Directiva NIS, noi cerințe de securitate și amenzi cumulative cu GDPR
La un an după intrarea în vigoare a GDPR, o noua lege în România prevede amenzi pentru companii, de data aceasta în cuantum de până la 5% din cifra de afaceri. Uniunea Europeană obligă companiile care prestează servicii esențiale pentru populație să își asigure securitatea informatică și să colaboreze cu statul pentru a garanta un răspuns coordonat la atacurile informatice.
Evoluția digitală este o armă cu două tăișuri, iar securitatea cetățenilor în universul digital este un subiect des întâlnit în dezbaterile purtate pe acest subiect. Nu toate incidentele pot fi prevenite, dar măsuri proactive pentru diminuarea impactului acestora trebuie avute în vedere. Acesta este și scopul celor două acte normative despre care au existat dezbateri în ultima perioadă: GDPR (Regulamentul general privind protecția datelor nr. 679/2016) și NIS (Directiva UE 2016/1148 privind securitatea rețelelor și a sistemelor informatice).
Ce este NIS (Network and Information Security)?
Considerată prima legislație cuprinzătoare privind securitatea informațiilor din UE care instituie o cultură a securității prin cerințele sale, NIS vizează protejarea infrastructurilor critice și digitale pentru asigurarea funcționării sistemelor care sunt fundamentale pentru societate și stabilirea măsurilor în vederea obținerii unui nivel comun ridicat de securitate, luând în calcul riscurile asociate. Nu în ultimul rând, prin măsurile impuse, ca orice directivă europeană, NIS vizează protejarea cetățenilor UE împotriva riscurilor cibernetice.
Cui se aplică NIS?
Spre deosebire de GDPR, NIS se adresează unui public determinat: OSE (Operatorii de Servicii Esențiale) -entități publice/private din următoarele sectoare de activitate: energie, transport, sector bancar, infrastructuri ale pieței financiare, sănătate, furnizarea și distribuirea de apă potabilă) și DSP (Digital Service Providers) – furnizorilor de servicii digitale (piețe online, motoare de căutare online și servicii de cloud computing).
Care este scopul NIS?
Obiectivul directivei NIS constă în sporirea securității cibernetice în industriile critice din UE și obținerea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice pentru a face față incidentelor de securitate informatică la nivelul Uniunii Europene.
GDPR nu este suficient?
Pe de o parte, scopurile NIS și GDPR se pot suprapune uneori pentru că solicită operatorilor să implementeze măsuri de securitate bazate pe riscuri și stabilesc obligații de notificare în cazul incidentelor de securitate. Pe de altă parte, GDPR are ca scop protejarea datelor cu caracter personal, în schimb ce NIS este axată pe protejarea securitatea rețelelor și a serviciilor informatice. NIS impune organizațiilor să-și securizeze corespunzător rețelele pentru a putea asigura continuitatea serviciilor furnizate. În multe situații măsurile de securitate deja implementate pentru GDPR nu vor fi suficiente pentru conformitatea cu NIS.
Ce obligații aduce NIS?
Directiva solicită ca organizațiile identificate ca OSE și DSP să poată asigura continuitatea serviciilor esențiale prin:
i) implementarea măsurilor tehnice și organizatorice adecvate și proporționale pentru a putea gestiona riscurile la adresa securității rețelelor și sistemelor informatice pe care le utilizează;
ii) implementarea masurilor adecvate pentru a preveni și minimiza impactul incidentelor;
iii) notificarea „fară intârzieri nejustificate” către autoritățile competente a incidentelor care afectează securitatea.
Cu toate acestea, nimic nu e nou. Fie că vorbim de GDPR sau NIS, legislația europeană se aliniază cu standardele internaționale (ex: NIST, ISO 27001) și promovează o abordare bazată pe managementul riscurilor, fiind o reacție naturală dacă luăm în considerare că riscurile asociate prelucrării informației devin tot mai mari pe fondul evoluției amenințărilor cibernetice.
