Documente Academic
Documente Profesional
Documente Cultură
Directiva NIS sau Directiva Uniunii Europene nr.1148/2016 privind măsuri pentru un nivel comun
ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană își produce de anul
acesta efectele și în România, cu impact puternic asupra companiilor care nu se conformează.
Amenzile pot ajunge până la 5% din cifra de afaceri.
Așadar, dacă organizația ta este un operator de servicii esențiale precum cele medicale, bancare, de
furnizarea și distribuirea de apă potabilă, transport sau un furnizor de servicii digitale, este foarte
important să ai în vedere modalitățile practice prin care menții un nivel minim de securitate
cibernetică a rețelelor și sistemelor informatice pe care compania ta le folosește.
În acest articol, îți vom explica pe larg ce înseamnă Directiva NIS pentru compania ta, de ce ai
nevoie de securitate cibernetică în contextul acestei Directive, ce riști dacă nu te conformezi
legislației și care sunt pașii tehnici pe care trebuie să îi faci pentru a te conforma.
Table of Contents
Ce înseamnă NIS
De ce a fost nevoie de o directivă privind securitatea cibernetică
Transpunerea Directivei NIS în legislația națională
Cine trebuie să aplice prevederile Directivei NIS
o Operatorii de Servicii Esențiale (OSE) din 7 sectoare de activitate vitale pentru
economie
o Furnizorii de Servicii Digitale (FSD)
De ce și compania ta are nevoie de măsuri privind securitatea cibernetică în acord cu
Directiva NIS
Ce obligații ai conform NIS
Ce norme tehnice trebuie să respecți. Lista pentru OSE
Primul pas în elaborarea normelor de securitate cibernetică specificate de NIS
o
Pasul 1 – Asigurarea managementului securității informației
1.1 Analizarea și evaluarea riscurilor
1.2 Realizarea unor planuri de securitate și a unei politici de securitate
1.3 Acreditarea de securitate
1.4 Stabilirea unor indicatori de securitate
1.5 Verificarea conformității privind securitatea informației și auditul
de securitate
1.6 Testarea și evaluarea securității rețelelor și sistemelor informatice
1.7 Conștientizarea și instruirea utilizatorilor
1.8 Gestionarea activelor
1
Pasul 2 – De unde te poți aștepta la un atac cibernetic? Cartografierea
ecosistemului
Pasul 3 – Stabilirea relațiilor ecosistemului
Ce înseamnă NIS
NIS este acronimul de la Network and Information Security dar și prescurtarea titulaturii primei
Directive Europene privind securitatea cibernetică (Directive on security of network and
information systems). Adoptată de Parlamentul European în data de 6 iulie 2016, Directiva NIS
trebuia transpusă în legislația statelor membre până la 9 mai 2018, urmând ca identificarea
operatorilor de servicii esențiale, adică acele companii cărora li se aplică Directiva, să fie
identificați până la data de 9 noiembrie 2018.
Pe scurt, companiile, indiferent de mărimea lor, au devenit dependente de diverse sisteme și servicii
informatice, ceea ce a atras interesul infractorilor cibernetici. Incidentele de securitate au crescut
vertiginos în ultimii ani, astfel că europarlamentarii au apreciat că toate statele membre ar trebui să
trateze această problemă cu aceeași seriozitate.
Aceasta în contextul în care membrii UE aveau niveluri de pregătire diferite în fața amenințărilor
cibernetice și asigurau inegal protecția consumatorilor și a întreprinderilor. Or, prin implementarea
acestei Directive, se încearcă tocmai aducerea tuturor companiilor din statele membre la același
nivel comun ridicat de securitate a rețelelor și sistemelor informatice raportat la riscurile asociate.
Obiectivul Directivei NIS este, așadar, acela de a proteja cetățenii europeni, obligând companiile
din industriile critice să adopte un set de măsuri și mecanisme standard prin care să poată asigura un
nivel comun ridicat de securitate cibernetică. În plus, Directiva creează cadrul necesar pentru ca
statele membre să poată colabora pentru identificarea și anihilarea rețelelor de furt cibernetic.
În România, transpunerea Directivei NIS s-a făcut în 2018, prin Legea nr. 362/2018 privind
asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Actul
normativ a intrat în vigoare în data de 12 ianuarie 2019, însă până în iulie 2020, când Guvernul a
emis OUG nr.119 pentru modificarea și completarea Legii nr. 362/2018, procesul de implementare
a Directivei a fost blocat din cauza vidului legislativ.
