Secţiuni » Arii de practică » Business » Cyberlaw » Cybersecurity
Cybersecurity
CărţiProfesionişti
UNBR Caut avocat
UNBR Caut avocat
UNBR Caut avocat
Negotiation Games for Lawyers
Citeşte mai mult în legătură cu Articole, Cyberlaw, Cybersecurity, Dreptul Uniunii Europene, Noutăți legislative, RNSJ, SELECTED, Studii

Ce aduce nou Directiva NIS2

4 august 2023 | Costin BURDUN
Costin Burdun

Costin Burdun

Rezumat

La nivel UE s-au construit mecanisme legislative care să contribuie la ridicarea nivelului de securitate cibernetică al Statelor Membre și al Uniunii. Un pilon important îl reprezintă Directiva NIS pentru care deja s-au adoptat două versiuni: Directiva NIS 1 intrată în vigoare deja și Directiva NIS 2 care va intra în vigoare în locul Directivei NIS 1 în 2024. În acest articol fac o prezentare a celor mai importante caracteristici ale Directivei NIS2 comparativ cu Directiva NIS1, însoțite de câteva considerații în ceea ce privește conexiunile acestei Directive cu alte acte de reglementare europene adoptate sau în curs de adoptare.

Introducere

Securitatea cibernetică este un subiect întotdeauna fierbinte și interesant de discuție. Discutăm foarte mult despre ce înseamnă securitate cibernetică, discutăm foarte mult despre ce s-a întâmplat diverselor organizații, companii, ce incidente de securitate au avut, discutăm despre ce ar trebui să facem că să nu avem și noi astfel de probleme…

În ultimii ani, am constatat că s-a început, timid, să se treacă de la etapa de discutare la etapa de a face lucruri în domeniul securității cibernetice, în interesul fiecăruia dintre noi, dar și al întregii societăți. Acest lucru se întâmplă pentru că amenințările de securitate cibernetică se înmulțesc în mod continuu, și din ce în mai mult se și concretizează, din păcate, ceea ce obligă la reacție din partea victimelor, să își ia măsuri pentru a-și întări securitatea cibernetică a sistemelor lor. Un alt motiv pentru care se fac progrese este cel legat de creșterea nivelului de conștientizare cu privire la riscurile de securitate cibernetică. Este mai greu să gândești că ție nu ți se poate întâmpla atunci când vezi că o companie parteneră chiar a fost victima unui atac cibernetic și, mai mult, într-o anumită măsură, chiar și organizația ta a fost impactată. Un al treilea motiv pentru care se fac progrese în zona securității cibernetice de către organizații este cadrul legal și evoluția acestuia și un pilon important al acestuia îl reprezintă așa-numita Directiva NIS.

Directiva NIS 1

Arbitraj comercial

Servicii JURIDICE.ro

Evenimente juridice

Directiva NIS a fost adoptată la nivelul UE, prima ei formă (Directiva NIS 1) fiind Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune. Ea se aplică în prezent și a fost implementată la nivel național de către toate Statele Membre. În România s-a implementat prin Legea 362/2018, care, în baza prevederilor Directivei, adresează următoarele aspecte:

• Are drept scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică și respectiv creșterea gradului de încredere a cetățenilor în Piața Digitală Unică;

• Se adresează specific:

– Operatorilor de Servicii Esențiale (OSE) din șapte sectoare de activitate economică: energie, transport, sectorul bancar, infrastructuri ale pieței financiare, sectorul sănătății, furnizarea și distribuirea de apă potabilă, infrastructură digitală;

– Furnizorilor de Servicii Digitale (FSD) din 3 (trei) categorii, respectiv: piețe online, motoare de căutare online, servicii de cloud computing;

• Stabilește măsuri și cerințe pentru organizațiile vizate, adică pentru OSE, pentru asigurarea efectivă a securității cibernetice;

• Notificarea incidentelor survenite:

– legea stabilește cerințe de notificare a incidentelor către autoritatea națională (DNSC) pentru categoriile sus-menționate;

– pentru stabilirea încrederii și conform practicilor privind confidențialitatea în asigurarea securității informatice, legea conține prevederi referitoare la protejarea secretului comercial și a altor informații comunicate către DNSC în cursul notificărilor și managementului incidentelor;

– totodată legea instituie un mecanism de primire de notificări și de la alte categorii/alți operatori economici (notificare voluntară);

