Foarte recent ENISA – Agenția Europeană pentru Securitate Cibernetică a publicat un amplu raport în care analizează investițiile efectuate la nivel european în ceea ce privește implementarea Directivei NIS.

În primul rând, raportul stabilește că Directiva NIS a necesitat pentru 67% din Operatorii de Servicii Esențiale (OES) sau Furnizorii de Servicii Digitale (DSP) chestionați în cele 27 de state membre de un buget suplimentar.

Datele relevante indică în mod clar că organizațiile din întreaga lume își dedică majoritatea cheltuielilor de securitate pe următoarele trei domenii funcționale de securitate: managementul vulnerabilităților și analiza securității, cu o pondere de 20 %, guvernanță, risc și conformitate, cu o pondere de 18 % și securitatea rețelei, cu o pondere de 16 %.

Din raportul menționat mai sus reiese o situație care ar trebui să pună pe gânduri actorii de decizie din structurile OSE românești: media de învestiții la nivel de Uniune Europene este de 2 milioane de euro în securitate cibernetică pentru guvernanța NIS.

În România bugetul mediu alocat de către OSE/DSP pentru implementarea Directivei NIS este de 60.000 de euro, reprezentând o medie de doar 1,6% din costurile de securitate a informației.

ENISA prezintă și o situație a costurilor generate de către incidentele serioase de securitate cibernetică, media pierderilor este de 100.000 de euro/ incident, sectorul bancar și cel de sănătate excedând această cifră până la o medie de 300.000 de euro/ incident.

Așadar, costurile incidentelor este net superior cheltuielilor de prevenire a acestora.

În ultima vreme se observă o dorință legitimă și lăudabilă a multor actori economici asimilați ca operatorii de servicii esențiale (OSE) de a demara auditul de conformitate pentru îndeplinirea cerințelor Directivei NIS.

Această grabă de a efectua un astfel de audit este data, desigur, și de perspectiva amenzilor consistente prevăzute de către legislație. 

Reamintim că neaplicarea normelor în cadrul companiilor înregistrate OSE/FSD poate atrage amenzi cuprinse între 3.000 de lei și 5% din cifra de afaceri.

Problema pe care o întâmpinăm în activitatea de zi cu zi ca furnizori de servicii de consultanță și audit în directiva NIS este aceea că un număr relevant de OSE solicită auditul de conformitate în mod direct neavând o bază clară a cerințelor necesare și îndeplinite. 

Cu alte cuvinte, auditul nu poate furniza un cec în alb pe o situație în care sistemele nu au fost pregătite pentru îndeplinirea Directivei NIS.

Trebuie să subliniem faptul că îndeplinirea normelor legale presupune o consultanță minimală și o evaluare a sistemelor înainte de a solicita un audit oficial. 

Este imperios necesar ca operatorii de servicii esențiale a căror sisteme informatice nu au beneficiat în mod activ de adaptarea la cerințele NIS să solicite consultanță pentru implementare și abia apoi să fie realizat auditul de conformitate. 

Despre Directiva NIS 

Legea nr. 362/2018 transpune în legislația națională „Directiva NIS”, Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune.

Unul dintre scopurile principale ale Directivei NIS este stabilirea cerințelor de securitate și notificare pentru operatorii de servicii esențiale (OSE) și pentru furnizorii de servicii digitale și instituirea mecanismelor de actualizare a acestora în funcție de evoluția amenințărilor la adresa securității rețelelor și sistemelor informatice.