Directiva UE NIS 2 privind securitatea cibernetică stabilește un punct de referință pentru companii în ceea ce privește sistemele și practicile interne de securitate cibernetică.

Impune cerințe mai stricte în ceea ce privește gestionarea riscurilor, obligațiile de transparență și planificarea continuității afacerii, în cazul unei încălcări cibernetice, scrie CNBC.

Majoritatea statelor UE nu au implementat directiva privind securitatea cibernetică în legislația națională

De joi, 17 octombrie, noua directivă a devenit oficial aplicabilă în statele membre.

Asta înseamnă că firmele trebuie să se asigure că operațiunile lor corespund regulilor. Cu toate acestea, majoritatea statelor membre UE încă nu au implementat NIS 2 în legislația națională, iar aplicarea directivei rămâne pe hârtie.

Două țări – Portugalia și Bulgaria – nu au început procesul de transpunere pentru NIS 2, în care directivele sunt introduse în legislația națională a statelor membre UE, potrivit unui instrument de urmărire al organizației de cercetare pe internet DNS Research Federation.

„Starea implementării legii variază semnificativ în întregul bloc comunitar”, a declarat Tim Wright, avocat tehnologic la Fladgate.

Ce este NIS 2?

NIS 2 — sau Directiva privind securitatea rețelelor și a informațiilor 2 — este o directivă a UE care urmărește creșterea securității sistemelor și rețelelor IT din întreg bloc. Propusă pentru prima dată în 2020, legea servește ca o actualizare a unei directive anterioare, numită pur și simplu NIS.

NIS 2 extinde domeniul de aplicare, pentru a aborda provocările și amenințările mai recente de securitate cibernetică, în contextul în care infractorii au găsit noi modalități de a pirata companiile și de a le compromite datele sensibile.

Directiva se aplică organizațiilor care operează în UE și oferă servicii esențiale consumatorilor, inclusiv bănci, furnizori de energie, instituții de asistență medicală, furnizori de internet, firme de transport și procesatorii de deșeuri.

Companiile au datoria de a împărtăși informații despre vulnerabilitățile cibernetice

Companiile vor avea „datoria” de a raporta și de a împărtăși informații despre vulnerabilitățile cibernetice și atacurile informatice, cu alte companii, în temeiul noului regulament – chiar dacă asta înseamnă să devină victima unor încălcări cibernetice.

Dacă o companie devine victima unei încălcări cibernetice, va avea la dispoziție 24 de ore pentru a trimite o notificare de avertizare timpurie autorităților – un termen mai strict decât cele 72 de ore în care trebuiau să notifice autoritățile despre o încălcare a datelor, în conformitate cu Regulamentul general privind protecția datelor.

De asemenea, vor trebui să își verifice furnizorii de tehnologie pentru amenințările și vulnerabilitățile cibernetice.

Va fi eficient?

Wright consideră că eficacitatea NIS 2 va depinde în mare măsură de implementarea și aplicarea consecventă în statele membre UE.

„Infractorii pot viza țările care au întârziere în transpunerea NIS2 sau pot căuta puncte slabe în lanțurile de aprovizionare, țintind furnizori mai mici, mai puțin siguri, pentru a avea acces la organizații mai mari și mai bine protejate”, afirmă el.

Ce se întâmplă dacă o companie nu se conformează

Pentru entitățile „esențiale” cum ar fi companiile de transport, finanțe și apă, nerespectarea NIS 2 poate duce la amenzi de până la 10 milioane de euro (10,9 milioane de dolari) sau 2% din veniturile anuale globale.

Companiile „importante” – cum ar fi lanțurile alimentare, firmele de produse chimice și serviciile de gestionare a deșeurilor – riscă amenzi de până la 7 milioane de euro sau 1,4% din veniturile anuale globale dacă nu se conformează NIS2.