Om de afaceri care se gandeste la Directiva NIS

Directiva NIS în România. Ghid în pași pentru companii

Directiva NIS sau Directiva Uniunii Europene nr.1148/2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană își produce de anul acesta efectele și în România, cu impact puternic asupra companiilor care nu se conformează. Amenzile pot ajunge până la 5% din cifra de afaceri.

Așadar, dacă organizația ta este un operator de servicii esențiale precum cele medicale, bancare, de furnizarea și distribuirea de apă potabilă, transport sau un furnizor de servicii digitale, este foarte important să ai în vedere modalitățile practice prin care menții un nivel minim de securitate cibernetică a rețelelor și sistemelor informatice pe care compania ta le folosește.

În acest articol, îți vom explica pe larg ce înseamnă Directiva NIS pentru compania ta, de ce ai nevoie de securitate cibernetică în contextul acestei Directive, ce riști dacă nu te conformezi legislației și care sunt pașii tehnici pe care trebuie să îi faci pentru a te conforma.

Sumar:

  • Ce înseamnă NIS
  • De ce a fost nevoie de o directivă privind securitatea cibernetică
  • Transpunerea Directivei NIS în legislația națională
  • Cine trebuie să aplice prevederile Directivei NIS 
  • De ce și compania ta are nevoie de măsuri privind securitatea cibernetică în acord cu Directiva NIS 
  • Ce obligații ai conform NIS 
  • Ce norme tehnice trebuie să respecți. Lista pentru OSE
  • Primul pas în elaborarea normelor de securitate cibernetică specificate de NIS 
  • Pasul 1 – Asigurarea managementului securității informației
  • Pasul 2 – De unde te poți aștepta la un atac cibernetic? Cartografierea ecosistemului
  • Pasul 3 – Stabilirea relațiilor ecosistemului

Ce înseamnă NIS

NIS este acronimul de la Network and Information Security dar și prescurtarea titulaturii primei Directive Europene privind securitatea cibernetică (Directive on security of network and information systems). Adoptată de Parlamentul European în data de 6 iulie 2016, Directiva NIS trebuia transpusă în legislația statelor membre până la 9 mai 2018, urmând ca identificarea operatorilor de servicii esențiale, adică acele companii cărora li se aplică Directiva, să fie identificați până la data de 9 noiembrie 2018.

De ce a fost nevoie de o directivă privind securitatea cibernetică 

Pe scurt, companiile, indiferent de mărimea lor, au devenit dependente de diverse sisteme și servicii informatice, ceea ce a atras interesul infractorilor cibernetici. Incidentele de securitate au crescut vertiginos în ultimii ani, astfel că europarlamentarii au apreciat că toate statele membre ar trebui să trateze această problemă cu aceeași seriozitate.

Aceasta în contextul în care membrii UE aveau niveluri de pregătire diferite în fața amenințărilor cibernetice și asigurau inegal protecția consumatorilor și a întreprinderilor. Or, prin implementarea acestei Directive, se încearcă tocmai aducerea tuturor companiilor din statele membre la același nivel comun ridicat de securitate a rețelelor și sistemelor informatice raportat la riscurile asociate.

Obiectivul Directivei NIS este, așadar, acela de a proteja cetățenii europeni, obligând companiile din industriile critice să adopte un set de măsuri și mecanisme standard prin care să poată asigura un nivel comun ridicat de securitate cibernetică. În plus, Directiva creează cadrul necesar pentru ca statele membre să poată colabora pentru identificarea și anihilarea rețelelor de furt cibernetic.

Transpunerea Directivei NIS în legislația națională

În România, transpunerea Directivei NIS s-a făcut în 2018, prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Actul normativ a intrat în vigoare în data de 12 ianuarie 2019, însă până în iulie 2020, când Guvernul a emis OUG nr.119 pentru modificarea și completarea Legii nr. 362/2018, procesul de implementare a Directivei a fost blocat din cauza vidului legislativ.

Acum există însă și norme tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale.

