Companiile se confruntă cu riscul de amenzi uriaşe şi suspendări, în temeiul unor noi reglementări cibernetice dure din UE / Regulile impun cerinţe mai stricte în ceea ce priveşte strategia companiilor de de rezilienţă cibernetică şi practici interne

Companiile s-ar putea confrunta cu amenzi usturătoare sau chiar cu suspendări ale serviciului în Uniunea Europeană, în conformitate cu noile reglementări stricte de securitate cibernetică care vor intra în vigoare luna viitoare, transmite CNBC, conform News.ro.

Directiva UE NIS 2 privind securitatea cibernetică va deveni aplicabilă de către statele membre pe 17 octombrie.

Aceasta înseamnă că firmele vor trebui să se asigure că operaţiunile lor sunt la înălţimea obligaţiilor prevăzute de noua lege. Regulile impun cerinţe mai stricte companiilor în ceea ce priveşte strategia lor internă de rezilienţă cibernetică şi practicile interne.

Ce este NIS 2?

NIS 2, care înseamnă Directiva privind securitatea reţelelor şi a informaţiilor 2, este o directivă a UE care îşi propune să crească securitatea sistemelor şi reţelelor IT din întreaga bloc. Introdusă în 2020, legea serveşte ca o actualizare a unei directive anterioare numită pur şi simplu NIS.

NIS 2 extinde domeniul de aplicare al predecesoarei sale pentru a aborda provocările şi ameninţările mai recente de securitate cibernetică care au apărut pe măsură ce criminalii au găsit noi modalităţi de a pirata companiile şi de a-şi compromite datele sensibile.

Directiva se aplică organizaţiilor care operează în UE şi oferă servicii esenţiale consumatorilor, inclusiv bănci, furnizori de energie, instituţii de asistenţă medicală, furnizori de internet, firme de transport şi procesatorii de deşeuri.

Principalele domenii pe care le va aborda sunt managementul riscurilor, responsabilitatea corporativă, obligaţiile de raportare şi planificarea continuităţii afacerii în cazul unei încălcări cibernetice.

Geert van der Linden, vicepreşedinte executiv al serviciilor globale de securitate cibernetică la Capgemini, a declarat pentru CNBC că NIS 2 a stabilit efectiv o nouă linie de bază pentru companii cu privire la ceea ce este acceptabil să protejeze cetăţenii, să menţină operaţiunile şi să rămână rezistent în faţa atacurilor cibernetice.

”NIS 2 va fi văzută ca un standard global de către judecători. Pentru clienţii noştri, indiferent dacă sunt văzuţi ca esenţiali sau importanţi în regulament, ei trebuie să se uite la acea linie de bază şi să se asigure că se conformează”, atunci când va deveni executorie, a adăugat Van der Linden.

Prin îndeplinirea acestei valori de bază, companiile se vor proteja efectiv împotriva reclamaţiilor, a adăugat Van der Linden.

El a comparat-o cu încheierea unei asigurări de locuinţă pentru a vă proteja casa de hoţi.

”Unde se duc spărgătorii? La casa care este cel mai puţin protejată. Ei deschid fiecare uşă pentru a vedea unde pot intra”, a spus el.

Acelaşi lucru devine valabil şi pentru companiile care doresc să se protejeze de atacurile cibernetice, a adăugat Van der Linden.

În conformitate cu NIS 2, firmele trebuie, de asemenea, să îşi verifice lanţurile de aprovizionare digitale pentru ameninţări cibernetice şi vulnerabilităţi.

Companiile folosesc astăzi mai multe produse şi instrumente diferite în fiecare zi, oferind infractorilor mai multe căi potenţiale de atac.

Chris Gow, şeful echipei Cisco de politici publice din UE, a declarat pentru CNBC că va avea loc un ”exerciţiu de cartografiere”potrivit NIS 2, în care companiile trebuie să-şi scaneze furnizorii de tehnologie pentru a evalua eventualele riscuri.

Companiile vor avea, de asemenea, ”datoria” de a raporta şi de a partaja informaţii despre vulnerabilităţile cibernetice şi atacurile de hacking cu alte companii, chiar dacă aceasta înseamnă că trebuie să recunoască faptul că sunteţi victima unei încălcări cibernetice.

