Documente Academic
Documente Profesional
Documente Cultură
Evoluția digitală este o armă cu două tăișuri, iar securitatea cetățenilor în universul digital este
un subiect des întâlnit în dezbaterile purtate pe acest subiect. Nu toate incidentele pot fi
prevenite, dar măsuri proactivepentru diminuarea impactului acestora trebuie avute în vedere.
Acesta este și scopul celor două acte normative despre care au existat dezbateri în ultima
perioadă: GDPR (Regulamentul general privind protecția datelor nr. 679/2016) și NIS (Directiva
UE 2016/1148 privind securitatea rețelelor și a sistemelor informatice).
Cui se aplică NIS? Spre deosebire de GDPR, NIS se adresează unui public determinat:
OSE (Operatorii de Servicii Esențiale) -entități publice/private din următoarele sectoare
de activitate: energie, transport, sector bancar, infrastructuri ale pieței financiare,
sănătate, furnizarea și distribuirea de apă potabilă) și DSP (Digital Service Providers) -
furnizorilor de servicii digitale (piețe online, motoare de căutare online și servicii de
cloud computing).
Care este scopul NIS? Obiectivul directivei NIS constă în sporirea securității cibernetice
în industriile critice din UE și obținerea unui nivel comun ridicat de securitate a rețelelor
și sistemelor informatice pentru a face față incidentelor de securitate informatică la
nivelul Uniunii Europene.
GDPR nu este suficient? Pe de o parte, scopurile NIS și GDPR se pot suprapune uneori
pentru că solicită operatorilor să implementeze maăuri de securitate bazate pe riscuri și
stabilesc obligații de notificare în cazul incidentelor de securitate. Pe de altă parte,GDPR
are ca scop protejarea datelor cu caracter personal, în schimb ce NIS este axată pe
protejarea securitatea rețelelor și a serviciilor informatice. NIS impune organizațiilor să-
și securizeze corespunzător rețelele pentru a putea asigura continuitatea serviciilor
furnizate. În multe situații măsurile de securitate deja implementate pentru GDPR nu
vor fi suficiente pentru conformitatea cu NIS.
Cu toate acestea, nimic nu e nou. Fie că vorbim de GDPR sau NIS, legislația europeană
se aliniază cu standardele internaționale (ex: NIST, ISO 27001) și promovează o abordare
bazată pe managementul riscurilor, fiind o reacție naturală dacă luăm în considerare că
riscurile asociate prelucrării informației devin tot mai mari pe fondul evoluției
amenințărilor cibernetice.
Cum se pot pregăti organizațiile? Organizațiile care fac obiectul Directivei NIS trebuie să
se asigure că au făcut trecerea de la măsuri reactive la unele proactive și că au
implementate:
i) sisteme mature de detectare a amenințărilor;
ii) un management experimentat pentru gestionarea incidentelor, astfel încât să
poată identifica cu ușurință natura atacului, dar și soluții pentru reducerea
impactului;
iii) mecanisme eficiente de raportare a incidentelor.
Mai mult, potrivit NIS, organizațiile OSE/DSP trebuie să poată furniza autorităților
competente:
a) informații necesare pentru evaluarea securității rețelelor și a sistemelor informatice;
b) dovada implementării eficiente a politicilor de securitate;
c) rezultatele auditului de securitate, inclusiv probele pe care se bazează acesta.
O altă componenta, care uneori rămâne în plan secund, este legată de personalul calificat
existent la nivelul fiecărei organizații pentru a gestiona astfel de evenimente. Formarea unor
echipe de profesioniști, cu expertiză în domeniul securității cibernetice, este un factor cheie în
implementarea cu succes a prevederilor NIS și nu numai.
Care sunt următorii pași? În primul rând, organizațiile trebuie să conștientizeze faptul că
nivelul bugetelor alocate pentru asigurarea măsurilor de securitate este direct
proporțional cu maturitatea acestora. În al doilea rând, pentru a avea o vizibilitate
asupra pașilor care trebuie urmați , în vederea conformării cerințelor legislative în
domeniu, operatorii trebuie să efectueze analize obiective în ceea ce privește gradul de
maturitate al securității sistemelor și al îndeplinirii cerințelor legale aplicabile. Astfel de
analize vor constitui un punct de plecare în ceea ce privește implementarea prevederilor
NIS. Este posibil ca o mare parte din operatori să aibă deja implementate anumite
măsuri de securitate, planuri de răspuns la incidente și de protejare împotriva atacurilor
cibernetice, dar acestea să nu raspundă în totalitate cerințelor NIS.
Cum este Directiva transpusă în România? În ianuarie 2019 a intrat in vigoare Legea
362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și
sistemelor informatice care transpune prevederile NIS și stabilește amenzi pentru
neconformitate de pana la 5% din cifra de afaceri a organizațiilor. Așteptam în
continuare publicarea normelor metodologice de aplicarea a Legii.