene, construind pe baza reglementărilor anterioare și remediind lacunele din gestionarea riscurilor și modul de răspuns la incidente.
Elementele definitorii și de noutate ale Directivei NIS 2
Directiva NIS 2 impune politici stricte pentru identificarea, atenuarea și gestionarea riscurilor de securitate cibernetică, organizațiile fiind obligate să efectueze evaluări regulate ale riscurilor pentru potențialele vulnerabilități, să implementeze măsuri adecvate pentru a aborda toata această gamă de riscuri de natură cibernetică și să rămână vigilente prin sisteme de monitorizare proactivă. Accentul pus pe managementul riscului se extinde dincolo de procedurile interne, incluzând și securitatea lanțurilor de aprovizionare, vizând astfel vulnerabilitățile furnizorilor terți de servicii.
Existența unui cadru robust pentru raportarea incidentelor de securitate cibernetică este un element central al Directivei NIS 2. Entitățile sunt obligate să raporteze, fără întârzieri nejustificate, orice eveniment care are un impact semnificativ asupra prestării serviciilor echipei de răspuns la incidente de securitate cibernetică la nivel naţional, fiind astfel asigurată o partajare rapidă a informațiilor și o gestionare mai eficientă a incidentelor.
Spre deosebire de Directiva NIS 1, pentru a cărei implementare erau responsabili în principal reprezentanții desemnați din organizație, NIS 2 transferă această responsabilitatea către echipa de top management. Echipa de conducere are acum obligația de a aproba și de a supraveghea măsurile de gestionare a riscurilor, dar și de a se asigura că sunt alocate resurse adecvate pentru componenta de securitate cibernetică. De asemenea, membrii echipei de conducere trebuie să participe la instruiri periodice în domeniul securității cibernetice, cum ar fi exerciții de simulare a crizelor de natură cibernetică, asigurându-se că dețin cunoștințele necesare pentru a supraveghea eficient procesul de management al riscurilor.
Ca urmare a implementării noii directive, organizațiile sunt obligate să adopte măsuri stricte în ceea ce privește dezvoltarea și implementarea planurilor de continuitate a afacerii în cazul unui incident major de securitate cibernetică, accentul fiind pus pe pregătirea și asigurarea continuității serviciilor esențiale.
Mai mult, noua directivă extinde domeniul de aplicabilitate prin includerea a 11 noi sectoare critice, printre care se numără energie, transporturi, sănătate, infrastructură digitală și financiar-bancar. Sectoarele precum serviciile poștale, managementul deșeurilor, producția chimică, cercetarea și producția, prelucrarea și distribuția de alimente sunt integrate în reglementarea europeană, reflectând creșterea nivelului de conștientizare în materie de amenințări de securitate cibernetică la adresa diverselor industrii ce susțin funcționarea societății.
Ce măsuri pot lua organizațiile vizate pentru a se pregăti?
Prin accentul pus pe gestionarea riscurilor, transferul responsabilității privind supravegherea procesului de management al riscului către echipa de top management, prevederile stricte de raportare a incidentelor, inclusiv cele care vizează lanțurile de aprovizionare, transpunerea Directivei NIS 2 la nivel local impune o schimbare majoră către un model proactiv în materie de securitate cibernetică care reprezintă mai mult decât o obligație legală.
Pentru organizații, măsurile impuse de această directivă, respectiv de textul legislativ transpus la nivel național, reprezintă o oportunitate în vederea gestionării eficiente a riscurilor de natură cibernetică și a asigurării continuității operațiunilor.