• Stabilește cadrul instituțional și de cooperare. Legea stabilește cadrul instituțional la nivel național și cadrul național de cooperare în asigurarea securității rețelelor și sistemelor informatice prin desemnarea Directoratului National de Securitate Cibernetica (DNSC) ca Autoritate competentă la nivel național în domeniul securității rețelelor și a sistemelor informatice având atribuții de reglementare, autorizare/atestare, supraveghere și control și care va îndeplini și Funcția de Punct Unic de Contact la nivel național, precum și Funcția de echipă CSIRT națională (echipă de răspuns la incidente de securitate informatică la nivel național și de participare la răspunsul comun la nivel european);

• Inițiază un proces de identificare a operatorilor de servicii esențiale și înscriere a acestora în Registrul operatorilor de servicii esențiale (ROSE);

• Prevede totodată reguli privind auditarea rețelelor și sistemelor OSE și FSD, înființarea de echipe CSIRT/CERT publice, private sau sectoriale, precum și reguli privind formarea în domeniu.

Există deja în vigoare și cadrul legislativ secundar de implementare a Legii 362. Astfel, dacă ești operator esențial (OSE), definit conform HG 963/2020, va trebui să te supui unor cerințe destul de exigente din partea DNSC, începând cu înregistrarea în Registrul OSE, stabilirea efectului perturbator al incidentelor, implementarea măsurilor minime și raportarea incidentelor de securitate cu impact semnificativ.

Ca un prim pas, înregistrarea în Registrul OSE se face prin notificarea DNSC și doar după prezentarea unui raport de audit care atestă îndeplinirea cerințelor minime de securitate, realizat de către un auditor atestat de către DNSC. Lista auditorilor atestați de caătre DNSC este publicată pe site-ul DNSC

Astfel, înainte de a ajunge în Registru, OSE trebuie să aibă în vedere Ordinul SGG 1323/2020 în care sunt specificate în detaliu măsurile minime ce trebuie implementate.

Sunt 36 de cerințe complexe, împărțite în 4 domenii mari (guvernanță, protecție, apărare cibernetică, reziliență). Limbajul folosit în Ordin este foarte tehnic, documentul conține foarte multe abrevieri și fiecare dintre aceste abrevieri reprezintă câte o mini procedură ce trebuie elaborată la nivelul OSE.

Astfel, Directiva NIS a început să fie implementată și în România, deși cu destul de multă întârziere, dar toate aceste acte legislative reprezintă un pas important înainte în mărirea nivelului securității cibernetice la nivel național.

Directiva NIS 2

La nivel UE, a fost adoptată o nouă strategie de securitate cibernetică a UE pentru 2020-2025, care propunea, printre multe lucruri, revizuirea Directivei NIS 1. Peisajul amenințărilor s-a schimbat considerabil de când Directiva NIS 1 a fost adoptată în 2016 și domeniul de aplicare al directivei trebuia actualizat și extins pentru a face față riscurilor actuale și viitoarelor provocări, una dintre aceste provocări fiind asigurarea că tehnologia 5G este sigură. În plus, transpunerea și punerea în aplicare a Directivei NIS 1 a scos la lumină deficiențe inerente anumitor prevederi sau abordări, cum ar fi delimitarea neclară a domeniului de aplicare al directivei. Mai mult, pe perioada pandemiei, economia UE a devenit mai dependentă de rețelele de comunicații și de sistemele informatice mai mult ca niciodată, iar sectoarele și serviciile sunt din ce în ce mai interconectate, rezultând nevoia de a îmbunătăți continuu reziliența cibernetică, în special pentru cei care operează servicii esențiale. A fost, de asemenea, identificată nevoia de reguli mai clare pentru modul în care să se aplice prevederile Directivei la nivel național, și privind armonizarea cerințelor privind gestionarea și raportarea riscurilor și incidentelor de securitate cibernetică. Discrepanțele actuale în acest domeniu la nivel legislativ, de supraveghere, național și UE sunt obstacole în calea pieței interne, deoarece entitățile care se angajează în activități transfrontaliere se confruntă cu cerințe de reglementare diferite, chiar contradictorii, în diferite State Membre.

Ce aduce nou Directiva NIS 2

Directiva NIS2 prevede măsuri legale pentru a spori nivelul general de securitate cibernetică în UE, pentru a contribui la funcționarea globală a pieței interne. Se bazează pe cei 3 piloni principali care au stat și la baza Directivei NIS1.

