Full-Width Table with Specific Column Width

Ce este NIS2 și ce scop are?

Network and Information Systems Directive (NIS2) este directiva adoptată la nivel european, care urmărește să consolideze și să extindă cadrul de reglementare existent, pentru a face față provocărilor cibernetice în creștere. Această directivă acoperă o gamă largă de sectoare, inclusiv energie, transport, sănătate și servicii financiare.

Scopul său este să creeze un mediu mai sigur și mai rezilient pentru infrastructurile critice, impunând cerințe specifice privind securitatea rețelelor și a sistemelor informatice.

Directivă vs reglementare

Principalele diferențe dintre o directivă și o reglementare constau în modul de implementare și aplicabilitate. Directivele necesită transpunere în legislația națională și oferă o anumită flexibilitate, în timp ce reglementările sunt direct aplicabile și asigură uniformitate în toate statele membre.

Conținut:

1. Ce este NIS2 și ce scop are? 
2. Pe cine vizează NIS2? 
3. Pași de urmat pentru evaluarea aplicabilității directivei NIS2 
4. Care sunt riscurile și sancțiunile NIS2 pentru organizații? 
5. Care sunt elementele cheie din NIS2? 
6. Cum afectează NIS2 firmele mici și mijlocii? 
7. NIS2 și Inteligența Artificială în domeniul cybersecurity 
8. Cum ajută Infodesign Group organizațiile să respecte NIS2? 
9. Întrebări frecvente despre NIS2


Descarcă ghidul complet

 

Cronologie NIS și NIS2

2016

în August 2016 - a fost publicată prima directivă NIS 1148/2016

2018

9 Mai 2018 - termen limită pentru implementarea NIS 1148/2016 în România

2022

în Decembrie 2022 - a fost publicată directiva a doua NIS2 2022/2555, ca un update pentru prima directivă

2023

în Ianuarie 2023 - NIS2 a intrat în vigoare în România

2024

17 Noiembrie 2024 - termen limită pentru implementarea NIS2 în Romania; 18 Noiembrie 2024 - începe aplicarea directivei NIS2, moment în care NIS 1148/2016 încetează

 

Pași de urmat pentru evaluarea aplicabilității directivei NIS2

Pasul 1
Determinați dacă organizația dvs. trebuie să îndeplinească cerințele NIS 2 și se încadrează în criteriile de mai jos

Pasul 2
Concentrați-vă pe gestionarea riscurilor, responsabilitate organizațională și continuitatea afacerilor (business continuity)

Pasul 3
Construiți practici și proceduri pentru raportare, guvernanță, monitorizare și îmbunătățire continuă

Pasul 1: Înțelegeți Domeniul de Aplicare al Directivei NIS2

Directiva NIS2 se aplică pentru două categorii principale de entități: Entități Esențiale și Entități Importante.

- Entitățile Esențiale (EE) includ sectoare precum energie, transport, bancar, piață financiară, sănătate, alimentare și distribuție de apă, infrastructură digitală, administrație publică și spațiu.

- Entitățile Importante (EI) includ sectoare precum servicii poștale și de curierat, gestionarea deșeurilor, producție și distribuție de chimicale, alimentație, producerea de produse esențiale și furnizori de servicii digitale.

Styled Table
Entități Esențiale (EE)

Organizații esențiale care oferă servicii critice 		Entități Importante (EI)

Organizații importante care oferă servicii critice
≥ 250 de angajați
≥ 50 M €/an cifră de afaceri
≥ 43 M € bilanț 		≥ 50 de angajați
≥ 10 M €/an cifră de afaceri
≥ 10 M € bilanț

Sectoare de activitate:

  • Energie
  • Transport
  • Bănci
  • Infrastructuri de piață financiară
  • Sănătate
  • Alimentare cu apă și distribuție
  • Infrastructură digitală (IXP, furnizori DNS, registre TLD)
  • Management servicii TIC
  • Administrație publică
  • Spațiu

Sectoare de activitate:

