Operatorilor de servicii din energie, transport, sectorul bancar, infrastructuri ale pieţei financiare, sectorul sănătăţii, furnizarea şi distribuirea de apă potabilă, precum şi infrastructură digitală riscă amenzi consistente dacă nu îndeplinesc cerinţele de securitate cibernetică.
Conform companiei Sandline, care se ocupă de managementului vulnerabilităţilor cibernetice, este vorba de îndeplinirea cerinţelor Directivei NIS - Directiva (UE) 2016/1148 a Parlamentului European şi a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune de către Operatorii de Servicii Esenţiale (OSE).
Acest act normativ, transpus în legislaţia românească prin Legea 362/2018, se adresează operatorilor de servicii esenţiale din şapte sectoare de activitate economică. În afara obligativităţii înscrierii acestor entităţi economice în Registrul Operatorilor de Servicii Esenţiale, infrastructura digitală a acestora trebuie să îndeplinească anumite criterii esenţiale pentru a respecta cerinţele Directivei NIS ca şi legislaţie europeană şi, implicit, pentru a putea funcţiona în Uniunea Europeană.
Una din cerinţele minime de securitate este aceea de a asigura managementul vulnerabilităţilor şi alertelor de securitate. Foarte puţini operatori de servicii esenţiale (OSE) au un departament de IT la nivelul necesarului şi cu atât mai puţin la nivelul cerinţelor de securitate cibernetică. Externalizarea managementului vulnerabilităţilor şi a managementului de risc este o soluţie viabilă şi rapidă pentru a îndeplini cerinţele Directivei NIS.
Legislaţia prevede sancţiuni clare şi deosebit de dure pentru acei OSE care nu îndeplinesc cerinţele directivei, contravenţiile variind de la 50.000 la 100.000 de lei. Pentru entităţile cu cifră de afaceri mai mare de 2.000.000 de lei, este prevăzută o amendă în cuantum de la 0,5% la 2% din cifra de afaceri, iar, în cazul unor încălcări repetate, limita maximă a amenzii este de 5% din cifra de afaceri.