Pe baza strategiei NIS1 privind securitatea rețelelor și a sistemelor de informații, pentru a atinge un nivel ridicat de pregătire al statelor membre, Directiva NIS2 impune acestora să adopte o strategie națională de securitate cibernetică. Statele membre trebuie, de asemenea, să desemneze echipe naționale de răspuns la incidente de securitate informatică (CSIRT), care sunt responsabile de gestionarea riscurilor și incidentelor, o autoritate națională competentă de securitate cibernetică și un punct unic de contact (SPOC). SPOC trebuie să exercite o funcție de legătură pentru a asigura cooperarea transfrontalieră între autoritățile statelor membre cu autoritățile relevante din alte state membre și, după caz, cu Comisia și agenția UE pentru securitate cibernetică (ENISA), precum și să asigure cooperarea transsectorială cu alte autorități competente din cadrul respectivului stat membru.

Directiva NIS2 continuă, de asemenea, cadrul NIS1 prin care se înființează Grupul de cooperare NIS pentru a sprijini și facilita cooperarea strategică și schimbul de informații între statele membre, precum și rețeaua CSIRT, care promovează cooperarea operațională rapidă și eficientă între CSIRT-urile naționale.

Directiva NIS2 extinde în mod semnificativ domeniul de aplicare al sectoarelor și introduce un prag de dimensiune pentru a defini ce entități intră în domeniul său de aplicare și ar trebui să raporteze incidentele semnificative de securitate cibernetică autorităților naționale competente.

Directiva NIS2 urmărește, astfel, să abordeze deficiențele din NIS1, și extinde domeniul de aplicare al normelor anterioare prin adăugarea de noi sectoare în funcție de gradul lor de digitalizare și interconectare și de cât de cruciale sunt acestea pentru economie și societate, prin introducerea unei reguli clare privind pragul de dimensiune, ceea ce înseamnă că toate companiile mari și medii din sectoarele selectate vor fi incluse în domeniu. În același timp, lasă statelor membre o anumită putere de apreciere pentru a identifica companiile mici cu un profil ridicat de risc de securitate cărora ar trebui, de asemenea, sa li se aplice cerințele NIS2.

Noua directivă elimină, de asemenea, distincția dintre operatorii de servicii esențiale și furnizorii de servicii digitale. Entitățile sunt clasificate în funcție de importanța lor și împărțite în două categorii: entități esențiale (importanță critică ridicată) și entități importante, care vor fi supuse unui regim de supraveghere diferit.

Directiva NIS 2 întărește și eficientizează cerințele de securitate și raportare pentru companii prin impunerea unei abordări de gestionare a riscurilor, care oferă o listă minimă de elemente de securitate de bază care trebuie aplicate. Noua directivă introduce prevederi mai precise privind procesul de raportare a incidentelor, conținutul rapoartelor și termenele.

În plus, NIS2 abordează securitatea lanțurilor de aprovizionare și a relațiilor cu furnizorii, solicitând companiilor individuale să abordeze riscurile de securitate cibernetică din lanțurile de aprovizionare și relațiile cu furnizorii. La nivel european, directiva consolidează securitatea cibernetică a lanțului de aprovizionare pentru tehnologiile cheie ale informației și comunicațiilor. Statele membre, în cooperare cu Comisia și ENISA, pot efectua evaluări coordonate ale riscurilor de securitate la nivelul Uniunii ale lanțurilor de aprovizionare critice, bazându-se pe abordarea de succes adoptată în contextul Recomandării Comisiei privind securitatea cibernetică a rețelelor 5G.

NIS2 acoperă entități din următoarele sectoare:

Sectoare cu o importanță critică ridicată: energie (electricitate, termoficare și răcire, petrol, gaz și hidrogen); transport (aerian, feroviar, naval și rutier); bancar; infrastructuri ale pieței financiare; sănătate, inclusiv fabricarea de produse farmaceutice, inclusiv vaccinuri; apă potabilă; ape uzate; infrastructură digitală (puncte de schimb de internet; furnizori de servicii DNS; registre de nume TLD; furnizori de servicii de cloud computing; furnizori de servicii de centre de date; rețele de livrare de conținut; furnizori de servicii de încredere; furnizori de rețele publice de comunicații electronice și servicii de comunicații electronice accesibile publicului); Managementul serviciilor TIC (furnizori de servicii gestionate și furnizori de servicii de securitate gestionată), administrație publică și spațiu.

Alte sectoare cu importanță critică: servicii poștale și de curierat; managementul deșeurilor; chimicale; alimente; fabricarea de dispozitive medicale, calculatoare și electronice, mașini și echipamente, autovehicule, remorci și semiremorci și alte echipamente de transport; furnizori digitali (piețe online, motoare de căutare online și platforme de servicii de rețele sociale) și organizații de cercetare.

