Echipa noastra este formata din specialisti cu experienta in zona DevOps, Virtualizare, Storage Distribuit, Procesare de Date, Dezvoltare Aplicatii Cloud-Native si WebDesign.

Impreuna, incercam sa-ti oferim tot ce ai nevoie pentru compania ta, la nivel de IT.

Contact

Str. Alunisului Nr. 3, Bucuresti

// ce este NIS2

Ce este Directiva NIS2?

Directiva NIS2 (Network and Information Systems 2) este o lege de securitate cibernetica a UE, care are ca scop imbunatatirea protectiei infrastructurii critice in statele membre. In vigoare din 16 ianuarie 2023, aceasta impune ca, pana la 17 octombrie 2024, toate tarile UE sa o integreze in legislatia nationala.

Acoperind aproximativ 160.000 de entitati, NIS2 imbunatateste masurile de securitate in diverse sectoare, facilitand colaborarea globala si partajarea datelor pentru a combate atacurile cibernetice.

biodata companie 9
// aplicabilitate NIS2

Directiva NIS2 se aplica organizatiei tale?

  • Toate organizatiile care opereaza in Uniunea Europeana trebuie sa respecte Directiva NIS2. Aceasta include companii din diverse sectoare care indeplinesc criterii specifice privind infrastructura critica si dimensiunea companiei.

Iata cum poti determina daca organizatia ta este afectata:

  • Infrastructura critica: Daca compania ta face deja parte din infrastructura critica, conformitatea cu NIS2 este obligatorie.
  • Sectoare specifice: Companiile care opereaza in unul dintre cele 18 sectoare critice si care au 50 sau mai multi angajati sau o cifra de afaceri anuala de 10 milioane de euro sau mai mult.

*Pentru companiile identifiate sectorial, clasificarea ca „entitate critica” sau „entitate importanta” se va face si in functie de dimensiune.

Catalogarea companiilor ce activeaza in aria sectoarelor vizate, in functie de dimensiune:

    • Companii mici si micro: Organizatii cu mai putin de 50 angajati sau o cifra de afaceri de sub 10 milioane de euro. (in cateva dintre sectoare devin entitati importante sau esentiale)
    • Companii medii: Organizatii cu 50-249 angajati sau o cifra de afaceri de sub 50 milioane de euro. (in majoritatea sectoarelor sunt entitati importante)
    • Companii mari: Organizatii cu 250+ angajati sau o cifra de afaceri de peste 50 milioane de euro. (in majoritatea sectoarelor sunt entitati esentiale)

Toate entitatile relevante din UE trebuie sa-si evalueze statutul de conformitate cu NIS2, deoarece directiva impune obligatii stricte de securitate cibernetica pentru a proteja infrastructura critica din Uniunea Europeana.

// Sectoare NIS2

Cele 18 Sectoare acoperite de NIS2:

Sectoare Esentiale
Energie
Transport
Banci
Sanatate
Apa potabila
Apa uzata
Infrastructura digitala
Administratie publica
Managementul serviciilor IT
Infrastructuri de piata financiara
Spatiu
Servicii postale si de curierat
Managementul deseurilor
Productie industriala
Furnizori digitali
Productia, procesarea si distributia de substante chimice
Productia, procesarea si distributia alimentelor
Cercetare
// Responsabilitati NIS2

Responsabilități pentru Directorii Generali și Echipa de Conducere

NIS2 impune ca Directorii Generali sa integreze securitatea cibernetica in managementul general al riscurilor. Atacurile cibernetice reprezinta o amenintare semnificativa pentru continuitatea afacerii, in special pentru infrastructurile critice. Directorii generali sunt responsabili de sustinerea si supravegherea masurilor de securitate cibernetica. Neconformitatea poate duce la raspundere personala pentru daune sau riscuri.

In practica, aceasta implica o serie de responsabilitati precum:

