În trecut, securitatea informațiilor era considerată în primul rând responsabilitatea departamentului IT. Organizațiile considerau gestionarea riscurilor de securitate a informațiilor în primul rând ca fiind implementarea unor măsuri tehnice și se bazau pe securizarea infrastructurilor IT prin firewall-uri, securitatea terminalelor, sisteme de detectare și prevenire a intruziunilor sau segmentarea rețelei. Această abordare era completată de măsuri de securitate fizică și de cursuri de sensibilizare pentru consolidarea „firewall-ului uman”, cu scopul de a demonstra o abordare structurată a gestionării riscurilor de securitate a informațiilor.

De atunci, aria de interes s-a extins semnificativ. Astăzi, securitatea cibernetică nu mai înseamnă doar protejarea activelor informaționale legate de IT, ci și prevenirea pierderilor financiare, menținerea continuității activității, protejarea serviciilor critice și a lanțurilor de aprovizionare – pe scurt: consolidarea rezilienței unei organizații. Aproape nimic nu ilustrează această schimbare de paradigmă atât de clar precum Directiva NIS2 a Uniunii Europene.

Ce este NIS2?

NIS2 este Directiva actualizată a Uniunii Europene privind securitatea rețelelor și a informațiilor (Directiva (UE) 2022/2555), care stabilește obligații armonizate privind securitatea cibernetică și raportarea incidentelor pentru organizațiile mijlocii și mari din sectoare-cheie precum energia, industria chimică, industria prelucrătoare, transporturile, sănătatea, infrastructura digitală și alte sectoare economice critice. Odată transpusă în legislația națională a statelor membre ale Uniunii Europene, aceasta va impune organizațiilor vizate să implementeze măsuri de securitate cibernetică bazate pe riscuri, să respecte termene stricte de raportare de 24 sau 72 de ore și să se confrunte cu amenzi substanțiale în cazul unor încălcări grave.

Deși NIS2 este o directivă a UE, impactul său practic se extinde cu mult dincolo de granițele Uniunii. Producătorii, furnizorii de tehnologie, companiile de logistică și furnizorii de servicii care fac parte din lanțurile valorice europene se confruntă din ce în ce mai mult cu așteptări specifice în materie de securitate cibernetică și cu cerințe de dovadă din partea clienților lor. Certificarea ISO 27001 devine un indicator cheie în acest context: aceasta demonstrează că o organizație gestionează riscurile de securitate a informațiilor în mod sistematic și în conformitate cu un standard recunoscut la nivel internațional.

Pentru multe organizații, acest lucru ridică o întrebare strategică:

Dacă dorim să participăm în mod fiabil la lanțurile de aprovizionare europene, certificarea ISO 27001 devine o cerință de acces?

ISO 27001 ca poartă de acces către lanțurile de aprovizionare europene

Din numărul tot mai mare de licitații și evaluări ale furnizorilor se conturează o imagine clară:

  • ISO 27001 oferă o bază recunoscută și verificabilă pentru multe dintre așteptările privind securitatea cibernetică și guvernanța care apar în urma NIS2.
  • Pentru a avea acces la relații exigente cu clienții și la lanțuri de aprovizionare critice, certificarea este considerată din ce în ce mai mult o cerință minimă, mai degrabă decât un factor de diferențiere.
  • Organizațiile care dispun de un sistem de management al securității informației (ISMS) matur și certificat sunt mai bine poziționate pentru a răspunde la chestionarele, auditurile și activitățile de due diligence impuse de NIS2 de-a lungul lanțului de aprovizionare.

În acest sens, certificarea ISO 27001 devine o poartă de acces eficientă către lanțurile de aprovizionare europene – nu pentru că îndeplinește singură toate obligațiile NIS2, ci pentru că oferă cadrul structurat și verificabil pe care mulți clienți europeni îl așteaptă acum ca cerință minimă.

Costul tot mai mare al perturbărilor cibernetice

În prezent, incidentele cibernetice rămân rareori izolate — ele se propagă în cascadă de-a lungul lanțurilor de aprovizionare, opresc operațiunile și expun organizațiile la controlul autorităților de reglementare mult timp după breșa inițială.