2
Acum există însă și norme tehnice privind cerințele minime de asigurare a securității rețelelor și
sistemelor informatice aplicabile operatorilor de servicii esențiale.
Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și
sistemelor informatice vizează două categorii de companii:
energie;
transport;
sectorul bancar;
domeniul medical;
infrastructuri ale pieței financiare;
infrastructură digitală;
furnizarea și distribuirea de apă potabilă.
piețe online;
motoare de căutare online;
servicii de cloud computing.
Dacă ești un furnizori de servicii digitale, dar faci parte din categoria IMM-urilor, nu ți se vor aplica
mare parte dintre obligațiile pe care le vom menționa pe parcursul acestui articol.
Pentru a fi însă sigur de statutul companiei în raport cu Directiva NIS, cel mai bine consulți și
Normele metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii
digitale. Le găsești în Monitorul Oficial, Partea I nr. 584 din 17 iulie 2019. De asemenea, Lista cu
serviciile esențiale se poate consulta în Hotărârea nr. 963/2020.
3
În domeniile în care se aplică legislația privind asigurarea unui nivel comun ridicat de securitate
cibernetică, neconformarea poate atrage amenzi cuprinse între 3.000 de lei și 5% din cifra de
afaceri.
Dincolo de obligațiile introduse prin lege și chiar dacă acest cadru legal nu se adresează companiei
tale, să iei măsurile adecvate pentru a menține un nivel înalt de securitate cibernetică reprezintă, de
fapt, polița pe care o plătești pentru a nu înregistra daune materiale și de imagine în cazul unui atac
cibernetic. O analiză recentă a SAS, liderul mondial în analitycs, atrage atenția că există premisele
ca 2021 să fie anul fraudelor digitale.
Așadar, dacă ai făcut deja investiții în digitalizare sau ai permis telemunca, organizația ta a deschis,
probabil, mai mule porți către rețeaua sa informatică. De aceea, ar trebui să te asiguri că rețelele și
sistemele informatice ale companiei tale rămân în siguranță și nu riști pierderi financiare.
Conform Directivei NIS și implicit a legislației naționale, în scopul asigurării securității rețelelor și
sistemelor informatice, în calitate de operator de servicii esențiale (OSE) și/sau furnizor de servicii
digitale (FSD) ai următoarele obligații:
4
2. Să implementezi măsuri adecvate pentru a preveni și minimiza impactul incidentelor care
afectează securitatea rețelelor și a sistemelor informatice utilizate pentru furnizarea serviciilor
esențiale, cu scopul de a asigura continuitatea serviciilor respective.
Pe lângă toate aceste aspecte tehnice, în cazul în care compania ta este un operator de servicii
esențiale sau furnizorii de servicii digitale, trebuie să raportezi CERT-RO tot felul de informații,
inclusiv dacă te-ai confruntat cu incidente care au avut un impact semnificativ asupra continuității
serviciilor esențiale ale companiei. Totodată, trebuie să te supui controalelor CERT-RO în vederea
stabilirii gradului de respectare a obligațiilor ce îți revin în temeiul acestei legi.
Potrivit Normelor tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor
informatice aplicabile operatorilor de servicii esențiale, compania ta trebuie să vegheze
asupra patru domenii de securitate:
Cele patru domenii de securitate se împart, la rândul lor, în categorii de activități de securitate, iar
pentru fiecare dintre acestea sunt stabilite măsuri de securitate cu una sau mai multe cerințe de
securitate, care, la rândul lor, conțin indicatori de control.
5
identifice riscurile în cazul în care nu implementează cerințele de securitate;
să planifice activitățile care stau la baza implementării;
să stabilească responsabilii pentru realizarea acestora.
Revenind la normele tehnice, în acest articol ne vom referi doar la partea de guvernanță, urmând a
detalia celelalte aspecte în articole pe care le vom publica ulterior.
Așadar, pentru a fi în acord cu Directiva NIS, ar trebui să începi cu partea de guvernanță. Este un
proces laborios, în pași pe care îi vom descrie mai jos.
o
noile amenințări în domeniul securității cibernetice;
punctele slabe descoperite recent;
pierderea eficacității măsurilor de securitate;
modificările situației de risc cauzate de modificările arhitecturii rețelelor și
sistemelor informatice;
orice alte modificări ale situației de risc.
