.svg){kind=small}
.svg){kind=small}
.svg){kind=small}
Introducere: o nouă paradigmă a securității IT
Directiva NIS2, care a intrat în vigoare la 17 ianuarie 2023 (16 octombrie în Italia), reprezintă o schimbare profundă față de directiva NIS anterioară. Acest cadru de reglementare vizează crearea unei strategii cibernetice comune pentru toate statele membre ale UE, cu obiectivul principal de a crește nivelul de securitate al serviciilor digitale în întreaga UE
Sezonul punerii în aplicare a directivei europene NIS2 a început oficial, reprezentând o schimbare mai mult decât semnificativă în abordarea gestionării securității informațiilor.
Deși apreciem efortul de comunicare al Agenției Naționale de Securitate Cibernetică (ANC), care plasează aspectul procesului represiv și de sancționare pe locul doi în fața promovării participării active, este evident că procesul de punere în aplicare a obiectivelor directivei nu poate fi rezolvat doar printr-o supunere formală față de sistemul de gestionare a securității - ceea ce se numește în mod obișnuit "securitate pe hârtie" -, ci necesită în schimb un efort substanțial pentru a defini obiective de securitate concrete și durabile.
Extinderea perimetrului: cine este implicat în NIS2
Directiva NIS2 reprezintă un pas semnificativ către o mai mare securitate și reziliență cibernetică comună în întreaga Europă. Când vine vorba de regulamente și directive, multe companii consideră conformitatea ca fiind obiectivul final: ceva ce trebuie să respecte prin îndeplinirea cerințelor minime. Cu toate acestea, acest lucru ar trebui văzut ca un punct de plecare pentru atingerea unor niveluri mai ridicate de securitate cibernetică.
Directiva NIS2 rezultă dintr-o revizuire majoră a NIS și marchează un alt pas important către definirea completă a strategiei cibernetice europene, oferind răspunsuri adecvate, coordonate și inovatoare din partea statelor membre pentru a asigura continuitatea serviciilor digitale în cazul unor incidente de securitate.
NIS2 lărgește semnificativ domeniul de aplicare în comparație cu directiva NIS anterioară, incluzând sectoare esențiale precum gestionarea deșeurilor, transporturile, industria alimentară, aprovizionarea și distribuția cu apă potabilă, infrastructura digitală, administrația publică, producția, cercetarea și dezvoltarea de medicamente și dispozitive medicale, precum și sectorul spațial.
Decretul legislativ 138/2024, care transpune Directiva NIS2 în legislația italiană, prevede că dispozițiile se vor aplica începând cu 16 octombrie 2024.
Regulamentul nu se va aplica întreprinderilor mici, cu excepția cazului în care entitatea este identificată ca fiind "critică" în sensul Directivei RCE, un furnizor de rețele publice de comunicații electronice, un furnizor de servicii de încredere sau se încadrează în alte categorii specifice considerate esențiale.
NIS2 se aplică, de asemenea, întreprinderilor cu mai puțin de 50 de angajați dacă acestea furnizează un serviciu esențial într-un stat membru, dacă serviciul lor este esențial pentru siguranța, securitatea sau sănătatea publică sau dacă fac parte din lanțul de aprovizionare al unei întreprinderi esențiale sau importante.
Principalele aspecte critice pentru întreprinderi
1. Complexitatea modelului stratificat și problemele de clasificare
Această complexitate operațională este reflectată în alegerea de către legiuitorul italian a unui model "stratificat". Primul strat este cel standard, adică al subiecților esențiali sau importanți, care depășesc limitele de mărime pentru întreprinderile mici. Al doilea strat este alcătuit din acele entități care, indiferent de dimensiunea sau cifra de afaceri, se încadrează în anumite categorii prescrise.
O problemă semnificativă se referă la măsurarea efectivă a dimensiunii, din cauza trimiterii la noțiunea de "întreprinderi afiliate" asupra căreia, în lumea afacerilor, nu există întotdeauna o claritate absolută a viziunii.
Legătura dintre două sau mai multe societăți este, în teorie, independentă de intenția de a forma un grup formalizat real, cu consecința excluderii din grupul societăților mici și mijlocii a acelor entități care, chiar dacă ar fi considerate individual, nu ar atinge limitele de mărime prevăzute de regulă.
2. Sarcini economice și organizatorice
Când trecem de la idealitatea procesului la abordarea concretă, problema este destul de diferită, deoarece intră în conflict cu dimensiunea economică a unei țări a cărei structură fundamentală este formată dintr-un număr mare de întreprinderi mici și mijlocii. Acest lucru reprezintă o provocare semnificativă în punerea în aplicare a NIS2, care ar putea fi excesiv de împovărătoare pentru realitățile mai mici.
Creată cu scopul de a îmbunătăți securitatea cibernetică a Uniunii Europene, sancțiunile prevăzute de Directiva NIS2 sunt pur administrative și penale. Operatorii esențiali pot face obiectul unor amenzi administrative de până la 10 milioane EUR sau 2 % din cifra de afaceri globală totală. Operatorii importanți, pe de altă parte, pot face obiectul unor amenzi de până la 7 milioane EUR sau până la 1,4 % din cifra de afaceri mondială totală.
