NIS 2

Pentru a stabili standardul de securitate cibernetică în Uniunea Europeană, companiile din diverse sectoare sunt obligate să își documenteze strategia de securitate. Numărătoarea inversă a început și este momentul să ne pregătim împreună!
Glob pământesc interconectat cu lacăt de securitate

Noua directivă a UE privind securitatea cibernetică – NIS 2 – va deveni obligatorie începând cu data de 18 octombrie 2024. Acest regulament obligatoriu stabilește standardul de securitate cibernetică în întreaga Uniune Europeană și obligă companiile din diverse sectoare să își documenteze strategia de securitate.

Numărătoarea inversă a început, iar companiile sunt chemate să acționeze.
Să ne pregătim împreună!

Ce este NIS 2?

Prin NIS 2 (Securitatea rețelelor și a informațiilor), UE a introdus reglementări stricte în materie de securitate cibernetică pentru statele sale membre. NIS 2 este succesorul Directivei NIS, care a intrat în vigoare în anul 2016. Prin urmare, implementarea a unei strategii unitare de securitate nu mai este necesară doar pentru protecția împotriva atacurilor cibernetice, ci este impusă prin lege.

Statele membre trebuie să adopte măsurile necesare pentru a se conforma Directivei NIS 2 până la data de 17 octombrie 2024 și să aplice aceste măsuri începând cu 18 octombrie 2024.

Diferențe între NIS 1 și NIS 2

Prin ce diferă NIS 1 de NIS 2?

NIS 2 este o versiune îmbunătățită a Directivei NIS din anul 2016, care era deja menită să asigure un nivel ridicat de securitate a rețelelor și a sistemelor informatice din Uniune, dar care prezenta unele deficiențe.

Cele mai importante diferențe între NIS 1 și NIS 2 sunt următoarele:

  • Noua versiune include mai multe sectoare și companii esențiale pentru societate și economie, cum ar fi energia, sănătatea, transporturile și infrastructura digitală.

  • NIS 2 impune companiilor și organizațiilor în cauză să aplice un management eficient al riscurilor și să raporteze incidentele cibernetice grave sau semnificative autorităților naționale competente, care pot lua apoi măsurile necesare. NIS 1 prevedea doar prevederi generale privind măsurile de securitate și raportarea incidentelor.

  • Noua directivă privind securitatea prevede sancțiuni mai stricte pentru statele membre, care pot ajunge până la 20 de milioane de euro sau până la patru procente din cifra de afaceri globală, în cazul în care companiile și organizațiile în cauză nu implementează măsurile de securitate necesare sau nu raportează incidente cibernetice grave sau semnificative autorităților naționale competente. NIS 1 a lăsat determinarea sancțiunilor la latitudinea statelor membre, ceea ce a dus la o aplicare inconsecventă.

  • NIS 2 subliniază responsabilitatea personală a managementului pentru securitatea cibernetică și stipulează, pentru prima dată, că directorii executivi răspund cu proprietățile lor personale dacă nu respectă cerințele legale.

Grupul-țintă al NIS 2

Cine este afectat de aceasta?

17 octombrie 2024 – aceasta este data până la care toate cele 27 de state membre ale UE trebuie să adopte complet reglementările privind securitatea cibernetică NIS 2 în legislația națională. Cu toate acestea, rămâne o întrebare urgentă: ce companii sunt obligate să implementeze Directiva NIS 2?

Entități esențiale: acestea sunt organizațiile care sunt active în domeniul infrastructurilor de importanță critică. Printre acestea se numără, de exemplu, energia, transporturile, gospodărirea apei, sănătatea și sectorul bancar.

Entități importante: în această categorie sunt incluse cele mai importante companii din industria alimentară și chimică, precum și cele responsabile de producția de aparate electrice, utilaje și vehicule.

În plus, statele membre au ele însele opțiunea de a extinde grupurile-țintă afectate de NIS 2. Acestea pot adăuga instituții suplimentare pe listele lor naționale, obligând autoritățile locale, instituțiile de formare și altele să pună în aplicare directivele.

Memento pentru NIS 2

Care sunt sancțiunile?

Directiva NIS 2 este aplicată cu strictețe, incluzând amenzi mari pentru nerespectarea sau neîndeplinirea obligațiilor de raportare. Cuantumul sancțiunilor depinde de clasificarea fiecărei companii în parte.

