CONSULTANŢĂ IMPLEMENTARE LEGEA N.I.S. | CONSULTANŢĂ IMPLEMENTARE G.D.P.R.

1.Consultanţă implementare NIS – Legea nr.362/2018 (Legea NIS)

Legea 362/2018 („legea NIS”) transpune în legislația națională Directiva (UE) 2016/1148 („directiva NIS”) a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsurile pentru asigurarea unui nivel ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană. Legea NIS prevede amenzi pentru organizații care pot ajunge, în anumite situații, până la 5% din cifra de afaceri (art. 39 (b)). Organizațiile care prestează servicii esențiale pentru populație sunt obligate să își asigure securitatea informatică prin implementarea de măsuri și proceduri de securitate cibernetică și să colaboreze cu Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO pentru a preveni și răspunde coordonat la atacurile informatice.

Implementarea legii NIS la nivelul României intră în atributul Centrului Național de Răspuns la Incidente de Securitate Cibernetică, CERT-RO, prin Autoritatea competentă la nivel național pentru securitatea rețelelor și sistemelor informatice (ANSRSI).

S.C. Professionals Business Knowledge S.R.L. poate ajuta organizațiile să devină conforme cu cerințele legii NIS prin oferirea unei game variate și complete de servicii specifice. Prezenta ofertă descrie serviciul de consultanța ce poate fi prestată Operatorilor de Servicii Esențiale (OSE) în scopul conformării acestora la cerințele legale.

Cui se aplică legea NIS?

Legea NIS se adresează organizațiilor din domeniul public și privat din anumite sectoare de activitate, cum ar fi: energie, transport, sector bancar, infrastructuri ale pieței financiare, sănătate, furnizarea și distribuirea de apă potabilă, care prestează servicii considerate a fi esențiale. În legea NIS serviciul esențial este orice serviciu a carui furnizare îndeplinește cumulativ următoarele condiții:

a) serviciul este esențial în susținerea unor activități societale și/sau economice de cea mai mare importanță;

b)furnizarea sa depinde de o rețea sau de un sistem informatic;

c)furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.

Evaluarea gradului de perturbare a furnizării serviciului esențial se realizează în funcție de următoarele criterii intersectoriale, fără a fi cumulative:

a)numărul de utilizatori care se bazează pe serviciul furnizat de entitatea în cauză;

b)dependența altor sectoare prevăzute în anexa la prezenta lege de serviciul furnizat de entitatea în cauză;

c)impactul pe care l-ar putea avea incidentele, în ceea ce privește intensitatea și durata, asupra activităților economice și societale sau asupra siguranței publice;

d)cota de piață a entității în cauză;

e)distribuția geografică în ceea ce privește zona care ar putea fi afectată de un incident;

f)importanța entității pentru menținerea unui nivel suficient al serviciului, ținând cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului respectiv” ( 6 din legea nr. 362/2018).

Serviciul pe care vi-l propunem constă în oferirea de consultanţă pentru implementarea măsurilor și procedurilor pe care beneficiarul (în calitatea sa de „operator de servicii esențiale” – OSE) trebuie sa le respecte pentru a putea asigura conformitatea cu cerintele legii NIS.

Pentru aceste servicii esențiale societatea noastră va oferi consultanță beneficiarului pentru implementarea de către acesta a următoarelor cerințe legale obligatorii:

  1. Identificarea serviciilor esențiale, în sensul legii NIS, în urma analizei serviciilor furnizate de beneficiar;
  2. Stabilirea măsurilor tehnice și organizatorice adecvate și proporționale pentru îndeplinirea următoarelor cerințe minime de securitate:
  • managementul drepturilor de acces;
  • conștientizarea și instruirea utilizatorilor;
  • jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice;
  • testarea și evaluarea securității retelelor și sistemelor informatice;
  • managementul configurațiilor rețelelor și sistemelor informatice;
  • asigurarea disponibilității serviciului esential și a funcționării rețelelor și sistemelor informatice;
  • managementul continuității funcționării serviciului esențial;
  • managementul identificarii și autentificarii utilizatorilor;
  • răspunsul la incidente;
  • mentenanța rețelelor și sistemelor informatice;
  • managementul suporturilor de memorie externa;
  • asigurarea protecției fizice a rețelelor și sistemelor informatice;
  • realizarea planurilor de securitate;
  • asigurarea securității personalului;
  • analizarea și evaluarea riscurilor de securitate;
  • asigurarea protecției produselor și serviciilor aferente retelelor și sistemelor informatice;
  • managementul vulnerabilităților și alertelor de securitate.

