În cadrul unei convorbiri telefonice gratuite și fără obligații cu un specialist local Trustlinks, vom discuta dacă Directiva UE NIS2 se aplică organizației dumneavoastră și ce implică, de obicei, procesul de conformitate. Discuția are caracter pur informativ și nu constituie consultanță juridică.
Specialist în conformitate, Trustlinks
Directiva NIS2 (UE) 2022/2555 reprezintă legislația actualizată a Uniunii Europene în materie de securitate cibernetică. Aceasta extinde considerabil domeniul de aplicare al Directivei NIS inițiale, acoperind un număr mult mai mare de sectoare și de întreprinderi de diferite dimensiuni, și ridică standardele în ceea ce privește gestionarea riscurilor, raportarea incidentelor, securitatea lanțului de aprovizionare și responsabilitatea conducerii. Statele membre ale UE au avut obligația de a transpune NIS2 în legislația națională până la 17 octombrie 2024, iar autoritățile naționale asigură în prezent aplicarea activă a acesteia.
NIS2 împarte organizațiile care intră sub incidența sa în două categorii – entități esențiale și entități importante –, care acoperă, în general, întreprinderile mijlocii și mari (cu peste 50 de angajați sau cu o cifră de afaceri de peste 10 milioane de euro) din sectoarele menționate mai jos. Anumiți furnizori critici intră sub incidența normei, indiferent de dimensiune.
Articolul 21 din directivă stabilește măsurile minime de gestionare a riscurilor pe care fiecare organizație care intră sub incidența acesteia trebuie să le pună în aplicare, proporțional cu dimensiunea sa, expunerea și probabilitatea producerii unor incidente.
Politici privind analiza riscurilor, securitatea sistemelor, criptografia, controlul accesului, autentificarea multifactorială (MFA) și dezvoltarea securizată – proporționale cu riscurile cu care se confruntă organizația.
O alertă preliminară în termen de 24 de ore, o notificare completă a incidentului în termen de 72 de ore și un raport final în termen de o lună către CSIRT-ul național.
Evaluați și gestionați riscurile de securitate cibernetică la nivelul furnizorilor direcți și al prestatorilor de servicii, nu doar în cadrul propriului perimetru.
Organismele de conducere trebuie să aprobe măsurile de securitate cibernetică, să supravegheze punerea lor în aplicare și să participe la cursuri de formare periodice. Se aplică răspunderea personală.
Procedurile de gestionare a copiilor de siguranță, de recuperare în caz de dezastru și de gestionare a crizelor, toate fiind testate periodic.
Procese coordonate pentru identificarea, clasificarea și remedierea vulnerabilităților din produsele și serviciile dumneavoastră.
NIS2 introduce unele dintre cele mai severe sancțiuni din UE în materie de securitate cibernetică, precum și răspunderea personală a conducerii superioare.
sau 2 % din cifra de afaceri anuală la nivel mondial
sau 1,4% din cifra de afaceri anuală la nivel mondial
Organismele de conducere pot fi trase la răspundere personală pentru încălcări, inclusiv prin suspendarea temporară din funcțiile de conducere în cazurile grave.
Trustlinks combină o platformă de conformitate continuă cu expertiză și asistență la nivel local – astfel încât să atingeți mai repede nivelul de conformitate cu NIS2 și să îl mențineți pe măsură ce afacerea dumneavoastră evoluează.
Analizați-vă situația actuală în raport cu fiecare articol din NIS2 în câteva zile, nu în câteva luni. Un plan de remediere clar și ierarhizat.
Platforma Trustlinks automatizează colectarea probelor, monitorizarea controalelor și raportarea la nivelul întregului stack.
Colaborați cu consultanți care cunosc legislația națională de transpunere și autoritatea de reglementare din sectorul dumneavoastră.
Generați documentația pe care auditorii și autoritățile o solicită efectiv — fără a mai fi nevoie să refaceți foile de calcul în fiecare trimestru.