Entitățile clasificate ca fiind „importante” trebuie să plătească amenzi cuprinse între 7 milioane de euro și maximum 1,4 % din cifra de afaceri anuală globală totală realizată în anul fiscal anterior. „Entitățile esențiale” riscă amenzi de până la 10 milioane de euro sau maximum 2 % din cifra lor de afaceri anuală globală totală.

Diligența necesară în domeniul securității cibernetice este nenegociabilă, iar managementul de vârf are datoria de a conduce implementarea și monitorizarea acestor măsuri de securitate cibernetică.

Ce înseamnă acest lucru în mod concret pentru tine?

Directiva NIS 2 este o directivă a UE care a intrat în vigoare la 16 ianuarie 2023 și are ca scop îmbunătățirea securității și rezilienței cibernetice a infrastructurilor de importanță critică și a furnizorilor de servicii digitale. Directiva impune companiilor și organizațiilor în cauză să aplice un management eficient al riscurilor și să raporteze incidentele cibernetice grave sau semnificative autorităților naționale competente, care pot lua apoi măsurile necesare. Pentru a reduce la minimum potențialele daune aduse utilizatorilor, mediului și ordinii publice, scopul este de a identifica lacunele de securitate într-un stadiu incipient și de a lua măsuri preventive împotriva acestora. Pentru a se asigura că toate părțile implicate aderă la aceleași standarde înalte, companiile sunt, de asemenea, responsabile de asigurarea securității întregului lanț de aprovizionare și de transmiterea cerințelor către partenerii lor de afaceri și furnizori. Alte măsuri includ, printre altele:

  • Implementarea unor măsuri de securitate adecvate și proporționale care corespund standardelor și bunelor practici actuale pentru a asigura confidențialitatea, integritatea, disponibilitatea și autenticitatea datelor și serviciilor lor.

  • Crearea și actualizarea unui plan de continuitate a activității care să permită restabilirea condițiilor normale de funcționare după un incident cibernetic.

  • Introducerea autentificării cu mai mulți factori pentru accesul la rețelele și sistemele lor informatice, cu scopul de a preveni accesul neautorizat.

Agenția UE pentru Securitate Cibernetică (ENISA) va avea un rol important în monitorizarea și sprijinirea aplicării acestor acte juridice.

NIS 2 - Obligațiile producătorului
IEC 62443 ca factor de succes pentru conceptele unitare de securitate
Protecția împotriva atacurilor cibernetice și îndeplinirea cerințelor legale
Componentele și sistemele certificate conform IEC 62443 pot să asigure o protecție completă împotriva atacurilor cibernetice și, în același timp, să îndeplinească noile cerințe legale ale UE, cum ar fi NIS 2, Legea privind reziliența cibernetică (CRA) și noul Regulament privind mașinile? Află totul despre noua directivă legală, despre implementarea securității cibernetice în automatizare și despre importanța standardului IEC 62443 din broșura noastră tehnică.
Descarcă broșura tehnică acum
Lume interconectată cu lacăt de securitate

Calendarul NIS 2

Directiva NIS 2 a intrat în vigoare la 16 ianuarie 2023 și trebuie să fie implementată în legislația națională până la 17 octombrie 2024. Implementarea directivei va fi verificată de Comisie pentru prima dată până la 17 octombrie 2027 și, în viitor, la fiecare 36 de luni.

Este timpul să devenim activi și să ne pregătim.

Cronologie NIS 2

NIS 2 a intrat deja în vigoare la 16 ianuarie 2023

Ciclul de securitate 360°

Conceptul nostru complet de securitate 360°

Securitate 360° – oferta noastră completă, fără compromisuri

În lumea dinamică a securității cibernetice, schimbarea este o constantă, iar introducerea Directivei NIS 2 subliniază acest fapt. În timp ce așteptăm ca directiva să fie implementată în legislația națională pentru a intra pe deplin în vigoare, urgența de a acționa este incontestabilă.

Pentru a îndeplini cerințele stricte ale NIS 2, trebuie să ne bazăm pe standardele europene și internaționale, care constituie fundamentul nostru. Aceste standarde nu numai că definesc produsele sigure, dar stabilesc și principiile de implementare a unor sisteme de securitate rezistente. Un exemplu remarcabil este IEC 62443, o serie de standarde recunoscute la nivel mondial pentru siguranța în automatizare. Conceptul nostru unitar de securitate 360° include atât măsuri tehnice, cât și organizatorice, care sunt susținute de certificările IEC 62443 corespunzătoare.