September 20, 2024

Oscar Yellow |. Getty Images

Companiile s-ar putea confrunta cu amenzi uriașe sau chiar ar putea avea serviciile suspendate în Uniunea Europeană în temeiul unor noi reglementări dure de securitate cibernetică, care intră în vigoare luna viitoare.

Directiva UE NIS 2 privind securitatea cibernetică va fi pusă în aplicare de statele membre pe 17 octombrie. Aceasta înseamnă că companiile trebuie să se asigure că operațiunile lor respectă obligațiile care le revin conform noii legi.

Aceste reguli impun cerințe mai stricte asupra politicilor și practicilor interne ale unei companii de reziliență a rețelei interne.

CNBC are o privire cuprinzătoare asupra a tot ceea ce trebuie să știți despre NIS 2 — de la cerințele legale până la potențialele penalități pe care companiile le-ar putea confrunta pentru neconformitate.

Ce este NIS 2?

NIS 2 înseamnă Directiva privind securitatea rețelelor și a informațiilor 2 și este o directivă UE care vizează îmbunătățirea securității sistemelor și rețelelor IT din întreaga UE. Legea a fost introdusă în 2020 și este o actualizare a indicațiilor anterioare, sau NIS.

NIS 2 extinde domeniul de aplicare al predecesorului său pentru a aborda provocările și amenințările recente de securitate cibernetică care au apărut pe măsură ce infractorii găsesc noi modalități de a încălca companiile și de a-și compromite datele sensibile.

Directiva se aplică organizațiilor care operează în UE și oferă servicii esențiale consumatorilor, inclusiv băncilor, furnizorilor de energie, furnizorilor de servicii medicale, furnizorilor de internet, companiilor de transport și manipulatorilor de deșeuri.

Principalele domenii pe care le va aborda sunt managementul riscurilor, responsabilitatea corporativă, obligațiile de raportare și planificarea continuității activității în cazul unei încălcări cibernetice.

Geert van der Linden, vicepreședinte executiv al serviciilor globale de securitate cibernetică la Capgemini, a declarat pentru CNBC că NIS 2 stabilește în mod efectiv un nou punct de referință pentru companii pentru a determina ce este acceptabil pentru a proteja cetățenii, a menține operațiunile și a răspunde la amenințările cibernetice .

Van der Linden a adăugat că atunci când NIS 2 va fi aplicabil, „judecătorii îl vor vedea ca un standard global”. „Pentru clienții noștri, indiferent dacă sunt considerați esențiali sau semnificativi în reglementare, ei trebuie să ia în considerare acea linie de bază și să se asigure că sunt conformi”.

Van der Linden a adăugat că, prin îndeplinirea acestei valori de bază, companiile se vor proteja efectiv împotriva revendicărilor. El o aseamănă cu cumpărarea unei asigurări de locuință pentru a vă proteja casa de hoți.

“Unde se duc spărgătorii? Aceasta este întotdeauna casa cel mai puțin protejată. Ei deschid fiecare ușă pentru a vedea unde pot intra”, a spus el. Același lucru este valabil și pentru companiile care doresc să se protejeze de atacurile cibernetice, a adăugat van der Linden.

În conformitate cu NIS 2, companiile trebuie, de asemenea, să își revizuiască lanțurile de aprovizionare digitale pentru a depista amenințările și vulnerabilitățile cibernetice. Astăzi, companiile folosesc zilnic multe produse și instrumente diferite, oferind criminalilor mai multe căi potențiale de atac.

Chris Gow, șeful echipei Cisco de politici publice din UE, a declarat pentru CNBC că un „exercițiu de cartografiere” va fi efectuat în cadrul NIS 2, iar companiile trebuie să își scaneze furnizorii de tehnologie pentru a evalua eventualele riscuri.

Conform NIS 2, companiile au, de asemenea, „datoria de grijă” de a raporta și de a împărtăși informații despre vulnerabilitățile cibernetice și atacurile de hacking cu alte companii, chiar dacă acest lucru înseamnă că trebuie să recunoască că sunt victimele unei încălcări cibernetice.

Ce se întâmplă dacă compania nu se conformează?