Implementarea unei culturi de securitate cibernetica:
Directorii generali trebuie sa se asigure ca securitatea cibernetica este o prioritate la toate nivelurile organizatiei, promovand o cultura axata pe constientizarea riscurilor cibernetice si respectarea masurilor de securitate.
Intelegerea probabilitatii si impactului potential al riscurilor cibernetice
Directorii generali trebuie sa evalueze riscurile cibernetice si sa inteleaga impactul pe care acestea l-ar putea avea asupra operatiunilor si securitatii organizatiei.
Monitorizarea performantei
Ei trebuie sa urmareasca in mod regulat eficienta masurilor de securitate cibernetica prin rapoarte si analize realizate de CISO sau alte departamente relevante.
Supravegherea si asigurarea conformitatii
Directorii generali trebuie sa se asigure ca securitatea cibernetica este o prioritate la toate nivelurile organizatiei, promovand o cultura axata pe constientizarea riscurilor cibernetice si respectarea masurilor de securitate.
Stabilirea unui nivel de risc cibernetic acceptabil pentru organizatie
Ei trebuie sa decida asupra unui nivel de risc cibernetic pe care organizatia este dispusa sa il accepte, fara a compromite operatiunile critice sau securitatea informatiilor.
Organizarea de discutii regulate cu echipele de securitate IT
Este esential ca directorii generali sa mentina un dialog constant cu echipele de securitate IT pentru a fi la curent cu amenintarile emergente si cu masurile de prevenire si raspuns.
Supravegherea politicilor si procedurilor
Ei trebuie sa aprobe si sa supervizeze dezvoltarea politicilor si procedurilor de securitate, inclusiv planurile de raspuns la incidente cibernetice si planurile de continuitate a afacerii.
Managementul crizelor cibernetice
In cazul unui incident cibernetic major, directorii generali trebuie sa joace un rol activ in coordonarea raspunsului organizatiei, inclusiv in comunicarea cu autoritatile de reglementare, partenerii si publicul, daca este necesar.
Alocarea resurselor necesare
Directorii generali trebuie sa asigure alocarea de resurse financiare, tehnologice si umane pentru a sustine implementarea masurilor de securitate cibernetica.
// Responsabilitati NIS2

Responsabilitati pentru Directorii IT si Ofiterii pentru Securitatea Informațiilor (CISO)

In conformitate cu Directiva NIS2, Directorii IT si CISO au responsabilitati tehnice si strategice esentiale pentru asigurarea securitatii cibernetice a organizatiei. Printre cerintele impuse de NIS2 se numara:

In practica, aceasta implica o serie de responsabilitati precum:

Managementul riscurilor cibernetice

• Identificarea, evaluarea si prioritizarea riscurilor cibernetice care pot afecta organizatia.
• Implementarea de masuri proactive pentru a minimiza impactul potential al acestor riscuri.
• Efectuarea de evaluari periodice ale riscurilor si ajustarea politicilor de securitate in functie de noile amenintari si vulnerabilitati.

Politici de actualizare si patch management

• Crearea unor politici clare de actualizare a software-ului si aplicatiilor pentru a preveni exploatarea vulnerabilitatilor.
• Asigurarea ca toate sistemele critice sunt intotdeauna protejate cu cele mai recente patch-uri de securitate.

Gestionarea backup-urilor si a incidentelor de securitate

• Crearea si mentinerea unor politici solide de backup pentru a asigura integritatea si disponibilitatea datelor in cazul unui incident.
• Stabilirea si implementarea unui plan de raspuns la incidente (Incident Response Plan - IRP), inclusiv monitorizarea continua si capacitatea de a izola si trata rapid atacurile cibernetice.
• Testarea periodica a procedurilor de restaurare si recuperare a datelor pentru a asigura functionarea lor eficienta in caz de necesitate.

Conformitate si audit

• Supravegherea conformitatii organizatiei cu reglementarile nationale si internationale de securitate cibernetica, inclusiv Directiva NIS2.
• Colaborarea cu echipele de audit intern sau extern pentru a revizui si evalua masurile de securitate implementate si eficacitatea acestora.

Politici de criptare

• Implementarea criptarii pentru datele aflate in tranzit si in repaus, pentru a preveni accesul neautorizat la informatiile sensibile.
• Utilizarea algoritmilor de criptare puternici si actualizati, conform standardelor de securitate recunoscute.
• Asigurarea gestionarii sigure a cheilor de criptare.

Instruirea si constientizarea personalului

• Organizarea de sesiuni de instruire periodice pentru angajati privind bunele practici de securitate cibernetica si riscurile emergente.
• Promovarea unei culturi de securitate in intreaga organizatie, in care fiecare angajat sa inteleaga rolul sau in protejarea datelor si sistemelor.

Controlul accesului si managementul identitatii

• Dezvoltarea si implementarea unor politici riguroase de control al accesului bazate pe principiul „nevoii de a cunoaste” (least privilege).
• Implementarea solutiilor de autentificare multifactor (MFA) pentru a adauga un nivel suplimentar de securitate.
• Gestionarea identitatilor digitale si a drepturilor de acces ale utilizatorilor, inclusiv monitorizarea si revizuirea periodica a permisiunilor de acces.