Cine trebuie să aplice prevederile Directivei NIS 

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice vizează două categorii de companii:

  1. Operatorii de Servicii Esențiale (OSE) din 7 sectoare de activitate vitale pentru economie:

1.1  energie;

1.2  transport;

1.3  sectorul bancar;

1.4  domeniul medical;

1.5   infrastructuri ale pieței financiare;

1.6  infrastructură digitală;

1.7  furnizarea și distribuirea de apă potabilă.

  1. Furnizorii de Servicii Digitale (FSD), respectiv:

2.1   piețe online;

2.2   motoare de căutare online;

2.3   servicii de cloud computing.

Dacă ești un furnizori de servicii digitale, dar faci parte din categoria IMM-urilor, nu ți se vor aplica mare parte dintre obligațiile pe care le vom menționa pe parcursul acestui articol.

Pentru a fi însă sigur de statutul companiei în raport cu Directiva NIS, cel mai bine consulți și  Normele metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale. Le găsești în Monitorul Oficial, Partea I nr. 584 din 17 iulie 2019. De asemenea, Lista cu serviciile esențiale se poate consulta în Hotărârea nr. 963/2020.

De ce și compania ta are nevoie de măsuri privind securitatea cibernetică în acord cu Directiva NIS 

În domeniile în care se aplică legislația privind asigurarea unui nivel comun ridicat de securitate cibernetică, neconformarea poate atrage amenzi cuprinse între 3.000 de lei și 5% din cifra de afaceri.

Dincolo de obligațiile introduse prin lege și chiar dacă acest cadru legal nu se adresează companiei tale, să iei măsurile adecvate pentru a menține un nivel înalt de securitate cibernetică reprezintă, de fapt, polița pe care o plătești pentru a nu înregistra daune materiale și de imagine în cazul unui atac cibernetic.

O analiză recentă a SAS, liderul mondial în analitycs, atrage atenția că există premisele ca 2021 să fie anul fraudelor digitale.

Așadar, dacă ai făcut deja investiții în digitalizare sau ai permis telemunca, organizația ta a deschis, probabil, mai mule porți către rețeaua sa informatică. De aceea, ar trebui să te asiguri că rețelele și sistemele informatice ale companiei tale rămân în siguranță și nu riști pierderi financiare.

Ce obligații ai conform NIS 

Conform Directivei NIS și implicit a legislației naționale, în scopul asigurării securității rețelelor și sistemelor informatice, în calitate de operator de servicii esențiale (OSE) și/sau furnizor de servicii digitale (FSD) ai următoarele obligații:

  1. Să implementezi măsurile tehnice și organizatorice adecvate și proporționale pentru îndeplinirea cerințelor minime de securitate.

Aceste cerințe minime de securitate se referă la:

  • managementul drepturilor de acces;
  • conștientizarea și instruirea utilizatorilor;
  • jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice;
  • testarea și evaluarea securității rețelelor și sistemelor informatice;
  • managementul configurațiilor rețelelor și sistemelor informatice;
  • asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor informatice;
  • managementul continuității funcționării serviciului esențial;
  • managementul identificării și autentificării utilizatorilor;
  • răspunsul la incidente;
  • mentenanța rețelelor și sistemelor informatice;
  • managementul suporturilor de memorie externă;
  • asigurarea protecției fizice a rețelelor și sistemelor informatice;
  • realizarea planurilor de securitate;
  • asigurarea securității personalului;
  • analizarea și evaluarea riscurilor;
  • asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice;
  • managementul vulnerabilităților și alertelor de securitate.
  1. Să implementezi măsuri adecvate pentru a preveni și minimiza impactul incidentelor care afectează securitatea rețelelor și a sistemelor informatice utilizate pentru furnizarea serviciilor esențiale, cu scopul de a asigura continuitatea serviciilor respective.
  2. Să stabilești mijloacele permanente de contact și să desemnezi responsabilii cu securitatea rețelelor și sistemelor informatice însărcinați cu monitorizarea mijloacelor de contact.
  3. Să asiguri de îndată răspunsul la incidentele survenite, să restabilești în cel mai scurt timp funcționarea serviciului la parametrii dinaintea incidentului și să realizezi auditul de securitate.
  4. Să te interconectezi în termen de 60 de zile de la înscrierea în Registrul operatorilor de servicii esențiale la serviciul de alertare și cooperare al CERT-RO, să asiguri monitorizarea permanentă a alertelor și solicitărilor primite prin acest serviciu ori prin celelalte modalități de contact și să iei în cel mai scurt timp măsurile adecvate de răspuns la nivelul rețelelor și sistemelor informatice proprii.