Companiile care nu respectă noua lege s-ar putea confrunta cu amenzi mari și alte măsuri punitive.

Pentru entitățile considerate critice, cum ar fi companiile de transport, finanțe și apă, nerespectarea NIS 2 ar putea duce la amenzi de până la 10 milioane EUR (11,1 milioane USD) sau 2% din veniturile anuale globale – oricare dintre acestea este suma finală mai mare .

Între timp, companiile considerate critice, cum ar fi companiile alimentare, companiile chimice și serviciile de gestionare a deșeurilor, se confruntă cu amenzi de până la 7 milioane EUR, sau 1,4% din veniturile lor globale anuale, pentru nerespectare.

Companiile care nu respectă NIS 2 se pot confrunta, de asemenea, cu suspendarea serviciului și pot fi supuse unei supravegheri mai stricte pentru a vedea dacă sunt conforme.

Urmărește interviul complet exclusiv al CNBC cu CEO-ul Google Cloud, Thomas Kurian, și CEO-ul Accenture, Julie Sweet

Dacă întreprinderile devin victimele unei încălcări cibernetice, vor avea la dispoziție 24 de ore pentru a trimite autorităților o notificare de avertizare timpurie. Aceasta este mai strictă decât fereastra de 72 de ore în care companiile trebuie să notifice autoritățile cu privire la o încălcare a datelor în conformitate cu legea separată a UE privind confidențialitatea datelor, GDPR (Regulamentul general privind protecția datelor).

„Pregătirea pentru NIS 2 nu este o cursă pentru a vedea cu ce poți scăpa, ci o cursă pentru a vedea care dintre cele mai puternice organizații se ridică peste linia de bază și valorifică acest efort”, a declarat Carl Leonard, strateg de securitate cibernetică EMEA la Proofpoint The cursă pentru a obține un avantaj competitiv.

„Mă aștept ca organizațiile să fie mai bine sprijinite prin eforturi coordonate la nivelul UE”, a spus Leonard, „Acest lucru va include informații comune despre amenințări, un nivel comun mai ridicat de securitate cibernetică și o mentalitate de „toți suntem împreună”.

Este afacerea ta gata?

Întreprinderile s-au luptat pentru a dezvolta procese și controale interne, precum și o cultură mai largă a securității cibernetice, înainte de termenul limită de 17 octombrie.

Gao de la Cisco a spus că, chiar și fără să apară noi amenințări de reglementare, companiile s-au străduit să își schimbe cultura internă pentru a se asigura că iau în serios amenințarea breșelor și întreruperilor rețelei.

Atacurile cibernetice sponsorizate de stat în creștere în acest an: Tehnologia DXC

„Chiar și fără să ne uităm la ceea ce se întâmplă pe partea de reglementare, vedem raportări de la CISO (ofițerul șef de securitate a informațiilor) până la consiliu și conducere.”

El a adăugat că NIS 2 forțează întreprinderile să se miște mai rapid pentru a-și actualiza controalele și practicile de rețea cu noile reguli.

„Cu siguranță va avea un impact”, a spus el. „Am văzut asta însumi. Oamenii pun întrebări interne de vânzări și management, întrebând „Cum ne afectează acest lucru?”” El a adăugat că companiile „se pregătesc acum” pentru a se asigura că îndeplinesc cerințele NIS 2.

Totuși, în timp ce securitatea cibernetică a devenit un accent mai mare pentru sălile de consiliu, asta nu a împiedicat atacurile cibernetice să se producă.

La începutul acestui an, furnizorul privat de asistență medicală din Marea Britanie, Synnovis, a suferit un atac de tip ransomware care a perturbat peste 3.000 de întâlniri la spital și la medic. Atacatorii, un grup rus de hackeri numit Qilin, au cerut o răscumpărare de 40 de milioane de lire sterline.

Gow a spus că a fost o greșeală să credem că noile reglementări vor preveni incidente similare în viitor, dar a adăugat că NIS 2 va ajuta „să facem niște revizuiri și să concentreze resursele pe arătarea modului de îmbunătățire a nivelului general de siguranță”.

About The Author

Leave a Reply

Your email address will not be published. Required fields are marked *