Companiile se pregătesc pentru reglementări stricte în domeniul securității cibernetice
Companiile din Uniunea Europeană s-ar putea confrunta cu penalizări semnificative sau chiar cu suspendarea serviciilor, în conformitate cu noile reglementări stricte de securitate cibernetică ce vor intra în vigoare pe 17 octombrie. Macronul de știri CNBC a transmis că Directiva NIS 2, care vizează securitatea cibernetică, va impune cerințe drastice asupra operatorilor economici.
În acest context, firmele vor trebui să se conformeze cu obligațiile stabilite prin această directivă, dezvolta strategii interne eficiente privind reziliența cibernetică și îmbunătăți practicile interne de securitate. Noul cadru normativ reflectă provocările actuale în domeniul securității cibernetice și necesitatea de a proteja informațiile sensibile în fața amenințărilor tot mai sofisticate.
Despre Directiva NIS 2
Directiva NIS 2, care întrunește sigla „Directiva privind securitatea rețelelor și a informațiilor 2”, este o REGULARE importantă a Uniunii Europene, menită să întărească securitatea sistemelor IT. Aceasta constituie o actualizare a unei reglementări mai vechi, denumită simplu NIS, care a fost inițiată în 2020.
NIS 2 lărgește aria de aplicare a reglementării anterioare, abordând noi provocări și amenințări de securitate cibernetică, apărute pe fondul evoluției tehnologiei și a creșterii activității infracționale în mediul digital. Directiva se aplică organizațiilor care oferă servicii esențiale, precum bănci, furnizori de energie, instituții de sănătate, furnizori de internet, companii de transport, precum și firme care se ocupă cu gestionarea deșeurilor.
Obiectivele Directivei NIS 2
Printre principalele domenii abordate de NIS 2 se numără managementul riscurilor, responsabilitatea corporativă, obligațiile de raportare și planificarea continuității afacerilor în cazul unor atacuri cibernetice. Geert van der Linden, vicepreședinte executiv al Capgemini, a declarat că regulile NIS 2 stabilesc o nouă linie de bază cu privire la standardele de protecție a cetățenilor și a operațiunilor, oferind o ponteră pentru companii în fața amenințărilor digitale.
Van der Linden a precizat că NIS 2 va fi percepută ca un standard global. Companiile, fie ele clasificate ca esențiale sau nu în cadrul reglementării, vor trebui să se alinieze acestor cerințe pentru a-și proteja activitatea și reputația.
Strategii de prevenire a atacurilor cibernetice
Respectarea standardelor stabilite prin NIS 2 oferă companiilor o protecție suplimentară în fața posibilelor reclamații legale. Comparând-o cu o asigurare de locuință, care protejează împotriva hoților, Van der Linden sugerează că atacatorii cibernetici vor viza întotdeauna organizațiile mai puțin protejate.
Același principiu se aplică și pentru managementul securității cibernetice. De aceea, firmele sunt încurajate să-și reevalueze strategiile de protecție, identificând vulnerabilitățile care ar putea fi exploatate de atacatori.
Un aspect important al NIS 2 este obligativitatea verificării lanțurilor de aprovizionare digitale pentru identificarea potențialelor amenințări și vulnerabilități. Într-o lume în care companiile utilizează o varietate tot mai mare de produse și instrumente tehnologice, infractorii pot găsi multiple căi de acces la datele sensibile.
Responsabilitățile și colaborarea între companii
Chris Gow, șeful politicilor publice din domeniul UE la Cisco, a menționat că NIS 2 va promova un „exercițiu de cartografiere”, în care companiile sunt obligate să-și analizeze furnizorii de tehnologie pentru a evalua riscurile asociate acestora. Acest lucru subliniază importanța colaborării între organizații în vederea îmbunătățirii securității cibernetice pe deplin.
De asemenea, companiile vor avea „datoria” de a raporta și de a partaja informații despre vulnerabilitățile cibernetice și atacurile cibernetice cu alte entități. Așadar, dezvoltarea unei culturi de colaborare și schimb de informații va fi esențială pentru a îmbunătăți răspunsul la atacurile cibernetice și pentru a proteja datele sensibile ale consumatorilor.
