Pe 16 ianuarie 2023, Comisia Europeană a anunțat intrarea în vigoare a Directivei NIS2, a cărei aplicare va deveni obligatorie până în toamna anului 2024 în fiecare stat membru al Uniunii Europene. Anunțul, prea puțin mediatizat în prezent, este important și de actualitate pentru companiile și autoritățile publice din România pentru că impune o serie de cerințe de securitate informatică obligatorii. Respectarea acestora necesită bani, timp și competențe în domeniu – condiții greu de îndeplinit fără o abordare etapizată.
Anunțul intrării în vigoare a NIS2 este important în primul rând pentru că noua versiune a directivei europene se adresează unui spectru mult mai larg de companii, dar și autorităților locale și centrale.
De actualitate, pentru că organizațiile vizate au la dispoziție doar 21 de luni pentru a adopta măsurile necesare satisfacerii cerințelor de securitate prevăzute de directivă. Iar acestea sunt mai numeroase decât în Directiva NIS1 și necesită investiții consistente în produse și servicii. Dar și personal calificat, cu competențe și experiență în domeniul securității informatice. Ori, profesioniștii în cybersecurity sunt de câțiva ani buni una dintre cele mai vânate resurse de pe piața muncii. Deficitul la nivel local era estimat anul trecut la aproximativ 3.000 de specialiști. Cel la nivel global – de peste 1.000 de ori mai mare, respectiv de 3,4 milioane de persoane, conform raportului (ISC)2 Cybersecurity Workforce 2022. Cererea mare „la export“ generează, inevitabil, costuri mari de recrutare și salariale, precum și dificultăți sporite în păstrarea specialiștilor angajați.
Dar, până să ajungă în acest punct, organizațiile – private sau publice – trebuie să se familiarizeze cu cerințele specifice ale directivei NIS2, respectiv ce aduce nou față de versiunea anterioară.
Ce prevede directiva NIS1
Una din principalele schimbări aduse de noua Directivă privind măsurile pentru un nivel comun ridicat de securitate cibernetică în cadrul statelor membre UE – denumirea oficială a NIS2 – este extinderea ariei de acoperire.
Pe de o parte, este vorba de mai multe domenii de activitate vizate. Versiunea inițială, NIS1, include șapte sectoare de activitate economică definite ca „esențiale“: Energie (electrică, petrol și gaze), Transporturi (aerian, feroviar, pe apă, rutier), Domeniul bancar, Infrastructuri ale pieței financiare, Sectorul sănătății, Furnizarea și distribuirea de apă potabilă, Infrastructuri digitale (Servicii IXP pentru traficul internet, Servicii DNS și Gestionarea registrului de nume de domenii .ro).
NIS1 se aplică Operatorilor de Servicii Esențiale (OSE), respectiv organizațiilor care îndeplinesc simultan următoarele condiții: • livrează un serviciu esențial în susținerea unor activități societale sau economice de cea mai mare importanță; • furnizarea respectivului serviciu depinde de o rețea sau de un sistem informatic; • funcționarea respectivului serviciu poate fi perturbată semnificativ în cazul producerii unui incident de securitate.
NIS 1 se aplică și Furnizorilor de Servicii Digitale (FSD) din trei categorii: piețe online, motoare de căutare online, servicii Cloud Computing.
Acoperire extinsă prin NIS2
Comisia Europeană a realizat în 2019 o evaluare a stadiului de aplicare a NIS1 în rândul statelor membre, iar rezultatele obținute au arătat că este necesară o extindere a ariei de acoperire, respectiv includerea mai multor sectoare „esențiale“.
NIS2 rezolvă această cerință prin introducerea unei metode de repartizare a domeniilor de activitate în două categorii distincte – „Esențiale“ și „Importante“ –, care includ sectoare și subsectoare.
Astfel, „Entitățile Esențiale“ (EE, care vor prelua probabil atribuțiile OSE) includ sectoarele: Energie, Transport, Bancare, Piață financiară, Sănătate, Apă potabilă, Ape uzate, Infrastructură digitală, Administrație publică, Managementul serviciilor ITC (B2B) și Spațiu. Subsectoarele aferente sunt: Electricitate, Încălzire și răcire centralizată, Petrol, Gaze, Hidrogen, Transport aerian, Transport feroviar, Transport pe apă și Transport Rutier.
