Consultanţă Directiva NIS

Ce este și cui se aplică Legea NIS?

Legea nr. 362/2018 („Legea NIS”) transpune în legislația națională Directiva (UE) 2016/1148 („Directiva NIS”) a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsurile pentru asigurarea unui nivel ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană. Legea NIS prevede amenzi pentru organizații care pot ajunge, în anumite situații,până la 5% din cifra de afaceri (art. 39 (b)). Organizațiile care prestează servicii esențiale pentru populație sunt obligate prin Legea NIS să își asigure securitatea cibernetică prin implementarea de măsuri și proceduri de securitate informatică cu ajutorul cărora să prevină și să răspundă adecvat la atacurile informatice.

Legea NIS se adresează organizațiilor din domeniul public și privat din anumite sectoare de activitate, cum ar fi: energie, transport, sector bancar, infrastructuri ale pieței financiare, sănătate, furnizarea și distribuirea de apă potabilă, care prestează servicii considerate a fi esențiale.

S.C. Professionals Business Knowledge S.R.L. poate ajuta organizațiile să devină conforme cu cerințele Legii NIS prin oferirea unei game variate și complete de servicii specifice.

Serviciul de consultanță pentru implementarea Legii NIS

Serviciul pe care vi-l propunem constă în oferirea de consultanţă pentru implementarea măsurilor și procedurilor pe care beneficiarul (în calitatea sa de „operator de servicii esențiale” – OSE sau de „furnizor de servicii digitale” - FSD) trebuie sa le respecte pentru a putea asigura conformitatea cu cerințele Legii NIS.

Pentru aceste servicii esențiale societatea noastră va oferi consultanță beneficiarului pentru implementarea de către acesta a următoarelor cerințe legale obligatorii:

1. Identificarea serviciilor esențiale, în sensul Legii NIS, în urma analizei serviciilor furnizate de beneficiar (OSE/FSD);

2. Stabilirea măsurilor tehnice și organizatorice adecvate și proporționale, pe baza analizei de riscuri, pentru îndeplinirea următoarelor cerințe minime de securitate:
  • managementul drepturilor de acces;
  • conștientizarea și instruirea utilizatorilor;
  • jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice;
  • testarea și evaluarea securității retelelor și sistemelor informatice;
  • managementul configurațiilor rețelelor și sistemelor informatice;
  • asigurarea disponibilității serviciului esential și a funcționării rețelelor și sistemelor informatice;
  • managementul continuității funcționării serviciului esențial;
  • managementul identificarii și autentificarii utilizatorilor;
  • răspunsul la incidente;
  • mentenanța rețelelor și sistemelor informatice;
  • managementul suporturilor de memorie externa;
  • asigurarea protecției fizice a rețelelor și sistemelor informatice;
  • realizarea planurilor de securitate;
  • asigurarea securității personalului;
  • analizarea și evaluarea riscurilor de securitate;
  • asigurarea protecției produselor și serviciilor aferente retelelor și sistemelor informatice;
  • managementul vulnerabilităților și alertelor de securitate.
3. Stabilirea procesului de comunicare cu autoritatea competentă necesar punerii la dispoziția acesteia a informațiilor referitoare la incidentele de securitate informatică, a impactului acestora, precum și a oricăror informații ce ar putea fi solicitate;

4. Desemnarea responsabililor cu securitatea rețelelor și sistemelor informatice însărcinați cu monitorizarea canalelor de contact cu autoritatea competentă („responsabili NIS”);

5. Gestionarea schimbărilor la nivelul serviciilor esențiale furnizate de către OSE/FSD
În cadrul prestării acestui serviciu, societatea noastră va livra modele de documente și va efectua recomandări pentru adaptarea acestora specificului activității beneficiarului, oferind consultanță privind implementarea măsurilor necesare de către beneficiar în scopul alinierii la cerințele legale obligatorii. Serviciul va fi prestat prin intermediul unor experți în securitate cibernetică și în auditul securității informațiilor.

Serviciul de pre-audit pentru implementarea Legii NIS

În cazul în care considerați că îndepliniți într-o anumită măsură cerințele Legii NIS, pentru a nu risca să vi se identifice deficiențe semnificative în timpul auditului obligatoriu pe care trebuie să îl contractați în baza Legii NIS, vă oferim o simulare a acestui audit (pre-audit), realizată cu ajutorul unui auditor atestat NIS. În cadrul acestui pre-audit se vor analiza măsurile de protecție și procedurile implementate în cadrul organizației Dvs. și se vor emite recomandări scrise pentru a elimina riscul identificării unor deficiențe majore care ar putea fi raportate de către auditorul atestat NIS. Ulterior remedierii eventualelor deficiențe identificate în cadrul pre-auditului, veți putea contracta serviciul de auditare obligatorie din partea unui auditor atestat NIS.

Serviciul de pre-audit poate fi considerat, în anumite condiții, un audit intern ale OSE/FSD.

Notă: La cererea Dvs. putem realiza scanări de vulnerabilități și teste de penetrare a securității sistemelor informatice care stau la baza oferirii serviciilor esențiale/serviciilor digitale. Condițiile de realizare ale acestor teste de penetrare se vor stabili în detaliu pentru a nu crea dificultăți și/sau întreruperi ale furnizării serviciilor esențiale/serviciilor digitale.