DIRECTIVA NIS2
Directiva NIS2 asigură securitatea cibernetică și reziliența infrastructurilor critice la nivelul Uniunii Europene (UE). În urma adoptării oficiale în decembrie 2022, guvernul român și toate statele membre ale UE au fost obligate să transpună directiva la nivel național până la data de 17 octombrie 2024.
Ca răspuns la această directivă, România a adoptat Ordonanța de urgență a Guvernului 155/2024.
De la sectorul Financiar și Administrație publică, la Gestionarea deșeurilor și a spatiului, NIS2 impune măsuri sporite de securitate cibernetică și reziliență în mai multe sectoare de activitate. Având la bază ediția precedentă, NIS 1, directiva se concentrează pe creșterea nivelului de pregătire și coordonare între statele membre ale UE, aplicând în același timp măsuri de securitate cibernetică pentru sectoare cheie de activitate.
Directiva NIS2 se bazează pe trei piloni fundamentali:
1 Strategii naționale de securitate cibernetică: Statele membre ale UE trebuie să stabilească strategii naționale clare și coordonate pentru a îmbunătăți securitatea cibernetică în întreaga regiune.
2 Cooperarea strategică și schimbul de informații: NIS2 pune accentul pe colaborarea dintre statele membre și pe schimbul de informații privind securitatea cibernetică, promovând o apărare colectivă împotriva amenințărilor cibernetice.
3 Sectoare cheie: NIS2 se aplică sectoarelor critice pentru societate precum Energie, Sănătate, Transport și Infrastructură digitală, asigurându-se că entitățile mențin o apărare robustă de securitate cibernetică.
Care sunt noile cerințe ale Directivei NIS2?
NIS2 introduce mai multe cerințe noi pentru a îmbunătăți postura generală de securitate a organizațiilor și sectoarelor. Aceste cerințe se concentrează pe îmbunătățirea managementului riscurilor, guvernanței corporative, raportării incidentelor și continuității afacerii:
• Managementul riscurilor și îmbunătățirea nivelului de securitate: Organizațiile trebuie să adopte măsuri pentru a minimiza riscurile cibernetice, inclusiv gestionarea incidentelor, securizarea lanțului de aprovizionare și îmbunătățirea securității rețelei. Acest lucru asigură o apărare proactivă împotriva amenințărilor în continuă evoluție.
• Responsabilitatea corporativă: Managementul entităților trebuie să își asume responsabilitatea pentru securitatea cibernetică, inclusiv supravegherea, aprobarea și instruirea cu privire la măsurile de securitate ale organizației. Acest lucru poziționează securitatea cibernetică drept prioritate la cele mai înalte niveluri de luare a deciziilor.
• Raportarea incidentelor de securitate: Organizațiile trebuie să aibă un proces clar pentru a raporta orice incidente majore de securitate, în special cele care ar putea avea un impact semnificativ asupra furnizării de servicii sau a utilizatorilor. Raportarea în timp util este esențială pentru atenuarea consecințelor atacurilor cibernetice.
• Continuitatea afacerii: NIS2 impune dezvoltarea și implementarea planurilor de continuitate a afacerii pentru a se asigura că organizațiile pot menține operațiunile esențiale și se pot recupera rapid după incidente cibernetice majore, minimizând întreruperile sau chiar oprirea activității.
OUG nr. 155/2024 împarte companiile și instituțiile în două categorii principale: entități esențiale și entități importante. Această clasificare se bazează pe factori care țin cont de sectorul de activitate și dimensiunea companiei.
Din perspectiva sectorului de activitate, ordonanța diferențiază între:
Categoria A1 – Sectoare cu o importanță critică ridicată
Categoria A2 – Alte sectoare de importanță critică
Categoria A1 include următoarele domenii: energie, transport, sectorul bancar, infrastructuri ale pieței financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, managementul serviciilor ICT (B2B), administrație publică și spatiu.
ENTITĂȚILE ESENȚIALE
& răcire
Aerian
Feroviar
pe apă
Rutier
Bancar
Financiară
potabilă
uzate
Publică
Digitală
serviciilor
ITC B2B
Spațiale
Categoria A2 cuprinde: servicii poștale și de curierat, gestionarea deșeurilor, producția chimică, industria alimentară, producția industrială, furnizori de servicii digitale și activități de cercetare.
