Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) a publicat recent raportul NIS360, o analiză amplă a nivelului de maturitate în materie de securitate cibernetică al sectoarelor reglementate de Directiva NIS2. Concluzia principală a raportului este că, comparativ cu raportul anterior, maturitatea cibernetică a entităților vizate de Directiva NIS2 a continuat să crească la nivel european, însă progresul rămâne inegal între sectoare.
Potrivit ENISA, energia, telecomunicațiile și sectorul financiar-bancar se numără printre cele mai mature din perspectiva securității cibernetice. Acest nivel ridicat de maturitate este rezultatul aplicării unor cerințe stricte de reglementare specifice fiecărui domeniu și al investițiilor constante în securitate precum implementarea unor cadre complexe de management al riscurilor, procese bine definite de răspuns la incidente cunoscute și emergente, controale de securitate eficiente etc.
Infrastructura digitală, aviația și infrastructurile piețelor financiare (FMI) au avansat în categoria cu nivel ridicat de maturitate. Alte patru sectoare și-au consolidat nivelul de maturitate și au fost incluse în categoria cu risc moderat: gazele naturale, transportul rutier, transportul maritim și sănătatea. La baza acestor îmbunătățiri stau mai mulți factori precum dezvoltarea cadrului legislativ privind securitatea cibernetică sau creșterea atenției acordate acestor sectoare la nivel politic.
În contrast, raportul identifică și trei sectoare aflate într-o zonă de risc crescut: apa potabilă, apa reziduală și transportul feroviar.
Pentru organizațiile vizate de NIS2, raportul ENISA reprezintă un instrument valoros de autoevaluare, ce permite identificarea punctelor slabe din cadrul programelor de securitate existente și compararea nivelului de maturitate cu standardele și bunele practici din industrie.
Indiferent de sectorul de activitate, organizațiile se pot raporta la un set de bune practici ca bază a unui program de securitate cibernetică, adaptând însă măsurile la specificul operațional, la profilul de risc și la cerințele de reglementare aplicabile:
- Elaborarea și testarea periodică a planurilor de răspuns la incidente
- Definirea clară a rolurilor și responsabilităților în cazul unui incident de securitate
- Stabilirea procedurilor și șabloanelor de comunicare pentru diferite scenarii de criză
- Colaborarea cu furnizori specializați în servicii de răspuns la incidente
- Analizarea și documentarea lecțiilor învățate după fiecare incident
- Evaluări de risc periodice
- Elaborarea, implementarea și monitorizarea politicilor și procedurilor de securitate
- Derularea de programe de instruire și conștientizare pentru angajați
- Audituri periodice
Cum sprijină certSIGN acest proces
Conformarea cu cerințele Directivei NIS2, dincolo de îndeplinirea unor obligații legale, este o oportunitate de consolidare a capacității de a preveni, detecta și răspunde eficient la amenințările cibernetice. certSIGN, furnizor local și regional de servicii de securitate cibernetică, oferă servicii tehnice (audit, monitorizare, testare), servicii de consultanță – definirea politicilor interne de securitate, programe de formare pentru specialiști, traininguri de conștientizare pentru angajați – și suport dedicat pentru conformarea cu Directiva NIS2.
O abordare cu un singur punct de control simplifică gestionarea riscurilor și conformarea cu cerințele de reglementare, oferind în același timp organizației capacitatea de a preveni incidentele, nu doar de a reacționa la ele.