Comisia a adoptat astăzi primele norme de punere în aplicare privind securitatea cibernetică a entităților și rețelelor critice, în conformitate cu Directiva privind măsurile pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune (Directiva NIS2). Ce înseamnă acest lucru pentru utilizatorii finali?
Aceste norme detaliază măsurile de gestionare a riscurilor cibernetice, precum și cazurile în care un incident ar trebui considerat semnificativ și raportat de companiile care furnizează infrastructuri și servicii digitale către autoritățile naționale.
Regulamentul de punere în aplicare adoptat astăzi se va aplica anumitor categorii de companii care furnizează servicii digitale, cum ar fi furnizorii de servicii de cloud computing, centre de date, piețe online, motoare de căutare online sau platforme de socializare, gestionarea apelor reziduale și a deșeurilor, sănătate, energie, transporturi, fabricarea de produse critice, servicii poștale și de curierat și administrație publică.
Termenul limită pentru ca statele membre să transpună Directiva NIS2 în legislația națională este 17 octombrie 2024, dată la care toate statele membre trebuie să aplice măsurile necesare pentru a respecta regulile de securitate cibernetică din NIS2, inclusiv măsurile de supraveghere și de aplicare.
Prima lege la nivelul UE privind securitatea cibernetică, Directiva NIS, a intrat în vigoare în 2016 și a contribuit la realizarea unui nivel comun de securitate a rețelelor și sistemelor informatice în întreaga UE. La sfârșitul lui 2020, Comisia a propus revizuirea Directivei NIS în decembrie 2020.
Amenințările online, pedepsite prin lege. Articolul privind violența cibernetică a fost adoptat
Regulamentul de punere în aplicare vizează o serie de furnizori de servicii digitale care sunt considerați esențiali pentru economia și securitatea UE, printre care: furnizorii de servicii DNS și registre de nume de domenii de nivel superior (TLD); furnizorii de cloud computing și centre de date; rețelele de livrare de conținut (CDN); furnizorii de servicii gestionate și de securitate gestionate; piețele online, motoare de căutare online și platforme de socializare; furnizorii de servicii de încredere, respectiv cei care oferă servicii precum semnături digitale și certificări de identitate.
Pentru fiecare dintre aceste categorii, regulamentul stabilește cerințele de securitate, precum și criteriile după care un incident este considerat semnificativ și trebuie raportat. Documentul impune entităților vizate să implementeze măsuri de management al riscurilor cibernetice bazate pe standarde europene și internaționale precum ISO/IEC 27001 și ISO/IEC 27002.
Standardele ISO menționate sunt un set de norme internaționale recunoscute care oferă specificații, orientări și bune practici pentru diverse industrii și domenii, inclusiv pentru securitatea cibernetică. Ele sunt deosebit de importante. ISO/IEC 27001 – Sistemul de Management al Securității Informațiilor este standardul principal pentru managementul securității informațiilor.
Acesta stabilește un cadru pentru protejarea datelor sensibile și implementarea unui Sistem de Management al Securității Informațiilor. Standardul ajută organizațiile să identifice și să gestioneze riscurile legate de securitatea informațiilor, să stabilească politici clare de securitate și proceduri pentru protecția datelor și să evalueze și să îmbunătățească în mod constant măsurile de securitate.
„404 Not Found”, istoria digitală dispare. Ce soluții există?
ISO/IEC 27002 – Ghidul pentru Controlul Securității Informațiilor oferă un set detaliat de bune practici pentru implementarea măsurilor de securitate informațională. În timp ce ISO/IEC 27001 este un standard pentru managementul general al securității, ISO/IEC 27002 detaliază măsurile specifice de securitate și include: politici de acces la informații, măsuri de criptare și protecție a datelor, monitorizarea și evaluarea vulnerabilităților sistemelor informatice.
Adoptarea acestor standarde internaționale ajută organizațiile să își demonstreze conformitatea cu cerințele de securitate impuse de legislație, în acest caz Directiva NIS2, și să asigure protecția eficientă a datelor și rețelelor lor împotriva atacurilor cibernetice.
De asemenea, certificarea ISO este adesea un indicator al nivelului ridicat de securitate și un avantaj competitiv pentru companiile care furnizează servicii digitale. De exemplu, regulamentul oferă flexibilitate pentru entitățile de dimensiuni mici, care pot adopta măsuri compensatorii în cazul în care nu pot implementa anumite cerințe tehnice, cum ar fi segregarea responsabilităților sau monitorizarea atentă a activităților de securitate.
Definirea Incidentelor Semnificative. Una dintre cele mai importante clarificări ale regulamentului constă în definirea unui incident semnificativ, care impune raportarea către autoritățile naționale. Printre criteriile stabilite se numără: pierderea financiară de peste 500.000 de euro sau 5% din cifra de afaceri anuală a entității afectate; exfiltrarea de secrete comerciale; accesul neautorizat și suspectat de activități malițioase în sistemele rețelelor informatice, care poate cauza disfuncționalități severe; compromiterea integrității, confidențialității sau autenticității datelor critice; decese sau daune considerabile asupra sănătății persoanelor, cauzate de incidentele cibernetice.