ENTITĂȚI IMPORTANTE
Curierat
Deșeuri
producţie
substanţe
Chimice
Procesare şi
distribuire de
Alimente
Generală
Electronice &
Optice
Medicale
mașini și
echipamente n.c.a
Remorci &
Semiremorci
de transport
Electrice
Digitali
În ceea ce privește Marimea, companiile sunt clasificate astfel:
Companii mari: peste 250 de angajați și o cifră de afaceri anuală de peste 50 milioane EUR sau un bilanț total de peste 43 milioane EUR.
Companii mijlocii: peste 50 de angajați și o cifră de afaceri anuală de peste 10 milioane EUR sau un bilanț total de peste 10 milioane EUR.
Companiile care nu îndeplinesc aceste criterii sunt considerate companii mici.
Clasificarea inițială generală
Pe baza sectorului de activitate (categoria A1 sau A2) și a dimensiunii, clasificarea generală este următoarea:
Companiile mari din Categoria A1 → entități esențiale
Companiile mijlocii din Categoria A1 → entități importante
Companiile mari și mijlocii din Categoria A2 → entități importante
Companiile mici, în general, nu intră sub incidența NIS2, cu excepția cazurilor în care furnizează servicii critice.
Încadrări speciale și excepții
Anumite entități sunt considerate esențiale indiferent de dimensiune:
Entitățile critice desemnate de Centrul Național pentru Coordonarea Protecției Infrastructurii Critice (MAI)
Entitățile administrației publice centrale (cu excepțiile prevăzute de lege)
Furnizorii de servicii DNS, registrele de nume TLD și prestatorii de servicii de încredere calificați
De asemenea, există categorii cu regimuri speciale:
1. Furnizorii de servicii de securitate gestionate:
Dacă sunt companii mari sau mijlocii → entități esențiale
Dacă sunt companii mici → nu intră sub incidența NIS2
2. Furnizorii de servicii de încredere:
Dacă sunt companii mari → entități esențiale (cf. art. 5 alin. 2 din OUG nr. 155/2024)
Dacă sunt companii mijlocii sau mici → entități importante (cf. art. 6 alin. 2 din OUG nr. 155/2024)
3. Furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului:
Dacă sunt companii mari sau mijlocii → entități esențiale
Dacă sunt companii mici → entități importante
Este important de menționat că entitățile identificate drept „entități critice” conform legislației privind reziliența entităților critice sunt, în general, similare celor din Categoria A1.
Alte precizări importante
Companiile din sectorul energie, beneficiare ale fondurilor acordate prin OUG nr. 60/2022 (Fondul pentru Modernizare), și entitățile din sectorul TIC (furnizorii de servicii gestionate și de securitate gestionată – B2B) vor fi clasificate conform prevederilor OUG nr. 155/2024, chiar dacă nu sunt desemnate oficial ca entități critice.
În ceea ce privește întreprinderile alimentare (conform definiției din Regulamentul CE nr. 178/2002) care activează în logistică, distribuție en-gros, producție și prelucrare industrială la scară largă:
- Acestea sunt menționate în Anexa la Legea nr. 294/2024
- În OUG nr. 155/2024 sunt incluse în Categoria A2
- Însă, conform legislației privind reziliența entităților critice, aceste entități vor fi considerate esențiale, indiferent de dimensiune
Rolul autoevaluării
Clasificarea bazată pe sector și dimensiune reprezintă doar primul pas în determinarea aplicabilității OUG nr. 155/2024 / NIS 2. Elementul care poate modifica fundamental această încadrare este însă autoevaluarea criteriilor de risc.
Autoevaluare are o dublă funcție:
1.Confirma încadrarea inițială bazată pe sector și dimensiune
2. Modifica încadrarea inițială, ducând la o clasificare mai înaltă (de exemplu, de la “importantă” la “esențială” sau de la “neinclusă” la “importantă” ori „esențială”)
Autoevaluarea poate determina o clasificare mai strictă decât cea rezultată din aplicarea simplă a matricei sector-dimensiune, dar nu poate duce la o clasificare mai puțin strictă. O entitate inițial clasificată ca “esențială” nu poate deveni “importantă” sau “neinclusă” în urma autoevaluării, dar o entitate “importantă” poate deveni “esențială” dacă evaluarea riscurilor indică un impact potențial semnificativ.