  • Servicii poștale și de curierat
  • Gestionarea deșeurilor
  • Producția, fabricarea și distribuția de produse chimice
  • Producția, procesarea și distribuția alimentelor
  • Fabricarea de produse critice (dispozitive medicale, produse farmaceutice, chimice și altele)
  • Furnizori digitali (piețe online, motoare de căutare, rețele sociale)
  • Cercetare

* Entitățile mai mici ar putea fi incluse în continuare dacă au un rol critic în economie, de exemplu, gestionarea unor cantități semnificative de date, având dependințe semnificative cu alte entități critice. - descarcă ghidul pentru detalii

 

Pasul 2: Implementați masurile de securitate

NIS2 prescrie o serie de măsuri concrete de securitate, astfel directiva obligă organizațiile vizate să impună măsurile de securitate detaliate în Articolul 21.

 

Pasul 3: Raportare, guvernanță, monitorizare și
îmbunătățire continuă

NIS2 impune multiple reguli pentru raportarea, guvernanța, monitorizarea și îmbunătățirea continuă în domeniul securității cibernetice (detaliat mai jos).

Articolul 23 din Directiva NIS2 cere organizațiilor care se confruntă cu incidente semnificative să le raporteze către CSIRT sau autorităților competente fără întârziere nejustificată și într-un anumit interval de timp.

Un incident va fi considerat semnificativ dacă:

Center-Aligned Transparent Borders Table Example
a cauzat sau este capabil să cauzeze perturbări severe în funcționarea serviciilor sau pierderi financiare semnificative pentru entitatea în cauză; SAUa afectat sau este capabil să afecteze alte persoane fizice sau juridice prin cauzarea de daune materiale sau imateriale considerabile.

 

Raportarea incidentelor semnificative

Raportarea incidentelor semnificative se realizează în trei etape
Prima notificare

În termen de 24 de ore de la incident, organizațiile afectate trebuie să trimită un prim raport care conține informații de bază despre incident.

Raport detaliat

În termen de 72 de ore de la incident, organizațiile trebuie să actualizeze prima notificare cu un raport mai detaliat despre incident.

Raport final

Trimis nu mai târziu de o lună, va trebui să includă detaliile despre incident, severitatea, consecințe, cauza și măsurile luate.

Riscurile și sancțiunile NIS2 pentru organizații

Nerespectarea directivei NIS2 poate expune organizațiile la riscuri semnificative. Acestea includ amenzi și sancțiuni, pierderi de reputație și perturbări ale activităților companiilor.

Amenzi și sancțiuni administrative pentru non-complianță: 
 

  • EE - 10 M € sau 2% din cifra de afaceri anuală (care este mai mare)
  • IE - 7 M € sau 1,4% din cifra de afaceri anuală (care este mai mare)

Responsabilitate personală
În anumite cazuri, persoane din conducerea organizațiilor pot fi trase la răspundere pentru neconformitate.
 

  • Pot fi impuse interdicții temporare de a exercita funcții de conducere la nivel de director executiv sau de reprezentant legal, în special dacă se dovedește că au neglijat intenționat sau din culpă cerințele de securitate și notificare ale NIS2.

Sancțiuni complementare
Pe lângă amenzi, autoritățile pot impune sancțiuni precum:
 

  • Obligația de a lua măsuri corective specifice într-un termen stabilit; 
  • Suspendarea activităților: în cazurile de neconformitate severă;
  • Publicarea încălcărilor: informarea publicului despre încălcările comise și măsurile luate, ceea ce poate duce la daune reputaționale semnificative.

Sancțiuni penale
Statele membre UE pot include sancțiuni penale în legislațiile lor naționale pentru anumite încălcări grave ale directivei.

Aceste sancțiuni pot include:
 

  • Încălcări grave repetate ale cerințelor de securitate și notificare;
  • Lipsa de cooperare cu autoritățile competente în timpul investigațiilor.

 

Descarcă ghidul complet NIS2

Vă mulțumim pentru completarea formularului nostru!

 

Soluțiile noastre de securitate

selectează toate

Infodesign este distribuitor unic și partener în România pentru multiple soluții oferite de către următorii vendori: