24 martie, 2022 Directiva NIS în Romania.

Ghid în pași pentru companii

05 nov. Directiva NIS în Romania. Ghid în pași pentru

companii
Posted at 17:17h in Business by admin

Directiva NIS sau Directiva Uniunii Europene nr.1148/2016 privind măsuri pentru un nivel comun
ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană își produce de anul
acesta efectele și în România, cu impact puternic asupra companiilor care nu se conformează.
Amenzile pot ajunge până la 5% din cifra de afaceri.

Așadar, dacă organizația ta este un operator de servicii esențiale precum cele medicale, bancare, de
furnizarea și distribuirea de apă potabilă, transport sau un furnizor de servicii digitale, este foarte
important să ai în vedere modalitățile practice prin care menții un nivel minim de securitate
cibernetică a rețelelor și sistemelor informatice pe care compania ta le folosește.

În acest articol, îți vom explica pe larg ce înseamnă Directiva NIS pentru compania ta, de ce ai
nevoie de securitate cibernetică în contextul acestei Directive, ce riști dacă nu te conformezi
legislației și care sunt pașii tehnici pe care trebuie să îi faci pentru a te conforma.

Table of Contents

 Ce înseamnă NIS
 De ce a fost nevoie de o directivă privind securitatea cibernetică
 Transpunerea Directivei NIS în legislația națională
 Cine trebuie să aplice prevederile Directivei NIS
o Operatorii de Servicii Esențiale (OSE) din 7 sectoare de activitate vitale pentru
economie
o Furnizorii de Servicii Digitale (FSD)
 De ce și compania ta are nevoie de măsuri privind securitatea cibernetică în acord cu
Directiva NIS
 Ce obligații ai conform NIS
 Ce norme tehnice trebuie să respecți. Lista pentru OSE
 Primul pas în elaborarea normelor de securitate cibernetică specificate de NIS
o
 Pasul 1 – Asigurarea managementului securității informației
 1.1 Analizarea și evaluarea riscurilor
 1.2 Realizarea unor planuri de securitate și a unei politici de securitate
 1.3 Acreditarea de securitate
 1.4 Stabilirea unor indicatori de securitate
 1.5 Verificarea conformității privind securitatea informației și auditul
de securitate
 1.6 Testarea și evaluarea securității rețelelor și sistemelor informatice
 1.7 Conștientizarea și instruirea utilizatorilor
 1.8 Gestionarea activelor

1
  Pasul 2 – De unde te poți aștepta la un atac cibernetic? Cartografierea
ecosistemului
 Pasul 3 – Stabilirea relațiilor ecosistemului

Ce înseamnă NIS
 

NIS este acronimul de la Network and Information Security dar și prescurtarea titulaturii primei
Directive Europene privind securitatea cibernetică (Directive on security of network and
information systems). Adoptată de Parlamentul European în data de 6 iulie 2016, Directiva NIS
trebuia transpusă în legislația statelor membre până la 9 mai 2018, urmând ca identificarea
operatorilor de servicii esențiale, adică acele companii cărora li se aplică Directiva, să fie
identificați până la data de 9 noiembrie 2018.

De ce a fost nevoie de o directivă privind securitatea

cibernetică
 

Pe scurt, companiile, indiferent de mărimea lor, au devenit dependente de diverse sisteme și servicii
informatice, ceea ce a atras interesul infractorilor cibernetici. Incidentele de securitate au crescut
vertiginos în ultimii ani, astfel că europarlamentarii au apreciat că toate statele membre ar trebui să
trateze această problemă cu aceeași seriozitate.

Aceasta în contextul în care membrii UE aveau niveluri de pregătire diferite în fața amenințărilor
cibernetice și asigurau inegal protecția consumatorilor și a întreprinderilor. Or, prin implementarea
acestei Directive, se încearcă tocmai aducerea tuturor companiilor din statele membre la același
nivel comun ridicat de securitate a rețelelor și sistemelor informatice raportat la riscurile asociate.

