Prima ediție a Forumului de Securitate Cibernetică în Energie de la Cluj-Napoca simbolizează un pas important către obiectivul nostru comun – un sector energetic mai puternic, sigur și rezilient într- un peisaj digital, în evoluție constantă, a declarat Alexandru Apetre, Manager al Direcției Investigații și Atribuire, Directoratul Național de Securitate Cibernetică.
Directoratul Național de Securitate Cibernetică, în calitatea sa de autoritate națională competentă pentru reglementare, supraveghere și control pentru securitatea spațiului cibernetic civil, este responsabil pentru elaborarea și monitorizarea implementării strategiilor și cadrului normativ de securitate cibernetică la nivel național și sectorial.
Domnul Alexandru Apetre spus: “Astăzi vreau să vă transmit o serie de lucruri esențiale referitoare la legislația existentă și cea pe care vom fi nevoiți să o creăm în proxima perioadă.
Directiva NIS transpusă în legislația română prin Legea 362/2018 a oferit prima abordare unificată a securității cibernetice a Uniunii Europene, respectiv a României. Prin intermediul acesteia au fost stabilite principii fundamentale precum gestionarea riscurilor, raportarea incidentelor și cooperarea atât la nivel național, cât și transfrontalier. Aceste principii, atunci când sunt implementate eficient, pot îmbunătăți semnificativ postura noastră colectivă de securitate cibernetică.
Cu toate acestea, călătoria nu a fost una fără obstacole. Mulți operatori din domeniul energetic încă se confruntă cu provocări substanțiale în implementarea cerințelor minime de securitate cibernetică. Aceste provocări provin dintr-o varietate de motive, de la resurse financiare limitate, lipsa profesioniștilor în securitate cibernetică până la disponibilitatea resursă de a parcurge informații de interes.
În plus, maturitatea digitală a operatorilor din domeniu variază, unii dintre ei fiind încă în etape incipiente ale digitalizării.
Directiva NIS 2 introduce o serie de modificări și provocări cheie despre care vreau să vă vorbesc. Conceptul de operatori de servicii esențiale s-a schimbat în “servicii esențiale” și “servicii importante”. Practic, în domeniul energetic, caracterizat ca fiind “sector of high criticality”, orice operator cu peste 50 de angajați sau venituri de peste 10 milioane de euro, va avea obligația aplicării prevederilor.
Totodată, operatorii din domeniul energetic vor trebui să aplice măsuri adecvate și proporționale pe palierul tehnic, operațional și organizațional, în vederea gestionării riscurilor de securitate cibernetică și minimizării impactului generat de incidente se securitate cibernetică asupra serviciilor furnizate. Acestea includ inclusiv obligații foarte specifice de raportare pentru incidentele de securitate cibernetică întâmpinate.
Pe de altă parte, statele membre pot alege să impună utilizarea obligatorie de hardware și, respectiv, software certificate la nivel european sau național (Art. 138/NIS 2), în timp ce entitățile esențiale și importante vor avea obligativitatea de gestionare a riscurilor presupuse de lanțurile de aprovizionare.
De asemenea, NIS 2 statuează obligativitatea de a coopera prin partajarea informațiilor în cadrul comunităților relevante de investigații și răspuns la incidente de securitate cibernetică.
Totodată, operatorii vor avea obligația formării și instruirii profesionale corespunzătoare a persoanelor cu roluri relevante în organizație, inclusiv a celor cu rol de conducere. De asemenea, managementul organizațiilor va avea responsabilitatea legală de a îndeplini măsurile prevăzute, în situații contrare putând fi tras la răspundere.
Pe de altă parte, NIS 2 va introduce pârghii legale pentru autoritățile competente de a sancționa nerespectarea prevederilor, aplicând principiile prevenției, gradualității și proporționalității și mergând până la suspendarea temporară a activității organizației și, respectiv, solicitarea către organismele sau instanțele relevante a unei interdicții temporare de a exercita funcții de conducere în organizație, în cazul persoanelor cu roluir manageriale.
Având în vedere principiile enunțate, precum și realitățile pe care cu toții le conștientizăm, propunem o abordare diferențiată și bazată pe riscuri pentru transpunerea celei de a doua Directivei NIS 2. Ajustând cerințele în funcție de nivelurile specifice de risc ale entităților esențiale, ne putem asigura că obiectivele Directivei sunt atinse eficient și eficace.
În calitate de reprezentant DNSC, Autoritate Națională de Securitate Cibernetică, vă pot asigura de angajamentul nostru față de acest proces. Rolul nostru nu este doar de reglementare și control, ci de sprijin. Ne propunem să lucrăm îndeaproape cu toți actorii din sectorul energetic, oferind îndrumare și sprijin, pe măsură ce navigăm împreună pe această cale”.
| Știri BVB