Acestora li se adaugă noua categorie a „Entităților Importante“ (EI), care acoperă șapte sectoare de activitate: Poștă și curierat, Gestionare deșeuri, Producția și distribuția de substanțe chimice, Producția și distribuția de produse agroalimentare, Furnizori digitali și Cercetare. Subsectoarele corespunzătoare sunt: Dispozitive medicale, Computere, produse electronice și optice, Echipamente electrice, Mașini și echipamente neclasificate, Autovehicule, remorci și semiremorci, Echipamente de transport.
Noi categorii de „beneficiari“
Deși precizează că se aplică organizațiilor de dimensiuni medii și mari, noua directivă introduce o serie de excepții care prevăd că NIS2 se aplică indiferent de ordinul de mărime dacă una din următoarele condiții se respectă:
- entitatea este o instituție a administrației publice
- entitatea este singurul furnizor de servicii într-un stat membru
- o potențială întrerupere a serviciului furnizat de entitate ar putea avea un impact asupra siguranței, securității sau sănătății publice
- o potențială întrerupere a serviciului furnizat de entitate ar putea induce riscuri sistemice, în special pentru sectoarele în care un astfel de eveniment ar putea avea un impact transfrontalier
- entitatea este critică din cauza importanței sale specifice la nivel regional sau național pentru un anumit sector sau tip de serviciu sau pentru alte sectoare interdependente din statul membru
- entitatea are atribuții similare unui FSD (categorie preluată din NIS1).
Noua directivă UE vizează și subcontractorii și furnizorii de servicii cu acces la infrastructuri critice, categorii neglijate de prima versiune. De altfel, NIS2 mai rezolvă o „scăpare“ a versiunii anterioare adresând, indirect, și organizațiile care furnizează anumite cateogrii de servicii entităților vizate de NIS2. Astfel, directiva CE prevede că EE/EI trebuie să realizeze o evaluare amănunțită a riscurilor din lanțul lor de aprovizionare, începând cu furnizorii direcți. Aspectele asupra căruia trebuie să insiste sunt analiza capacității de răspuns la incidente a furnizorilor și realizarea de audituri de securitate și teste.
Mai mult, pentru a asigura o acoperire cât mai complet posibilă, NIS2 permite statelor membre să desemneze anumiți operatori ca fiind esențiali sau importanți, în conformitate cu criteriile proprii.
Care sunt cerințele introduse de NIS2
Conform noii directive, organizațiile încadrate ca EE/EI au obligația să ia măsuri tehnice și organizatorice adecvate pentru a gestiona riscurile de securitate a rețelelor și sistemelor informatice utilizate pentru furnizarea serviciilor lor.
Prevederile CE se concentrează pe trei zone majore de acțiune:
- Guvernanță
- Detecție și răspuns la incidente
- Securizarea datelor, aplicațiilor și serviciilor și testarea nivelului de protecție.
Pentru realizarea acestor obiective, NIS2 prevede că organizațiile care se încadrează ca EE/EI trebuie să adopte, minimal, următoarele măsuri:
- analiza riscurilor de securitate
- adoptarea de politici de securitate a sistemelor informatice
- gestionarea incidentelor (prevenire, detectare și răspuns)
- asigurarea continuității activității și a proceselor de bussines
- asigurarea securității lanțului de aprovizionare
- asigurarea securității în dezvoltarea, operarea și mentenanța rețelelor și a sistemelor informatice (inclusiv gestionarea și raportarea vulnerabilităților)
- adoptarea și aplicarea de proceduri pentru evaluarea eficacității măsurilor de gestionare a riscurilor de securitate (testare și audit);
- utilizarea tehnologiilor de criptare.
NIS2 impune totodată obligații specifice de notificare etapizată a incidentelor sau amenințărilor de securitate (la 24 de ore, 72 de ore și lunar).
Per total, sunt mai multe cerințe decât prevede prima versiune NIS, fapt care va genera dificultăți mari pentru multe companii. Dar mai ales pentru instituțiile publice, nefamiliarizate cu o astfel de abordare a problematicii securității informatice și care nu dețin nici dotările și nici competențele necesare.
Amenzi de până la 10 milioane de euro
Pentru a „impulsiona“ din start adoptarea NIS2 la nivelul fiecărui stat membru – după transpunerea directivei în legislațiile naționale –, CE a prevăzut un capitol generos de sancțiuni și amenzi.
Astfel, în cazul în care organizațiile care se încadrează ca EE/EI nu respectă cerințele obligatorii prevăzute, ele sunt pasibile de o amendă care poate ajunge până la 10 milioane de euro sau până la 2% din cifra anuală de afaceri, din cursul exercițiului financiar precedent. (Procentul de 2% se regăsește și în NIS1.) Totodată, CE acordă statelor membre posibilitatea de a adăuga la aceste amenzi propriile sancțiuni.