Obiectivul Directivei NIS este, așadar, acela de a proteja cetățenii europeni, obligând companiile
din industriile critice să adopte un set de măsuri și mecanisme standard prin care să poată asigura un
nivel comun ridicat de securitate cibernetică. În plus, Directiva creează cadrul necesar pentru ca
statele membre să poată colabora pentru identificarea și anihilarea rețelelor de furt cibernetic.

Transpunerea Directivei NIS în legislația națională

 

În România, transpunerea Directivei NIS s-a făcut în 2018, prin Legea nr. 362/2018 privind
asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Actul
normativ a intrat în vigoare în data de 12 ianuarie 2019, însă până în iulie 2020, când Guvernul a
emis OUG nr.119 pentru modificarea și completarea Legii nr. 362/2018, procesul de implementare
a Directivei a fost blocat din cauza vidului legislativ.

2
Acum există însă și norme tehnice privind cerințele minime de asigurare a securității rețelelor și
sistemelor informatice aplicabile operatorilor de servicii esențiale.

Cine trebuie să aplice prevederile Directivei NIS

 

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și
sistemelor informatice vizează două categorii de companii:

Operatorii de Servicii Esențiale (OSE) din 7 sectoare de activitate vitale pentru

economie

 energie;
 transport;
 sectorul bancar;
 domeniul medical;
 infrastructuri ale pieței financiare;
 infrastructură digitală;
 furnizarea și distribuirea de apă potabilă.

Furnizorii de Servicii Digitale (FSD)

 piețe online;
 motoare de căutare online;
 servicii de cloud computing.

Dacă ești un furnizori de servicii digitale, dar faci parte din categoria IMM-urilor, nu ți se vor aplica
mare parte dintre obligațiile pe care le vom menționa pe parcursul acestui articol.

Pentru a fi însă sigur de statutul companiei în raport cu Directiva NIS, cel mai bine consulți și 
Normele metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii
digitale. Le găsești în Monitorul Oficial, Partea I nr. 584 din 17 iulie 2019. De asemenea, Lista cu
serviciile esențiale se poate consulta în Hotărârea nr. 963/2020.

De ce și compania ta are nevoie de măsuri privind securitatea

cibernetică în acord cu Directiva NIS
 

3
În domeniile în care se aplică legislația privind asigurarea unui nivel comun ridicat de securitate
cibernetică, neconformarea poate atrage amenzi cuprinse între 3.000 de lei și 5% din cifra de
afaceri.

Dincolo de obligațiile introduse prin lege și chiar dacă acest cadru legal nu se adresează companiei
tale, să iei măsurile adecvate pentru a menține un nivel înalt de securitate cibernetică reprezintă, de
fapt, polița pe care o plătești pentru a nu înregistra daune materiale și de imagine în cazul unui atac
cibernetic. O analiză recentă a SAS, liderul mondial în analitycs, atrage atenția că există premisele
ca 2021 să fie anul fraudelor digitale.

Așadar, dacă ai făcut deja investiții în digitalizare sau ai permis telemunca, organizația ta a deschis,
probabil, mai mule porți către rețeaua sa informatică. De aceea, ar trebui să te asiguri că rețelele și
sistemele informatice ale companiei tale rămân în siguranță și nu riști pierderi financiare.

Ce obligații ai conform NIS

 

Conform Directivei NIS și implicit a legislației naționale, în scopul asigurării securității rețelelor și
sistemelor informatice, în calitate de operator de servicii esențiale (OSE) și/sau furnizor de servicii
digitale (FSD) ai următoarele obligații:

1. Să implementezi măsurile tehnice și organizatorice adecvate și proporționale pentru îndeplinirea

cerințelor minime de securitate.