NIS2 mă privește? Ce urmează?
Organizațiile care se încadrează în categoriile vizate de Directiva NIS2 trebuie să parcurgă următorii pași esențiali:
| Analiza diferențelor (GAP) | Stabilirea diferențelor dintre securitatea actuală și cerințele Directivei NIS2 |
| Analiza riscurilor | Identificarea și evaluarea principalelor riscuri cibernetice |
| Studiul impactului BIA & BCM | Determinarea impactului asupra afacerii și a planului de continuitate |
| Plan de management al riscurilor | Strategie completă pentru protejarea infrastructurii critice |
| Implementarea măsurilor | Aplicarea măsurilor tehnice, organizaționale și de personal |
| Evaluarea eficacității măsurilor și audit | Auditarea și optimizarea măsurilor implementate |
Procesul de autoevaluare: criterii și dimensiunea impactului
Autoevaluarea nivelului de risc este un proces complex care analizează 4 factori:
1.unicitatea: entitatea este singurul furnizor al unui serviciu care este esențial pentru susținerea unor activități societale și economice critice;
2.impactul semnificativ: perturbarea serviciului furnizat de entitate ar putea avea un impact semnificativ asupra siguranței publice, a securității publice sau a sănătății publice;
3.riscul sistemic semnificativ: perturbarea serviciului furnizat de entitate ar putea genera un risc sistemic semnificativ, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier;
4.importanță critică: entitatea este critică datorită importanței sale specifice la nivel național sau regional pentru sectorul sau tipul de servicii în cauză sau pentru alte sectoare interdependente.
În cazul impactului semnificativ, acesta se analizează prin raportare la 6 dimensiuni principale de impact:
1.Impactul asupra drepturilor și libertăților fundamentale este prima dimensiune care trebuie evaluată. Acest aspect include confidențialitatea datelor personale, libertatea de exprimare, dreptul la informare.
2.A doua dimensiune vizează impactul asupra economiei naționale. Aceasta presupune o analiză detaliată a cotei de piață a companiei, a gradului de dependență al altor sectoare economice de serviciile sale și a consecințelor potențiale ale unei întreruperi a serviciilor asupra economiei în ansamblu. O companie care deține o poziție dominantă într-un sector sau furnizează servicii esențiale pentru multiple alte industrii va avea un punctaj mai ridicat la această dimensiune.
3.Impactul asupra sănătății și vieții oamenilor constituie a treia dimensiune critică. Evaluarea trebuie să considere atât efectele directe, cât și cele indirecte asupra sănătății și siguranței populației. Scenariile de risc trebuie analizate temeinic, cu estimări realiste ale numărului de persoane care ar putea fi afectate în diverse situații de compromitere a securității cibernetice.
4.Impactul financiar, a patra dimensiune, merge dincolo de consecințele directe asupra companiei și analizează efectele potențiale asupra întregului ecosistem economic. Această evaluare include perturbările posibile ale piețelor financiare, întreruperile în lanțurile de aprovizionare și pierderile financiare pentru terți.
5.A cincea dimensiune, impactul asupra apărării, ordinii publice și securității naționale, necesită o analiză prudentă a legăturilor cu infrastructurile critice din domeniul apărării și securității naționale. Pentru această evaluare, consultarea unui expert cu background juridic și eventual în securitate națională este indispensabilă pentru a evita atât subevaluarea, cât și supraevaluarea riscurilor.
6.Impactul intersectorial sau transfrontalier trebuie evaluat prin prisma efectelor în cascadă asupra altor sectoare economice și a consecințelor care ar putea depăși granițele României, afectând parteneri economici sau state vecine.
