Noua lege UE de securitate cibernetică impune sancțiuni stricte. Companiile riscă amenzi de milioane de euro

uniunea europeana
Shutterstock

Companiile s-ar putea confrunta cu amenzi usturătoare sau chiar cu suspendări ale serviciului în Uniunea Europeană, în conformitate cu noile reglementări stricte de securitate cibernetică care vor intra în vigoare luna viitoare, transmite CNBC.

 

Directiva UE NIS 2 privind securitatea cibernetică va deveni aplicabilă de către statele membre pe 17 octombrie.

Aceasta înseamnă că firmele vor trebui să se asigure că operaţiunile lor sunt la înălţimea obligaţiilor prevăzute de noua lege. Regulile impun cerinţe mai stricte companiilor în ceea ce priveşte strategia lor internă de rezilienţă cibernetică şi practicile interne.

Ce este NIS 2

NIS 2, care înseamnă Directiva privind securitatea reţelelor şi a informaţiilor 2, este o directivă a UE care îşi propune să crească securitatea sistemelor şi reţelelor IT din întreagul bloc comunitar. Introdusă în 2020, legea serveşte ca o actualizare a unei directive anterioare numită pur şi simplu NIS.

NIS 2 extinde domeniul de aplicare al predecesoarei sale pentru a aborda provocările şi ameninţările mai recente de securitate cibernetică care au apărut pe măsură ce criminalii au găsit noi modalităţi de a pirata companiile şi de a-şi compromite datele sensibile.

Citește și
atac cibernetic
Atacuri de tip spoofing la adresa clienților UniCredit Bank și ING. Avertismentul specialiştilor DNSC

Directiva se aplică organizaţiilor care operează în UE şi oferă servicii esenţiale consumatorilor, inclusiv bănci, furnizori de energie, instituţii de asistenţă medicală, furnizori de internet, firme de transport şi procesatorii de deşeuri.

Principalele domenii pe care le va aborda sunt managementul riscurilor, responsabilitatea corporativă, obligaţiile de raportare şi planificarea continuităţii afacerii în cazul unei încălcări cibernetice.

Geert van der Linden, vicepreşedinte executiv al serviciilor globale de securitate cibernetică la Capgemini, a declarat pentru CNBC că NIS 2 a stabilit efectiv o nouă linie de bază pentru companii cu privire la ceea ce este acceptabil să protejeze cetăţenii, să menţină operaţiunile şi să rămână rezistent în faţa atacurilor cibernetice.

NIS 2 va fi văzută ca un standard global de către judecători. Pentru clienţii noştri, indiferent dacă sunt văzuţi ca esenţiali sau importanţi în regulament, ei trebuie să se uite la acea linie de bază şi să se asigure că se conformează”, atunci când va deveni executorie, a adăugat Van der Linden.

Prin îndeplinirea acestei valori de bază, companiile se vor proteja efectiv împotriva reclamaţiilor, a adăugat Van der Linden.

El a comparat-o cu încheierea unei asigurări de locuinţă pentru a vă proteja casa de hoţi.

”Unde se duc spărgătorii? La casa care este cel mai puţin protejată. Ei deschid fiecare uşă pentru a vedea unde pot intra”, a spus el.

Acelaşi lucru devine valabil şi pentru companiile care doresc să se protejeze de atacurile cibernetice, a adăugat Van der Linden.

În conformitate cu NIS 2, firmele trebuie, de asemenea, să îşi verifice lanţurile de aprovizionare digitale pentru ameninţări cibernetice şi vulnerabilităţi.

Companiile folosesc astăzi mai multe produse şi instrumente diferite în fiecare zi, oferind infractorilor mai multe căi potenţiale de atac.

Chris Gow, şeful echipei Cisco de politici publice din UE, a declarat pentru CNBC că va avea loc un ”exerciţiu de cartografiere”potrivit NIS 2, în care companiile trebuie să-şi scaneze furnizorii de tehnologie pentru a evalua eventualele riscuri.

Companiile vor avea, de asemenea, ”datoria” de a raporta şi de a partaja informaţii despre vulnerabilităţile cibernetice şi atacurile de hacking cu alte companii, chiar dacă aceasta înseamnă că trebuie să recunoască faptul că sunteţi victima unei încălcări cibernetice.

