Digitalizarea este o arma cu doua taisuri - este necesara, dar implica si multe pericole, astfel ca securitatea cibernetica a serviciilor prestate de companii si in final a populatiei in sine a devenit esentiala. Astfel ca, dupa adoptarea reglementarilor GDPR, a venit randul NIS - Directiva UE 2016/1148 privind securitatea informatica pentru protejarea infrastructurilor critice si digitale si asigurarea functionarii sistemelor care sunt fundamentale pentru societate.

Si iata ca, la patru ani de la intrarea in vigoare a Directivei NIS si la doi ani de la transpunerea de catre statele membre in legislatiile lor nationale, Romania face progrese in procesul de implementare. Primul pas a fost facut in iulie 2020, cand Guvernul Romaniei a emis OUG nr. 119 pentru modificarea si completarea Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, care practic a deblocat procesul de implementare a directivei.

 

Operatorii de servicii esentiale au acum obligatia de a se inscrie in Registrul operatorilor de servicii esentiale, administrat de CERT-RO (Centrul National de Raspuns la Incidente de Securitate Cibernetica), fara un raport de audit specializat, pana la data de 21 Ianuarie 2021. Ulterior, aceasta notificare trebuie insotita de un Raport de audit elaborat de catre un auditor de securitate NIS, atestat de catre CERT-RO. Sectoarele de activitate vizate sunt: energie (electricitate, petrol, gaze naturale), transport (aerian, feroviar, pe apa, rutier), sectorul bancar, infrastructuri ale pietei financiare, sectorul sanatatii, furnizarea si distribuirea de apa potabila si infrastructura digitala, dar si administratia publica.

 

Practic, companiile care presteaza servicii esentiale pentru populatie sunt obligate sa elaboreze si sa implementeze solutii avansate care sa le asigure securitatea informatica si sa colaboreze cu statul pentru a garanta un raspuns coordonat la atacuri informatice.

Nerespectarea implementarii directivei NIS aduce dupa sine consecinte importante: de la sanctiuni din partea autoritatii competente (CERT-RO) la pierderi financiare in urma unor potentiale atacuri si chiar afectarea reputatiei.

Sanctiunile prevazute de lege presupun:

● Amenda de la 3.000 lei la 50.000 lei, iar in cazul constatarii unor incalcari repetate limita maxima a amenzii este de 100.000 de lei;

● Pentru persoanele cu o cifra de afaceri de peste doua milioane de lei, cu amenda in cuantum de la 0,5% la 2% din cifra de afaceri, iar, in cazul unor incalcari repetate, limita maxima a amenzii este de 5% din cifra de afaceri.

 

Desi Directiva a fost elaborata in urma cu cativa ani, implementarea efectiva a intarziat in multe state, media de adoptare fiind de 58,6%. Printre statele membre UE mai avansate se numara Franta (66,7%), Germania (70,6%), Italia (64%), Polonia (42,9%) si Spania (48%), potrivit unui raport ENISA (Agentia Uniunii Europene pentru Securitate Cibernetica).

In urma unui sondaj realizat de agentie in randul a 251 de organizatii din tarile enumerate mai sus, 82% recunosc impactul pozitiv al Directivei NIS asupra securitatii informatiilor.

Peste 80% dintre organizatiile chestionate au declarat ca programul lor de implementare a Directivei NIS este fie finalizat, fie in curs de finalizare, iar 8% intentioneaza sa o puna in aplicare, dar nu au inceput inca.

Programul mediu de implementare a NIS este intre 14 si 18 luni, iar bugetul mediu alocat este de aproximativ 175.000 euro. Circa 43% dintre organizatiile vizate de aceasta directiva au alocat intre 100 si 250.000 euro.

Putin sub 50% dintre organizatiile chestionate au trebuit sa angajeze experti suplimentari in materie de securitate (atat pe plan intern, cat si prin cresterea personalului), in majoritatea cazurilor angajand pana la 4 persoane.

Organizatiile chestionate au acordat prioritate urmatoarelor domenii de securitate: guvernanta, risc si conformitate (GRC), securitate retea, gestionarea continuitatii activitatii (BCM) si managementul vulnerabilitatii (VM).

Pentru implementarea Directivei NIS, 64% dintre organizatiile chestionate au procurat solutii de colectare a jurnalelor de incidente si evenimente de securitate, precum si servicii de constientizare si instruire in materie de securitate.

Aproape 60% dintre organizatiile chestionate au raportat incidente majore de securitate, iar 43% au experimentat incidente cu impact financiar de pana la 500.000 euro.