Fii conform cu Directiva NIS_
Stabiliți măsurile tehnice necesare și îndepliniți cerințele minime de securitate a rețelelor și sistemelor informatice
Uniunea Europeană a adus în prim plan importanța și obligativitatea instituirii unei baze minime de securitate cibernetică la nivel de industrie. După intrarea în vigoare a regulamentului GDPR, UE s-a concentrat pe întărirea rezilienței statelor în fața atacurilor cibernetice, pe protejarea infrastructurilor critice și digitale și pe asigurarea funcționării sistemelor care sunt fundamentale pentru societate.
Astfel, Directiva NIS (a se vedea UE 2016/1148) a devenit primul act legislativ în materie de securitate cibernetică la nivelul UE. Conform Directivei, statele membre sunt:
- obligate să dispună de anumite capacități naționale de securitate cibernetică (precum instituirea unui CSIRT național)
- încurajate să consolideze colaborarea cu alte state membre (precum dezvoltarea unei rețele operaționale CSIRT a UE sau crearea unui grup strategic de cooperare)
Dacă organizația dvs. este operator de servicii esențiale sau furnizor de servicii digitale, va trebui să respectați normele acestei directive.
Îndeplinește cerințele Directivei NIS
În noiembrie 2021, un sondaj efectuat de Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) în rândul a 947 de operatori de servicii esențiale și furnizori de servicii digitale din UE arăta că:
- 48,9% organizații recunosc un impact foarte semnificativ sau semnificativ al Directivei NIS asupra securității informațiilor;
- Aproape 50% din organizații consideră că punerea în aplicare a Directivei NIS le-a consolidat capacitățile de detecție a incidentelor cibernetice, în timp ce 26% consideră că aceasta a consolidat capacitatea lor de recuperare în urma incidentelor.
Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice care transpune Directiva NIS se adresează în mod specific operatorilor de servicii esențiale și furnizorilor de servicii digitale.
Legislația impune acestor entități să dispună de controale și procese de securitate adecvate. Cele care nu respectă normele NIS pot fi amendate cu până la 5% din cifra de afaceri. De asemenea, în cazul încălcărilor repetate, amenzile variază între 3.000 și 50.000 RON. Operatorii cu cifra de afaceri de peste 2 milioane RON riscă amenzi între 0.5% și 2% din cifra de afaceri.
Cine sunt Operatorii de servicii esențiale (OSE) vizați de Directiva NIS?
Operatorii de servicii esențiale (OSE) vizați de către normele legislative fac parte din 7 sectoare vitale de activitate economică: energie, transport, sectorul bancar, infrastructuri ale pieței financiare, sănătate, furnizarea de apă potabilă, infrastructură digitală.
Pe lângă obligativitatea acestora de a se înscrie în Registrul Operatorilor de Servicii Esențiale, în urma unui audit efectuat de către un auditor de securitate NIS, atestat de către DNSC, operatorii de servicii esențiale trebuie să adere și să implementeze măsuri tehnice și organizatorice, aliniate la standardele naționale și internaționale, care să vizeze, printre altele, cel puțin:
- managementul drepturilor de acces, al identificării și autentificării utilizatorilor;
- conștientizarea și instruirea utilizatorilor și asigurarea securității personalului;
- testarea și evaluarea securității rețelelor și sistemelor informatice;
- managementul configurațiilor rețelelor și sistemelor informatice;
- asigurarea disponibilității și continuității serviciului esențial și a funcționării rețelelor și sistemelor informatice;
- răspunsul la incidente și managementul vulnerabilităților și alertelor de securitate;
- mentenanța și asigurarea protecției fizice a rețelelor și sistemelor informatice;
- realizarea planurilor de securitate;
- asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice.
Cine sunt Furnizorii de servicii digitale (FSD) vizați de Directiva NIS?
Furnizorii de servicii digitale sunt împărțiți în 3 categorii:
- Piețe online
- Motoare de căutare online
- Servicii de cloud computing
Măsurile tehnice și organizatorice pe care aceștia trebuie să le implementeze sunt următoarele:
- securitatea sistemelor și a instalării acestora;
- gestionarea incidentelor de securitate;
- gestionarea continuității activității;
- monitorizarea, auditarea și testarea;
- conformitatea cu standardele europene și internaționale
Cum vă poate fi de folos Bit Sentinel în procesul de conformitate cu Directiva NIS?
În 2021, Bit Sentinel a primit atestatul de auditor de securitate cibernetică – special, comun și general pentru operatorii de servicii esențiale, emis de către DNSC – Directoratul Național de Securitate Cibernetică.
Această acreditare este o recunoaștere a capabilității echipei și a companiei în a furniza servicii profesionale de securitate cibernetică pentru a atesta conformitatea cu Directiva NIS.
Cum funcționează procesul de conformitate cu Directiva NIS cu Bit Sentinel?
Pasul 1. Elaborarea analizei inițiale
Echipa de auditori certificați din cadrul Bit Sentinel va face încadrarea organizației dumneavoastră ca operator de servicii esențiale sau ca furnizor de servicii digitale. Operatorii de servicii esențiale vor fi apoi înscriși în Registrul Operatorilor de Servicii Esențiale de către DNSC.
Pasul 2. Evaluarea stadiului actual de conformitate
Specialiștii noștri vor verifica în ce măsură nivelul actual de securitate cibernetică este conform cu prevederile Directivei NIS. În această etapă vom analiza elemente specifice de guvernanță, protecție, securitate, apărare și reziliență. Ulterior, vom oferi recomandări de măsuri tehnice și organizatorice necesare pentru îndeplinirea cerințelor minime de securitate.
Pasul 3. Implementarea măsurilor tehnice pentru conformitate
În aceasta etapă, echipa noastră de experți în securitate cibernetică se va ocupa de procesul de implementare a măsurilor recomandate în pasul anterior specific pe nevoile companiei dvs.
Pasul 4. Startul auditului de securitate
Vom realiza un audit care să valideze implementarea măsurilor recomandate. La baza acestei evaluări vor fi urmărite toate măsurile de guvernanță, protecție, securitate, apărare și reziliență necesare pentru a atinge cerințele minime de securitate. Printre serviciile necesare se numără audit de securitate IT și operațional, teste de penetrare șamd.
Pasul 5. Monitorizarea serviciilor prin divizia BSS-CERT
Echipa noastră BSS-CERT va monitoriza sistemele și rețele informatice, va evalua constant sistemele pentru orice urma de compromitere sau acces neautorizat si va oferi suport pentru a va imbunatati nivelul de maturitate al organizatiei.
Pasul 6. Răspunsul la incidente de securitate
În cazul unei breșe de securitate, echipa noastră de răspuns la incidente acreditată de Trusted Introducer – cea mai mare organizație de analiză și acreditare a echipelor de tip CSIRT vă va asista în toate activitățile impuse legal de un astfel de incident, restabilind în același timp buna funcționare a serviciilor esențiale.