În sectoarele producției, sănătății, transporturilor și infrastructurii critice, organizațiile s-au confruntat cu întreruperi operaționale care au durat zile sau chiar săptămâni: liniile de producție s-au oprit, rețelele logistice s-au blocat, iar serviciile pentru clienți au devenit indisponibile.

Ceea ce face ca multe dintre aceste incidente să fie deosebit de îngrijorătoare este faptul că nu au început întotdeauna cu atacuri extrem de sofisticate. În multe cazuri, atacatorii au exploatat vulnerabilitățile din ecosistemele furnizorilor, sistemele fără patch-uri, monitorizarea insuficientă sau răspunsul întârziat la incidente.

Pentru liderii de afaceri, o lecție a devenit clară:
întrebarea cheie nu mai este dacă o organizație poate preveni fiecare incident cibernetic, ci dacă poate continua să funcționeze atunci când se produce unul.

Această schimbare de mentalitate se află în centrul NIS2.

De ce NIS2 este important pentru consiliile de administrație

  • Securitatea cibernetică a devenit o problemă care ține de consiliul de administrație, mai degrabă decât o chestiune pur IT: organele de conducere trebuie să aprobe și să supravegheze măsurile de gestionare a riscurilor de securitate cibernetică.
  • Legislațiile naționale de punere în aplicare a NIS2 pot impune amenzi la nivelul celor prevăzute de GDPR – de până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală pentru entitățile esențiale și de până la 7 milioane de euro sau 1,4% pentru entitățile importante.
  • Membrii organismului de conducere pot fi trași la răspundere pentru supravegherea inadecvată a gestionării riscurilor de securitate cibernetică, în conformitate cu normele naționale privind răspunderea.

NIS2 pune un accent deosebit pe guvernanță, responsabilitate și reziliența organizațională. Organizațiile care intră în domeniul de aplicare al directivei trebuie să demonstreze, printre altele:

  • implicarea activă a conducerii superioare în implementarea și monitorizarea măsurilor de securitate cibernetică,
  • Procese eficiente de raportare a incidentelor de securitate semnificative,
  • gestionarea structurată a riscurilor de securitate cibernetică,
  • Controale de securitate eficiente în lanțul de aprovizionare,
  • Măsuri de asigurare a continuității activității 

În cazul în care ISO 27001 oferă o bază solidă

Organizațiile certificate conform ISO 27001 dispun deja de un cadru structurat pentru gestionarea riscurilor, guvernanță și gestionarea incidentelor – toate acestea fiind elemente care susțin cerințele NIS2.

În esență, ISO 27001 se bazează pe o selecție bazată pe risc a măsurilor de control referitoare la procesele de afaceri ale unei organizații, pe responsabilități și politici clare de guvernanță și pe îmbunătățirea continuă (ciclul PDCA). Aceste principii pot fi aplicate direct măsurilor organizaționale și tehnice prevăzute în reglementările NIS2.

Organizațiile care dispun de un sistem matur de management al securității informației (ISMS) au, de obicei, deja implementate următoarele:

  • Structuri de guvernanță pentru securitatea informațiilor
  • Procese eficiente de evaluare și gestionare a riscurilor
  • Politici de securitate documentate și responsabilități clar definite
  • Proceduri pentru gestionarea incidentelor
  • Cicluri de audituri interne și revizuiri ale conducerii
  • Măsuri de gestionare a lanțului de aprovizionare
  • Planuri de recuperare în caz de dezastru și de continuitate a activității

Aceste elemente constituie o bază solidă pentru punerea în aplicare a măsurilor-cheie de gestionare a riscurilor prevăzute de NIS2.

Cazurile în care ISO 27001, pe cont propriu, ar putea să nu fie suficient

ISO/IEC 27001:2022 este un standard internațional, nu o lege. Certificarea ISO 27001 nu garantează conformitatea cu NIS2. Trei domenii – securitatea lanțului de aprovizionare, responsabilitatea conducerii și obligația legală de a raporta incidentele de securitate – necesită, în general, măsuri și dovezi care depășesc ceea ce poate demonstra un certificat ISO 27001 în sine.