Exemple de reclasificare în urma autoevaluării nivelului de risc
O companie mică de utilități locale, cu 45 de angajați și o cifră de afaceri de 9 milioane EUR, furnizează gaze pentru o zonă rurală. Conform clasificării inițiale bazate pe dimensiune, această companie nu ar intra sub incidența NIS 2, chiar dacă activează în Categoria A1. Totuși, în urma autoevaluării, se constată că această companie este unicul furnizor de gaze pentru trei comunități izolate cu o populație totală de 51.000 de locuitori și deservește un spital. Mai mult, sistemele sale de transport sunt automatizate, fiind vulnerabile la atacuri cibernetice care ar putea compromite furnizarea gazului. În aceste condiții, impactul asupra siguranței populației și cel intersectorial ar putea determina DNSC să o clasifice ca entitate importantă, în ciuda dimensiunii sale reduse.
Un alt exemplu relevant este cel al unei companii mijlocii de transport, cu 180 de angajați și o cifră de afaceri de 30 milioane EUR. Inițial, această companie ar fi clasificată ca entitate importantă (companie mijlocie în Categoria A1). Totuși, autoevaluarea relevă că această companie operează transportul feroviar de materiale periculoase și este singurul operator autorizat pentru anumite rute strategice care conectează instalații industriale critice. Un incident de securitate cibernetică care ar afecta sistemele informatice care susțin activitatea de transport feroviar a entității analizate, perturbând activitatea de management al traficului, ar putea avea consecințe catastrofale pentru siguranța publică și mediu. În plus, compania transportă echipamente sau materiale din domeniul apărării. Aceste constatări ar putea determina reclasificarea sa ca entitate esențială.
Documentarea autoevaluării
Procesul de autoevaluare trebuie documentat riguros, cu justificări clare pentru încadrarea pe fiecare dintre cei 4 factori și evaluarea fiecărei dimensiuni de impact. Documentația trebuie să includă:
• Metodologia utilizată
• Sursele de informații consultate
• Scenariile de risc analizate
• Justificarea punctajelor acordate pentru fiecare dimensiune
• Concluziile finale și clasificarea propusă
Procesul conform art. 18 alin. (4), (5) și (6) din OUG 155/2024 presupune următoarele etape:
– mai întâi, entitatea realizează autoevaluarea inițială și notifică DNSC; în urma acestei notificări, DNSC emite Decizia pentru identificare și înscriere în Registru în termen de 60 de zile pentru entitățile esențiale, respectiv 150 de zile pentru entitățile importante;
– ulterior acestei Decizii, entitățile au obligația ca în termen de 60 de zile să transmită la DNSC evaluarea completă a nivelului lor de risc, aceasta fiind o evaluare detaliată care urmează înregistrării inițiale.
Este important de subliniat că decizia finală privind încadrarea aparține DNSC, care poate solicita informații suplimentare sau poate ajusta clasificarea în baza unei evaluări proprii.
Abordarea strategică a autoevaluării
Pentru autoevaluare se recomandă constituirea unei echipe care să includă reprezentanți din management, IT/securitate cibernetică, juridic, operațiuni și managementul riscului. Această echipă trebuie să aibă o înțelegere profundă atât a operațiunilor companiei, cât și a ecosistemului economic și social în care aceasta operează. Autoevaluarea trebuie revizuită periodic, în special când apar modificări semnificative în operațiunile companiei, în contextul legislativ sau în peisajul amenințărilor cibernetice.
În final, aplicarea OUG nr. 155/2024 / NIS 2 pentru compania dumneavoastră nu poate fi determinată exclusiv pe baza sectorului de activitate și a dimensiunii. Autoevaluarea criteriilor de risc joacă un rol important, putând reclasifica o entitate la un nivel superior de obligații, dar niciodată la un nivel inferior celui rezultat din matricea sector-dimensiune.
CONSECINȚELE NERESPECTĂRII DIRECTIVEI NIS2 ȘI AMENZILE APLICATE
ENTITĂȚILE ESENȚIALE
Valoarea maximă de 10 milioane de euro sau 2% din cifra de afaceri anuală globală.
ENTITĂȚI IMPORTANTE
Valoarea maximă de 7 milioane de euro sau 1,4% din cifra de afaceri anuală globală.
CONTACTEAZA-NE PENTRU MAI MULTE DETALII
Telefon Comercial: +40 732 121 411
Email comercial: comercial@gmbcomputers.ro
