Securitatea cibernetica: oficial, prioritate strategica cu NIS2

Posted on: 23/03/2023 By:exclusive-networks

Digitalizarea accelerata din ultimii ani a impus adoptarea rapida si substantiala a diverselor tehnologii digitale, modeland aproape fiecare fateta a activitatilor curente, atat in institutiile guvernamentale, cat si in randul companiilor, de la companii SMB, pana la cele mai mari corporatii globale. Domenii precum sanatatea sau finantele au inregistrat schimbari spectaculoase si am putea spune ca depind de utilizarea tehnologiilor digitale. In paralel, riscurile si atacurile cibernetice sunt, si acestea, in crestere.

“Amenintarile cibernetice evolueaza rapid, sunt din ce in ce mai complexe si adaptabile. Pentru a ne asigura ca cetatenii si infrastructurile noastre sunt protejate, trebuie sa gandim cativa pasi inainte. Rezistent si autonom, Cybersecurity Shield va insemna ca ne putem folosi, la nivelul intregii Europe, expertiza si cunostintele pentru a detecta si a reactiona mai rapid, pentru a limita daunele potentiale si a ne creste rezistenta. A investi in securitate cibernetica inseamna a investi in viitorul sanatos al mediilor noastre online si in autonomia noastra strategica.” spunea Thierry Breton, Commissioner, Internal Market, in urma cu 2 ani.

Studiul EU Cybersecurity Strategy publicat in ianuarie 2021, concluziona urmatoarele:

Se estima ca dispozitivele conectate vor creste la 25 de miliarde pana in 2025, iar 25% dintre acestea vor fi in Europa.
Tiparele de munca au fost modificate categoric de pandemia COVID-19 – 40% dintre lucratorii din UE au trecut la telemunca la inceputul anului 2020.
2 din 5 utilizatori din UE s-au confruntat cu probleme legate de securitate.
1 din 8 afaceri a fost afectata de atacuri cibernetice.
Costul anual al criminalitatii cibernetice pentru economia globala era estimat la 5,5 trilioane EUR la final de 2020, ceea ce inseamna dublu fata de cifra din 2015.
Finantarea UE in cadrul financiar multianual 2021-2027 s-ar putea ridica la 2 miliarde EUR in total, plus investitiile statelor membre.
Investitiile UE in proiecte digitale ar trebui sa creasca cu cel putin 20% – echivalentul a 134,5 miliarde EUR – din 672,5 miliarde EUR

Istoric NIS

Digitalizarea se prefigura ca tendinta majora inca din primele decenii ale anilor 2000 si, ca atare, imperativul unor strategii si politici de securitate cibernetica asociate acestora era de asteptat.

In 2016, Comisia Europeana a adoptat directiva UE privind securitatea retelelor si a informatiilor (NIS). Directiva NIS a fost prima legislatie in domeniul securitatii cibernetice la nivelul UE, iar scopul sau a fost de a imbunatati securitatea cibernetica in intreaga Uniune Europeana. Incepand cu 2018 a oferit un cadru juridic comun pentru toate statele membre in materie de consolidare a securitatii.

In mai 2022, pentru a formula un raspuns coerent la amenintarile tot mai mari, rezultate din digitalizarea accelerata si ca masura fireasca la numarul tot mai mare al atacurilor cibernetice, Comisia a anuntat inlocuirea directivei NIS si, prin urmare, consolidarea cerintelor de securitate si introducerea unor masuri de supraveghere mai stricte si cerinte de aplicare mai stricte, inclusiv sanctiuni armonizate in intreaga Uniune Europeana. Iar la inceputul anului 2023 Directiva NIS2, privind securitatea cibernetica pentru protejarea infrastructurilor critice si digitale, a intrat in vigoare cu mentiunea ca statele membre dispun de un termen de 21 de luni pentru a transpune directiva in legislatia proprie.

Ce aduce nou NIS2

Extinde lista entitatilor vizate de la operatorii de servicii esentiale la toate entitatile mijlocii si mari considerate a furniza servicii critice si intitulate Entitati Importante, considerate complementare Entitatilor Esentiale. Microintreprinderile sunt in mod general excluse, mai putin cazul in care acestea sunt furnizor unic al unui serviciu la nivel regional sau national sau in cazul in care intreruperea serviciilor furnizate de acesta ar putea avea impact public. De asemenea, nu sunt incluse entitatile care desfasoara activitati in domenii precum apararea sau securitatea nationala, siguranta publica si asigurarea respectarii legii. Sistemul judiciar, parlamentele si bancile centrale sunt de asemenea excluse din domeniul de aplicare. NIS2 se va aplica, insa, administratiilor publice de la nivel central si regional. Lista completa a entitatilor vizate de NIS2, cat si ariile critice de securitate cibernetica sunt detaliat prezentate in brosura WALLIX.

In ceea ce priveste raportarea incidentelor, NIS2 impune obligatii de notificare in etape, inclusiv o notificare initiala in termen de 24 de ore de la luarea la cunostinta a anumitor incidente sau amenintari cibernetice (urmatoarele etape fiind in termen de 72 ore si, respectiv, 1 luna)

Prevede sanctiuni pentru nerespectarea reglementarilor NIS2, care pot varia la un stat membru la altuldar si amenzi administrative pentru anumite incalcari, de pana la 10 milioane euro sau 2% din cifra de afaceri totala.

Un detaliu extrem de important in NIS2 este faptul ca aplicarea si monitorizarea respectarii legislatiei trece in responsabilitatea directa a managementului entitatilor vizate.

