Directiva NIS, noi cerințe de securitate și amenzi cumulative cu GDPR

Evoluția digitală este o armă cu două tăișuri, iar securitatea cetățenilor în universul digital este
un subiect des întâlnit în dezbaterile purtate pe acest subiect. Nu toate incidentele pot fi
prevenite, dar măsuri proactivepentru diminuarea impactului acestora trebuie avute în vedere.
Acesta este și scopul celor două acte normative despre care au existat dezbateri în ultima
perioadă: GDPR (Regulamentul general privind protecția datelor nr. 679/2016) și NIS (Directiva
UE 2016/1148 privind securitatea rețelelor și a sistemelor informatice).

 Ce este NIS (Network and Information Security)? Considerată prima legislație

cuprinzătoare privind securitatea informațiilor din UE care instituie o cultură a securitații
prin cerințele sale, NIS vizează protejarea infrastructurilor critice și digitale pentru
asigurarea funcționării sistemelor care sunt fundamentale pentru societate și stabilirea
măsurilor în vederea obținerii unui nivel comun ridicat de securitate, luând în calcul
riscurile asociate. Nu în ultimul rând, prin măsurile impuse, ca orice directivă europeană,
NIS vizează protejarea cetățenilor UE împotriva riscurilor cibernetice.

 Cui se aplică NIS? Spre deosebire de GDPR, NIS se adresează unui public determinat:
OSE (Operatorii de Servicii Esențiale) -entități publice/private din următoarele sectoare
de activitate: energie, transport, sector bancar, infrastructuri ale pieței financiare,
sănătate, furnizarea și distribuirea de apă potabilă) și DSP (Digital Service Providers) -
furnizorilor de servicii digitale (piețe online, motoare de căutare online și servicii de
cloud computing).

 Care este scopul NIS? Obiectivul directivei NIS constă în sporirea securității cibernetice
în industriile critice din UE și obținerea unui nivel comun ridicat de securitate a rețelelor
și sistemelor informatice pentru a face față incidentelor de securitate informatică la
nivelul Uniunii Europene.

GDPR nu este suficient? Pe de o parte, scopurile NIS și GDPR se pot suprapune uneori
pentru că solicită operatorilor să implementeze maăuri de securitate bazate pe riscuri și
stabilesc obligații de notificare în cazul incidentelor de securitate. Pe de altă parte,GDPR
are ca scop protejarea datelor cu caracter personal, în schimb ce NIS este axată pe
protejarea securitatea rețelelor și a serviciilor informatice. NIS impune organizațiilor să-
și securizeze corespunzător rețelele pentru a putea asigura continuitatea serviciilor
furnizate. În multe situații măsurile de securitate deja implementate pentru GDPR nu
vor fi suficiente pentru conformitatea cu NIS.

 Ce obligații aduce NIS? Directiva solicită ca organizațiile identificate ca OSE și DSP să

poată asigura continuitatea serviciilor esențiale prin:
 i) implementarea măsurilor tehnice și organizatorice adecvate și proporționale pentru
a putea gestiona riscurile la adresa securității rețelelor și sistemelor informatice pe care le
utilizează;
ii) implementarea masurilor adecvate pentru a preveni și minimiza impactul incidentelor;
iii) notificarea „fară intârzieri nejustificate” către autoritățile competente a incidentelor
care afectează securitatea.

 Cu toate acestea, nimic nu e nou. Fie că vorbim de GDPR sau NIS, legislația europeană
se aliniază cu standardele internaționale (ex: NIST, ISO 27001) și promovează o abordare
bazată pe managementul riscurilor, fiind o reacție naturală dacă luăm în considerare că
riscurile asociate prelucrării informației devin tot mai mari pe fondul evoluției
amenințărilor cibernetice.

