Anita Molitor, specialist în riscuri cibernetice și asigurări la GrECo Specialty, discută despre beneficiile NIS2 și explică de ce companiile nu ar trebui să aștepte ca noua lege să fie adoptată înainte de a acționa.
Termenul limită pentru implementarea NIS2 se apropie și, deși mulți pur și simplu văd această nouă directivă ca o problemă și o muncă suplimentară, de fapt oferă companiilor un cadru solid pentru a se proteja împotriva criminalității cibernetice. Anita Molitor, Cyber Risk and Insurance Specialist la GrECo Specialty discută despre beneficiile NIS2 și explică de ce companiile nu ar trebui să aștepte ca noua lege să fie adoptată înainte de a acționa.
Creșterea atacurilor cibernetice atinge niveluri alarmante
De ani de zile, experții în securitate cibernetică încearcă să conștientizeze pericolele crimei cibernetice și totuși, din păcate, există încă unii care nu cred în riscurile erei digitale. Furtul de bani (date) de la companii sau persoane fizice este într-adevăr un exercițiu foarte ușor și nu este ca în lumea reală în care hoțul a spart ușa de alături, dar tu ești în siguranță acasă. Dacă un atac cibernetic vizează o companie din lanțul vostru de aprovizionare, probabil că vă va afecta și datorită naturii interconectate a operațiunilor derulate.
Allianz a scris în recentul raport Cyber Security Trends că „în 2023 a existat o creștere cu 143% a numărului de victime ale ransomware-ulu la nivel global pe parcursul primului trimestru”. Și, conform raportului IBM COST of Data Breach 2023 , costul mediu al unei încălcări a datelor în 2023 a fost de 4,45 milioane USD , o creștere cu 15% în trei ani.
Atacurile cibernetice sunt în plină expansiune, care costă companiile o avere. Până în 2025, se estimează că daunele cauzate de atacurile cibernetice vor ajunge la 10 trilioane USD . Cu infractorii cibernetici care fac miliarde, este clar că nu se vor opri prea curând.
În fața acestor statistici revelatoare, Comisia Europeană a fost forțată să revizuiască NIS1 și să aplice NIS2, mai restrictiv. Termenul limită pentru transpunerea directivei în legislația națională este 17 octombrie 2024.
În Croația, Ungaria și Belgiaasta sa întâmplat deja. În timp ce în Austria, Slovenia, Republica Cehă, Polonia, Letonia, Finlanda, Germania, Luxemburg, Olanda, Slovacia și Cipru a fost publicat un proiect de lege. Dar în alte țări, un proiect nu a fost încă introdus [i]. Pe măsură ce termenul limită din octombrie se apropie rapid, acest statut se schimbă în fiecare zi.
Repere NIS2 și cronologie de notificare a incidentelor
15 industrii sunt afectate de NIS2, iar directiva împarte sectoarele afectate în două grupe:
Sectoare cu risc critic ridicat:
Alte sectoare critice:
În plus, este important să facem distincția între Entităţi Esențiale și Entităţi Importante: O entitate esențială operează în unul sau mai multe dintre sectoarele cu criticitate ridicată și are peste 250 de angajați sau un venit anual de peste 50 de milioane de euro. O organizație este o entitate importantă dacă operează în unul sau mai multe dintre sectoarele cu criticitate ridicată sau în unul sau mai multe dintre celelalte sectoare critice și are mai mult de 50 de angajați sau un venit anual de peste 10 milioane EUR.
În ciuda acestor clasificări relativ bine definite, aici este întotdeauna un DAR! NIS2 vine cu o serie de anexe, care fac lucrurile să nu fie atât de clare. De exemplu, un furnizor de servicii DNS este clasificat ca o entitate esențială, ceea ce înseamnă că alte întreprinderi mici pot intra în continuare în domeniul de aplicare al NIS2. Cei care nu sunt siguri, ar trebui să consulte un avocat pentru a vedea dacă şi compania lor este afectată.
Dacă există un incident care are un „impact semnificativ” asupra furnizării de servicii, o companie trebuie să notifice autoritatea competentă relevantă sau CSIRT (Echipa de răspuns la incidente de securitate informatică). Prima notificare ar trebui să fie în termen de 24 de ore, o așa-numită avertizare timpurie . În termen de 72 de ore, ar trebui să urmeze o notificare oficială a incidentului , iar după încheierea incidentului, în termen de o lună trebuie făcut un raport final. Acest sistem de avertizare timpurie și calendarul de raportare înseamnă că toți cei din lanțul de aprovizionare și clienții sunt conștienți de situație și pot acționa în mod corespunzător.
Măsuri de management al riscului de securitate cibernetică
NIS2 necesită cel puțin zece măsuri pentru a gestiona riscul și a preveni sau a minimiza impactul incidentelor asupra unei afaceri și a furnizorilor și clienților asociați:
Vina managementului
Securitatea cibernetică nu este doar o problemă IT; necesită înțelegerea și implicarea managementului de vârf în managementul riscurilor și luarea deciziilor cu privire la reziliența cibernetică. În cele din urmă, conducerea de vârf aprobă bugetele pentru instruirea în IT și securitate cibernetică pentru angajați. Nerespectarea poate duce la consecințe grave, inclusiv răspundere, interdicții temporare și amenzi administrative uriașe.
Entitățile esențiale se confruntă cu amenzi de cel puțin 10.000.000 EUR sau până la 2% din cifra de afaceri anuală la nivel mondial, oricare dintre acestea este mai mare, pentru nerespectare. Entitățile importante pot fi amendate cu cel puțin 7.000.000 EUR sau cu 1,4% din veniturile lor anuale globale, oricare dintre acestea este mai mare.
Ce mai aşteptaţi?
Cea mai importantă acțiune de luat acum este să nu așteptăm legea. Hackerii nu vor aștepta ca reglementările să fie aplicate înainte de a ataca, așa că începeți să vă pregătiți pentru NIS2 astăzi. Niciodată nu este prea devreme pentru a vă îmbunătăți securitatea cibernetică.
Utilizați cadrul NIS2 și verificați-vă sistemul IT. Dacă aveți nevoie de asistență, compania noastră soră, Certainity, vă poate ajuta cu toate cerințele tehnice, dar va trebui să acordați timp pentru aceasta.
Întrebați departamentul juridic în ce sector se încadrează compania voastră și luați legătura cu consultantul de risc pentru a discuta despre asigurarea relevantă pentru a reduce riscurile pentru directori și ofițeri și împotriva atacurilor cibernetice.
Și, nu în ultimul rând, alocați rolul de implementare a NIS2 unei persoane sau unei echipe stabilite. Rolul lor specific va fi să monitorizeze conformitatea cu directiva NIS2 și să gestioneze echipele IT și juridice pentru a se asigura că standardele sunt îndeplinite.
Indiferent de ceea ce simțiți cu privire la documentele suplimentare pe care le presupune NIS2, scopul acestuia este clar: protecție. Acesta va întări securitatea cibernetică în afaceri, va spori gradul de conștientizare și va spori cooperarea între statele membre, făcându-ne mai rezistenți. Trebuie să fim pregătiți. Numărătoarea inversă s-a încheiat deja!
[i] Vă rugăm să rețineți că NIS2 afectează și companiile din afara UE.
Surse:
https://digital-strategy.ec.europa.eu/en
https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
https://www.ncsc.gov.ie/
https://www.uniqkey.eu/
https://www.esentire.com/
Anita Molitor
Cyber Specialist
T +43 664 962 40 08