În concluzie, cu intrarea în vigoare a Directivei NIS 2, companiile din Uniunea Europeană trebuie să își adapteze urgent strategiile de securitate cibernetică, având în vedere că nerespectarea reglementărilor ar putea conduce la consecințe grave atât pe plan financiar, cât și reputațional.
Impactul nerespectării regulamentelor NIS 2
Companiile care nu se aliniază la cerințele noului regulament s-ar putea confrunta cu amenzi considerabile și alte sancțiuni. Atunci când vine vorba de entitățile esenţiale, precum companiile din domeniul transporturilor, financiilor și furnizării de apă, nerespectarea NIS 2 poate atrage amenzi de până la 10 milioane de euro sau 2% din venitul anual global al firmei. Pe de altă parte, industriile considerate esențiale, cum ar fi producția alimentară, industria chimică și serviciile de gestionare a deșeurilor, riscă amenzi de până la 7 milioane de euro sau 1,4% din venitul lor anual global în cazul neconformității.
În plus, firmele care nu respectă NIS 2 pot beneficia de suspendări temporare ale serviciilor și vor fi supuse unei supravegheri mai riguroase pentru a fi monitorizată conformitatea. În cazul în care o companie devine ținta unui atac cibernetic, aceasta are la dispoziție 24 de ore pentru a notifica autoritățile competente. Aceasta reprezintă o reducere semnificativă față de termenul de 72 de ore prevăzut de GDPR (Regulamentul General privind Protecția Datelor), o legislație distinctă dedicată protecției informațiilor personale în Uniunea Europeană.
Conform lui Carl Leonard, expert în securitate cibernetică la Proofpoint, „Pregătirea pentru NIS 2 nu este un simplu exercițiu pentru a descoperi cu ce putem scăpa; este mai degrabă o oportunitate pentru cele mai puternice organizații de a accesa baza de competiție și a folosi acest efort în avantajul lor.” Leonard anticipează, de asemenea, că organizațiile vor beneficia de o colaborare mai bună la nivel european, incluzând informații unificate despre amenințări și un nivel mai ridicat de securitate cibernetică.
Pregătirea companiilor pentru noile reglementări
Companiile au depus eforturi considerabile pentru a-și adapta procesele interne și cultura organizațională la cerințele de securitate cibernetică, stabilite înainte de termenul limită al reglementărilor, 17 octombrie. Gow, un specialist în domeniu, subliniază că, chiar înainte de impunerea noilor reglementări, organizațiile au lucrat intens pentru a-și transforma cultura internă, asigurându-se că riscurile legate de atacurile cibernetice și incidentele de întrerupere sunt luate în serios.
„Chiar și fără o reglementare directă, observăm că raportarea dintre directorii de securitate informațională (CISO) și consiliile de administrație devine tot mai frecventă.” Cu toate acestea, Gow menționează că NIS 2 impulsionează companiile să acționeze mai rapid pentru a-și moderniza practicile de securitate cibernetică. „Cu siguranță, se observă impactul; primesc întrebări frecvente din partea echipelor de vânzări și conducere cu privire la modul cum ne putem adapta la aceste cerințe.”
Potrivit acestuia, există „pregătiri imediate” pe care companiile trebuie să le finalizeze pentru a se conforma cu reglementările NIS 2. Chiar și în condițiile unei atenții mai mari asupra securității cibernetice la nivelul conducerii, aceasta nu a împiedicat atacurile cibernetice, care continuă să aibă loc.
Un exemplu recent este atacul ransomware ce a vizat Synnovis, un furnizor privat de asistență medicală din Regatul Unit, care a dus la anularea a peste 3.000 de programări medicale. Acest atac, realizat de un grup de hackeri denumit Qilin, a solicitat o răscumpărare de 40 de milioane de lire sterline. Gow subliniază că ar fi o greșeală să ne imaginăm că reglementările noi vor elimina complet riscurile atacurilor cibernetice, dar recunoaște că NIS 2 contribuie la „crearea unui cadru de control și la concentrararea resurselor pentru a arăta cum putem îmbunătăți securitatea generală.”