3. Stabilirea procesului de comunicare cu CERT-RO necesar punerii la dispoziția acestei autorități a informațiilor referitoare la incidentele de securitate informatică, a impactului acestora, precum și a oricăror informații ce ar putea fi solicitate;

4. Desemnarea responsabililor cu securitatea rețelelor și sistemelor informatice însărcinați cu monitorizarea canalelor de contact cu CERT-RO („responsabili NIS”) și comunicarea la CERT-RO a datelor acestora;

5. Gestionarea schimbărilor la nivelul serviciilor esențiale furnizate.

În cadrul prestării acestui serviciu, societatea noastră va livra modele de documente și va efectua recomandări pentru adaptarea acestora specificului activității beneficiarului, oferind consultanță privind implementarea măsurilor necesare de către beneficiar în scopul alinierii la cerințele legale obligatorii. Serviciul va fi prestat prin intermediul unor experți în securitate cibernetică și în auditul securității informațiilor.

 

2.Consultanţă  implementare GDPR – REGULAMENTUL nr. 679/2016

In conformitate cu dispozitiile Regulamentului european nr.679/2016, cunoscut de publicul larg ca ”GDPR” sau Regulamentul privind protectia datelor, toate organizatiile, indiferent de industria din care fac parte sau numarul de salariati, au obligatia de a implementa masuri care sa asigure securitatea prelucrarilor de date cu caracter personal.

Masurile se adopta in functie de ”natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice” si trebuie revizuite periodic si actualizate, daca este necesar.

In cele mai multe cazuri organizatiile au implementat aceste masuri prin eforturi proprii, cu ajutorul resurselor si personalului intern, insa, din interactiunile cu clientii nostri am observat ca frecvent acestia se confrunta cu una dintre aceste situatii:

  • Insuficienta clarificare a cadrului normativ aplicabil, astfel incat organizatia nu stie cu precizie ce documente sunt necesare pentru corecta si completa implementare a cerintelor GDPR;
  • Necesitatea intocmirii, actualizarii si utilizarii corecte a unor documente specifice implementarii GDPR – cum ar fi, spre exemplu, evidenta activitatilor de prelucrare (prevazuta de art.30 din GDPR ori analizele de impact asupra protectiei datelor, prevazuta de art.35 din GDPR);
  • Adaptarea contractelor si acordurilor existente la nivelul organizatiei prin includerea de prevederi legate de protectia datelor cu caracter personal (obligatie prevazuta de art.26-28 din GDPR) sau, dupa caz, evaluarea clauzelor propuse de partenerii contractuali;
  • Clarificarea unor probleme punctuale legate de aplicarea GDPR in contextul activitatii curente a organizatiei;
  • Redactarea raspunsurilor la cererile persoanelor vizate legate de prelucrarea datelor cu caracter personal;
  • Investigarea incidentelor de securitate privind datele cu caracter personal.

Pentru rezolvarea problemelor de mai sus, sau a oricaror alte probleme cu care organizatia s-ar putea confrunta in procesul de implementare si mentenanta a prevederilor legate de protectia datelor cu caracter personal societatea noastra a gandit un serviciu de consultanta personalizat, adaptat nevoilor dumneavoastra.

Echipa noastra de consultanti este formata din specialisti in protectia datelor cu caracter personal, auditori cu experienta,  atat din domeniul securitatii informatiei, cat si din domeniul juridic.

Serviciile de consultanta pot fi acordate atat pe baza de abonament lunar, trimestrial sau semestrial ori prin fixarea unui tarif  pentru fiecare solicitare.

In functie de solicitarile dumneavoastra, serviciile pot fi prestate fie prin deplasarea echipei de consultanti la sediul organizatiei dumneavoastra, fie prin intermediul sistemelor de comunicare online, tip video-conferinta, sau, dupa caz, telefonic ori prin utilizarea serviciilor de posta electronica (email).

Suna acum
×

Buna ziua!

Lăsați-ne un mesaj pe Whatsapp și vă vom contacta în cel mai scurt timp. De asemenea, puteți să ne contactați la numărul de telefon +40746199869 sau pe email la office@training-professionals.ro

× Buna ziua! Cum vă putem ajuta?