Companiile s-ar putea confrunta cu amenzi usturătoare sau chiar cu suspendări ale serviciului în Uniunea Europeană, în conformitate cu noile reglementări stricte de securitate cibernetică care vor intra în vigoare luna viitoare, transmite CNBC.
Directiva UE NIS 2 privind securitatea cibernetică va deveni aplicabilă de către statele membre pe 17 octombrie, scrie News.ro.
24 septembrie - Eveniment News.ro – ROINVEST - Ediția a V-a. Parteneri: ACUE, ARB, CEC Bank, ROCA, TeraPlast
30 septembrie - Eveniment Profit.ro e-commerce – Provocările creșterii pe o piață cu concurență tot mai dură - Ediția a V-a. Parteneri: ARB, CEC Bank, ContentSpeed, eMag
7 octombrie - Eveniment Profit Energy.forum - Ediția a VIII-al Parteneri: ACUE, Electrica Furnizare, Raiffeisen Bank, Transgaz
5 noiembrie - Gala Profit – Povești cu Profit... Made in Romania. Parteneri: ARB, CEC Bank, Garanti BBVA, Raiffeisen Bank, Philip Morris Romania
Aceasta înseamnă că firmele vor trebui să se asigure că operațiunile lor sunt la înălțimea obligațiilor prevăzute de noua lege. Regulile impun cerințe mai stricte companiilor în ceea ce privește strategia lor internă de reziliență cibernetică și practicile interne.
Ce este NIS 2?
NIS 2, care înseamnă Directiva privind securitatea rețelelor și a informațiilor 2, este o directivă a UE care își propune să crească securitatea sistemelor și rețelelor IT din întreaga bloc. Introdusă în 2020, legea servește ca o actualizare a unei directive anterioare numită pur și simplu NIS.
NIS 2 extinde domeniul de aplicare al predecesoarei sale pentru a aborda provocările și amenințările mai recente de securitate cibernetică care au apărut pe măsură ce criminalii au găsit noi modalități de a pirata companiile și de a-și compromite datele sensibile.
Directiva se aplică organizațiilor care operează în UE și oferă servicii esențiale consumatorilor, inclusiv bănci, furnizori de energie, instituții de asistență medicală, furnizori de internet, firme de transport și procesatorii de deșeuri.
Principalele domenii pe care le va aborda sunt managementul riscurilor, responsabilitatea corporativă, obligațiile de raportare și planificarea continuității afacerii în cazul unei încălcări cibernetice.
Geert van der Linden, vicepreședinte executiv al serviciilor globale de securitate cibernetică la Capgemini, a declarat pentru CNBC că NIS 2 a stabilit efectiv o nouă linie de bază pentru companii cu privire la ceea ce este acceptabil să protejeze cetățenii, să mențină operațiunile și să rămână rezistent în fața atacurilor cibernetice.
”NIS 2 va fi văzută ca un standard global de către judecători. Pentru clienții noștri, indiferent dacă sunt văzuți ca esențiali sau importanți în regulament, ei trebuie să se uite la acea linie de bază și să se asigure că se conformează”, atunci când va deveni executorie, a adăugat Van der Linden.
Prin îndeplinirea acestei valori de bază, companiile se vor proteja efectiv împotriva reclamațiilor, a adăugat Van der Linden.
El a comparat-o cu încheierea unei asigurări de locuință pentru a vă proteja casa de hoți.
”Unde se duc spărgătorii? La casa care este cel mai puțin protejată. Ei deschid fiecare ușă pentru a vedea unde pot intra”, a spus el.
Același lucru devine valabil și pentru companiile care doresc să se protejeze de atacurile cibernetice, a adăugat Van der Linden.
În conformitate cu NIS 2, firmele trebuie, de asemenea, să își verifice lanțurile de aprovizionare digitale pentru amenințări cibernetice și vulnerabilități.
Companiile folosesc astăzi mai multe produse și instrumente diferite în fiecare zi, oferind infractorilor mai multe căi potențiale de atac.
Chris Gow, șeful echipei Cisco de politici publice din UE, a declarat pentru CNBC că va avea loc un ”exercițiu de cartografiere”potrivit NIS 2, în care companiile trebuie să-și scaneze furnizorii de tehnologie pentru a evalua eventualele riscuri.