ISO 27001 este un standard internațional voluntar, în timp ce NIS2 este o lege europeană cu caracter obligatoriu. Prin urmare, certificarea nu înlocuiește automat conformitatea cu toate obligațiile NIS2, în special în ceea ce privește securitatea lanțului de aprovizionare, obligațiile de raportare și responsabilitatea conducerii.

Articolul 21 alineatul (2) din NIS2 definește zece categorii de măsuri de gestionare a riscurilor de securitate cibernetică pe care organizațiile vizate sunt obligate din punct de vedere legal să le pună în aplicare. Conținutul standardului ISO/IEC 27001:2022 și controalele enumerate în anexa A pot fi corelate cu majoritatea acestor categorii – deși fără a corespunde acestora în mod univoc ca cerințe legale:

Securitatea lanțului de aprovizionare

Directiva NIS2 impune organizațiilor să evalueze și să gestioneze riscurile de securitate cibernetică pe întregul lanț de aprovizionare – nu doar în cadrul propriilor limite corporative.

Incidentele recente de securitate cibernetică au demonstrat în repetate rânduri că atacatorii exploatează lanțul de aprovizionare pentru a obține acces neautorizat la rețelele mai mari ale clienților. La urma urmei, principiul eficienței – „obținerea unei acoperiri maxime cu efort minim!” – se aplică și aici.

În consecință, articolul 21 alineatul (2) litera (d) din NIS2 impune asigurarea securității lanțului de aprovizionare, ceea ce este în concordanță cu cerințele 5.19–5.23 din anexa A la ISO 27001:

  • Securitatea informațiilor în relațiile cu furnizorii
  • Abordarea securității informațiilor în acordurile cu furnizorii
  • Gestionarea securității informațiilor în lanțul de aprovizionare TIC
  • Monitorizarea, auditarea și gestionarea schimbărilor în serviciile furnizorilor
  • Securitatea informațiilor în cazul utilizării serviciilor cloud

Responsabilitatea conducerii

Conform NIS2, securitatea cibernetică nu mai este considerată o chestiune pur tehnică care poate fi delegată departamentului IT.

Directiva prevede că organul de conducere al organizației trebuie să își asume responsabilitatea pentru aprobarea, monitorizarea și revizuirea periodică a punerii în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică. În practică, se așteaptă ca conducerea de vârf să:

  • să înțeleagă riscurile cibernetice și să se implice activ în gestionarea acestora,
  • să participe la activitățile de guvernanță și la procesele decizionale legate de securitatea cibernetică,
  • să asigure resurse adecvate pentru măsurile de reziliență și
  • Să monitorizeze gradul de pregătire pentru răspunsul la incidente și obligațiile de raportare.

În funcție de punerea în aplicare la nivel național a NIS2 și de reglementările relevante privind societățile comerciale și răspunderea, membrii organului de conducere se pot confrunta, de asemenea, cu consecințe personale dacă nu își îndeplinesc în mod adecvat obligațiile în materie de securitate cibernetică. Guvernanța în domeniul securității cibernetice devine astfel o responsabilitate cheie a conducerii – cu potențiale implicații de natură reglementară și financiară în cazul în care nu se demonstrează în mod convingător existența unei supravegheri suficiente.

Raportarea incidentelor

NIS2 introduce termene legale obligatorii: organizațiile trebuie să transmită autorității competente o notificare inițială de alertă timpurie în termen de 24 de ore de la constatarea unui incident semnificativ, urmată de un raport mai detaliat în termen de 72 de ore și de un raport final într-o etapă ulterioară, conform prevederilor legislației.

Multe organizații nu dispun în prezent de procesele documentate, de responsabilitățile clar atribuite și de procedurile testate necesare pentru a respecta aceste termene în mod fiabil. Cadrele existente de gestionare a incidentelor din cadrul unui ISMS necesită adesea ajustări specifice pentru a reflecta termenele reglementare și obligațiile de raportare externă introduse de NIS2.

