Aproape 900 de operatori economici din România se încadrează în categoria furnizorilor de servicii esențiale, calificându-se astfel la un standard înalt de securitate cibernetică, în conformitate cu Directiva privind securitatea rețelelor și a sistemelor informatice (NIS) adoptată în 2016 de către Uniunea Europeană și transpusă la nivel național prin Legea nr. 362/2018. Mai exact, conform Directoratului Național de Securitate Cibernetică (DNSC), sunt 864 de companii care furnizează astfel de servicii, iar o pătrime sunt în București.
Ce cere NIS mai precis?
Printre principalele cerințe ale NIS pentru companii se numără:
- Implementarea unui sistem robust de protecție si confidențialitate a datelor. Companiile trebuie să implementeze soluții tehnice conforme și să dezvolte politici și proceduri adecvate pentru a asigura securitatea datelor și pentru a preveni accesul neautorizat sau scurgerile de informații.
- Evaluarea riscurilor și gestionarea incidentelor de securitate. Este esențial ca fiecare companie să evalueze și să identifice riscurile potențiale în domeniul securității cibernetice și să dezvolte planuri de acțiune adecvate pentru a face față incidentelor de securitate prompt și eficient.
- Protejarea infrastructurii critice. Companiile care operează în sectoare critice, cum ar fi energia, telecomunicațiile sau serviciile financiare, trebuie să implementeze măsuri de securitate adecvate pentru a-și proteja infrastructura de atacurile cibernetice.
- Colaborarea cu autoritățile. Companiile trebuie să coopereze activ cu autoritățile din domeniul securității cibernetice și să furnizeze informații relevante în cazul unor incidente sau amenințări.
Reglementările legale care creează cadrul de desfășurare a activității în mediul digital au fost implementate pentru a proteja infrastructurile critice și a asigura un nivel adecvat de securitate cibernetică în țările membre ale UE. În acest sens, autoritățile române au emis normele tehnice necesare, detaliate în Monitorul Oficial nr. 1142 din 26 noiembrie 2020, prin care sunt specificate măsurile de securitate informatică pe care companiile furnizoare de servicii esențiale (OSE) trebuie să le îndeplinească. Operatorii economici au avut termen până la data de 21 ianuarie 2021 să se notifice la DNSC, iar după această dată ele se pot înregistra în urma unui audit. Termenul maxim de implementare a măsurilor de securitate după audit este de 12 luni.
Care sunt amenzile aplicate pentru nerespectarea NIS?
În cazul în care aceste măsuri nu sunt respectate, companiile se expun riscului de a primi amenzi considerabile conform legii. Amenzile pentru încălcarea reglementărilor NIS variază între 3.000 lei și 50.000 lei, iar în cazul încălcărilor repetate, limita maximă a amenzii poate ajunge la 100.000 lei. Pentru societățile cu o cifră de afaceri de peste 2.000.000 lei, amenzile pot reprezenta între 0,5% și 2% din cifra de afaceri, iar în cazul încălcărilor repetate, limita maximă a amenzii este de 5% din cifra de afaceri. Desigur, și reputația companiei poate fi compromisă iremediabil, în cazul unui atac.
„Informațiile afacerii reprezintă afacerea în sine, iar datele relevante despre know-how, contracte, parteneri, clienți, furnizori, tarife, repere, marje, bugete sau indicatori pot fi de interes pentru competiție sau pentru alte organisme. Clienții noștri s-au confruntat, în trecut, cu situații nedorite cum ar fi spionarea e-mailurilor, solicitări ilicite de plată în numele decidenților, pierderea sau alterarea datelor companiei sau ale partenerilor. Ulterior au optat pentru soluția elvețiană construită de la zero în scopul protejării confidențialității online, Proton Business. Protejarea informațiilor, asigurarea confidențialității și a integrității datelor trebuie să fie o preocupare majoră pentru companii, fiindcă miza unui atac cibernetic este imensă”, a declarat Ciprian Pocovnicu, expert în securitate cibernetică, cu peste 20 de ani de experiență în domeniu.
4 din 5 companii la nivel global au suferit pierderi datorită breșelor de securitate cibernetică din ecosistemele furnizorilor (Sursa: Acronis Acronis Cyberthreats Report Mid-year 2021