Dacă organizația dumneavoastră își desfășoară activitatea într-unul dintre sectoarele esențiale sau importante enumerate și are cel puțin 50 de angajați sau o cifră de afaceri de 10 milioane de euro, este probabil ca NIS2 să se aplice — iar pragul de dimensiune nu se aplică în cazul anumitor furnizori critici (de exemplu, DNS, registrele de domenii de nivel superior, administrația publică). O discuție telefonică de 15 minute este o modalitate bună de a analiza această chestiune, deși o concluzie definitivă ar trebui confirmată cu ajutorul unui consilier juridic calificat.
NIS2 acoperă mult mai multe sectoare (aproximativ 15 față de 7), elimină marja de apreciere a statelor membre care a dus la o definire inconsecventă a domeniului de aplicare al NIS, introduce termene mai stricte pentru raportarea incidentelor, impune gestionarea riscurilor din lanțul de aprovizionare și introduce răspunderea personală a conducerii superioare, prevăzând amenzi semnificativ mai mari.
O alertă timpurie către CSIRT-ul național în termen de 24 de ore de la constatarea unui incident semnificativ, o notificare privind incidentul în termen de 72 de ore (inclusiv o evaluare inițială) și un raport final în termen de o lună.
Până la 10 milioane de euro sau 2 % din cifra de afaceri anuală globală (oricare dintre aceste valori este mai mare) pentru entitățile esențiale și până la 7 milioane de euro sau 1,4 % pentru entitățile importante. Conducătorii de rang înalt pot fi, de asemenea, supuși unor sancțiuni personale, inclusiv interdicții temporare de exercitare a funcțiilor de conducere.
NIS2 a intrat în vigoare la 16 ianuarie 2023, iar statele membre ale UE au avut obligația de a-l transpune în legislația națională până la 17 octombrie 2024. Aplicarea la nivel național este acum în vigoare în întreaga UE.
NIS2 nu impune un cadru specific, dar standardul ISO 27001 (și standardele echivalente) acoperă majoritatea cerințelor NIS2 privind gestionarea riscurilor și facilitează semnificativ demonstrarea conformității. Trustlinks corelează automat măsurile de control existente cu articolele din NIS2.
Configurarea inițială pentru conformitate durează, de obicei, câteva luni, în funcție de dimensiunea și maturitatea organizației dumneavoastră. Evaluarea lacunelor durează între 2 și 4 săptămâni; remedierea acestora și colectarea dovezilor reprezintă investiția cea mai mare. Însă conformitatea cu NIS2 nu este o simplă bifare a unei casete – este o activitate continuă, integrată în operațiunile organizației dumneavoastră. Trustlinks centralizează totul, de la evaluarea lacunelor și analiza riscurilor până la gestionarea furnizorilor și colectarea dovezilor, într-o singură platformă, astfel încât să păstrați controlul în fiecare etapă.
Discutăm dacă NIS2 se încadrează în domeniul de aplicare al organizației dumneavoastră, analizăm nivelul de clasificare al entității care s-ar putea aplica, identificăm lacunele frecvente și prezentăm pe scurt cum ar putea arăta un plan realist de conformitate. Este o discuție cu caracter informativ — nu constituie consultanță juridică — și nu implică nicio presiune de vânzare. Pentru o determinare cu caracter obligatoriu a obligațiilor dumneavoastră, vă recomandăm să consultați un consilier juridic calificat.
Discutați cu un specialist local Trustlinks. Nu este nevoie de nicio pregătire prealabilă; veniți cu întrebările dumneavoastră și vom discuta despre situația dumneavoastră actuală și care sunt, de obicei, pașii următori. Informații cu titlu pur informativ; nu constituie consultanță juridică.
Această consultare are caracter informativ și nu constituie consultanță juridică și nu creează o relație de client. Pentru o evaluare cu caracter obligatoriu a obligațiilor dumneavoastră, vă rugăm să consultați un consilier juridic calificat.
Specialist în conformitate, Trustlinks
Aveți întrebări despre prețuri, cadre sau despre modul în care Trustlinks se potrivește organizației dumneavoastră? Echipa noastră este aici pentru a vă ajuta să găsiți abordarea potrivită.
→ Sau explorați întrebările noastre frecvente
Aveți nevoie de ajutor în utilizarea platformei sau întâmpinați o problemă? Echipa noastră de asistență este pregătită să vă ajute.
Trustlinks apreciază confidențialitatea dumneavoastră. Vă vom contacta doar în legătură cu soluțiile noastre.