În practică, acest lucru înseamnă, de obicei, remedierea a trei lacune specifice. În primul rând, definirea și documentarea unui factor declanșator clar care să indice momentul în care „constatarea” unui incident semnificativ pornește contorul de 24 de ore – majoritatea procedurilor ISMS se concentrează pe clasificarea internă a gravității, mai degrabă decât pe termenele reglementate. În al doilea rând, desemnarea unui rol specific responsabil de notificarea de alertă timpurie și de legătura directă cu CSIRT-ul național sau cu autoritatea competentă, separat de rolul care conduce răspunsul intern. În al treilea rând, stabilirea unei piste de dovezi verificabile – inclusiv jurnale cu marcaj temporal, copii ale notificărilor și justificarea din spatele evaluării inițiale a gravității – care poate fi prezentată în cazul în care o autoritate de supraveghere verifică ulterior modul în care au fost respectate termenele de 24 și 72 de ore prevăzute de NIS2.

Reziliența operațională

Autoritățile de reglementare și clienții se așteaptă din ce în ce mai mult la dovezi că măsurile de reziliență au fost testate — nu doar documentate pe hârtie.

Prin urmare, se așteaptă ca organizațiile să demonstreze că pot menține sau restabili rapid operațiunile critice în timpul evenimentelor perturbatoare, mai degrabă decât să prezinte doar planuri scrise. Acest lucru include, de obicei:

  • Planificarea continuității activității și testarea periodică
  • Exerciții de recuperare în caz de dezastru pentru sistemele și datele critice
  • Simulări realiste de răspuns la incidente
  • Proceduri de gestionare a crizelor bine definite și exersate

Împreună, aceste elemente arată dacă reziliența este cu adevărat integrată în operațiunile de zi cu zi.

Organizația dumneavoastră evaluează, de asemenea, nevoile mai ample de reziliență în materie de securitate cibernetică?

Standardul ISO 22301 (Managementul continuității activității) oferă un cadru complementar pentru demonstrarea continuității operaționale în condiții de presiune.

Aflați mai multe

Întrebări noi adresate de clienți și parteneri

Certificarea ISO 27001 devine o condiție prealabilă pentru discuțiile cu furnizorii. Clienții europeni se așteaptă nu numai la un certificat ISO 27001, ci și la dovezi ale unei reziliențe dovedite.

Companiile din lanțul de aprovizionare trebuie să răspundă la următoarele întrebări:

  • Cât de repede vă puteți recupera după un incident cibernetic grav?
  • Cum sunt evaluați furnizorii critici și părțile terțe din punct de vedere al riscurilor de securitate?
  • Ce rol joacă conducerea superioară în guvernanța securității cibernetice?
  • Cât de des sunt testate planurile de răspuns la incidente și de continuitate a activității?
  • Ce măsuri sunt implementate pentru a asigura continuitatea activității în cazul unei întreruperi?

Companiile care pot demonstra atât certificarea, cât și o reziliență operațională dovedită se remarcă pe piețele extrem de competitive.

Ce ar trebui să ia în considerare echipele de conducere

Cea mai eficientă abordare este utilizarea unui sistem de management al securității informației (ISMS) existent, conform standardului ISO 27001, ca bază pentru o conformitate mai amplă cu NIS2 — apoi identificarea și remedierea lacunelor specifice pe care certificarea în sine nu le acoperă.

Organizațiile nu trebuie să aleagă între conformitatea cu ISO 27001 și cea cu NIS2. În majoritatea cazurilor, ISO 27001 oferă platforma sistemului de management; NIS2 și legile naționale de punere în aplicare a acestuia ridică ștacheta în anumite domenii. Cheia este înțelegerea punctelor în care practicile actuale sunt deja aliniate la aceste cerințe legale – și a celor în care sunt încă necesare îmbunătățiri specifice.