3. Responsabilitatea conducerii
Decretul legislativ introduce o certitudine: va exista o responsabilitate a organelor de conducere și de administrare. Organele de conducere ale societăților vor fi chemate să joace un rol activ în respectarea legislației, vor trebui să aprobe punerea în aplicare a măsurilor de gestionare a riscurilor de securitate, să supravegheze punerea în aplicare a obligațiilor prevăzute în legislație și vor fi trase la răspundere în caz de încălcare.
4. Raportarea incidentelor și gestionarea riscurilor
Decretul de transpunere consolidează cerințele de raportare a incidentelor, stipulând că incidentele care au un impact semnificativ asupra furnizării de servicii trebuie raportate către CSIRT Italia fără întârzieri nejustificate. Procesul de notificare prevede termene stricte: o pre-notificare în termen de 24 de ore, o notificare în termen de 72 de ore de la eveniment și un raport final în termen de o lună de la eveniment.
Directiva NIS2 stabilește o serie de cerințe principale pe care organizațiile trebuie să le îndeplinească pentru a asigura un nivel ridicat de securitate cibernetică. Aceste cerințe includ: politici de analiză a riscurilor și de securitate a sistemelor informatice, strategii de evaluare a eficacității măsurilor de gestionare a riscurilor, practici de bază de igienă digitală și formare în domeniul securității cibernetice.
5. Concentrarea pe lanțul de aprovizionare
Rezultă că legislația de transpunere a Directivei NIS2 nu se concentrează numai asupra sectoarelor considerate extrem de critice sau critice, ci, într-o manieră prevăzătoare, și asupra furnizorilor acestora, extinzând astfel considerabil numărul subiecților care pot fi afectați de aplicarea decretului legislativ.
Directiva NIS 2 prevede că entitățile obligate vor trebui să ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile de securitate prezentate de sistemele și rețelele informatice, luând în considerare, de asemenea, securitatea lanțului de aprovizionare, inclusiv aspectele de securitate privind relația dintre fiecare entitate și furnizorii sau prestatorii de servicii direcți.
Principalele termene limită care trebuie respectate
Astfel începe cursa pentru conformitate, care trebuie să fie finalizată până în octombrie 2026. Până la începutul anului 2025, întreprinderile identificate ca subiecți NIS2 trebuie să fie operaționale cu toate măsurile planificate, inclusiv sistemele de gestionare a securității IT și responsabilitățile de gestionare. Până în mai 2025, întreprinderile trebuie să își actualizeze datele în platforma instituțională. În ianuarie 2026, intră în vigoare obligația oficială de a raporta incidentele semnificative în timp util, iar până în septembrie 2026, organizațiile trebuie să fi pus în aplicare toate măsurile de securitate necesare.
Începând cu 16 octombrie 2024, noul regulament privind securitatea rețelelor și a informațiilor (NIS) este în vigoare. ACN este autoritatea competentă NIS și punctul unic de contact. De la 1 decembrie 2024 până la 28 februarie 2025, întreprinderile mijlocii și mari, în unele cazuri și întreprinderile mici și microîntreprinderile, precum și administrațiile publice cărora li se aplică noua legislație trebuie să se înregistreze pe portalul de servicii ACN.
Concluzie: o schimbare de paradigmă necesară, dar provocatoare
Datorită interconectării și digitalizării crescânde a societății, instituțiile, întreprinderile și cetățenii sunt din ce în ce mai expuși amenințărilor cibernetice.
Conducerea de vârf a Agenției Naționale de Securitate Cibernetică și-a luat angajamentul public de a face acest proces durabil, care poate marca cu adevărat un punct de cotitură pentru capacitatea țării de a face față amenințărilor în creștere. Va trebui să așteptăm și să vedem cum țesutul productiv și administrativ al țării va fi capabil să răspundă la ceea ce este, în mod clar, un punct de cotitură cultural profund și care, după cum se poate intui, nu va fi nici o plimbare în parc, nici "neutru din punct de vedere al costurilor".
Prin urmare, adaptarea la NIS2 nu este doar o chestiune de conformitate cu standardul, ci poate fi, de asemenea, o bună ocazie de a introduce în întreprindere o cultură a securității, precum și cele mai bune practici tehnice și organizaționale, ceea ce poate crește considerabil nivelul de securitate IT. Cu toate acestea, este important să se înceapă imediat pregătirea unui plan de adaptare pentru a alinia în etape diferitele active și personalul companiei, cu cicluri de formare periodică corespunzătoare.
Chiar dacă nu sunteți una dintre companiile obligate să se conformeze Directivei NIS2, începerea unui curs de conștientizare a riscurilor cibernetice este importantă pentru protejarea viitorului afacerii dumneavoastră.
Prin urmare, NIS2 reprezintă o provocare complexă, dar necesară pentru întreprinderile italiene. Deși impune noi obligații și responsabilități care pot părea împovărătoare, aceasta oferă, de asemenea, oportunitatea de a regândi securitatea IT ca element strategic și nu doar ca un cost.