Aceste cerințe minime de securitate se referă la:

 managementul drepturilor de acces;

 conștientizarea și instruirea utilizatorilor;
 jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor
informatice;
 testarea și evaluarea securității rețelelor și sistemelor informatice;
 managementul configurațiilor rețelelor și sistemelor informatice;
 asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor
informatice;
 managementul continuității funcționării serviciului esențial;
 managementul identificării și autentificării utilizatorilor;
 răspunsul la incidente;
 mentenanța rețelelor și sistemelor informatice;
 managementul suporturilor de memorie externă;
 asigurarea protecției fizice a rețelelor și sistemelor informatice;
 realizarea planurilor de securitate;
 asigurarea securității personalului;
 analizarea și evaluarea riscurilor;
 asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice;
 managementul vulnerabilităților și alertelor de securitate.

4
2. Să implementezi măsuri adecvate pentru a preveni și minimiza impactul incidentelor care
afectează securitatea rețelelor și a sistemelor informatice utilizate pentru furnizarea serviciilor
esențiale, cu scopul de a asigura continuitatea serviciilor respective.

3. Să stabilești mijloacele permanente de contact și să desemnezi responsabilii cu securitatea

rețelelor și sistemelor informatice însărcinați cu monitorizarea mijloacelor de contact.

4. Să asiguri de îndată răspunsul la incidentele survenite, să restabilești în cel mai scurt timp

funcționarea serviciului la parametrii dinaintea incidentului și să realizezi auditul de securitate.

5. Să te interconectezi în termen de 60 de zile de la înscrierea în Registrul operatorilor de servicii

esențiale la serviciul de alertare și cooperare al CERT-RO, să asiguri monitorizarea permanentă a
alertelor și solicitărilor primite prin acest serviciu ori prin celelalte modalități de contact și să iei în
cel mai scurt timp măsurile adecvate de răspuns la nivelul rețelelor și sistemelor informatice proprii.

Pe lângă toate aceste aspecte tehnice, în cazul în care compania ta este un operator de servicii
esențiale sau furnizorii de servicii digitale, trebuie să raportezi CERT-RO tot felul de informații,
inclusiv dacă te-ai confruntat cu incidente care au avut un impact semnificativ asupra continuității
serviciilor esențiale ale companiei. Totodată, trebuie să te supui controalelor CERT-RO în vederea
stabilirii gradului de respectare a obligațiilor ce îți revin în temeiul acestei legi.

Ce norme tehnice trebuie să respecți. Lista pentru OSE

 

Potrivit Normelor tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor
informatice aplicabile operatorilor de servicii esențiale, compania ta trebuie să vegheze
asupra patru domenii de securitate:

 guvernanță – se referă la elaborarea și implementarea unor politici de securitate la nivelul

organizației și este o chestiune ce privește top managementul companiei.
 protecție – se referă la necesitatea de a asigura securitatea rețelelor și sistemelor
informatice. Vorbim aici despre administrarea și mentenanța resurselor, rețelelor și
sistemelor informatice și despre controlul accesului la elementele/componentele rețelelor și
sistemelor informatice.
 apărare cibernetică – se referă la necesitatea de a asigura managementul incidentelor de
securitate. Cum detectează compania ta incidentele care afectează securitatea rețelelor și
sistemelor informatice? Cum le tratează?
 reziliență – se referă la managementul continuității serviciilor esențiale furnizate sau, altfel
spus, business continuity. La acest capitol trebuie să îți ridici întrebări legate de cum
gestionezi situații de criză precum dezastre naturale. Ce faci în cazul unor incidente de
securitate care au un impact major asupra serviciilor esențiale?

Cele patru domenii de securitate se împart, la rândul lor, în categorii de activități de securitate, iar
pentru fiecare dintre acestea sunt stabilite măsuri de securitate cu una sau mai multe cerințe de
securitate, care, la rândul lor, conțin indicatori de control.