Directiva NIS2 sporește rolul Grupului de cooperare în formarea deciziilor strategice de politică și are în vedere intensificarea schimbului de informații și cooperarea între autoritățile statelor membre. De asemenea, îmbunătățește cooperarea operațională în cadrul rețelei CSIRT și înființează rețeaua europeană a organizațiilor de legătură în situații de criză cibernetică (EU-CyCLONe) pentru a sprijini gestionarea coordonată a incidentelor și crizelor de securitate cibernetică la scară largă.

NIS2 stabilește, de asemenea, un cadru de bază cu actori-cheie responsabili cu privire la schimbul coordonat de informații cu privire la vulnerabilitățile nou descoperite în UE și creează o bază de date a vulnerabilităților UE pentru vulnerabilități cunoscute public, identificate la produsele și serviciile informatice, baza de date care urmează să fie operată și întreținută de către ENISA.

Noua directivă NIS plasează supravegherea și aplicarea în centrul sarcinilor autorităților competente și stabilește un cadru coerent pentru toate activitățile de supraveghere și de punere în aplicare în statele membre.

Pentru a consolida supravegherea care ajută la asigurarea conformității efective, NIS2 prevede o listă minimă de mijloace de supraveghere prin care autoritățile competente pot supraveghea entitățile esențiale și importante. Acestea includ audituri regulate cu verificări ale sistemelor, inclusiv locațiile fizice, cu solicitarea de informații și accesul la documente sau dovezi care sa ateste îndeplinirea cerințelor.

În plus, noua directivă stabilește o diferențiere a regimurilor de supraveghere între entitățile esențiale și cele importante, în vederea asigurării unui echilibru bazat pe principii de proporționalitate al obligațiilor atât pentru entități, cât și pentru autoritățile competente.

În ceea ce privește punerea în aplicare, până acum a existat o reticență generală în statele membre de a aplica sancțiuni entităților care nu pun în aplicare măsuri de securitate sau nu raportează incidente. Acest lucru poate avea consecințe negative pentru reziliența cibernetică a entităților. Pentru a face aplicarea eficientă, noua directivă stabilește un cadru coerent pentru sancțiuni în întreaga Uniune. Prin urmare, stabilește o listă minimă de sancțiuni administrative pentru încălcarea obligațiilor de gestionare a riscului de securitate cibernetică și de raportare prevăzute în Directiva NIS2. Aceste sancțiuni au in vedere ne-implementarea recomandărilor unui audit de securitate, pentru a aduce măsurile de securitate în conformitate cu cerințele NIS, inclusiv amenzi administrative. În ceea ce privește amenzile administrative, noua directivă NIS face distincție între entitățile esențiale și cele importante. În ceea ce privește entitățile esențiale, acesta solicită statelor membre să prevadă un anumit nivel de amenzi administrative, maximul fiind de 10.000.000 EUR sau 2% din cifra de afaceri anuală totală a entității auditate, cifra de afaceri fiind cea de la la nivel global a exercițiului financiar precedent, oricare dintre acestea este mai mare. În ceea ce privește entitățile importante, NIS2 solicită statelor membre să prevadă o amendă maximă de 7.000.000 EUR sau 1,4% din cifra de afaceri anuală totală la nivel global a exercițiului financiar precedent, oricare dintre acestea este mai mare.

Atunci când își exercită competențele de executare, autoritățile competente trebuie să țină seama în mod corespunzător de circumstanțele particulare ale fiecărui caz, cum ar fi natura, gravitatea și durata încălcării, prejudiciul cauzat sau pierderile suferite, caracterul intenționat sau neglijent al încălcării.

De asemenea, pentru a asigura responsabilitatea reală pentru măsurile de securitate cibernetică la nivel organizațional, NIS2 introduce prevederi privind răspunderea persoanelor fizice care dețin funcții de conducere superioară în entitățile care intră în domeniul de aplicare al noii Directive NIS.

Evaluarea normelor actuale privind cerințele de securitate și de raportare a incidentelor a arătat că, în unele cazuri, statele membre au implementat aceste cerințe în moduri semnificativ diferite. Acest lucru a creat o dificultăți suplimentare pentru companiile care operează în mai mult de un stat membru. În plus, când vine vorba de cerințele de securitate cibernetică, se dorește asigurarea că toate companiile abordează setul de elemente de bază necesare în politicile lor de gestionare a riscului de securitate cibernetică. Din acest motiv, NIS2 include o listă de 10 elemente cheie pe care toate companiile trebuie să le abordeze sau să le implementeze ca parte a măsurilor pe care le iau, inclusiv gestionarea incidentelor, securitatea lanțului de aprovizionare, gestionarea și divulgarea vulnerabilităților, utilizarea criptografiei și, acolo unde este cazul, criptarea.