Ce se întâmplă dacă o companie nu se conformează

Companiile care nu respectă noua lege s-ar putea confrunta cu potenţiale amenzi masive, împreună cu alte acţiuni punitive.

Pentru entităţile considerate esenţiale, cum ar fi companiile de transport, finanţe şi apă, nerespectarea NIS 2 poate duce la amenzi de până la 10 milioane de euro (11,1 milioane de dolari) sau 2% din veniturile anuale globale.

Între timp, companiile care sunt considerate a fi esenţiale - cum ar fi companiile alimentare, firmele de produse chimice şi serviciile de gestionare a deşeurilor - se confruntă cu amenzi de până la 7 milioane de euro sau 1,4% din veniturile lor anuale globale, pentru neconformitate.

Firmele se pot confrunta, de asemenea, cu posibile suspendări ale serviciului dacă nu respectă NIS 2, precum şi cu o supraveghere mai atentă pentru a vedea dacă au devenit conforme.

Dacă o companie devine victima unei încălcări cibernetice, va avea la dispoziţie 24 de ore pentru a trimite autorităţilor o notificare de avertizare timpurie. Acest lucru este mai strict decât intervalul de timp de 72 de ore pe care firmele trebuie să notifice autorităţile despre o încălcare a datelor în conformitate cu GDPR (Regulamentul general privind protecţia datelor), o lege separată a confidenţialităţii datelor din UE.

”Pregătirea pentru NIS 2 nu este o cursă pentru a vedea cu ce poţi scăpa, mai degrabă este o cursă în care cele mai puternice organizaţii trec peste linia de bază şi valorifică acest efort în avantajul lor competitiv”, a declarat pentru CNBC Carl Leonard, strateg pentru securitate cibernetică în regiunea EMEA la Proofpoint.

”Anticipez că organizaţiile vor fi mai bine sprijinite prin eforturi coordonate la nivelul Uniunii Europene. Acest lucru va include informaţii comune privind ameninţările, un nivel comun mai ridicat de securitate cibernetică şi o mentalitate „suntem împreună”, a spus Leonard.

Sunt companiile pregătite

Companiile au făcut eforturi pentru a-şi pune în formă procesele şi controalele interne, precum şi cultura mai largă în jurul securităţii cibernetice, înainte de termenul limită de 17 octombrie.

Gow a spus că chiar şi fără ameninţarea unei noi reglementări care se profilează, companiile au muncit din greu pentru a-şi schimba cultura în interior, pentru a se asigura că iau în serios ameninţarea încălcărilor cibernetice şi a incidentelor de întrerupere.

”Chiar şi în afară de ceea ce se întâmplă pe partea de reglementare, vedem că raportarea are loc de la nivelul CISO [chief information security officer] până la consiliu şi management.”

El a adăugat totuşi că NIS 2 determină companiile să acţioneze mai rapid pentru a-şi actualiza controalele şi practicile cibernetice cu noile reguli.

”Cu siguranţă are un impact. Văd eu însumi. Oamenii din interior vin cu întrebări din partea vânzărilor şi a managementului, întrebând „Cum merge asta pentru noi?”, a spus el.

El a adăugat că există ”pregătiri de făcut chiar acum” pentru companii, pentru a se asigura că îndeplinesc cerinţele NIS 2.

Totuşi, chiar şi un accent mult mai proeminent în sălile de consiliu pentru securitatea cibernetică, acest lucru nu a împiedicat atacurile cibernetice să aibă loc.

La începutul acestui an, un atac de tip ransomware asupra Synnovis, un furnizor privat de asistenţă medicală din Regatul Unit, a perturbat peste 3.000 de programări la spital şi la medicul de familie.

Atacatorul, un grup de hacking din Rusia numit Qilin, a cerut o răscumpărare de 40 de milioane de lire sterline.

Gow a spus că ar fi o greşeală să presupunem că noua reglementare poate preveni incidente similare în viitor, dar a adăugat că NIS 2 a ajutat ”la crearea unui anumit control şi concentrarea resurselor pentru a demonstra modul în care aveţi de gând să ridicaţi nivelurile generale de securitate”.