În procesul de implementare a cerințelor de securitate, companiile OSE trebuie, de asemenea, să:

5
  identifice riscurile în cazul în care nu implementează cerințele de securitate;
 să planifice activitățile care stau la baza implementării;
 să stabilească responsabilii pentru realizarea acestora.

Revenind la normele tehnice, în acest articol ne vom referi doar la partea de guvernanță, urmând a
detalia celelalte aspecte în articole pe care le vom publica ulterior.

Primul pas în elaborarea normelor de securitate cibernetică

specificate de NIS
 

Așadar, pentru a fi în acord cu Directiva NIS, ar trebui să începi cu partea de guvernanță. Este un
proces laborios, în pași pe care îi vom descrie mai jos.

Pasul 1 – Asigurarea managementului securității informației

Acest pas implică alți șapte pași mai mici, după cum urmează:

1.1 Analizarea și evaluarea riscurilor

Aici ar trebui să pui la punct următoarele:

 o analiză a riscurilor de securitate. Trebuie să efectuezi și să actualizezi periodic o analiză a

riscurilor de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor
esențiale. Începi prin a identifica sistemele/echipamentele informatice critice care stau la
baza furnizării serviciului esențial și principalele riscuri.
 gestionarea riscurilor de securitate. Va trebui să stabilești o metodologie de gestionare a
riscurilor furnizării serviciilor esențiale care va reflecta procesul de evaluare a riscurilor,
criteriile de analiză, de acceptare și de reducere a riscurilor.
 evaluarea riscurilor de securitate. Va trebui să faci o analiză cu referiri la:


o
 noile amenințări în domeniul securității cibernetice;
 punctele slabe descoperite recent;
 pierderea eficacității măsurilor de securitate;
 modificările situației de risc cauzate de modificările arhitecturii rețelelor și
sistemelor informatice;
 orice alte modificări ale situației de risc.

Rezultatul evaluării riscurilor va fi documentat în registrul de risc organizațional.

1.2 Realizarea unor planuri de securitate și a unei politici de securitate

Aici ar trebui să te ocupi de:

6
  politica de securitate. Trebuie să elaborezi, să menții și să implementezi o politică de
securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale și
un sistem de management al securității informațiilor.
 obiectivele strategice de securitate. Trebuie să faci o descriere a guvernanței securității ce
reflectă toate politicile specifice de securitate ale sistemului de management al securității
informației (SMSI) : procesul de acreditare de securitate, audit de securitate, criptografie,
întreținere securitate, manipulare incidente etc.
 implementarea politicii de securitate. Trebuie să întocmești un raport privind
implementarea politicii de securitate a rețelelor și sistemelor informatice care asigură
furnizarea serviciilor esențiale (PONIS) și a documentelor de aplicare a acesteia. Raportul
specifică inventarul riscurilor, nivelul securității rețelelor și sistemelor informatice și
acțiunile de securitate planificate și realizate.

1.3 Acreditarea de securitate

Rețelele și sistemele informatice ale companiei tale, inclusiv componentele de administrare, ar

trebui acreditate. Ar trebui să știi, așadar, următoarele despre acreditarea de securitate:

 este o decizie formală luată de managementul de nivel înalt al companiei;

 certifică faptul că orice risc rezidual a fost identificat și acceptat la nivel managerial;
 certifică procesul de identificare a riscurilor care afectează securitatea și modul de
implementare a măsurilor necesare pentru protejare;
 are valabilitate de cel mult un an.

În plus, ar trebui să ai și o așa-numită mapă de acreditare de securitate care cuprinde:

 analiză riscuri și obiective de securitate;

 proceduri și măsuri de securitate aplicate;
 rapoarte de audit de securitate;
 rapoarte de evaluare a conformității;
 riscuri reziduale și motive care justifică acceptarea acestora.

În plus, trebuie să iei în calcul faptul că este necesar să revizuiești validarea acreditării de

securitate în următoarele situații:

 anual;
 ori de câte ori se identifică un eveniment/proces de dezvoltare care modifică contextul
descris în procesul de acreditare;
 de fiecare dată când se modifică în mod semnificativ configurația rețelelor și sistemelor
informatice sau a aplicațiilor.

