NIS 2 (DIRECTIVA (UE) 2022/2555 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 14 decembrie 2022) impune la nivelul UE măsuri pentru un nivel comun ridicat de securitate cibernetică.
Acest act stabilește măsuri care vizează atingerea unui nivel comun ridicat de securitate cibernetică în întreaga Uniune, în vederea îmbunătățirii funcționării pieței interne.
Prezenta directivă se aplică entităților publice sau private de tipul celor menționate în anexa I sau II, care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau care depășesc plafoanele pentru întreprinderi mijlocii prevăzute la alineatul (1) al articolului respectiv și care își furnizează serviciile sau își desfășoară activitățile în cadrul Uniunii.
Cerințe minime:
Entitățile esențiale și entitățile importante iau măsuri tehnice, operaționale și organizatorice proporționale și adecvate pentru a identifica, evalua și gestiona riscurile aferente securității rețelelor și a sistemelor informatice pe care acestea le utilizează în desfășurarea activităților lor sau furnizarea serviciilor lor, precum și pentru a elimina sau, după caz, a reduce efectele incidentelor asupra destinatarilor serviciilor lor și asupra altor servicii.
- a) politicile și procedurile referitoare la analiza riscurilor și la securitatea sistemelor informatice și revizuirea periodică a acestora;
- b) politicile și procedurile de evaluare a eficacității măsurilor de gestionare a riscurilor de securitate cibernetică;
- c) politicile și procedurile referitoare la utilizarea criptografiei și, după caz, a criptării;
- d) securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitatea relației dintre entitate și prestatorii și furnizorii săi direcți;
- e) securitatea achiziției, dezvoltării, întreținerii și casării rețelelor și sistemelor informatice, inclusiv gestionarea și divulgarea vulnerabilităților;
- f) securitatea resurselor umane, politicile de control al accesului și gestionarea activelor;
- g) gestionarea incidentelor;
- h) continuitatea activității, inclusiv gestionarea copiilor de rezervă, redresarea în caz de dezastru și managementul crizelor;
- i) practicile de bază în materie de igienă cibernetică și formarea în domeniul securității cibernetice;
- j) utilizarea soluțiilor de autentificare multi-factor sau de autentificare continuă a comunicațiilor vocale, video și text, a sistemelor de comunicații de urgență securizate și securizate în interiorul entității, după caz.
Tipuri de entități:
Sector | Subsector | Organizații mari | Organizații medii | Organizații mici și Micro |
>= 250 angajați sau CA anuală> 50 milioane EURO | 50 – 249 angajați sau CA anuală> 10 milioane EURO | |||
ANEXA I : SECTOARE CU O IMPORTANȚĂ CRITICĂ RIDICATĂ | ||||
Energie | Electricitate, Încălzire centralizată și răcire centralizată, Petrol, Gaze, Hidrogen, | ESENȚIAL | IMPORTANT | NU SE APLICĂ |
Transport | Transport aerian, transport feroviar, transport pe apă, transport rutier | ESENȚIAL | IMPORTANT | NU SE APLICĂ |
Sectorul bancar | Instituțiile de credit | ESENȚIAL | IMPORTANT | NU SE APLICĂ |
Infrastructuri ale pieței financiare | Operatorii de locuri de tranzacționare, Contrapărțile centrale (CPC), | ESENȚIAL | IMPORTANT | NU SE APLICĂ |
Sănătate | Furnizorii de servicii medicale, Laboratoarele de referință ale UE, Entitățile care desfășoară activități de cercetare și dezvoltare a medicamentelor, Entitățile care fabrică produse farmaceutice de bază și preparate farmaceutice, Entitățile care fabrică dispozitive medicale considerate a fi esențiale în contextul unei urgențe de sănătate publică | ESENȚIAL | IMPORTANT | NU SE APLICĂ |
Apă potabilă | Furnizorii și distribuitorii de apă destinată consumului uman | ESENȚIAL | IMPORTANT | NU SE APLICĂ |
Ape uzate | Întreprinderile care colectează, evacuează sau tratează ape urbane reziduale, ape menajere uzate sau ape industriale uzate, | ESENȚIAL | IMPORTANT | NU SE APLICĂ |
Infrastructură digitală | Prestatorii de servicii de încredere calificați | ESENȚIAL | ESENȚIAL | ESENȚIAL |
Prestatorii de servicii DNS | ESENȚIAL | ESENȚIAL | ESENȚIAL | |
Registrele de nume TLD | ESENȚIAL | ESENȚIAL | ESENȚIAL | |
Furnizorii de rețele publice de comunicații electronice | ESENȚIAL | ESENȚIAL | IMPORTANT | |
Furnizorii de IXP (internet exchange point) | ESENȚIAL | IMPORTANT | NU SE APLICĂ | |
Furnizorii de servicii de cloud computing | ESENȚIAL | IMPORTANT | NU SE APLICĂ | |
Furnizorii de servicii de centre de date | ESENȚIAL | IMPORTANT | NU SE APLICĂ | |
Furnizorii de rețele de furnizare de conținut | ESENȚIAL | IMPORTANT | NU SE APLICĂ | |
Gestionarea serviciilor TIC | Furnizorii de servicii gestionate, Furnizorii de servicii de securitate gestionate | ESENȚIAL | IMPORTANT | NU SE APLICĂ |
Administrație publică | Entitățile de administrație publică din administrația centrală, | ESENȚIAL | ESENȚIAL | ESENȚIAL |
Entitățile de administrație publică la nivel regional | IMPORTANT | IMPORTANT | IMPORTANT | |
Spațiu | Operatorii de infrastructură terestră deținută, gestionată și operată de statele membre sau de părți private, care sprijină furnizarea de servicii spațiale, cu excepția furnizorilor de rețele publice de comunicații electronice | ESENȚIAL | IMPORTANT | NU SE APLICĂ |
Sector | Subsector | Organizații mari | Organizații medii | Organizații mici și Micro |
