Capitole 08 În vigoare: 18 octombrie 2024

Directiva NIS2

Directiva privind securitatea rețelelor și a sistemelor informatice

Prezentare generală

NIS2 înlocuiește și extinde semnificativ Directiva NIS originală, stabilind un nivel comun ridicat de securitate cibernetică în întreaga UE. Se aplică unui spectru mult mai larg de sectoare și entități, introduce măsuri de supraveghere mai stricte și armonizează sancțiunile între statele membre.[1]

Ca directivă, NIS2 a necesitat transpunerea în legislația națională până la 17 octombrie 2024. Implementarea variază în funcție de statul membru.

Domeniu de aplicare: Entități esențiale vs importante

Entități esențiale (Supraveghere mai strictă)[2]

SecteurExemple
EnergieElectricitate, petrol, gaze, hidrogen, încălzire centralizată
TransportAerian, feroviar, naval, rutier
BănciInstituții de credit
Piețe financiareLocuri de tranzacționare, contrapărți centrale
SănătateFurnizori de servicii medicale, laboratoare, farmaceutice, dispozitive medicale
Apă potabilăFurnizori de apă
Apă uzatăTratamentul apelor uzate
Infrastructură digitalăIXP-uri, DNS, registre TLD, cloud, centre de date, CDN-uri, TSP-uri
Management servicii TICFurnizori de servicii gestionate, furnizori de servicii de securitate gestionate
Administrație publicăEntități guvernamentale centrale
SpațiuOperatori de infrastructură terestră

Entități importante (Supraveghere mai ușoară)

SecteurExemple
Servicii poștaleServicii poștale și curierat
Gestionarea deșeurilorColectare și tratare deșeuri
ChimicaleProducție și distribuție
AlimenteProducție și distribuție
ProducțieDispozitive medicale, electronice, mașini, vehicule
Furnizori digitaliPiețe online, motoare de căutare, rețele sociale
CercetareOrganizații de cercetare

Praguri de mărime

NIS2 se aplică în general entităților medii și mari:

  • Medii: 50+ angajați SAU cifră de afaceri/bilanț de peste 10 milioane €
  • Mari: 250+ angajați SAU cifră de afaceri peste 50 milioane € SAU bilanț peste 43 milioane €

Unele entități se aplică indiferent de mărime (DNS, registre TLD, furnizori cloud, centre de date etc.).

Cerințe cheie

Măsuri de gestionare a riscurilor (Articolul 21)[3]

Entitățile trebuie să implementeze măsuri tehnice, operaționale și organizaționale adecvate:

  1. Politici: Analiza riscurilor și politici de securitate a sistemelor informatice
  2. Gestionarea incidentelor: Proceduri de detectare, răspuns și recuperare
  3. Continuitatea afacerii: Backup, recuperare în caz de dezastru, managementul crizelor
  4. Securitatea lanțului de aprovizionare: Cerințe de securitate pentru furnizori
  5. Securitatea rețelei: Achiziție, dezvoltare și întreținere securizată
  6. Evaluarea eficacității: Politici pentru evaluarea eficacității măsurilor de securitate
  7. Igienă cibernetică de bază: Programe de instruire și conștientizare
  8. Criptografie: Politici privind controalele criptografice și criptarea
  9. Resurse umane: Securitatea personalului și controale de acces
  10. Autentificare multi-factor: MFA și sisteme de comunicare securizate

Raportarea incidentelor (Articolul 23)[4]

TermenCerință
24 de oreAvertizare timpurie către CSIRT/autoritatea competentă
72 de oreNotificare incident cu evaluare inițială
1 lunăRaport final cu cauza rădăcină și măsuri de remediere

Incidentele semnificative trebuie raportate dacă cauzează sau pot cauza perturbări operaționale severe sau pierderi financiare, sau afectează alte persoane fizice sau juridice.

Responsabilitatea conducerii

Organele de conducere trebuie să:

  • Approve măsurile de gestionare a riscurilor de securitate cibernetică
  • Supravegheze implementarea măsurilor de securitate
  • Fie responsabile personal pentru neconformitate
  • Urmărească instruiri în domeniul securității cibernetice

Sancțiuni

  • Entități esențiale: Până la 10 milioane € sau 2% din cifra de afaceri globală
  • Entități importante: Până la 7 milioane € sau 1,4% din cifra de afaceri globală[5]

Statele membre pot impune sancțiuni suplimentare, inclusiv interdicții temporare de conducere.

Obligații pentru dezvoltatori și furnizori de servicii TIC

Dacă furnizați servicii sau produse TIC:

  1. Furnizori de servicii gestionate: Direct în domeniul de aplicare ca entități esențiale
  2. Furnizori cloud: Direct în domeniul de aplicare ca entități esențiale
  3. Dezvoltatori software: Obligații în lanțul de aprovizionare față de entitățile client
  4. Furnizori de securitate: Pot fi desemnați ca entități importante

Surse și referințe

[1]
Directiva (UE) 2022/2555 privind un nivel comun ridicat de securitate cibernetică. EUR-Lex: Textul oficial NIS2
[2]
Anexele I și II ale NIS2: sectoare de entități esențiale și importante. NIS2-Directive.com: Sectoare
[3]
Articolul 21 din NIS2: Măsuri de gestionare a riscurilor de securitate cibernetică. NIS2-Directive.com: Articolul 21
[4]
Articolul 23 din NIS2: Obligații de raportare a incidentelor. NIS2-Directive.com: Articolul 23
[5]
Articolul 34 din NIS2: Amenzi administrative. NIS2-Directive.com: Articolul 34