Reglementări stricte în Uniunea Europeană
Companiile din Uniunea Europeană riscă amenzi severe și suspendarea serviciilor din cauza noilor reglementări legate de securitatea cibernetică, care vor deveni aplicabile de luna viitoare, conform CNBC. Directiva NIS 2, care vizează securitatea cibernetică, va intra în vigoare pe 17 octombrie, obligând organizațiile să se alinieze cu cerințele acesteia.
Obligații pentru firme
Odată cu intrarea în vigoare a Directivei, companiile vor fi responsabile să asigure că activitățile lor respectă noile standarde impuse de lege. Reglementările prevăd cerințe sporite privind strategia de reziliență cibernetică internă și practicile interne de securitate.
Definirea directivei NIS 2
NIS 2, care înseamnă Directiva privind securitatea rețelelor și a informațiilor 2, este o inițiativă a Uniunii Europene menită să îmbunătățească securitatea sistemelor IT. Introducerea inițiativei a avut loc în 2020, ca o actualizare a unei directive anterioare, cunoscută simplu ca NIS.
Provocări recent apărute
Actualizarea urmărește să abordeze provocările și amenințările recente în domeniul securității cibernetice, pe fondul creșterii activităților infractorilor care dezvoltă noi metode de atac. Directiva se aplică organizațiilor din Uniunea Europeană care oferă servicii esențiale, incluzând bănci, furnizori de energie, instituții de sănătate, furnizori de internet, firme de transport și companii de gestionare a deșeurilor.
Aspecte cheie ale directivei
Principalele subiecte abordate de NIS 2 includ gestionarea riscurilor, responsabilitatea corporativă, obligațiile de raportare și planificarea continuității business-ului în cazul unor incidente cibernetice. Geert van der Linden, vicepreședinte executiv al serviciilor globale de securitate cibernetică la Capgemini, a subliniat că NIS 2 stabilește un nou standard în securitatea cibernetică.
Implicarea standardelor globale
Conform lui Van der Linden, NIS 2 va fi privită ca un standard global de referință și va obliga companiile, indiferent de statutul lor, să își alinieze politicile de securitate cu aceste cerințe. Astfel, respectarea acestor standarde va contribui la protejarea companiilor împotriva posibilelor reclamații.
Metafora asigurării
Van der Linden a comparat conformitatea cu NIS 2 cu asigurarea unei locuințe pentru a proteja proprietatea de eventuali hoți. El a explicat că infractorii tind să atace locuințele care par mai vulnerabile, exact cum se întâmplă cu companiile care nu au implementate măsuri de securitate corespunzătoare.
Verificarea lanțurilor de aprovizionare
Un alt aspect important al reglementării este obligația firmelor de a-și evalua lanțurile de aprovizionare digitale pentru a identifica posibile amenințări cibernetice. Companiile utilizează o gamă variată de produse și instrumente, oferind astfel infractorilor multiple oportunități de atac.
Exerciții de evaluare a riscurilor
Chris Gow, liderul echipei Cisco de politici publice din UE, a menționat că O directivă va solicita companiilor să efectueze un ”exercițiu de cartografiere” a furnizorilor lor de tehnologie pentru a identifica riscurile potențiale. Acest proces va fi esențial pentru evaluarea stării de securitate cibernetică a organizațiilor.
Părtășirea informațiilor despre vulnerabilități
Firmele vor fi, de asemenea, obligate să comunice informații despre vulnerabilitățile cibernetice și atacurile de hacking cu alte entități din domeniu. Această colaboare se va dovedi crucială în consolidarea apărării cibernetice în întreaga Uniune Europeană.
Consecințele neviggenței
În concluzie, NIS 2 impune firmelor din Uniunea Europeană o serie de responsabilități menite să protejeze nu doar propriile operațiuni, ci și integritatea sistemelor din cadrul comunității economice. Nerespectarea acestor reglementări poate avea consecințe severe, inclusiv amenzi considerabile și eroziunea încrederii în aceste organizații.
Consecințele neconformității unei companii
Companiile care nu respectă noua legislație sunt expuse riscului de amenzi substanțiale și alte măsuri punitive. Entitățile esențiale, cum ar fi cele din domeniul transporturilor, financiare și aprovizionarea cu apă, riscă sancțiuni de până la 10 milioane de euro sau 2% din veniturile anuale globale, în cazul neconformității cu normele NIS 2. În paralel, firmele considerate vitale, precum cele din sectorul alimentației, industria chimică și serviciile de gestionare a deșeurilor, se pot confrunta cu amenzi de până la 7 milioane de euro sau 1,4% din veniturile materie.”
Pe lângă amenzi, companiile vulnerabile pot suferi suspendări ale serviciilor și vor fi supuse unei supravegheri sporite pentru a verifica conformitatea. În cazul în care o companie devine ținta unei încălcări cibernetice, are obligația de a notifica autoritățile într-un interval de 24 de ore, un termen mai scurt comparativ cu cele 72 de ore prevăzute de GDPR pentru raportarea incidentelor de date. Carl Leonard, expert în securitate cibernetică, a afirmat că eficientizarea pregătirii pentru NIS 2 nu este o simplă competiție de minimizare a riscurilor, ci o oportunitate pentru organizații de a transforma eforturile de conformare într-un avantaj competitiv.”
Pregătirea companiilor pentru noile reglementări
Companiile își revizuiesc procesele interne și cultura organizațională legată de securitatea cibernetică pentru a fi pregătite până la termenul limită de 17 octombrie. Chiar și în absența unei noi reglementări, aceste entități au depus eforturi semnificative pentru a-și ajusta atitudinea față de amenințările cibernetice. Un director de securitate informațională (CISO) a subliniat că se observă o comunicare constantă între management și bordul director extrăgând concluzii din situațiile curente.”
Totuși, noua legislație impune o reacție mai rapidă în actualizarea practicilor și procedurilor de securitate cibernetică. Aceasta influențează întreaga dinamică organizațională, generând întrebări de la echipele de vânzări și management legate de impactul reglementărilor asupra operativității firmei. Există un sentiment de urgență în rândul companiilor pentru a asigura respectarea cerințelor NIS 2.”
În ciuda accentului crescut asupra securității cibernetice, atacurile nu au fost prevenite. De exemplu, un incident major de ransomware a avut loc în 2023, afectând Synnovis, un furnizor de servicii medicale din Marea Britanie, perturbând peste 3.000 de programări medicale. Atacatorul, un grup cibernetic din Rusia numit Qilin, a cerut o răscumpărare de 40 de milioane de lire sterline.”
Impactul reglementărilor asupra securității cibernetice
Specialiștii avertizează că, în ciuda nopții reglementărilor actuale, nu se poate garanta că deciziile politice vor împiedica incidente de securitate similare în viitor. Totuși, NIS 2 joacă un rol important în crearea unei structuri de control și în alocarea resurselor omenirii necesare pentru creșterea standardelor generale de securitate. Se așteaptă o colaborare mai strânsă între organizațiile europene în fața amenințărilor cibernetice, contribuind la o mai bună informare și la o abordare unitară în momente critice.”
După cum și-a exprimat Leonard, prin cooperarea între entitățile europene se vor obține informații comune despre amenințări și un standard de securitate mai înalt. Această abordare colaborativă promite să îmbunătățească nivelul de pregătire și reacție al organizațiilor din întreaga Uniune Europeană în fața provocărilor cibernetice.”
În concluzie, reglementările NIS 2 impun un nou standard de conformitate pentru companii, subliniind importanța pregătirii proactive în domeniul securității cibernetice și necesitatea de a construi un mediu mai sigur pentru toți participanții la piață.