Ce se întâmplă dacă o companie nu se conformează?

Companiile care nu respectă noua lege s-ar putea confrunta cu potenţiale amenzi masive, împreună cu alte acţiuni punitive.

Pentru entităţile considerate esenţiale, cum ar fi companiile de transport, finanţe şi apă, nerespectarea NIS 2 poate duce la amenzi de până la 10 milioane de euro (11,1 milioane de dolari) sau 2% din veniturile anuale globale.

Între timp, companiile care sunt considerate a fi esenţiale – cum ar fi companiile alimentare, firmele de produse chimice şi serviciile de gestionare a deşeurilor – se confruntă cu amenzi de până la 7 milioane de euro sau 1,4% din veniturile lor anuale globale, pentru neconformitate.

Firmele se pot confrunta, de asemenea, cu posibile suspendări ale serviciului dacă nu respectă NIS 2, precum şi cu o supraveghere mai atentă pentru a vedea dacă au devenit conforme.

Dacă o companie devine victima unei încălcări cibernetice, va avea la dispoziţie 24 de ore pentru a trimite autorităţilor o notificare de avertizare timpurie. Acest lucru este mai strict decât intervalul de timp de 72 de ore pe care firmele trebuie să notifice autorităţile despre o încălcare a datelor în conformitate cu GDPR (Regulamentul general privind protecţia datelor), o lege separată a confidenţialităţii datelor din UE.

”Pregătirea pentru NIS 2 nu este o cursă pentru a vedea cu ce poţi scăpa, mai degrabă este o cursă în care cele mai puternice organizaţii trec peste linia de bază şi valorifică acest efort în avantajul lor competitiv”, a declarat pentru CNBC Carl Leonard, strateg pentru securitate cibernetică în regiunea EMEA la Proofpoint.

”Anticipez că organizaţiile vor fi mai bine sprijinite prin eforturi coordonate la nivelul Uniunii Europene. Acest lucru va include informaţii comune privind ameninţările, un nivel comun mai ridicat de securitate cibernetică şi o mentalitate „suntem împreună”, a spus Leonard.

Sunt companiile pregătite?

Companiile au făcut eforturi pentru a-şi pune în formă procesele şi controalele interne, precum şi cultura mai largă în jurul securităţii cibernetice, înainte de termenul limită de 17 octombrie.

Gow a spus că chiar şi fără ameninţarea unei noi reglementări care se profilează, companiile au muncit din greu pentru a-şi schimba cultura în interior, pentru a se asigura că iau în serios ameninţarea încălcărilor cibernetice şi a incidentelor de întrerupere.

”Chiar şi în afară de ceea ce se întâmplă pe partea de reglementare, vedem că raportarea are loc de la nivelul CISO [chief information security officer] până la consiliu şi management.”

El a adăugat totuşi că NIS 2 determină companiile să acţioneze mai rapid pentru a-şi actualiza controalele şi practicile cibernetice cu noile reguli.

”Cu siguranţă are un impact. Văd eu însumi. Oamenii din interior vin cu întrebări din partea vânzărilor şi a managementului, întrebând „Cum merge asta pentru noi?”, a spus el.

El a adăugat că există ”pregătiri de făcut chiar acum” pentru companii, pentru a se asigura că îndeplinesc cerinţele NIS 2.

Totuşi, chiar şi un accent mult mai proeminent în sălile de consiliu pentru securitatea cibernetică, acest lucru nu a împiedicat atacurile cibernetice să aibă loc.

La începutul acestui an, un atac de tip ransomware asupra Synnovis, un furnizor privat de asistenţă medicală din Regatul Unit, a perturbat peste 3.000 de programări la spital şi la medicul de familie.

Atacatorul, un grup de hacking din Rusia numit Qilin, a cerut o răscumpărare de 40 de milioane de lire sterline.

Gow a spus că ar fi o greşeală să presupunem că noua reglementare poate preveni incidente similare în viitor, dar a adăugat că NIS 2 a ajutat ”la crearea unui anumit control şi concentrarea resurselor pentru a demonstra modul în care aveţi de gând să ridicaţi nivelurile generale de securitate”.