Pe lângă toate aceste aspecte tehnice, în cazul în care compania ta este un operator de servicii esențiale sau furnizorii de servicii digitale, trebuie să raportezi CERT-RO tot felul de informații, inclusiv dacă te-ai confruntat cu incidente care au avut un impact semnificativ asupra continuității serviciilor esențiale ale companiei. Totodată, trebuie să te supui controalelor CERT-RO în vederea stabilirii gradului de respectare a obligațiilor ce îți revin în temeiul acestei legi.

Ce norme tehnice trebuie să respecți. Lista pentru OSE

Potrivit Normelor tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale, compania ta trebuie să vegheze asupra patru domenii de securitate:

  1. guvernanță – se referă la elaborarea și implementarea unor politici de securitate la nivelul organizației și este o chestiune ce privește top managementul companiei.
  2. protecție – se referă la necesitatea de a asigura securitatea rețelelor și sistemelor informatice. Vorbim aici despre administrarea și mentenanța resurselor, rețelelor și sistemelor informatice și despre controlul accesului la elementele/componentele rețelelor și sistemelor informatice.
  3. apărare cibernetică – se referă la necesitatea de a asigura managementul incidentelor de securitate. Cum detectează compania ta incidentele care afectează securitatea rețelelor și sistemelor informatice? Cum le tratează?
  4. reziliență – se referă la managementul continuității serviciilor esențiale furnizate sau, altfel spus, business continuity. La acest capitol trebuie să îți ridici întrebări legate de cum gestionezi situații de criză precum dezastre naturale. Ce faci în cazul unor incidente de securitate care au un impact major asupra serviciilor esențiale?

Cele patru domenii de securitate se împart, la rândul lor, în categorii de activități de securitate, iar pentru fiecare dintre acestea sunt stabilite măsuri de securitate cu una sau mai multe cerințe de securitate, care, la rândul lor, conțin indicatori de control.

În procesul de implementare a cerințelor de securitate, companiile OSE trebuie, de asemenea, să:

  • identifice riscurile în cazul în care nu implementează cerințele de securitate;
  • să planifice activitățile care stau la baza implementării;
  • să stabilească responsabilii pentru realizarea acestora.

Revenind la normele tehnice, în acest articol ne vom referi doar la partea de guvernanță, urmând a detalia celelalte aspecte în articole pe care le vom publica ulterior.

Primul pas în elaborarea normelor de securitate cibernetică specificate de NIS 

Așadar, pentru a fi în acord cu Directiva NIS, ar trebui să începi cu partea de guvernanță. Este un proces laborios, în pași pe care îi vom descrie mai jos.

Pasul 1 – Asigurarea managementului securității informației

Acest pas implică alți șapte pași mai mici, după cum urmează:

1.1 Analizarea și evaluarea riscurilor

Aici ar trebui să pui la punct următoarele:

  • o analiză a riscurilor de securitate. Trebuie să efectuezi și să actualizezi periodic o analiză a riscurilor de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale. Începi prin a identifica sistemele/echipamentele informatice critice care stau la baza furnizării serviciului esențial și principalele riscuri.
  • gestionarea riscurilor de securitate. Va trebui să stabilești o metodologie de gestionare a riscurilor furnizării serviciilor esențiale care va reflecta procesul de evaluare a riscurilor, criteriile de analiză, de acceptare și de reducere a riscurilor.
  • evaluarea riscurilor de securitate. Va trebui să faci o analiză cu referiri la:
  1. noile amenințări în domeniul securității cibernetice;
  2. punctele slabe descoperite recent;
  3. pierderea eficacității măsurilor de securitate;
  4. modificările situației de risc cauzate de modificările arhitecturii rețelelor și sistemelor informatice;
  5. orice alte modificări ale situației de risc.

Rezultatul evaluării riscurilor va fi documentat în registrul de risc organizațional.