Care va fi impactul în cadrul organizațiilor?
Pentru a se putea conforma cerințelor NIS și legislațiilor subsecvente, organizațiile ar trebui să aibă în vedere alocarea unor bugete care să susțină angajamentul de asigurare a unui set matur de măsuri de ordin tehnologic și de guvernanță privind securitatea sistemelor și rețelelor. Practic, având în vedere că inițiativele legislative curente promovează câteva elemente comune precum evaluări bazate pe risc, pe notificarea incidentelor sau pe audit, organizațiile identificate ca OSE și DSP, si nu numai, ar trebui să ia în considerare asigurarea următoarelor aspecte:
i) securitatea sistemelor și a rețelelor;
ii) gestionarea incidentelor;
iii) gestionarea continuității activității;
iv) monitorizarea, auditarea și testarea periodic;
v) conformitatea cu standardele internaționale;
vi) menținerea unui grad ridicat de conștientizare a angajaților împotriva amenințărilor.
Cum se pot pregăti organizațiile?
Organizațiile care fac obiectul Directivei NIS trebuie să se asigure că au făcut trecerea de la măsuri reactive la unele proactive și că au implementate:
i) sisteme mature de detectare a amenințărilor;
ii) un management experimentat pentru gestionarea incidentelor, astfel încât să poată identifica cu ușurință natura atacului, dar și soluții pentru reducerea impactului;
iii) mecanisme eficiente de raportare a incidentelor.
Mai mult, potrivit NIS, organizațiile OSE/DSP trebuie să poată furniza autorităților competente:
a) informații necesare pentru evaluarea securității rețelelor și a sistemelor informatice;
b) dovada implementării eficiente a politicilor de securitate;
c) rezultatele auditului de securitate, inclusiv probele pe care se bazează acesta.
O altă componenta, care uneori rămâne în plan secund, este legată de personalul calificat existent la nivelul fiecărei organizații pentru a gestiona astfel de evenimente. Formarea unor echipe de profesioniști, cu expertiză în domeniul securității cibernetice, este un factor cheie în implementarea cu succes a prevederilor NIS și nu numai.
Care sunt următorii pași?
În primul rând, organizațiile trebuie să conștientizeze faptul că nivelul bugetelor alocate pentru asigurarea măsurilor de securitate este direct proporțional cu maturitatea acestora. În al doilea rând, pentru a avea o vizibilitate asupra pașilor care trebuie urmați, în vederea conformării cerințelor legislative în domeniu, operatorii trebuie să efectueze analize obiective în ceea ce privește gradul de maturitate al securității sistemelor și al îndeplinirii cerințelor legale aplicabile. Astfel de analize vor constitui un punct de plecare în ceea ce privește implementarea prevederilor NIS. Este posibil ca o mare parte din operatori să aibă deja implementate anumite măsuri de securitate, planuri de răspuns la incidente și de protejare împotriva atacurilor cibernetice, dar acestea să nu răspundă în totalitate cerințelor NIS.
Cum este Directiva transpusă în România?
În ianuarie 2019 a intrat in vigoare Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice care transpune prevederile NIS și stabilește amenzi pentru neconformitate de pana la 5% din cifra de afaceri a organizațiilor. Părțile implicate așteaptă în continuare publicarea normelor metodologice de aplicarea a Legii.
În anii care urmează, odată cu importanța digitalizării pentru societate, legiuitorii vor impune obligații din ce în ce mai stricte companiilor și le vor cere acestora să reducă în mod direct riscurile la care pot fi expuși cetățenii. La nivelul Uniunii Europene constatăm aceeași tendință ca în Statele Unite ale Americii, aceea de a responsabiliza marile companii pentru aspectele negative ale influenței pe care o au în rândul populației, o tendință care a existat de mulți ani în alte zone ale mapamondului.
Un articol semnat de Claudiu Constantinescu și Cristina Roșu, Deloitte România.