6
politica de securitate. Trebuie să elaborezi, să menții și să implementezi o politică de
securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale și
un sistem de management al securității informațiilor.
obiectivele strategice de securitate. Trebuie să faci o descriere a guvernanței securității ce
reflectă toate politicile specifice de securitate ale sistemului de management al securității
informației (SMSI) : procesul de acreditare de securitate, audit de securitate, criptografie,
întreținere securitate, manipulare incidente etc.
implementarea politicii de securitate. Trebuie să întocmești un raport privind
implementarea politicii de securitate a rețelelor și sistemelor informatice care asigură
furnizarea serviciilor esențiale (PONIS) și a documentelor de aplicare a acesteia. Raportul
specifică inventarul riscurilor, nivelul securității rețelelor și sistemelor informatice și
acțiunile de securitate planificate și realizate.
1.3 Acreditarea de securitate
anual;
ori de câte ori se identifică un eveniment/proces de dezvoltare care modifică contextul
descris în procesul de acreditare;
de fiecare dată când se modifică în mod semnificativ configurația rețelelor și sistemelor
informatice sau a aplicațiilor.
În această etapă, trebuie să stabilești o serie de indicatori de evaluare, pe baza cărora să poți evalua
conformitatea cu rețelele și sistemele informatice care asigură furnizarea serviciilor esențiale
(PONIS).
Atenție însă! Pentru fiecare indicator trebuie să specifici metoda de evaluare folosită și, dacă este
cazul, marja de incertitudine în evaluarea sa.
Sunt rețelele și sistemele informatice (SNIS) ale companiei tale conforme? Aceasta este întrebarea
principală la care specaliștii IT din compania ta ar trebui să răspundă în această etapă. Înainte însă
este necesar ca top managementul să efectueze o procedură privind evaluarea conformității
SNIS, în baza ARNIS (analiza riscurilor de securitate a rețelelor și sistemelor informatice, un
document elaborat de companii, prin care sunt identificate elementele critice care stau la baza
furnizării serviciului esențial și sunt identificate principalele riscuri în vederea gestionării și
diminuării acestora).
Tot în această etapă se va elabora și un audit de securitate care va avea drept rezultat un raport de
audit.
Auditul se realizează:
Vulnerabilitățile sistemelor tale IT pot fi generate și de către proprii angajați. De aceea, trebuie să le
pui acestora la dispoziție instrumentele necesare pentru a fi conștienți și informați cu privire la
tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare.
8
Va trebui să prezinți informații despre securitatea cibernetică tuturor angajaților și să organizezi
traininguri de instruire pentru angajații care utilizează rețelele și sisteme informatice.
Ar trebui să ții un inventar (o listă) și să clasifici toate activele, procesele IT, sistemele și elementele
componente ale rețelelor și sistemelor informatice din compania ta. Îți va fi necesar pentru a putea
face actualizări și patch-uri și. După caz, îți va permite inclusiv să stabilești ce elemente din
componența rețelelor și sistemelor informatice sunt afectate de noi probleme de securitate.
Fie că acționează intern, ca angajați, fie că sunt colaboratori ai companiei tale precum furnizorii de
servicii software sau companii cărora le-ai externalizat diverse activități, persoanele fizice sau
juridice cu care organizația ta are legături pot reprezenta un factor de risc pentru sistemele și rețelele
tale informatice.
De aceea, normele de aplicare ale legislației ce transpune Directiv NIS te obligă să stabilești o
“cartografiere a ecosistemului”. Este practic o listă cu riscurilor potențiale identificate și evaluarea
acestora în furnizarea serviciilor esențiale ale companiei tale. Riscurile sunt reprezentate de relațiile
cu părțile interesate ale ecosistemului, fie ele interne sau externe, incluzând, dar fără a se limita la
furnizori – în special cei cu acces la gestionarea activelor critice ale companiei.
9
Trebuie să te asiguri, prin acorduri la nivel de serviciu (SLA) și/sau mecanisme de audit, că și
furnizorii tăi stabilesc măsuri de securitate adecvate. În acest sens elaborează și păstrează o listă cu
acorduri la nivel de serviciu și/sau mecanisme de audit.
În plus, poți apela la specialiști în domeniul securității informației care să te ghideze pe tot parcursul
procesului în urma căruia compania va fi în acord cu legislația și va putea face față oricăror atacuri
cibernetice.
Magnetic IT Services te poate asista în procesul de implementare a Directivei NIS prin servicii
de:
Contact
București/România
Str. Duzilor 24, Sector 2
Suport IT
+4031 005 19 39
Vânzări
+4031 005 10 75
office [@] magnetic-it.com
Suport IT 24/7
Acoperire națională
Certificări
10