Directiva europeană 2.555/2022, supranumită și Directiva NIS2, urmează să înlocuiască Directiva NIS1 în data de 18 octombrie 2024. De la acea dată trebuie să pună în aplicare modificările și autoritățile de la noi, fie prin lege, fie prin ordonanță.

În România, Directiva NIS1 este transpusă prin Legea 362/2018, care a introdus măsuri obligatorii de securitate cibernetică pentru firmele de transport, spitalele și clinicile medicale, furnizorii de gaze naturale, electricitate, petrol și apă potabilă sau pentru bănci.

În plus față de aceste afaceri, pe lista celor care trebuie să ia măsuri de securitate cibernetică, conform Directivei NIS2, apar, printre alții, producătorii, prelucratorii și distribuitorii de alimente, cei care prestează servicii poștale și de curierat, cei ce gestionează deșeuri, cei ce fabrică autovehicule, echipamente electrice, computere și produse electronice și optice, precum și firmele care au marketplace-uri.

„Noua directivă impune obligații directe asupra managementului companiilor/instituțiilor vizate în ceea ce privește punerea în aplicare și supravegherea respectării legislației de către organizația lor, ceea ce poate duce la amenzi și la interzicerea temporară a exercitării funcțiilor de conducere. 

Entitățile vizate trebuie să implementeze măsuri de gestionare a riscurilor cibernetice, care includ cerințe de atenuare a riscurilor de securitate și obligația de diligență din partea furnizorilor/furnizorilor de servicii terțe. În același timp, acestea ar trebui să identifice rapid impactul potențial al incidentelor, înainte sau pe măsură ce acestea se desfășoară, asupra rețelei și sistemelor informatice afectate, cât și asupra dependenței de aceste sisteme, precum și durata și gravitatea întreruperii serviciilor.

Au fost modificate și cerințele privind raportarea incidentelor, NIS2 impunând obligații de notificare în etape, inclusiv o notificare inițială în termen de 24 de ore de la luarea la cunoștință a anumitor incidente sau amenințări cibernetice, iar detaliile trebuie transmise în termen de 72 de ore. O raportare mai detaliată este necesară la o lună de la apariția unui incident semnificativ, ca măsură de monitorizare. Totuși, noul act legislativ raționalizează obligațiile de raportare pentru a evita raportarea excesivă și crearea unei sarcini excesive pentru entitățile vizate”, explică, într-un articol recent, specialiștii de la PwC România.

Legea 362/2018 se aplică din ianuarie 2019, aceasta aducând noi obligații pentru firme pe partea de securitate cibernetică. Atacurile informatice afectează tot mai des serviciile importante pentru o societate, iar consecințele pot fi deosebit de grave atât pentru firme, cât și pentru populație. Astfel, punerea în practică a cerințelor de securitate impuse de lege aduce beneficii companiilor vizate și cetățenilor.

Atenție! Pentru a se aplica în România, Directiva NIS2 trebuie transpusă prin lege sau ordonanță de autoritățile de la noi.