 Care va fi impactul în cadrul organizațiilor? Pentru a se putea conforma cerințelor NIS și

legislațiilor subsecvente, organizațiile ar trebui să aibă în vedere alocarea unor bugete
care să susțină angajamentul de asigurare a unui set matur de măsuri de ordin
tehnologic și de guvernanță privind securitatea sistemelor și rețelelor. Practic, având în
vedere că inițiativele legislative curente promovează câteva elemente comune precum
evaluări bazate pe risc, pe notificarea incidentelor sau pe audit, organizațiile identificate
ca OSE și DSP, si nu numai, ar trebui să ia în considerare asigurarea următoarelor
aspecte:

i) securitatea sistemelor și a rețelelor;

ii) gestionarea incidentelor;
iii) gestionarea continuității activității;
iv) monitorizarea, auditarea și testarea periodic;
v) conformitatea cu standardele internaționale;
vi) menținerea unui grad ridicat de conștientizare a angajaților împotriva amenințărilor.

 Cum se pot pregăti organizațiile? Organizațiile care fac obiectul Directivei NIS trebuie să
se asigure că au făcut trecerea de la măsuri reactive la unele proactive și că au
implementate:
i) sisteme mature de detectare a amenințărilor;
ii) un management experimentat pentru gestionarea incidentelor, astfel încât să
poată identifica cu ușurință natura atacului, dar și soluții pentru reducerea
impactului;
iii) mecanisme eficiente de raportare a incidentelor.
Mai mult, potrivit NIS, organizațiile OSE/DSP trebuie să poată furniza autorităților
competente:
a) informații necesare pentru evaluarea securității rețelelor și a sistemelor informatice;
b) dovada implementării eficiente a politicilor de securitate;
c) rezultatele auditului de securitate, inclusiv probele pe care se bazează acesta.
O altă componenta, care uneori rămâne în plan secund, este legată de personalul calificat
existent la nivelul fiecărei organizații pentru a gestiona astfel de evenimente. Formarea unor
echipe de profesioniști, cu expertiză în domeniul securității cibernetice, este un factor cheie în
implementarea cu succes a prevederilor NIS și nu numai.

 Care sunt următorii pași? În primul rând, organizațiile trebuie să conștientizeze faptul că
nivelul bugetelor alocate pentru asigurarea măsurilor de securitate este direct
proporțional cu maturitatea acestora. În al doilea rând, pentru a avea o vizibilitate
asupra pașilor care trebuie urmați , în vederea conformării cerințelor legislative în
domeniu, operatorii trebuie să efectueze analize obiective în ceea ce privește gradul de
maturitate al securității sistemelor și al îndeplinirii cerințelor legale aplicabile. Astfel de
analize vor constitui un punct de plecare în ceea ce privește implementarea prevederilor
NIS. Este posibil ca o mare parte din operatori să aibă deja implementate anumite
măsuri de securitate, planuri de răspuns la incidente și de protejare împotriva atacurilor
cibernetice, dar acestea să nu raspundă în totalitate cerințelor NIS.

 Cum este Directiva transpusă în România? În ianuarie 2019 a intrat in vigoare Legea
362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și
sistemelor informatice care transpune prevederile NIS și stabilește amenzi pentru
neconformitate de pana la 5% din cifra de afaceri a organizațiilor. Așteptam în
continuare publicarea normelor metodologice de aplicarea a Legii.

Ne așteptăm în anii ce urmează, odată cu importanța digitalizării pentru societate, ca legiuitorii

să impună obligații din ce în ce mai stricte companiilor și să le ceară acestora să reducă în mod
direct riscurile la care pot fi expuși cetățenii. La nivelul Uniunii Europene constatăm aceeași
tendință ca în Statele Unite ale Americii de a responsabiliza marile companii pentru aspectele
negative ale influenței pe care o au în rândul populației, o tendință care a existat de mulți ani în
alte zone ale mapamondului.

Un articol semnat de Claudiu Constantinescu și Cristina Roșu, Deloitte România.