De asemenea, sunt stabilite praguri de timp pentru indisponibilitatea serviciilor critice. De exemplu, pentru furnizorii de cloud computing, un incident este semnificativ dacă un serviciu devine complet inaccesibil pentru o perioadă mai mare de 30 de minute sau dacă peste un milion de utilizatori din Uniune sunt afectați timp de mai mult de o oră.
Sute de persoane înșelate pe platforme frauduloase de investiții. Procurorii germani au reținut și un român
Exfiltrarea reprezintă procesul prin care date sau informații sunt extrase sau transferate neautorizat dintr-un sistem informatic. Acest termen este folosit în mod frecvent în contextul securității cibernetice și se referă sustragerea ilegală a datelor de către un atacator care a reușit să obțină acces neautorizat la rețele, sisteme sau dispozitive.
Este un tip de breșă de securitate majoră și are consecințe grave, inclusiv compromiterea confidențialității datelor și potențiale daune financiare sau reputaționale pentru organizația afectată.
Exfiltrarea datelor poate avea loc în mai multe moduri: prin rețea, când atacatorii pot folosi conexiuni de rețea pentru a transfera datele extrase către un server extern controlat de ei; prin dispozitive fizice când un angajat rău intenționat sau un atacator intern poate copia datele pe dispozitive externe, cum ar fi stick-uri USB, și să le sustragă în acest mod; prin aplicații legitime compromise care se face prin intermediul aplicațiilor pe care atacatorul le controlează sau le-a infectat cu malware.
Tipurile de date exfiltrate includ: date personale (nume, adrese, informații bancare), secrete comerciale sau de proprietate intelectuală, informații confidențiale ale companiilor sau guvernelor.
Noul regulament introduce cerințe clare pentru implementarea de planuri de continuitate și protejarea infrastructurii esențiale. Trebuie să existe o monitorizare și o gestionare a atacurilor cibernetice. Acestea trebuie detectate, la fel cum trebuie să fie și modelele de trafic anormale, iar atacurile de tip denial of service (DoS) să fie contracarate.
Nu doar amenințările digitale sunt vizate, ci și securitatea fizică a infrastructurilor critice. Regulamentul prevede măsuri de prevenire a accesului neautorizat la centrele de date, protecția împotriva incendiilor, precum și monitorizarea condițiilor de mediu, cum ar fi temperatura și umiditatea în zonele în care sunt amplasate echipamentele esențiale.
Acest regulament urmează să fie publicat în Jurnalul Oficial al Uniunii Europene și va intra în vigoare la 20 de zile de la publicare. De asemenea, statele membre erau obligate să transpună directiva NIS2 în legislația națională până pe 17 octombrie 2024 și să asigure măsurile necesare pentru supravegherea și aplicarea acestor norme de securitate cibernetică.
Un cititor neavizat care dorește să înțeleagă esența noului Regulament al Uniunii Europene privind securitatea cibernetică trebuie să rețină câteva aspecte esențiale. În primul rând, acest set de reguli adoptate de către Comisia Europeană urmărește îmbunătățirea securității cibernetice la nivelul Uniunii Europene. Scopul său este să protejeze infrastructurile și serviciile digitale critice, cum ar fi furnizorii de cloud, centrele de date, piețele online și platformele de socializare, de atacuri cibernetice și alte incidente.
Recunoașterea facială în timp real, în spații publice, interzisă de UE. ChatGPT despre legea Inteligenței Artificiale
În al doilea rând, regulamentul se aplică unor categorii specifice de companii și furnizori de servicii digitale care oferă servicii esențiale pentru economia digitală și societatea UE. Acestea includ, așa cum am precizat: furnizorii de cloud computing și centre de date, motoarele de căutare online, piețele online și platformele de socializare, furnizorii de servicii DNS și registru de nume de domenii, rețelele de livrare de conținut și furnizori de servicii gestionate.
Companiile vizate de acest regulament trebuie să adopte măsuri stricte pentru a gestiona riscurile cibernetice și pentru a proteja datele și rețelele. Însă, cel mai important, este cum vor fi protejați utilizatorii finali de efectele negative ale atacurilor cibernetice. De exemplu, un atac care compromite confidențialitatea datelor utilizatorilor trebuie raportat rapid și tratat cu prioritate.
Companiile care nu respectă regulamentul riscă sancțiuni severe, iar supravegherea și aplicarea acestor reguli este responsabilitatea autorităților naționale. Regulamentul impune companiilor să fie transparente în cazul unui incident și să acționeze rapid pentru a preveni daune majore. Utilizatorii finali vor trebui să fie informați și protejați mai rapid în cazul unor breșe de securitate, iar companiile sunt obligate să ia măsuri de remediere imediată pentru a limita impactul asupra utilizatorilor.