Întrebări utile pe care echipele de conducere ar trebui să le ia în considerare:

  • Programul nostru de securitate cibernetică abordează în mod adecvat riscurile din întregul nostru ecosistem de furnizori?
  • Liderii executivi sunt implicați activ în guvernanța securității cibernetice — nu doar informați după ce s-a întâmplat ceva?
  • Putem demonstra reziliența operațională dincolo de simplele proceduri documentate?
  • Sunt procesele de răspuns la incidente și de recuperare testate în mod regulat pe baza unor scenarii realiste?
  • Avem procese documentate care respectă termenele de raportare de 24 și 72 de ore prevăzute de NIS2?
  • Clienții și partenerii noștri de afaceri se așteaptă la mai mult decât o certificare ca dovadă a rezilienței?

Cum se corelează cerințele NIS2 cu cele ale standardului ISO 27001?

Descărcați documentul tehnic al DQS pentru o comparație detaliată între obligațiile NIS2 și controalele ISO 27001, conceput pentru a ajuta organizațiile să evalueze în ce măsură sistemul lor de management al securității informației (ISMS) îndeplinește deja așteptările directivei și unde pot exista încă lacune.

Descăr­cați doc­u­mentul tehnic

Concluzii cheie

  1. ISO/IEC 27001:2022 acoperă o mare parte din cele zece măsuri de gestionare a riscurilor prevăzute la articolul 21 alineatul (2) din NIS2 – deși măsura în care acest lucru se întâmplă depinde de maturitatea și domeniul de aplicare al ISMS-ului existent.
  2. Domeniile tipice de interes în cadrul sistemelor ISMS certificate includ în principal: riscurile legate de lanțul de aprovizionare care se extind dincolo de partenerii cu care s-au încheiat contracte directe; un flux de lucru documentat pentru raportarea incidentelor în 24 de ore/72 de ore, cu factori declanșatori clari
  3. Responsabilități clar atribuite pentru acceptarea riscurilor la nivelul conducerii superioare
  4. Măsuri de urgență și de continuitate a activității care sunt testate periodic, nu doar descrise.
  5. ISO 27001 atribuie responsabilitatea pentru riscuri conducerii de vârf (inclusiv în clauza 6.1.3(f)), dar nu stabilește o răspundere personală în sine – aceasta decurge doar din NIS2 și din transpunerea națională relevantă (de exemplu, în ceea ce privește organele de conducere și atribuțiile de supraveghere).
  6. Clienții și echipele de achiziții consideră certificarea ISO 27001 o condiție prealabilă pentru evaluarea furnizorilor.
Întrebări și răspunsuri

Întrebări frecvente.

Ce este Directiva NIS2?

NIS2 (a doua Directivă privind securitatea rețelelor și a informațiilor, Directiva (UE) 2022/2555) este o directivă a UE care se aplică la nivelul Uniunii Europene din ianuarie 2023 și care trebuie transpusă în legislația națională de către statele membre până la 17 octombrie 2024. Aceasta stabilește cerințe obligatorii privind securitatea cibernetică și reziliența pentru organizațiile dintr-o gamă largă de sectoare esențiale și importante din întreaga Europă, inclusiv energie, transporturi, producție, sănătate și infrastructură digitală. Legislațiile naționale de transpunere a NIS2 introduc obligații legale directe, sancțiuni financiare care pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală pentru entitățile esențiale (și 7 milioane de euro sau 1,4% pentru entitățile importante), precum și o responsabilitate mai clară a conducerii superioare în ceea ce privește gestionarea riscurilor de securitate cibernetică și conformitatea.

Standardul ISO 27001 acoperă cerințele NIS2?

ISO/IEC 27001 răspunde multor așteptări ale NIS2 prin abordarea sa structurată și bazată pe riscuri a managementului securității informației. Cu toate acestea, certificarea în sine nu îndeplinește automat toate obligațiile NIS2, în special în ceea ce privește termenele legale de raportare a incidentelor, gestionarea riscurilor din lanțul de aprovizionare și cerințele specifice de guvernanță și responsabilitate impuse organismelor de conducere în temeiul legislațiilor naționale bazate pe NIS2.

