Implementarea Directivei NIS, în linie dreaptă. Ce trebuie să știe companiile?
Digitalizarea este o armă cu două tăișuri – este necesară, dar implică și multe pericole, astfel că securitatea cibernetică a serviciilor prestate de companii și în final a populației în sine a devenit esențială. Astfel că, după adoptarea reglementărilor GDPR, a venit rândul NIS – Directiva UE 2016/1148 privind securitatea informatică pentru protejarea infrastructurilor critice și digitale și asigurarea funcționării sistemelor care sunt fundamentale pentru societate.
Și iată că, la patru ani de la intrarea în vigoare a Directivei NIS și la doi ani de la transpunerea de către statele membre în legislațiile lor naționale, România face progrese în procesul de implementare. Primul pas a fost făcut în iulie 2020, când Guvernul României a emis OUG 119 pentru modificarea și completarea Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, care practic a deblocat procesul de implementare a directivei.
Operatorii de servicii esențiale au acum obligația de a se înscrie în Registrul operatorilor de servicii esențiale, administrat de CERT-RO (Centrul Național de Răspuns la Incidente de Securitate Cibernetică), fără un raport de audit specializat, până la data de 21 Ianuarie 2021. Ulterior, această notificare trebuie însoțită de un Raport de audit elaborat de către un auditor de securitate NIS, atestat de către CERT-RO. Sectoarele de activitate vizate sunt: energie (electricitate, petrol, gaze naturale), transport (aerian, feroviar, pe apă, rutier), sectorul bancar, infrastructuri ale pieței financiare, sectorul sănătății, furnizarea și distribuirea de apă potabilă și infrastructură digitală, dar și administrația publică.
Ce înseamnă pentru companii?
Practic, companiile care prestează servicii esențiale pentru populație sunt obligate să elaboreze și să implementeze soluții avansate care să le asigure securitatea informatică și să colaboreze cu statul pentru a garanta un răspuns coordonat la atacuri informatice.
Nerespectarea implementării directivei NIS aduce după sine consecințe importante: de la sancțiuni din partea autorității competente (CERT-RO) la pierderi financiare în urma unor potențiale atacuri și chiar afectarea reputației.
Sancțiunile prevăzute de lege presupun:
- Amendă de la 3.000 lei la 50.000 lei, iar în cazul constatării unor încălcări repetate limita maximă a amenzii este de 100.000 lei;
- Pentru persoanele cu o cifră de afaceri de peste 2.000.000 lei, cu amendă în cuantum de la 0,5% la 2% din cifra de afaceri, iar, în cazul unor încălcări repetate, limita maximă a amenzii este de 5% din cifra de afaceri.
Situația la nivelul Uniunii Europene
Deși Directiva a fost elaborată în urmă cu câțiva ani, implementarea efectivă a întârziat în multe state, media de adoptare fiind de 58,6%. Printre statele membre UE mai avansate se numără Franța (66,7%), Germania (70,6%), Italia (64%), Polonia (42,9%) și Spania (48%), potrivit unui raport ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică).
Citește mai mult pe blogul PwC România
Articol semnat de Robert Stoicescu, Senior Manager Risk Assurance si Alin Raicu, Manager Risk Assurance
Articol susținut de PwC România