Cerințe de conformitate pentru infrastructura critică
Companiile din sectorul energetic și utilitățile sunt clasificate ca operatori de servicii esențiale (OES) în cadrul Directivei NIS2 a UE — supunându-le unor obligații de gestionare a riscurilor de securitate cibernetică, raportare a incidentelor și securitate a lanțului de aprovizionare. Neconformitatea atrage amenzi administrative de până la 10 milioane EUR sau 2% din cifra de afaceri globală în cadrul NIS2.
Directiva NIS2 — Obligații principale
- Măsuri de gestionare a riscurilor de securitate cibernetică proporționale cu riscul
- Raportarea incidentelor: incidentele semnificative către CSIRT național în termen de 24 de ore, raport complet în termen de 72 de ore
- Securitatea lanțului de aprovizionare — evaluarea practicilor de securitate ale furnizorilor și prestatorilor de servicii
- Măsuri de continuitate a activității — gestionarea copiilor de siguranță, recuperare în caz de dezastru, gestionarea crizelor
- Responsabilitatea conducerii superioare — NIS2 stabilește explicit responsabilitatea personală a organelor de conducere
Alinierea ISO 27001 și NIS2
ISO 27001:2022 oferă cel mai cuprinzător cadru pentru îndeplinirea cerințelor de gestionare a riscurilor de securitate cibernetică prevăzute la Articolul 21 NIS2. Programul de pregătire NIS2 al BALTUM mapează controalele ISMS ISO 27001 la obligațiile NIS2 — identificând lacunele și furnizând o foaie de parcurs de remediere prioritizată, aliniată la termenul limită de transpunere NIS2 al statului dumneavoastră membru.
Securitate OT și ICS
Organizațiile din domeniul energiei și utilităților se confruntă cu provocarea suplimentară a securității tehnologiei operaționale (OT) și a sistemelor de control industrial (ICS) — domenii care nu sunt pe deplin abordate de cadrele axate pe IT. BALTUM colaborează cu auditori specializați în OT pentru a extinde domeniul de aplicare ISO 27001 pentru a include medii SCADA, DCS și ICS, cu referire la standardele IEC 62443 acolo unde este aplicabil.