Deși a fost intens popularizată la nivelul Uniunii Europene, adoptarea Directivei NIS a fost realizată etapizat în România. Astfel, transpunerea în legislația națională a Directivei UE 2016/1148 – aprobată de CE încă din 2016 – a avut loc în 2018, prin adoptarea Legii nr. 362. Normele de aplicare ale actului normativ au apărut însă în anul 2020 (OUG 119), iar Regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică în 2021 (Ordinul nr. 559).
Ultimii doi ani au fost însă marcați de numeroase provocări pe zona de cybersecurity pentru organizațiile din România. Numeroase organizații care se încadrează în categoriile de Operatoril de Servicii Esențiale (OES) și a Furnizori de Servicii și Soluții digitale (DSP) – așa cum sunt definite acestea de Legea nr. 362/2018 – întâmpină dificultăți în implementarea măsurilor de protejare a infrastructurilor critice și digitale și asigurarea livrării serviciilor esențiale pentru societate.
Dificultăți tehnice și organizaționale
Provocările generate de aplicarea Legii 362/2018 sunt de natură atât tehnică, cât și organizațională și sunt generate, în principal, de cerințele de:
– Identificare a proceselor de afaceri, activelor și rețelelor digitale critice care intră sub incidența Directive NIS,
– Identificare și analiză a categoriilor de riscuri la care sunt expuse și definirea unei strategii de abordare și remediere a acestora,
– Depistare, declarare și raportare către entitățile autorizate a incidentelor de securitate,
– Adoptare a măsurilor de securitate tehnice și organizaționale de detectare și remediere necesare,
– Evaluare periodică a riscurilor și amenințărilor la adresa stabilității și funcționării continue a serviciilor esențiale furnizate.
Numeroase organizații din România își concentrează eforturile doar pe acest ultim aspect, având ca obiectiv procesul de auditare, pierzând din vedere faptul că legea 362/2018 nu pune accent pe examinare în sine, ci pe îndeplinirea cerințelor de securitate. Auditul indică nivelul de conformitate cu cerințele Directivei NIS și trebuie să urmeze etapei de adoptare a măsurilor tehnice și organizaționale necesare, validând un sistem funcțional.
Apelul la specialiști, o soluție universal valabilă
Raportul Agenției UE pentru securitate cibernetică (ENISA “NIS Investements” ), arată că anul trecut 83% dintre organizațiile OES/DSP la nivelul Uniunii au apelat pentru gestionarea riscurilor de securitate la servicii externalizate. Este o abordare justificată în principal, de resursele limitate de competențe pe zona de cybersecurity, dar și în domeniul legislației de securitate. Deficitul de specialiști în acest sector crește constant, iar România nu face excepție de la regulă.
În acest context, Safetech Innovations este partenerul de care aveți nevoie. Compania este specializată în domeniul securității informatice, are un nivel înalt de certificare a competențelor și experiență în industrii puternic reglementate, precum zona financiar-bancară, dar și cea a infrastructurilor critice.
Specialiștii Safetech au acumulat, de asemenea, și experiență în domeniul transpunerii cerințelor tehnice și legale în procese de afaceri și de evaluare a nivelului de securitate în conformitate cu normele tehnice ale Directivei NIS, domeniu în care compania are deja peste 25 de proiecte finalizate.
Primul pas – definirea cadrului de guvernanță
În abordarea Safetech, baza procesului de evaluare a nivelului de conformitate cu cerințele Legii 362/2018 o reprezintă stabilirea cadrului de guvernanță de securitate în cadrul unei organizații. Această, presupune, într-o primă fază, identificarea capacității de protecție a respectivei organizații pentru a se putea stabili și, ulterior, aplica măsurile necesare asigurării conformității nivelului de securitate cu cerințele Legii 362.
Etapa implică evaluarea nivelului existent de securitate, inventarierea dispozitivelor din rețea și a vulnerabilităților acestora, depistarea amenințărilor, precum și evaluarea riscurilor la care este expusă organizația. Definirea cadrului de guvernanță necesită totodată și stabilirea unor planuri și politici la nivelul întregii organizații, care să asigure acoperirea dependențelor dintre sistemele IT și procesele de afaceri, precum și abordarea controlată a riscurilor.
Pe baza recomandărilor făcute, Safetech definește o foaie de parcurs personalizată pe nevoile organizației, cu ajutorul căreia aceasta își poate planifica și aplica un plan optimizat de investiții, angajări, instruiri și externalizări. De asemenea, Safetech poate asigura externalizarea rolului de Chief Information Security Officer din organizație, urmărind aplicarea cadrului de guvernanță în organizație.
Pasul doi – asigurarea efectivă a protecției serviciilor esențiale
Safetech vă poate asigura proiectarea, furnizarea, implementarea, configurarea și mentenanța soluțiilor de securitate specifice necesare respectării cerințelor de conformitate ale Legii 362/2018, precum, de exemplu, sisteme pentru filtrarea traficului dintre rețele, pentru controlul accesului logic și fizic la datele și aplicațiile necesare serviciilor critice, pentru managementul accesului privilegiat la sistemele informatice necesare acestor servicii critice, sisteme de detecție si răspuns la amenințări de securitate pe calculatoarele și în rețelele de date necesare serviciilor critice, sisteme de gestionare a informațiilor si evenimentelor de securitate.
De asemenea, Safetech prestează servicii de monitorizare, detecție și răspuns la amenințări de securitate cibernetică, cu acoperire 24/7/365. Safetech asigura interconectarea cu serviciul de alertă, monitorizare și cooperare al DNSC, cu asigurarea unui răspuns prompt la alertele și solicitările transmise de echipa CSIRT (Computer Security Incident Response ) națională.
De asemenea, direcția tehnică a Safetech include o echipă de auditori acreditați care la cererea clientului pot să evalueaze dacă organizația respectă cerințele de securitate prevăzute de Legea 362/2018.
Prin oferta sa completă, Safetech ajută operatori de servicii esențiale să își atingă obiectivele de conformitate, să monitorizeze, să reducă riscurile și să își îmbunătățească nivelul de reziliență al afacerii, având totodată siguranța respectării Legii 362/2018.
Pentru mai multe informații despre serviciile Safetech Innovation și oferte comerciale, vă invităm să ne contactați prin email la sales@safetech.ro sau prin telefon la 021 316 05 65.