Companiile vor avea, de asemenea, ”datoria” de a raporta și de a partaja informații despre vulnerabilitățile cibernetice și atacurile de hacking cu alte companii, chiar dacă aceasta înseamnă că trebuie să recunoască faptul că sunteți victima unei încălcări cibernetice.
Ce se întâmplă dacă o companie nu se conformează?
Companiile care nu respectă noua lege s-ar putea confrunta cu potențiale amenzi masive, împreună cu alte acțiuni punitive.
Pentru entitățile considerate esențiale, cum ar fi companiile de transport, finanțe și apă, nerespectarea NIS 2 poate duce la amenzi de până la 10 milioane de euro (11,1 milioane de dolari) sau 2% din veniturile anuale globale.
Între timp, companiile care sunt considerate a fi esențiale - cum ar fi companiile alimentare, firmele de produse chimice și serviciile de gestionare a deșeurilor - se confruntă cu amenzi de până la 7 milioane de euro sau 1,4% din veniturile lor anuale globale, pentru neconformitate.
Firmele se pot confrunta, de asemenea, cu posibile suspendări ale serviciului dacă nu respectă NIS 2, precum și cu o supraveghere mai atentă pentru a vedea dacă au devenit conforme.
Dacă o companie devine victima unei încălcări cibernetice, va avea la dispoziție 24 de ore pentru a trimite autorităților o notificare de avertizare timpurie. Acest lucru este mai strict decât intervalul de timp de 72 de ore pe care firmele trebuie să notifice autoritățile despre o încălcare a datelor în conformitate cu GDPR (Regulamentul general privind protecția datelor), o lege separată a confidențialității datelor din UE.
”Pregătirea pentru NIS 2 nu este o cursă pentru a vedea cu ce poți scăpa, mai degrabă este o cursă în care cele mai puternice organizații trec peste linia de bază și valorifică acest efort în avantajul lor competitiv”, a declarat pentru CNBC Carl Leonard, strateg pentru securitate cibernetică în regiunea EMEA la Proofpoint.
”Anticipez că organizațiile vor fi mai bine sprijinite prin eforturi coordonate la nivelul Uniunii Europene. Acest lucru va include informații comune privind amenințările, un nivel comun mai ridicat de securitate cibernetică și o mentalitate „suntem împreună”, a spus Leonard.
Sunt companiile pregătite?
Companiile au făcut eforturi pentru a-și pune în formă procesele și controalele interne, precum și cultura mai largă în jurul securității cibernetice, înainte de termenul limită de 17 octombrie.
Gow a spus că chiar și fără amenințarea unei noi reglementări care se profilează, companiile au muncit din greu pentru a-și schimba cultura în interior, pentru a se asigura că iau în serios amenințarea încălcărilor cibernetice și a incidentelor de întrerupere.
”Chiar și în afară de ceea ce se întâmplă pe partea de reglementare, vedem că raportarea are loc de la nivelul CISO [chief information security officer] până la consiliu și management.”
El a adăugat totuși că NIS 2 determină companiile să acționeze mai rapid pentru a-și actualiza controalele și practicile cibernetice cu noile reguli.
”Cu siguranță are un impact. Văd eu însumi. Oamenii din interior vin cu întrebări din partea vânzărilor și a managementului, întrebând „Cum merge asta pentru noi?”, a spus el.
El a adăugat că există ”pregătiri de făcut chiar acum” pentru companii, pentru a se asigura că îndeplinesc cerințele NIS 2.
Totuși, chiar și un accent mult mai proeminent în sălile de consiliu pentru securitatea cibernetică, acest lucru nu a împiedicat atacurile cibernetice să aibă loc.
La începutul acestui an, un atac de tip ransomware asupra Synnovis, un furnizor privat de asistență medicală din Regatul Unit, a perturbat peste 3.000 de programări la spital și la medicul de familie.
Atacatorul, un grup de hacking din Rusia numit Qilin, a cerut o răscumpărare de 40 de milioane de lire sterline.
Gow a spus că ar fi o greșeală să presupunem că noua reglementare poate preveni incidente similare în viitor, dar a adăugat că NIS 2 a ajutat ”la crearea unui anumit control și concentrarea resurselor pentru a demonstra modul în care aveți de gând să ridicați nivelurile generale de securitate”.