Practic, ai obligația reînnoirii aprobării imediat ce aceasta nu mai este valabilă.

1.4 Stabilirea unor indicatori de securitate

În această etapă, trebuie să stabilești o serie de indicatori de evaluare, pe baza cărora să poți  evalua
conformitatea cu rețelele și sistemele informatice care asigură furnizarea serviciilor esențiale
(PONIS).

De exemplu, te poți referi la:

 performanțele gestionării riscurilor;

7
  menținerea resurselor în condiții sigure;
 drepturile de acces ale utilizatorilor;
 autentificarea accesului la resurse;
 administrarea resurselor.

 Atenție însă! Pentru fiecare indicator trebuie să specifici metoda de evaluare folosită și, dacă este
cazul, marja de incertitudine în evaluarea sa. 

Dacă un indicator se schimbă semnificativ în comparație cu evaluarea anterioară, trebuie să

identifici și să specifici motivele.

1.5 Verificarea conformității privind securitatea informației și auditul de securitate

Sunt rețelele și sistemele informatice (SNIS) ale companiei tale conforme? Aceasta este întrebarea
principală la care specaliștii IT din compania ta ar trebui să răspundă în această etapă. Înainte însă
este necesar ca top managementul să efectueze o procedură privind evaluarea conformității
SNIS, în baza ARNIS (analiza riscurilor de securitate a rețelelor și sistemelor informatice, un
document elaborat de companii, prin care sunt identificate elementele critice care stau la baza
furnizării serviciului esențial și sunt identificate principalele riscuri în vederea gestionării și
diminuării acestora).

Responsabilitatea acestei activități aparține structurii de securitate sau echipei stabilite de

managementul de cel mai înalt nivel al companiei. Ea se finalizează cu un raport de evaluare a
conformității.

Tot în această etapă se va elabora și un audit de securitate care va avea drept rezultat un raport de
audit.

Auditul se realizează:

 cel puțin o dată la 2 ani;

 numai de auditori de securitate informatică pentru auditarea rețelelor și sistemelor
informatice, atestați de ANSRSI și cu atestat valabil la data finalizării RASNIS.

1.6 Testarea și evaluarea securității rețelelor și sistemelor informatice

Procesul de testare și evaluare va implica verificarea sistemelor operaționale pe baza unei

planificări atente astfel încât riscul întreruperii furnizării serviciului esențial să fie minim.

Concret, va trebuie să identifici și să previi eventuale vulnerabilități ale rețelelor și sistemelor

informatice, fie că este vorba despre software (aplicații) sau de hardware (infrastructură de rețea,
sisteme informatice).

La final, va trebui să elaborezi și un raport de testare și evaluare a securității rețelelor și

sistemelor informatice.

1.7 Conștientizarea și instruirea utilizatorilor

Vulnerabilitățile sistemelor tale IT pot fi generate și de către proprii angajați. De aceea, trebuie să le
pui acestora la dispoziție instrumentele necesare pentru a fi conștienți și informați cu privire la
tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare.

8
Va trebui să prezinți informații despre securitatea cibernetică tuturor angajaților și să organizezi
traininguri de instruire pentru angajații care utilizează rețelele și sisteme informatice.

1.8 Gestionarea activelor

Ar trebui să ții un inventar (o listă) și să clasifici toate activele, procesele IT, sistemele și elementele
componente ale rețelelor și sistemelor informatice din compania ta. Îți va fi necesar pentru a putea
face actualizări și patch-uri și. După caz, îți va permite inclusiv să stabilești ce elemente din
componența rețelelor și sistemelor informatice sunt afectate de noi probleme de securitate.

