Recomandarea DNSC către organizațiile care intră sub incidența Directivei NIS 2 este de a transmite de urgență notificările necesare pentru înregistrarea în registrul entităților; amenda pentru neînscrierea în registru ajunge până la 500 de mii de lei, a declarat Gabriel Dinu, Director Adjunct Directoratul Național de Securitate Cibernetică (DNSC), la Forumul de Securitate Cibernetică (ediția a III-a), eveniment ce se desfășoară zilele acestea, la Cluj.
Acesta a transmis: “Am reușit să transpunem Directiva NIS în legislația națională la sfârșitul anului trecut. Am fost printre primele șase țări care au făcut acest lucru. În momentul de față, sunt 12 țări care au reușit transpunerea în Uniunea Europeană, deci noi încă suntem în grafic față de alte state. Între timp, am reușit să emitem și primele norme subsecvente, astfel încât s-a început procesul de înscriere a entităților esențiale. De fapt, pe 22 septembrie s-a terminat acest termen. Din păcate, nu s-au înscris toate organizațiile care aveau această obligație, sens în care, și celor dintre dvs. care reprezentați organizații care intră sub incidența Directivei NIS 2, vă transmitem recomandarea de a transmite de urgență către DNSC modificările în vederea înscrierii în registrul entităților. Vă amintesc, de asemenea, că amenda pentru neînscrierea în registru ajunge până la 500 de mii de lei.
Fiecare, trebuie să avem responsabilitatea fiecare de a respecta. Am încercat și încercăm în continuare să avem o relație deschisă cu organizațiile, o relație de cooperare, o relație bazată pe încredere și bună-credință și tocmai de aceea nu ne dorim să dăm amenzi. Dar dacă vom fi nevoiți, o vom face asta.
Avem responsabilitatea nu doar de a respecta legea, ci avem responsabilitatea de a ne proteja partenerii de afaceri. Avem responsabilitatea de a proteja cetățenii, avem responsabilitatea de a proteja societatea, pentru că toate aceste organizații care intră sub incidența în special a NIS 2 intră datorită criticității pe care o au în ceea ce privește funcționarea societății și protecția cetățeanului”.
Referitor la obligațiile din Directiva NIS 2, Gabriel Dinu a spus: “Avem obligația de a implementa măsurile de gestionare a riscurilor prevăzute de Directivă. Responsabilitatea revine, cu ocazia acestui act normativ, managementului conducerii organizațiilor care intră sub incidența legii, care are, de asemenea, obligația personală de a urma cursuri care să îi ajute să înțeleagă problematica de management al riscurilor de securitate cibernetică.
De asemenea, sunt implementate obligații cu privire la trainingul personalului, de creștere a nivelului de înțelegere a obligațiilor și a riscurilor de securitate cibernetică pentru tot personalul organizațiilor. Mai există obligația de a desemna persoane responsabile pentru securitatea rețelelor și sistemelor informatice la nivelul organizațiilor.
O altă obligație este implementarea măsurilor de management al riscului și de reziliență. Practic, aceasta este baza Directivei. Bineînțeles, există obligația de a raporta către DNSC incidentele semnificative. Din fericire, anul acesta, deși incidentele nu au lipsit, nu am avut incidente care să genereze un impact care să ne ducă într-o zonă mediatică foarte relevantă. Am avut alte probleme care ne-au ocupat timpul, cel puțin în prima parte a anului.
Acum, suntem în etapa în care marea majoritate a colegilor mei analizează documentele și notificările care au fost transmise de entități, pentru că, având în vedere că implementarea acestui act normativ se realizează într-o manieră ce trebuie să ia în calcul nivelul de risc și proporționalitatea măsurilor, trebuie să facem această analiză pentru a stabili unde se încadrează organizațiile, în ce categorie se încadrează, astfel încât să fie proporțional aplicate și obligațiile ulterior.
După ce vom finaliza acest proces complex și vom emite deciziile pentru înregistrarea entităților în registru, vom avea o perioadă de 60 de zile, până la care organizațiile trebuie să își realizeze evaluarea nivelului de risc.
Această evaluare a nivelului de risc este foarte relevantă pentru că, în funcție de categoriile de risc care sunt relevante pentru entitate, de probabilitatea și impactul acestora și de dimensiunea entității, printr-un calcul destul de simplu, se va ajunge la un scor care va încadra organizațiile într-o anumită categorie în ceea ce privește complexitatea cerințelor de securitate cibernetică pe care va trebui să le implementeze.
Este un pas foarte relevant, pentru că el stabilește obligațiile viitoare ale organizației pe o perioadă semnificativă de timp. De asemenea, după realizarea acestui pas, după transmiterea către noi a rezultatului evaluării nivelului de risc, entitățile vor trebui să își facă autoevaluarea nivelului de maturitate. În funcție de categoria de cerințe care i se aplică, va utiliza un instrument pe care noi îl vom pune la dispoziție pentru a evalua în ce măsură organizația a implementat cerințele de securitate, controalele care sunt prevăzute de cerințe. Este un pas foarte important, pentru că la sfârșitul acestui pas, organizația își va face un plan de măsuri pentru remedierea deficiențelor și pentru atingerea nivelului optim de securitate. Acest plan de măsuri, în cazul entităților esențiale, trebuie să fie transmis și către de DNSC, pentru a putea să fie monitorizat în perioada următoare”.
| Știri BVB