O listare a obiectivelor pe care orice management avizat ar trebui sa le urmareasca pentru a asigura complianta cu NIS2 este sugerata in analiza NOZOMI.

DE RETINUT!

Penalitatile NIS2 si GDPR nu se exclud reciproc.

Luati in considerare scenariul potential in care o entitate reglementata este supusa sanctiunilor atat in temeiul NIS2, cat si al GDPR.

NIS2 poate aduce amenzi de cel putin 10 milioane de euro sau pana la 2% din totalul cifrei de afaceri (venituri) la nivel mondial pentru o entitate esentiala in exercitiul financiar precedent, oricare dintre acestea este mai mare.

GDPR poate aduce amenzi de pana la 20 de milioane de euro sau pana la 4% din cifra de afaceri anuala la nivel mondial din anul financiar precedent, oricare dintre acestea este mai mare..

Un sumar util asupra impactului NIS2 regasiti pe blogul INFOBLOX.

La ce sa ne asteptam

De voie-de nevoie, securitatea se afla si pana acum pe lista de prioritati. Studiul State of the CIO 2023 realizat de Foundry pe un esantion de 837 de lideri IT identifica un accent sporit pe securitate cibernetica (70%) la nivel global. Cel mai probabil, noile standarde de securitate prevazute de NIS2 vor ridica stacheta si , totodata, acest procent, deja urias, la nivelul statelor membre UE.

Responsabilizarea la nivel de management superior va pune un plus de presiune strategiilor, obiectivelor, deciziilor asociate cu securitatea cibernetica, va creste in importanta rolul echipei IT si mai ales a liderilor IT si va ascuti nevoia de talente IT.

Termenul astazi generos – respectiv octombrie 2024, data pana la care statele membre vor trebui sa publice si sa adopte masurile necesare pentru a fi in acord cu Directa NIS2, va deveni – pe nesimtite – din ce in ce mai strans. Intervalul se va scurta rapid, dar nesurprinzator, iar perioada scurtata de implementare a strategiilor si politicilor de securitate cibernetica la nivel de entitate vizata se va constitui ca avantaj competitiv pentru organizatiile care vor fi dovedit capacitatea de a planifica in avans. Deja s-au scurs 3 luni.

Solutii existente

O parte din companiile si organizatiile vizate de noua directiva deja utilizeaza, macar partial, politici similare cu cele prevazute in cadrul NIS2. Nu neaparat pe motiv de pro-activitate, cat din simpla necesitate de a asigura un mediu informatic stabil si sigur. Ca si in cazul reglementarilor GDPR, NIS2 nu a aparut de niciunde, ci este rezultatul firesc al evolutiei tehnologiilor in ansamblul mai larg al activitatilor curente.

Proliferarea unor solutii dedicate de securitate cibernetica este aproape inevitabila, dar – in fond – clasele de solutii deja exista, macar o parte deja le cunoastem.

Cele mai importante categorii de solutii de securitate cibernetica care sustin complianta cu NIS2 sunt:

Securitatea retelei si a sistemelor: F5, Fortinet, Nozomi, InfoBlox
Analiza riscurilor si politici de securitate a sistemelor: Nozomi, Fortinet, F5, InfoBlox
Protectia datelor: InfoBlox, Thales,
Criptarea datelor in tranzit: Thales, Fortinet, Gemalto, InfoBlox
Securitatea Accesului: Thales, Wallix
Securitatea Identitatii: Thales, InfoBlox, Wallix

Iar lista ramane deschisa… La fel de deschisa ramane si comunicarea. Tocmai de aceea pentru orice detalii sau clarificari, nu ezitati sa contactati echipa Exclusive Networks Romania!

Red Hat Global Tech Trends 2024: Securitatea ramane o prioritate in timp ce prioritatile de finantare ale managementului IT se schimba

Posted on: 11/04/2024
By: exclusive-networks

Cel mai recent raport al Red Hat privind tendintele tehnologice globale pentru 2024, Red Hat Global Tech Trends 2024, prezinta informatii cheie obtinute din cel de-al zecelea sondaj anual efectuat de Red Hat. Cu raspunsuri din partea a peste 700 de lideri IT din intreaga lume, raportul analizeaza aspectele cruciale ale transformarii digitale, prioritatile de finantare si adoptarea cloud.

Fortinet lanseaza o noua versiune a sistemului sau de operare: FortiOS 7.6

Posted on: 11/04/2024
By: exclusive-networks

Fortinet a dezvaluit imbunatatiri semnificative ale sistemului sau de operare de securitate in timp real, FortiOS, alaturi de imbunatatiri ale platformei sale Security Fabric. Cea mai recenta versiune, FortiOS 7.6, introduce mai multe caracteristici inovatoare menite sa ofere companiilor puterea de a-si consolida apararea retelei si de a eficientiza operatiunile.

Cookie	Duration	Description
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 month	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
ELOQUA	1 year 1 month	The domain of this cookie is owned byOracle Eloqua. This cookie is used for email services. It also helps for marketing automation solution for B2B marketers to track customers through all phases of buying cycle.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_154241828_1	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_154241828_3	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ELQSTATUS	1 year 1 month	This cookie is set by Eloqua. This cookie is used by PwC to track individual visitors and their use of site. This is set on the first visit of the visitor to the site and updated on subsequent visits.

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
__Secure-YEC	1 year 1 month	No description
_ce.cch	session	No description
_ce.gtld	session	No description
_ce.s	1 year	No description
AnalyticsSyncHistory	1 month	No description
cebs	session	No description
cebsp	session	No description
li_gc	2 years	No description