Cerințe de conformitate
Odată cu introducerea Directivei UE 2022/2555, cunoscută și sub numele de NIS 2, cerințele de conformitate în cadrul companiilor au crescut. Prin NIS 2 se reacționează la amenințarea atacurilor cibernetice din UE. Directiva reglementează securitatea cibernetică și a informațiilor în companii și instituții. Atacurile cibernetice sunt acum considerate la nivel mondial ca unul dintre cele mai mari riscuri de afaceri pentru companii.
NIS 2 înlocuiește Directiva UE 2016/1148 (NIS 1) și urmărește să îmbunătățească securitatea cibernetică în Uniunea Europeană și să protejeze mai bine companiile. Implementarea directivei NIS-2 impune, astfel, cerințe sporite privind managementul riscului și conformitatea în multe companii. Dacă măsurile nu sunt implementate corespunzător în companii, pot urma sancțiuni, conform firmei de avocatură MTR Legal Rechtsanwälte.
UE a adoptat directiva NIS-2 în 2023 și până în 2025 statele membre trebuie să o transpună în legislația națională. Ce companii sunt afectate de directivă depinde în principal de natura activității lor. Directiva a fost extinsă la alte companii considerate esențiale (essential) și importante (important). Aceasta duce la o creștere semnificativă a numărului de companii și instituții care au obligații legale de îndeplinit față de Oficiul Federal pentru Securitatea Informațiilor (BSI).
Infrastructuri critice afectate
Infrastructurile critice care deja cădeau sub incidența directivei NIS-1, precum energie, transport, sănătate, finanțe, gestionarea apei și infrastructura digitală sunt afectate de directiva NIS-2 și în alte sectoare. Printre acestea se numără serviciile electronice publice, alte servicii digitale precum platformele sociale, gestionarea apelor uzate și deșeurilor, serviciile poștale și de curierat, administrația publică sau producătorii de produse critice. Se estimează că în Germania aproximativ 29.000 de companii din diferite sectoare vor fi afectate de implementarea directivei NIS-2. În principal, companiile mijlocii și mari din sectoarele critice vor fi chemate să ia măsuri adecvate pentru securitatea cibernetică și să stabilească o conformitate eficientă. Acestea vor fi, de asemenea, obligate să informeze autoritățile competente despre incidentele de securitate cu perturbări sau daune semnificative.
Directiva NIS-2 conține, de asemenea, dispoziții pentru supraveghere, aplicare și evaluări inter pares voluntare, pentru a consolida încrederea reciprocă și securitatea cibernetică în întreaga Uniune Europeană. Aceasta înseamnă, de asemenea, că managementul este responsabil dacă măsurile de management al riscurilor de securitate cibernetică nu sunt respectate.
Răspuns la atacuri asupra securității cibernetice
Prin directiva NIS-2 se va înființa și o rețea de echipe de răspuns la incidente de securitate informatică, pentru a împărtăși amenințările de securitate și a răspunde corespunzător incidentelor. În plus, va fi creată rețeaua europeană de organizații de legătură pentru crize cibernetice. Această rețea sprijină un schimb regulat de informații între statele membre și organismele UE, pentru a răspunde incidentelor și crizelor de mari proporții.
Cum exact va fi transpusă directiva NIS 2 în Germania în legislația națională nu este încă clar. Motivul este că transpunerea a fost întârziată din cauza alegerilor federale anticipate. Este clar însă că, odată cu implementarea, securitatea cibernetică va deveni un subiect și pentru multe companii mijlocii.
Companiile trebuie să implementeze măsuri de securitate
NIS 2 le pune în fața provocării de a implementa măsurile de securitate necesare, pentru a proteja datele și infrastructura critică împotriva posibilelor atacuri cibernetice. În acest scop, trebuie luate măsurile tehnice și organizatorice necesare. Dacă o companie cade victimă unui atac cibernetic, trebuie să existe planuri pentru a limita imediat daunele și a restabili sistemele. De asemenea, trebuie informate autoritățile competente. În plus, companiile trebuie să efectueze teste periodice pentru a detecta și elimina vulnerabilitățile. Securitatea cibernetică trebuie să existe și în cadrul lanțului de aprovizionare. Prin urmare, trebuie reacționat și aici la riscuri.
Implementarea directivei NIS-2 reprezintă provocări pentru o conformitate eficientă în companiile afectate, mai ales că și consiliile de administrație și organele de conducere pot fi personal răspunzătoare dacă măsurile de securitate necesare nu sunt implementate.
MTR Legal Rechtsanwälte sprijină companiile la implementarea sistemelor de conformitate eficace și asigură că cerințele legale sunt îndeplinite. În calitate de firmă de avocatură, MTR Legal oferă consultanță în compliance și alte subiecte de drept penal economic.
Vă invităm să luați legătura cu noi!