Este foarte important de subliniat că Directiva NIS 2 solicită utilizarea de sisteme europene de certificare a securității cibernetice și solicită statelor membre să încurajeze entitățile esențiale și importante să utilizeze servicii de încredere calificate. Astfel putem remarcă faptul că Directiva NIS 2 vine cu această premieră, prin faptul că aduce în atenție că un serviciu de încredere calificat, de exemplu semnătură electronică calificată, reflectă de fapt certificarea unui sistem de semnătură electronică, în primul rând, din perspectiva îndeplinirii de către acesta a cerințelor de securitate cibernetică.

În ceea ce privește raportarea incidentelor, NIS 2 asigura echilibrul între nevoia de raportare rapidă pentru a evita răspândirea potențială a incidentelor și nevoia de raportare aprofundată pentru a extrage lecții învățate din incidente individuale. Noua directivă prevede, astfel, o abordare în mai multe etape a raportării incidentelor. Companiile afectate au la dispoziție 24 de ore de la momentul în care au luat cunoștință de un incident pentru a transmite o avertizare timpurie către CSIRT sau autoritatea națională competentă, care le-ar permite, de asemenea, să solicite asistență (îndrumare sau consiliere operațională cu privire la implementarea unor posibile măsuri de atenuare) dacă solicită aceasta. Avertizarea timpurie trebuie să fie urmată de o notificare de incident în termen de 72 de ore de la cunoștința incidentului și de un raport final care trebuie elaborat nu mai târziu de o lună de la data la care incidentul a avut loc.

Statele membre vor trebui să transpună directiva până la 17 octombrie 2024 (21 de luni de la intrarea în vigoare a NIS2). Astfel, începând cu 18 octombrie 2024 Directiva NIS 1 își încetează aplicabilitatea și intră în vigoare Directiva NIS 2. Apoi, Comisia trebuie să revizuiască periodic funcționarea noii directive și să raporteze despre procesul de revizuire până la 17 octombrie 2027 Parlamentului și Consiliului.

Concluzii

Directiva NIS 2 arată dimensiunea efortului care se are în vedere la nivel european în ceea ce privește securitatea cibernetică. Este o construcție complexă din punct de vedere al reglementării, în care această Directiva este un pilon important, dar care se completează cu foarte multe alte Directive și Regulamente, unele intrate deja în vigoare, altele în curs de adoptare, care să facă posibile implementarea în viață reală a măsurilor prevăzute de Directiva NIS 2.


Bibliografie
NIS 2 Directive: Europe revamps its cybersecurity framework (cliffordchance.com)
Directive NIS 2: ce qui va changer pour les entreprises et l’administration françaises | Agence nationale de la sécurité des systèmes d’information (ssi.gouv.fr)
New stronger rules start to apply for the cyber and physical resilience of critical entities and networks | Shaping Europe’s digital future (europa.eu)


Dr. ing. Costin Burdun – expert digitalizare, ANSSI

Citeşte mai mult despre , , , ! Pentru condiţiile de publicare pe JURIDICE.ro detalii aici.
Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

Login | Pentru a putea posta comentarii trebuie să fiţi abonat. Dacă încă nu sunteţi, click aici pentru a afla despre avantaje!

Lasă un răspuns

Arii de practică
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Business
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul penal al afacerilor
Dreptul sportului
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Litigation
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protective
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi

Parteneri arii de practică  Specialişti


JURIDICE.ro
Main page
Cariere
Evenimente ⁞ 
Dezbateri
Profesionişti
Lawyers Week
WinLaw.ro
VIDEO
Servicii
Flux noutăţi
Selected ⁞ 
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi / JURIDICE NEXT
RSS  Publicare comunicate profesionale
Articole
Essentials
Interviuri
Opinii
Revista de note, studii şi opinii juridice
ISSN 2066-0944
       Studii şi note de studiu
Revista revistelor
Autori  Condiţii de publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională
Înalta Curte de Casaţie şi Justiţie
       Jurisprudenţă curentă ÎCCJ
       Dezlegarea unor chestiuni de drept
       Recurs în interesul legii
Curţi de apel ⁞ 
Tribunale ⁞ 
Judecătorii

Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene

Proiecte speciale
Cărţi
Covid-19 Legal React
Creepy cases
Life
Mesaje de condoleanţe
Povestim cărţi
Războiul din Ucraina
Wisdom stories