Impactul noilor reglementări de securitate cibernetică asupra companiilor
Pe măsură ce amenințările cibernetice continuă să se înmulțească, organizațiile publice și private din Europa se pregătesc să răspundă cerințelor stricte impuse de Directiva privind securitatea rețelelor și a sistemelor informatice, NIS 2. Această directivă actualizată, care va intra în vigoare în următorii ani, impune cerințe mai riguroase pentru entitățile care activează în sectoare critice precum energia, transporturile sau sănătatea. „Pentru companii, aceasta introduce schimbări semnificative în modul în care abordează securitatea cibernetică, conformarea cu NIS 2 devenind nu doar o obligație legală, ci și un pas esențial pentru protejarea operațiunilor proprii. De asemenea, extinderea domeniului de aplicare a directivei înseamnă că un număr mai mare de companii, inclusiv cele din sectoare precum gestionarea deșeurilor sau serviciile poștale, trebuie acum să se alinieze acestor standarde sporite de securitate cibernetică”, explică Elena Radu, Director Operațional Medialine România, companie internațională specializată în furnizarea de soluții IT complete și personalizate pentru companii medii și mari. În România, sectoarele care au înregistrat cele mai multe atacuri cibernetice în 2023 sunt sectorul energetic, transporturile și serviciile guvernamentale.
Ce înseamnă NIS 2 și cum cresc exigențele privind securitatea cibernetică
NIS 2 reprezintă o extindere semnificativă a directivei originale, lărgindu-și aria de aplicare pentru a include mai multe industrii și furnizori de servicii digitale. Adoptată în decembrie 2022, directiva urmărește să îmbunătățească domeniul securității cibernetice în întreaga Uniune Europeană prin introducerea unor reguli mai stricte privind managementul riscurilor, raportarea incidentelor și securitatea lanțului de aprovizionare. Spre deosebire de predecesoarea sa (NIS), NIS 2 se aplică nu doar companiilor din UE, ci și celor internaționale care oferă servicii în cadrul Uniunii, aceasta devenind un cadru de reglementare cu implicații extinse.
Unul dintre aspectele critice ale NIS 2 este nivelul sporit de responsabilitate pe care îl introduce. Companiile riscă penalități substanțiale în cazul în care nu se conformează noilor standarde, cu amenzi care pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri globală a unei societăți în cazul celor care activează în sectoarele critice. De asemenea, directiva crește gradul de responsabilitate al managerilor de top referitor la îndeplinirea obligațiilor privind securitatea cibernetică, ceea ce poate duce la dezvăluirea publică a încălcărilor sau alte consecințe semnificative.
Impactul NIS 2 asupra companiilor
Companiile din România se confruntă și ele cu numeroase provocări în acest nou context. Există peste 16.000 de societăți medii și mari care ar putea intra sub incidența directivei și un număr limitat de auditori certificați în domeniul securității cibernetice. Acest decalaj evidențiază urgența pentru companii de a-și consolida infrastructura de securitate cibernetică. Datele recente subliniază această necesitate: spre exemplu, sectorul energetic din România a înregistrat 31% din totalul atacurilor cibernetice în 2023, urmat de sectorul transporturilor cu 22% și serviciile guvernamentale cu 19%. Având în vedere creșterea atacurilor de tip ransomware și phishing, companiile trebuie să demonstreze o abordare proactivă în materie de securitate cibernetică, să implementeze o serie de măsuri specifice care să asigure securitatea infrastructurii și a sistemelor informatice.
Soluții pentru conformarea companiilor cu NIS 2
Pe măsură ce companiile fac eforturi să se conformeze noilor reglementări, rolul furnizorilor de servicii IT devine și el critic. Elena Radu, Directorul Operațional al Medialine România, subliniază importanța colaborării cu specialiști care au soluții adaptate la această nouă realitate, în condițiile în care multe companii pot întâmpina dificultăți în ceea ce privește cerințele tehnice și resursele necesare pentru conformarea cu NIS 2:
„Acest sprijin este vital pentru companiile care trebuie să respecte standardele stricte ale directivei, dar care ar putea să nu aibă resursele interne și cunoștințele necesare pentru a face acest lucru. Implementarea NIS 2 marchează o nouă eră în reglementarea securității cibernetice în cadrul UE, una care cere un nivel ridicat de vigilență și responsabilitate din partea companiilor. Pe măsură ce se apropie termenul pentru conformare, companiile din întreaga Europă, inclusiv din România, trebuie să ia măsuri proactive pentru a se alinia cerințelor directivei. În acest context, sprijinul furnizorilor de servicii IT, precum Medialine, va fi crucial pentru a sprijini companiile să se orienteze corect, să îndeplinească exigențele NIS 2 și să-și pună la adăpost operațiunile într-un context tot mai puternic dominat de amenințările cibernetice.”
Dintre serviciile specifice de care pot beneficia companiile pentru a se alinia cerințelor directivei NIS 2, primul pas esențial este un workshop de evaluare strategică. Acesta este conceput pentru a realiza un audit complex și detaliat, cu scopul de a identifica nevoile critice ale companiei și potențialele vulnerabilități în rețelele și sistemele informatice. În urma acestei evaluări, companiile vor putea accesa consultanță IT specializată, evaluarea detaliată a riscurilor și vulnerabilităților, servicii de securitate gestionată și răspuns rapid la amenințări (Managed Security Services), soluții de backup și recuperare în caz de dezastru, securitatea lanțului de aprovizionare, dar și servicii de conformitate și raportare în conformitate cu directivele NIS 2.