NIS2: tot ce trebuie să știi despre legea privind securitatea cibernetică și achiziția de software
NIS2 este cea mai importantă lege europeană privind securitatea cibernetică din ultimii ani. Pentru organizațiile din sectoarele critice se schimbă multe, inclusiv în domeniul achiziției de software și gestionării furnizorilor. Iată tot ce trebuie să știi.
- 15 ianuarie 2025
- 5 min
- NIS2 – Directiva de securitate cibernetică
Directiva NIS2 este cea mai amplă lege europeană privind securitatea cibernetică din ultimii ani. Are un domeniu larg de aplicare, o aplicare strictă și este direct relevantă pentru oricine este responsabil de achiziția de software într-o organizație. Iată ce trebuie să știi.
Ce este NIS2?
NIS2 înseamnă Network and Information Security Directive 2, succesoarea directivei originale NIS din 2016. Directiva obligă organizațiile din sectoarele critice să își întărească în mod structural reziliența digitală. NIS2 va fi valabilă în Europa începând cu 17 octombrie 2024. Implementarea sa în Olanda, prin intermediul Legii privind securitatea cibernetică, este așteptată în trimestrul al doilea din 2026.
Pe cine se aplică NIS2?
NIS2 se aplică organizațiilor din 18 sectoare critice, împărțite în entități esențiale și entități importante. Gândește-te la: energie, transport, sănătate, apă, infrastructură digitală, servicii financiare, administrația publică și altele. De asemenea, și furnizorii organizațiilor din aceste sectoare pot fi indirect incluși în lege prin obligația de asigurare a lanțului.
Ce se schimbă față de NIS1?
Principalele modificări:
Arie mai largă: Mult mai multe sectoare și organizații sunt acum acoperite de directivă
Răspundere personală: Directorii sunt responsabili pentru conformitate și pot fi trași la răspundere personal
Amenzi mai mari: Până la 10 milioane de euro sau 2% din cifra de afaceri globală pentru entitățile esențiale
Obligația lanțului: Organizațiile trebuie să verifice și securitatea furnizorilor lor
Obligația de raportare: Incidentele trebuie raportate în 24 de ore la CSIRT
Ce înseamnă NIS2 pentru achiziția de software?
Obligația lanțului are cel mai direct impact asupra achiziției de software. Organizațiile sunt obligate să:
Țină o evidență actualizată a tuturor furnizorilor ICT și a software-ului
Încheie acorduri contractuale de securitate cu toți furnizorii relevanți
Evalueze periodic securitatea furnizorilor
Stabilească proceduri de escaladare a incidentelor cu furnizorii critici de software
Fără o evidență structurată a software-ului, conformitatea cu NIS2 nu este realizabilă. SoftVaro ajută organizațiile să creeze această evidență ca punct de plecare pentru conformitate.
Întrebări frecvente
Cele mai frecvente întrebări despre acest subiect.
Ce legătură are NIS2 cu achiziția de software?
NIS2 obligă organizațiile să păstreze o evidență actualizată a tuturor software-urilor și furnizorilor ICT, inclusiv acorduri contractuale de securitate. Fără această evidență, nu ești conform.
Când intră în vigoare NIS2 în Olanda?
Legea privind securitatea cibernetică (implementarea olandeză a NIS2) este așteptată în trimestrul al doilea din 2026. Organizațiile trebuie să fie conforme imediat ce legea intră în vigoare.
Care sunt amenzile pentru nerespectarea NIS2?
Entitățile esențiale riscă amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală. Entitățile importante, până la 7 milioane de euro sau 1,4% din cifra de afaceri. Directorii pot fi trași la răspundere personal.
Gata să economisești la software?
SoftVaro negociază pentru tine cea mai avantajoasă ofertă de la peste 4.000 de furnizori. Independent, transparent, în 24 de ore.