Conformitatea cu NIS2, explicată clar în 15 minute

Consultație gratuită de 15 minute

În cadrul unei convorbiri telefonice gratuite și fără obligații cu un specialist local Trustlinks, vom discuta dacă Directiva UE NIS2 se aplică organizației dumneavoastră și ce implică, de obicei, procesul de conformitate. Discuția are caracter pur informativ și nu constituie consultanță juridică.

Maria Boboc, Territory Manager.

Maria Boboc

Specialist în conformitate, Trustlinks

Telefon:+40 800 360 192
maria.boboc@trustlinks.com

DIRECTIVA NIS2 PE SCURT

Ce este Directiva NIS2?

Directiva NIS2 (UE) 2022/2555 reprezintă legislația actualizată a Uniunii Europene în materie de securitate cibernetică. Aceasta extinde considerabil domeniul de aplicare al Directivei NIS inițiale, acoperind un număr mult mai mare de sectoare și de întreprinderi de diferite dimensiuni, și ridică standardele în ceea ce privește gestionarea riscurilor, raportarea incidentelor, securitatea lanțului de aprovizionare și responsabilitatea conducerii. Statele membre ale UE au avut obligația de a transpune NIS2 în legislația națională până la 17 octombrie 2024, iar autoritățile naționale asigură în prezent aplicarea activă a acesteia.

CINE ESTE VIZAT

Se aplică NIS2 organizației dumneavoastră?

NIS2 împarte organizațiile care intră sub incidența sa în două categorii – entități esențiale și entități importante –, care acoperă, în general, întreprinderile mijlocii și mari (cu peste 50 de angajați sau cu o cifră de afaceri de peste 10 milioane de euro) din sectoarele menționate mai jos. Anumiți furnizori critici intră sub incidența normei, indiferent de dimensiune.

Entități esențiale Nivelul maxim de supraveghere și cele mai severe amenzi
Entități importante Supravegherea bazată pe riscuri, măsuri de aplicare a legii după producerea unui incident
CE PREVEDE NIS2

Cei șase piloni ai conformității cu NIS2

Articolul 21 din directivă stabilește măsurile minime de gestionare a riscurilor pe care fiecare organizație care intră sub incidența acesteia trebuie să le pună în aplicare, proporțional cu dimensiunea sa, expunerea și probabilitatea producerii unor incidente.

Măsuri de gestionare a riscurilor

Politici privind analiza riscurilor, securitatea sistemelor, criptografia, controlul accesului, autentificarea multifactorială (MFA) și dezvoltarea securizată – proporționale cu riscurile cu care se confruntă organizația.

Raportarea incidentelor (24 de ore / 72 de ore / 1 lună)

O alertă preliminară în termen de 24 de ore, o notificare completă a incidentului în termen de 72 de ore și un raport final în termen de o lună către CSIRT-ul național.

Securitatea lanțului de aprovizionare

Evaluați și gestionați riscurile de securitate cibernetică la nivelul furnizorilor direcți și al prestatorilor de servicii, nu doar în cadrul propriului perimetru.

Guvernanță și responsabilitate

Organismele de conducere trebuie să aprobe măsurile de securitate cibernetică, să supravegheze punerea lor în aplicare și să participe la cursuri de formare periodice. Se aplică răspunderea personală.

Continuitatea activității

Procedurile de gestionare a copiilor de siguranță, de recuperare în caz de dezastru și de gestionare a crizelor, toate fiind testate periodic.

Gestionarea și divulgarea vulnerabilităților

Procese coordonate pentru identificarea, clasificarea și remedierea vulnerabilităților din produsele și serviciile dumneavoastră.

COSTUL INACȚIUNII

Sancțiuni în caz de nerespectare

NIS2 introduce unele dintre cele mai severe sancțiuni din UE în materie de securitate cibernetică, precum și răspunderea personală a conducerii superioare.

Entități esențialePână la 10.000.000 de euro

sau 2 % din cifra de afaceri anuală la nivel mondial

Entități importantePână la 7.000.000 de euro

sau 1,4% din cifra de afaceri anuală la nivel mondial

Organismele de conducere pot fi trase la răspundere personală pentru încălcări, inclusiv prin suspendarea temporară din funcțiile de conducere în cazurile grave.

ÎNTREBĂRI FRECVENTE

Întrebări despre NIS2 și răspunsurile la acestea

Se aplică NIS2 în cazul companiei mele?