În plus, va trebui să elaborezi o procedură pentru etichetarea și clasificarea datelor și informațiilor

pentru a reflecta sensibilitatea acestora. Este imperios necesar să te asiguri că datele/informațiile
sunt gestionate corespunzător.

Pasul 2 – De unde te poți aștepta la un atac cibernetic? Cartografierea ecosistemului

Fie că acționează intern, ca angajați, fie că sunt colaboratori ai companiei tale precum furnizorii de
servicii software sau companii cărora le-ai externalizat diverse activități, persoanele fizice sau
juridice cu care organizația ta are legături pot reprezenta un factor de risc pentru sistemele și rețelele
tale informatice.

De aceea, normele de aplicare ale legislației ce transpune Directiv NIS te obligă să stabilești o
“cartografiere a ecosistemului”. Este practic o listă cu riscurilor potențiale identificate și evaluarea
acestora în furnizarea serviciilor esențiale ale companiei tale. Riscurile sunt reprezentate de relațiile
cu părțile interesate ale ecosistemului, fie ele interne sau externe, incluzând, dar fără a se limita la
furnizori – în special cei cu acces la gestionarea activelor critice ale companiei.

Pentru elaborarea liste, vei avea în vedere 4 parametrii majori:

 maturitatea. Care sunt capacitățile tehnice ale părților interesate cu privire la securitatea

cibernetică?
 încrederea. Poți presupune că intențiile părților interesate față de tine sunt fiabile?
 nivelul de acces. Care sunt drepturile de acces ale părților interesate la rețelele și sistemele
informatice?
 dependența. În ce măsură relația cu părțile interesate este critică pentru activitatea mea?

Pasul 3 – Stabilirea relațiilor ecosistemului

Legat de pasul numărul 2, va trebui să elaborezi și să implementezi și o procedură de stabilire a

relațiilor ecosistemului. Aceasta va include interconexiunile (relațiile externe) între propriile rețelele
și sisteme informatice și terți. În general, cerințele de securitate trebuie luate în considerare pentru
componentele rețelelor și sistemelor informatice operate de terți.

9
Trebuie să te asiguri, prin acorduri la nivel de serviciu (SLA) și/sau mecanisme de audit, că și
furnizorii tăi stabilesc măsuri de securitate adecvate. În acest sens elaborează și păstrează o listă cu
acorduri la nivel de serviciu și/sau mecanisme de audit.

Punerea în acord cu legislația privind securitatea rețelelor și a sistemelor informatice nu este un

lucru ușor. Implică timp, resurse umane care să gestioneze tot procesul și resurse financiare pentru
ca strategia de securitate să fie implementată.

Cu toate acestea, nu ar trebui să privești această provocare ca pe un lucru eminamente nou. Ca și în

cazul GDPR, legislația europeană se aliniază de cele mai multe ori la diverse standarde
internaționale. În cazul acesta, putem aminti de standardul ISO/IEC 27001 privind Sistemul de
Management al Securității Informației, cel mai important standard de securitate a informațiilor la
nivel mondial pe care îl poate dobândi o companie din domeniul IT și nu numai.

În plus, poți apela la specialiști în domeniul securității informației care să te ghideze pe tot parcursul
procesului în urma căruia compania va fi în acord cu legislația și va putea face față oricăror atacuri
cibernetice.

Magnetic IT Services te poate asista în procesul de implementare a Directivei NIS prin servicii
de:

 Audit IT, Penetration Testing & Social Engineering

 Security Operation Center
 Network Operation Center
 Scanare Periodică Vulnerabilități
 Colectarea logurilor de securitate
 Implementare Politică de Backup
 Creare plan de Disaster Recovery & Business Continuity

Ai nevoie de un audit realizat de o echipă certificată? Contactează-ne

Contact
București/România
Str. Duzilor 24, Sector 2
Suport IT
+4031 005 19 39
Vânzări
+4031 005 10 75
office [@] magnetic-it.com
Suport IT 24/7
Acoperire națională
Certificări

10