Articol recomandat de sport.ro
Decizia luată de Jordan Chiles după ce a pierdut medalia de bronz în fața Anei Bărbosu
Decizia luată de Jordan Chiles după ce a pierdut medalia de bronz în fața Anei Bărbosu
Citește și...
Șeful ICI: România şi Israel pun bazele unui ecosistem de securitate cibernetică rezistent
Șeful ICI: România şi Israel pun bazele unui ecosistem de securitate cibernetică rezistent

Trăim într-o lume provocatoare, iar obiectivul în domeniul cyber între România şi Israel este construirea unui ecosistem rezistent de securitate cibernetică, a declarat, marţi, directorul (ICI Bucureşti), Victor Vevera.

Atacuri de tip spoofing la adresa clienților UniCredit Bank și ING. Avertismentul specialiştilor DNSC
Atacuri de tip spoofing la adresa clienților UniCredit Bank și ING. Avertismentul specialiştilor DNSC

Directoratul Naţional de Securitate Cibernetică (DNSC) anunţă, vineri, au fost raportate diverse scenarii folosite de atacatori realizate cu ajutorul unor tehnici de mascare a identității reale în care se utilizează identitatea băncilor UniCredit și ING.

DNSC, după ce pagina de Facebook a UMF Carol Davila a fost compromisă: Am recomandat ca Universitatea să sesizeze şi ANPC
DNSC, după ce pagina de Facebook a UMF Carol Davila a fost compromisă: Am recomandat ca Universitatea să sesizeze şi ANPC

Directoratul Naţional de Securitate Cibernetică DNSC, sesizat de oficialii Universităţii de Medicină şi Farmacie (UMF) după ce pagina de Facebook a instituţiei de învăţământ a fost ţinta unui atac cibernetic, afirmă că a recomandat să sesizeze şi ANPC.

Noua înșelătorie a infractorilor cibernetici. Utilizatorilor Booking sunt bombardați cu mesaje create prin ChatGPT
Noua înșelătorie a infractorilor cibernetici. Utilizatorilor Booking sunt bombardați cu mesaje create prin ChatGPT

Popularitatea platformei de rezervări pentru vacanţe, Booking.com, nu a scăpat de atenţia infractorilor cibernetici care trimit mesaje utilizatorilor cu scop de fraudare, susţin experţii în securitate cibernetică ai companiei Eset.

Haosul provocat de CrowdStrike ar putea determina o regândire a politicilor în rândul investitorilor şi clienţilor
Haosul provocat de CrowdStrike ar putea determina o regândire a politicilor în rândul investitorilor şi clienţilor

Compania americană de securitate cibernetică CrowdStrike a ajuns vineri în centrul atenţiei din toate motivele greşite, după ce o actualizare de software cu defect efectuată de aceasta a provocat ravagii în întreaga lume, transmite Reuters.

 

Recomandări
Klaus Iohannis a invitat preşedinţii partidelor la consultări pentru desemnarea premierului. PROGRAM
Klaus Iohannis a invitat preşedinţii partidelor la consultări pentru desemnarea premierului. PROGRAM

Klaus Iohannis a invitat, duminică, preşedinţii partidelor şi formaţiunilor politice reprezentate în Parlamentul României, pentru consultări în vederea desemnării candidatului pentru funcţia de prim-ministru, a anunţat Administraţia Prezidenţială.

VIDEO. Momentul în care atacatorul de la târgul de Crăciun din Magdeburg, Germania, este arestat de poliție
VIDEO. Momentul în care atacatorul de la târgul de Crăciun din Magdeburg, Germania, este arestat de poliție

Imaginile difuzate de postul german de televiziune MDR au arătat momentul în care presupusul atacator de la târgul de Crăciun din Magdeburg, Germania, este arestat de poliția germană.

INTERVIU cu Aura Șova, câștigătoarea ”Vocea României 2024”: ”M-am făcut arhitect ca să pot să fac un azil de bătrâni”
INTERVIU cu Aura Șova, câștigătoarea ”Vocea României 2024”: ”M-am făcut arhitect ca să pot să fac un azil de bătrâni”

Aura Șova a câștigat Vocea României 2024. După săptămâni în care vocea ei a răsunat în toate etapele show-ului, telespectatorii au decis ca trofeul și premiul în valoare de 100.000 de euro să ajungă la concurenta din echipa lui Tudor Chirilă..