Atacurile cibernetice afectează tot mai mult serviciile de afaceri de bază, iar consecințele pot fi deosebit de grave pentru companii și publicul larg.

De exemplu, după un cyberattack, putem vorbi despre pierderi de date, dar și despre pierderi financiare semnificative din cauza întreruperii serviciului sau a clienților.

NIS, Directiva privind securitatea rețelelor și informațiilor, este prima legislație UE cuprinzătoare privind securitatea informațiilor care a creat o cultură a securității prin cerințele sale. Directiva  a fost transpusă prin legea nr. 362/2018 în România,si se aplică  începând din luna ianuarie 2019, avand ca obiect  punerea în aplicare a măsurilor tehnice și organizaționale adecvate și proporționale pentru a îndeplini anumite cerințe minime de securitate stabilite de Centrul Național de Comunicare a Incidentelor în Securitate Cibernetică (CERT-RO), autoritatea de supraveghere in acest caz.

Perioada de conformitate a fost de șase luni, ceea ce înseamnă că putem vorbi despre investigații si controale începand cu august 2019, deoarece între timp, in data de 2 iulie 2019, a intrat în vigoare și norma metodolgică, Codul de organizare și funcționare a Registrului furnizorilor de servicii esențiale (ROSE).

Scopul NIS:

• protecția infrastructurilor critice și digitale pentru a asigura funcționarea sistemelor de bază pentru societate și măsuri pentru a asigura un nivel ridicat de securitate comună, ținând cont de riscurile asociate;
• Creșterea securității cibernetice în industriile critice ale UE și obținerea unor niveluri ridicate de securitate pentru rețelele și sistemele de calculatoare pentru gestionarea incidentelor de securitate cibernetică la nivelul UE;
• protejarea cetățenilor UE împotriva riscurilor online;

Obligațiile întreprinderilor:

1. Managementul drepturilor de acces, conștientizarea și formarea utilizatorilor, testarea și evaluarea securității rețelelor și sistemelor de calculatoare sau analiza și evaluarea riscurilor. Aceasta înseamnă că, în unele cazuri, nu numai politicile interne vor trebui modificate prin contracte, ci si create politici pentru a reglementa dreptul de acces, si a proteja sistemele de IT interne.
2. Prevenirea și minimizarea incidentelor de securitate. Companiile ar trebui să ia măsurile adecvate pentru a preveni și minimiza problemele cauzate de incidentele de securitate care afectează rețelele și sistemele de calculatoare, astfel încât serviciile să rămână disponibile.
3. O obligație suplimentară pentru transportatorii, băncile sau clinicile medicale de a notifica prompt CERT-RO orice atac de cyberbullying care afectează în mod semnificativ continuitatea serviciilor esențiale.

(4) Informațiile necesare pentru a determina impactul transfrontalier al unui incident de securitate sunt transmise CERT-RO. În principiu, companiile ar trebui să furnizeze informații despre potențialul geografic al evenimentului și despre efectele transfrontaliere potențiale.

5. Activați auditurile efectuate de CERT-RO
6. Odată înregistrat în Registrul Furnizorilor de serviciilor esentiale (ROSE), companiile trebuie să se alăture serviciului de alertă și colaborare CERT-RO. Practic, companiile trebuie să monitorizeze continuu (și nu numai) alertele și solicitările primite prin intermediul serviciului pentru a lua rapid măsurile adecvate la nivelul rețelelor și sistemelor lor de informații.

Relația dintre GDPR și NIS

Spre deosebire de GDPR, NIS vizează o audiență specifică a organizațiilor publice sau private din următoarele sectoare de activitate: energie, transporturi, servicii bancare, infrastructuri ale pieței financiare, sănătate, furnizare și distribuție de apă potabilă și toate instituțiile care sunt furnizori de servicii digitale (piețe online, motoare de căutare online și cloud Servicii IT).

Pe de o parte, obiectivele INS și GDPR se pot suprapune uneori, solicitând operatorilor să pună în aplicare măsuri de securitate bazate pe riscuri și să stabilească obligații de notificare în cazul unui incident de securitate.

Pe de altă parte, GDPR își propune să protejeze datele cu caracter personal, în timp ce NIS se concentrează pe protejarea securității rețelelor și a serviciilor IT.

În multe cazuri, măsurile de securitate deja existente pentru GDPR nu vor fi suficiente pentru a se conforma prevederilor NIS.

Penalități

De exemplu, un studiu recent IBM arată că în 2018, costul mediu global al unui cyberattack pentru a compromite datele a fost de 3,86 milioane dolari.

De asemenea, pot exista pierderi financiare din cauza întreruperii serviciilor companiei.

De exemplu, din cauza criptării datelor și recuperării solicitării de răscumpărare, Serviciul Național de Sănătate din Marea Britanie a pierdut aproximativ 100 de milioane de lire sterline în 2017 din cauza serviciilor întrerupte. Un alt exemplu al aceluiași an este Maersk, care a pierdut aproximativ 200 de milioane de dolari.

În ceea ce privește pierderile corporative, există și pierderi ale clienților, un efect indirect al atacurilor cibernetice. Practic, există un risc foarte mare ca clienții companiei în cauză să decidă să solicite serviciile altor companii.

În plus, Legea nr. 362/2018 prevede, de asemenea, că CERT-RO poate impune o amendă drastică pentru nerespectarea dispozițiilor sale.

Deși pornesc de la 3.000 de lei, din cauza unor infracțiuni minore, acestea pot atinge 5% din cifra de afaceri în cazul încălcărilor grave repetate.