1.2 Realizarea unor planuri de securitate și a unei politici de securitate

Aici ar trebui să te ocupi de:

  • politica de securitate. Trebuie să elaborezi, să menții și să implementezi o politică de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale și un sistem de management al securității informațiilor.
  • obiectivele strategice de securitate. Trebuie să faci o descriere a guvernanței securității ce reflectă toate politicile specifice de securitate ale sistemului de management al securității informației (SMSI) : procesul de acreditare de securitate, audit de securitate, criptografie, întreținere securitate, manipulare incidente etc.
  • implementarea politicii de securitate. Trebuie să întocmești un raport privind implementarea politicii de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale (PONIS) și a documentelor de aplicare a acesteia. Raportul specifică inventarul riscurilor, nivelul securității rețelelor și sistemelor informatice și acțiunile de securitate planificate și realizate.

1.3 Acreditarea de securitate

Rețelele și sistemele informatice ale companiei tale, inclusiv componentele de administrare, ar trebui acreditate. Ar trebui să știi, așadar, următoarele despre acreditarea de securitate:

  • este o decizie formală luată de managementul de nivel înalt al companiei;
  • certifică faptul că orice risc rezidual a fost identificat și acceptat la nivel managerial;
  • certifică procesul de identificare a riscurilor care afectează securitatea și modul de implementare a măsurilor necesare pentru protejare;
  • are valabilitate de cel mult un an.

În plus, ar trebui să ai și o așa-numită mapă de acreditare de securitate care cuprinde:

  • analiză riscuri și obiective de securitate;
  • proceduri și măsuri de securitate aplicate;
  • rapoarte de audit de securitate;
  • rapoarte de evaluare a conformității;
  • riscuri reziduale și motive care justifică acceptarea acestora.

În plus, trebuie să iei în calcul faptul că este necesar să revizuiești validarea acreditării de securitate în următoarele situații:

  • anual;
  • ori de câte ori se identifică un eveniment/proces de dezvoltare care modifică contextul descris în procesul de acreditare;
  • de fiecare dată când se modifică în mod semnificativ configurația rețelelor și sistemelor informatice sau a aplicațiilor.

Practic, ai obligația reînnoirii aprobării imediat ce aceasta nu mai este valabilă.

1.4 Stabilirea unor indicatori de securitate

În această etapă, trebuie să stabilești o serie de indicatori de evaluare, pe baza cărora să poți  evalua conformitatea cu rețelele și sistemele informatice care asigură furnizarea serviciilor esențiale (PONIS).

De exemplu, te poți referi la:

  • performanțele gestionării riscurilor;
  • menținerea resurselor în condiții sigure;
  • drepturile de acces ale utilizatorilor;
  • autentificarea accesului la resurse;
  • administrarea resurselor.

Atenție însă! Pentru fiecare indicator trebuie să specifici metoda de evaluare folosită și, dacă este cazul, marja de incertitudine în evaluarea sa.

Dacă un indicator se schimbă semnificativ în comparație cu evaluarea anterioară, trebuie să identifici și să specifici motivele.

1.5 Verificarea conformității privind securitatea informației și auditul de securitate

Sunt rețelele și sistemele informatice (SNIS) ale companiei tale conforme? Aceasta este întrebarea principală la care specaliștii IT din compania ta ar trebui să răspundă în această etapă. Înainte însă este necesar ca top managementul să efectueze o procedură privind evaluarea conformității SNIS, în baza ARNIS (analiza riscurilor de securitate a rețelelor și sistemelor informatice, un document elaborat de companii, prin care sunt identificate elementele critice care stau la baza furnizării serviciului esențial și sunt identificate principalele riscuri în vederea gestionării și diminuării acestora).

Responsabilitatea acestei activități aparține structurii de securitate sau echipei stabilite de managementul de cel mai înalt nivel al companiei. Ea se finalizează cu un raport de evaluare a conformității.

Tot în această etapă se va elabora și un audit de securitate care va avea drept rezultat un raport de audit.

Auditul se realizează:

  • cel puțin o dată la 2 ani;
  • numai de auditori de securitate informatică pentru auditarea rețelelor și sistemelor informatice, atestați de ANSRSI și cu atestat valabil la data finalizării RASNIS.