Directiva NIS2 — Ce trebuie să știe RPD

NIS2 se aplică la două categorii de entități: entități esențiale și entități importante. Entitățile esențiale includ sectoare precum energia, transportul, sectorul bancar, infrastructura piețelor financiare, sănătatea, apa potabilă, apele uzate, infrastructura digitală, gestionarea serviciilor TIC și administrația publică. Entitățile importante acoperă sectoare precum serviciile poștale, gestionarea deșeurilor, producția, producția alimentară, substanțele chimice și furnizorii digitali. Pragurile de dimensiune sunt simple: organizațiile cu peste 50 de angajați sau o cifră de afaceri anuală de peste 10 milioane EUR din aceste sectoare intră automat în sfera de aplicare. Cu toate acestea, anumite entități intră în sfera de aplicare indiferent de dimensiune — precum furnizorii de servicii DNS, registrele TLD și furnizorii de rețele publice de comunicații electronice. Pentru RPD, aceasta înseamnă că mulți dintre clienții dvs. existenți pot avea acum obligații NIS2 pe lângă cerințele lor RGPD. Identificarea proactivă a clienților care intră sub incidența NIS2 vă poziționează ca un consilier strategic valoros, nu doar o casetă de bifat pentru conformitate.

NIS2 impune organizațiilor afectate să implementeze un set cuprinzător de măsuri de gestionare a riscurilor de securitate cibernetică. Acestea includ: politici de analiză a riscurilor și securitate a sistemelor informaționale, proceduri de gestionare a incidentelor, continuitatea activității și gestionarea crizelor, securitatea lanțului de aprovizionare, securitatea în achiziția și dezvoltarea rețelelor și sistemelor informaționale, politici de evaluare a eficacității măsurilor de securitate cibernetică, practici de bază de igienă cibernetică și instruire, politici privind criptografia, securitatea resurselor umane, controlul accesului și gestionarea activelor. Organizațiile trebuie, de asemenea, să raporteze incidentele semnificative autorității naționale în termen de 24 de ore pentru o alertă timpurie, 72 de ore pentru o notificare completă și o lună pentru un raport final. Această obligație de raportare pe trei niveluri este mai strictă decât notificarea în 72 de ore a încălcărilor din RGPD și necesită proceduri de răspuns la incidente bine pregătite. Suprapunerea dintre măsurile de securitate NIS2 și Articolul 32 din RGPD (securitatea prelucrării) este substanțială. RPD care deja consiliază clienții în privința măsurilor tehnice și organizatorice în cadrul RGPD sunt bine poziționați pentru a extinde aceste recomandări la conformitatea NIS2.

Cea mai semnificativă schimbare pe care NIS2 o introduce este răspunderea personală a conducerii. Articolul 20 impune ca organele de conducere să aprobe și să supravegheze implementarea măsurilor de securitate cibernetică. Acestea trebuie, de asemenea, să participe la instruire în domeniul securității cibernetice. Important, organele de conducere pot fi trase la răspundere personal pentru încălcări. Amenzile în temeiul NIS2 sunt substanțiale: până la 10 milioane EUR sau 2% din cifra de afaceri anuală globală pentru entitățile esențiale, și până la 7 milioane EUR sau 1,4% din cifra de afaceri globală pentru entitățile importante. Acestea sunt în plus față de — nu în locul — amenzilor RGPD. Acest aspect al răspunderii personale este ceea ce determină urgența în rândul conducerii. Ca RPD, puteți folosi acest lucru pentru a obține buget și atenție pentru proiecte de conformitate care altfel ar putea fi amânate. Membrii consiliului de administrație care anterior considerau RGPD drept un centru de cost sunt brusc foarte interesați de conformitate când activele lor personale sunt în joc.

Ca RPD extern, aveți deja cunoștințe aprofundate despre peisajul de prelucrare a datelor, măsurile de securitate și structura organizațională ale clienților dvs. Aceasta vă face consilierul natural pentru conformitatea NIS2 — nu trebuie să porniți de la zero. Începeți prin cartografierea suprapunerii dintre cerințele RGPD și NIS2. Multe dintre măsurile tehnice și organizatorice pe care clienții dvs. le au deja pentru RGPD (criptare, controale ale accesului, proceduri de răspuns la incidente) satisfac direct cerințele NIS2. Documentați această suprapunere pentru a le arăta clienților că nu pornesc de la zero. Oferiți evaluări de pregătire NIS2 ca serviciu suplimentar. O listă de verificare structurată care acoperă toate obligațiile NIS2, corelate cu ceea ce clientul are deja implementat, oferă valoare imediată și vă poziționează pentru monitorizarea continuă a conformității. Utilizați un instrument care susține atât RGPD, cât și NIS2 într-un panou de control unificat. Menținerea unor sisteme separate pentru conformitatea RGPD și pregătirea NIS2 vă dublează volumul de muncă și face mai dificilă identificarea sinergiilor. Trustee.eu le combină pe ambele într-o singură vizualizare, astfel încât puteți consilia holistic.