Monitorizare si raportare

• Monitorizarea continua a sistemelor de securitate cibernetica pentru a detecta si a raspunde prompt la amenintari.
• Raportarea incidentelor cibernetice catre autoritatile de reglementare competente, conform cerintelor Directivei NIS2, intr-un termen adecvat.

Supravegherea securitatii retelelor si infrastructurilor IT

• Implementarea de solutii de securitate pentru monitorizarea traficului retelei si detectarea activitatilor anormale sau neautorizate.
• Asigurarea segmentarii corecte a retelelor pentru a limita impactul unui atac asupra infrastructurii IT.

Colaborarea cu partile interesate externe

• Mentinerea relatiilor cu furnizorii, partenerii si autoritatile de reglementare pentru a asigura o abordare coordonata in cazul amenintarilor si atacurilor cibernetice.
• Schimbul de informatii privind amenintarile cu comunitatea cibernetica pentru a imbunatati securitatea si raspunsul in fata atacurilor.

Respectarea toturor acestor cerinte din Legea NIS2 devine mai simpla daca organizatia urmeaza deja bunele practici din industrie. Directiva NIS2 cere deasemenea monitorizarea continua a riscurilor cibernetice si comunicarea eficienta cu conducerea superioara. Implementarea acestor masuri asigura conformitatea si reduce expunerea la amenintari cibernetice.
// Sanctiuni NIS2

Sanctiuni pentru neconformitate

Nerespectarea obligatiilor impuse de Directiva NIS2 poate atrage sanctiuni severe, stabilite in functie de tipul organizatiei:

Sectoare esentiale

Organizatiile din aceasta categorie pot primi amenzi de pana la 10 milioane de euro sau 2% din cifra de afaceri globala anuala, oricare dintre acestea este mai mare.

Sectoare importante

Amenzile pot ajunge la 7 milioane de euro sau 1,4% din cifra de afaceri globala anuala, oricare este mai mare.

In plus, in caz de neconformitate repetata, autoritatile pot dispune suspendarea activitatilor de afaceri sau a responsabilitatilor de management pentru conducerea superioara care nu a implementat masurile cerute.

Aceste sanctiuni subliniaza necesitatea respectarii cerintelor NIS2 pentru a proteja securitatea cibernetica si a evita consecintele financiare si operationale.

// wazuh

Mentinerea Conformitatii NIS2 cu Wazuh:
Securitate Cibernetica / Gestionare Incidente

Wazuh, o platforma open-source pentru securitate cibernetica si managementul evenimentelor de securitate (SIEM), ofera o solutie completa pentru conformitatea cu Directiva NIS2. Platforma include functii esentiale precum monitorizarea in timp real, detectarea vulnerabilitatilor si gestionarea incidentelor, toate necesare pentru a indeplini cerintele stricte impuse de NIS2.

BioData Solutions, in calitate de partener si distribuitor oficial Wazuh, ofera suport tehnic si consultanta specializata pentru implementarea solutiei in cadrul organizatiilor. Astfel, companiile pot beneficia de expertiza necesara pentru a se asigura ca toate cerintele de conformitate NIS2 sunt respectate cu succes, crescand in acelasi timp rezilienta la amenintarile cibernetice.

wazuh logo light

Wazuh ajuta organizatiile sa implementeze urmatoarele masuri obligatorii de securitate precum:

Detectarea si raspunsul la amenintari in timp real

Monitorizarea constanta a retelelor si sistemelor pentru identificarea comportamentelor anormale, prevenind potentialele brese de securitate.

Auditul configurarilor de securitate

Wazuh faciliteaza evaluarea conformitatii prin scanarea si auditarea configurarilor, asigurandu-se ca acestea respecta standardele NIS2 si detecteaza erori sau neconformitati.

Monitorizarea integritatii fisierelor (FIM)

Aceasta functie asigura integritatea datelor critice, prevenind modificarile neautorizate.

Raportarea incidentelor

Platforma permite generarea de rapoarte detaliate si configurarea alertelor personalizate, facilitand raportarea rapida a incidentelor, conform cerintelor NIS2.

Pentru implementare, BioData Solutions ofera asistenta in toate etapele de configurare a platformei, asigurandu-se ca fiecare organizatie beneficiaza de o solutie robusta si scalabila pentru respectarea normelor NIS2.

Prin utilizarea Wazuh, sprijinita de consultanta de specialitate oferita de BioData Solutions, organizatiile pot gestiona eficient conformitatea si imbunatati continuu securitatea infrastructurii digitale.