>= 250 angajați sau CA anuală> 50 milioane EURO | 50 – 249 angajați sau CA anuală> 10 milioane EURO | |||
ANEXA II : ALTE SECTOARE DE IMPORTANȚĂ CRITICĂ | ||||
Servicii poștale și de curierat | Furnizorii de servicii poștale | IMPORTANT | IMPORTANT | NU SE APLICĂ |
Managementul deșeurilor | Întreprinderile care efectuează gestionarea deșeurilor | IMPORTANT | IMPORTANT | NU SE APLICĂ |
Fabricarea, producția și distribuția de substanțe chimice | Întreprinderile care produc substanțe și distribuie substanțe sau amestecuri | IMPORTANT | IMPORTANT | NU SE APLICĂ |
Producția, prelucrarea și distribuția de alimente | Întreprinderile care produc substanțe și distribuie substanțe sau amestecuri | IMPORTANT | IMPORTANT | NU SE APLICĂ |
Producție | Fabricarea de dispozitive medicale și de dispozitive medicale pentru diagnostic in vitro, Fabricarea computerelor și a produselor electronice și optice (secțiunea C diviziunea 26 din NACE Rev. 2), Fabricarea echipamentelor electrice (secțiunea C diviziunea 27 din NACE Rev. 2), Fabricarea altor mașini și echipamente (secțiunea C diviziunea 28 din NACE Rev. 2), Fabricarea autovehiculelor, remorcilor și semiremorcilor (secțiunea C diviziunea 29 din NACE Rev. 2), Fabricarea altor echipamente de transport (secțiuneaC diviziunea 30 din NACE Rev. 2) | IMPORTANT | IMPORTANT | NU SE APLICĂ |
Furnizori digitali | Furnizorii de piețe online, Furnizorii de motoare de căutare online, Furnizorii de platforme de servicii de socializare în rețea | IMPORTANT | IMPORTANT | NU SE APLICĂ |
Cercetare | Organizațiile de cercetare | IMPORTANT | IMPORTANT | NU SE APLICĂ |
Responsabilități ale Top Managementului:
Organele de conducere ale entităților esențiale și ale entităților importante aprobă măsurile de gestionare a riscurilor în materie de securitate cibernetică, supraveghează punerea în aplicare a acestuia și pot fi trase la răspundere pentru încălcarea de către entități a respectivului articol.
Membrii organelor de conducere din cadrul entităților esențiale și al entităților importante au obligația de a urma o formare pentru a dobândi suficiente cunoștințe și competențe pentru a putea identifica riscurile și a evalua practicile de gestionare a riscurilor de securitate cibernetică, precum și impactul acestora asupra serviciilor furnizate de entitate.
Identifică riscurile și evaluează practicile de gestionare a riscurilor în materie de securitate cibernetică și impactul acestora asupra serviciilor pe care le furnizează entitatea, și încurajează entitățile esențiale și entitățile importante să ofere o formare similară tuturor angajaților în mod regulat.
Sancțiuni
- a) pentru entitățile importante până la 35 000 000 RON sau cel mult 1,4% din cifra de afaceri netă,
b) pentru entitățile esențiale până la 50 000 000 RON sau cel mult 2% din cifra de afaceri netă
- Lipsa de măsuri tehnice, operaționale și organizatorice proporționale și adecvate pentru a gestiona riscurile aferente securității rețelelor și a sistemelor informatice;
- ·Entitățile esențiale nu efectuează un audit de securitate cibernetică periodic, în termen de un an de la identificare și ulterior o dată la doi ani de la ultimul audit periodic efectuat;
- ·Entitățile importante nu efectuează audit de securitate cibernetică periodic, în termen de un an de la identificare și ulterior o dată la trei ani de la ultimul audit periodic efectuat;
- ·Netransmiterea catre DNSC a listei cu toți furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, precum și furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea și care le asigură aceste tipuri de servicii;
- a) pentru entitățile importante până la 35 000 000 RON sau cel mult 1,4% din cifra de afaceri netă,
b) pentru entitățile esențiale până la 50 000 000 RON sau cel mult 2% din cifra de afaceri netă;
- Organele de conducere a unei entități esențiale sau importante, nu aplică acțiunilor corective necesare pentru a respecta ordinul DNSC privind măsurile de gestionare a riscurilor în ceea ce privește cerințele tehnice, operaționale și organizatorice, care cuprind cel puțin:
- politicile și procedurile referitoare la analiza riscurilor și la securitatea sistemelor informatice;
- politicile și procedurile de evaluare a riscurilor și a măsurilor de gestionare a acestora;
- politicile și procedurile de divulgare coordonată a vulnerabilităților;
- politicile și procedurile de evaluare a eficacității măsurilor de gestionare a riscurilor de securitate cibernetică;
- politicile și procedurile referitoare la utilizarea criptografiei și, după caz, a criptării;
- securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitatea relației dintre entitate și furnizorii săi;
- securitatea achiziției, dezvoltării și întreținerii rețelelor și sistemelor informatice, inclusiv tratarea și divulgarea vulnerabilităților;
- securitatea resurselor umane, politicile de control al accesului și gestionarea activelor;
- gestionarea incidentelor;
- continuitatea activității, inclusiv gestionarea copiilor de rezervă, redresarea în caz de dezastru și managementul crizelor;
- practicile de bază în materie de igienă cibernetică și formarea în domeniul securității cibernetice;
- utilizarea soluțiilor de autentificare multi-factor sau de autentificare continuă a comunicațiilor vocale, video și text, a sistemelor de comunicații de urgență securizate și securizate în interiorul entității, după caz.