Dacă organizația dumneavoastră își desfășoară activitatea într-unul dintre sectoarele esențiale sau importante enumerate și are cel puțin 50 de angajați sau o cifră de afaceri de 10 milioane de euro, este probabil ca NIS2 să se aplice — iar pragul de dimensiune nu se aplică în cazul anumitor furnizori critici (de exemplu, DNS, registrele de domenii de nivel superior, administrația publică). O discuție telefonică de 15 minute este o modalitate bună de a analiza această chestiune, deși o concluzie definitivă ar trebui confirmată cu ajutorul unui consilier juridic calificat.

NIS2 acoperă mult mai multe sectoare (aproximativ 15 față de 7), elimină marja de apreciere a statelor membre care a dus la o definire inconsecventă a domeniului de aplicare al NIS, introduce termene mai stricte pentru raportarea incidentelor, impune gestionarea riscurilor din lanțul de aprovizionare și introduce răspunderea personală a conducerii superioare, prevăzând amenzi semnificativ mai mari.

O alertă timpurie către CSIRT-ul național în termen de 24 de ore de la constatarea unui incident semnificativ, o notificare privind incidentul în termen de 72 de ore (inclusiv o evaluare inițială) și un raport final în termen de o lună.

Până la 10 milioane de euro sau 2 % din cifra de afaceri anuală globală (oricare dintre aceste valori este mai mare) pentru entitățile esențiale și până la 7 milioane de euro sau 1,4 % pentru entitățile importante. Conducătorii de rang înalt pot fi, de asemenea, supuși unor sancțiuni personale, inclusiv interdicții temporare de exercitare a funcțiilor de conducere.

NIS2 a intrat în vigoare la 16 ianuarie 2023, iar statele membre ale UE au avut obligația de a-l transpune în legislația națională până la 17 octombrie 2024. Aplicarea la nivel național este acum în vigoare în întreaga UE.

NIS2 nu impune un cadru specific, dar standardul ISO 27001 (și standardele echivalente) acoperă majoritatea cerințelor NIS2 privind gestionarea riscurilor și facilitează semnificativ demonstrarea conformității. Trustlinks corelează automat măsurile de control existente cu articolele din NIS2.

Configurarea inițială pentru conformitate durează, de obicei, câteva luni, în funcție de dimensiunea și maturitatea organizației dumneavoastră. Evaluarea lacunelor durează între 2 și 4 săptămâni; remedierea acestora și colectarea dovezilor reprezintă investiția cea mai mare. Însă conformitatea cu NIS2 nu este o simplă bifare a unei casete – este o activitate continuă, integrată în operațiunile organizației dumneavoastră. Trustlinks centralizează totul, de la evaluarea lacunelor și analiza riscurilor până la gestionarea furnizorilor și colectarea dovezilor, într-o singură platformă, astfel încât să păstrați controlul în fiecare etapă.

Discutăm dacă NIS2 se încadrează în domeniul de aplicare al organizației dumneavoastră, analizăm nivelul de clasificare al entității care s-ar putea aplica, identificăm lacunele frecvente și prezentăm pe scurt cum ar putea arăta un plan realist de conformitate. Este o discuție cu caracter informativ — nu constituie consultanță juridică — și nu implică nicio presiune de vânzare. Pentru o determinare cu caracter obligatoriu a obligațiilor dumneavoastră, vă recomandăm să consultați un consilier juridic calificat.

Suntem gata oricând

Aflați tot ce trebuie să știți despre NIS2 în 15 minute, gratuit.

Discutați cu un specialist local Trustlinks. Nu este nevoie de nicio pregătire prealabilă; veniți cu întrebările dumneavoastră și vom discuta despre situația dumneavoastră actuală și care sunt, de obicei, pașii următori. Informații cu titlu pur informativ; nu constituie consultanță juridică.

Această consultare are caracter informativ și nu constituie consultanță juridică și nu creează o relație de client. Pentru o evaluare cu caracter obligatoriu a obligațiilor dumneavoastră, vă rugăm să consultați un consilier juridic calificat.

Maria Boboc, Territory Manager.

Maria Boboc

Specialist în conformitate, Trustlinks

Telefon:+40 800 360 192
maria.boboc@trustlinks.com

Logo-ul Trustlinks alb.

Discutați cu departamentul de vânzări

Aveți întrebări despre prețuri, cadre sau despre modul în care Trustlinks se potrivește organizației dumneavoastră? Echipa noastră este aici pentru a vă ajuta să găsiți abordarea potrivită.

→ Sau explorați întrebările noastre frecvente

Obțineți asistență pentru produse

Aveți nevoie de ajutor în utilizarea platformei sau întâmpinați o problemă? Echipa noastră de asistență este pregătită să vă ajute.

Contactați-ne

Solicitați Demo

Trimiteți-ne un mesaj și echipa noastră vă va contacta în scurt timp.