Noutatea absolută introdusă de NIS 2 la acest capitol constă însă în faptul că atribuie responsabilitatea „organismelor de conducere” ale respectivelor EE/EI. Logica demersului este evidentă – asumarea riscurilor de către top managementul companiilor private sau conducerea instituțiilor de stat. Mai mult, directiva permite statelor membre ca, în cazul EE, persoanelor responsabile să poată fi sancționate prin interdicția temporară de a ocupa funcții de conducere în cadrul respectivelor organizații.
NIS 2 nu prevede doar sancțiuni, ci și obligația pentru top management și directorat de a participa la cursuri periodice de instruire în domeniul securității informatice, pentru a se familiariza cu problematica specifică. Și, evident, pentru a conștientiza faptul că mai bine investesc în dotarea respectivei EE/EI cu soluții de protecție adecvate, decât să sufere pagube și să mai plătească și amenzi.
Cât va costa alinierea la cerințele noii directive
Prevederile CE stipulează că, de la intrarea în vigoare a NIS2, statele membre UE au la dispoziție 21 de luni pentru a adopta efectiv directiva. Ceea ce înseamnă că, teoretic, din septembrie-octombrie 2024, organizațiile care se încadrează ca EE/EI trebuie să respecte cerințele directivei. Acest lucru nu se poate realiza însă fără investiții în soluții și/sau servicii de cybersecurity.
Conform estimărilor inițiale (Impact Assessment Report), adopția NIS2 va genera cheltuieli cu securitatea cu până la 10-12% mai mari în sectoarele acoperite deja de NIS1, respectiv în cazul organizațiilor încadrate ca OSE.
În cazul noilor domenii de activitate acoperite de NIS2, pentru organizațiile care se vor încadra ca EE/EI creșterea cheltuielilor va fi de până la 20-22%.
Mult mai costisitoare va fi alinierea la cerințele directivei pentru instituțiile administrației publice centrale și locale, unde bugetul alocat securității va trebui majorat cu până la 30%.
Câte organizații sunt vizate de NIS2
Potrivit raportorului Parlamentului European Bart Groothuis, noua directivă va viza, într-o primă fază, 160.000 de EE/EI la nivelul Uniunii Europene.
Cât de multe organizații vor fi „afectate“ de NIS2 în România este greu de estimat. În Franța, de exemplu, se preconizează că numărul organizațiilor încadrate ca EE va fi de 10 ori mai mare decât al actualilor OSE. La începutul anului trecut, România avea aproximativ 850 de OSE, în vară – peste 900, deci foarte probabil ca în ianurie 2023 să fii depășit pragul de 1.000. Mai mult ca sigur că în cazul țării noastre ordinul de multiplicare va fi sensibil mai mic, dar este foarte posibil să vorbim de o dublare sau chiar o triplare a numărului de OSE.
Acestora li se vor alătura noile EE/EI, dar rămâne de văzut dacă statul român nu va fi mai „îngăduitor“ cu sectorul public, așa cum a procedat și în cazul aplicării normelor GDPR (Regulamentul General de Protecție a Datelor).
Alinierea la cerințele NIS2 va presupune nu doar costuri, ci și timp. Durata va varia în funcție de nivelul de dezvoltare al infrastructurii de securitate deținute de entități, dar și de nivelul de maturitate al respectivelor organizații, de competențele interne etc.
În aceste condiții, specialiști în domeniu recomandă organizațiilor locale să înceapă prin a se familiariza cu cerințele NIS2, pentru ca ulterior să poată dezvolta o strategie etapizată de aliniere la acestea. Abordarea graduală este necesară pentru a evita sincopele financiare pe care le-ar putea genera un efort investițional inițial prea mare.
Este adevărat însă că, dacă se respectă modelul NIS1, organizațiile din România ar putea beneficia de un mic răgaz. Directiva NIS emisă de Parlamentul European în iulie 2016 a devenit obligatorie în 2018, an în care a și fost transpusă în legislația națională prin Legea nr. 362/2018. Actul normativ a intrat efectiv în vigoare în ianuarie 2019, iar Normele metodologice de identificare a OSE si FSD au aprobate în iunie.
Există însă șanse ca adopția NIS2 să fie accelerată – oficiali ai Directoratului Național de Securitate Cibernetică anunțau încă de anul trecut că vor ca adopția noii directive să fie cât mai rapidă.
Prin urmare, timpul este scurt, cerințele sunt numeroase, costurile – deloc neglijabile, deci…
E timpul de acțiune!