Standardul ISO 27001 este obligatoriu în conformitate cu NIS2?

Nu. NIS2 nu impune certificarea ISO 27001. Cu toate acestea, multe organizații utilizează ISO/IEC 27001 ca un cadru recunoscut pentru a-și structura și demonstra practicile de gestionare a riscurilor de securitate cibernetică, ceea ce le poate sprijini în mod semnificativ eforturile de a se conforma obligațiilor NIS2 și de a răspunde așteptărilor clienților și ale autorităților de reglementare.

Care este cea mai mare diferență între ISO 27001 și NIS2?

ISO/IEC 27001 este un standard internațional voluntar privind sistemele de management pe care organizațiile îl pot adopta pentru a demonstra o guvernanță structurată a securității informațiilor. NIS2 este o directivă a UE care, odată transpusă în legislația națională, creează obligații legale obligatorii referitoare la gestionarea riscurilor de securitate cibernetică, reziliență, raportarea incidentelor și supravegherea la nivel de conducere – cu sancțiuni potențial semnificative în caz de neconformitate.

Ce sancțiuni pot primi organizațiile în temeiul NIS2?

În cadrul NIS2, legislațiile naționale pot prevedea amenzi administrative pentru entitățile esențiale de până la 10 milioane de euro sau 2 % din cifra de afaceri anuală globală, oricare dintre aceste sume este mai mare, iar pentru entitățile importante de până la 7 milioane de euro sau 1,4 % din cifra de afaceri anuală globală, oricare dintre aceste sume este mai mare. Conducerea superioară se poate confrunta, de asemenea, cu consecințe în temeiul legislației naționale aplicabile în materie de drept corporativ și de răspundere civilă, în cazul în care își neglijează grav obligațiile de supraveghere în ceea ce privește securitatea cibernetică.

Care sunt cerințele NIS2 privind raportarea incidentelor?

NIS2 impune organizațiilor care intră sub incidența sa să respecte un calendar de raportare pe etape către autoritatea națională competentă sau CSIRT. De obicei, aceasta include o notificare de alertă timpurie în termen de 24 de ore de la constatarea unui incident semnificativ, o notificare mai detaliată a incidentului în termen de 72 de ore și un raport final într-un termen ulterior (adesea de o lună) stabilit de legislația națională. Organizațiile care nu dispun de procese documentate, responsabilități atribuite și proceduri testate pentru aceste etape pot întâmpina dificultăți în respectarea acestor termene obligatorii din punct de vedere legal.

Poate ISO 27001 să contribuie la îmbunătățirea rezilienței operaționale?

Da. Standardul ISO/IEC 27001 sprijină gestionarea riscurilor, procedurile de răspuns la incidente, controalele de securitate ale furnizorilor și practicile de guvernanță care, luate împreună, contribuie la o reziliență organizațională mai puternică. Pentru organizațiile care doresc să-și demonstreze reziliența în conformitate cu așteptările NIS2 și ale clienților lor, un sistem de management al securității informației (ISMS) bazat pe ISO 27001 și bine implementat oferă un punct de plecare valoros și larg recunoscut.

Aflați ce implică certificarea ISO 27001

Explorați serviciile de certificare ISO 27001 oferite de DQS — de la evaluarea inițială până la certificare și supravegherea continuă.

Ex­plor­ați ser­vi­ciile de cer­ti­fi­care DQS
Autor

Markus Jegelka

Loading...

Articole și evenimente relevante

S-ar putea să vă intereseze și acest lucru
Blog
Loading...

Evaluarea TISAX® de nivel 2: De ce opțiunea cea mai ieftină nu este întotdeauna cea mai rentabilă

Blog
Loading...

Actul UE privind inteligența artificială: ce trebuie să știe organizația dumneavoastră în 2026

Blog
Loading...

Securitatea cibernetică în domeniul dispozitivelor medicale: Ce trebuie să știe producătorii