Business Hi-Tech

In contextul transpunerii directivei NIS 2 in legislatia nationala, incertitudinile raman numeroase, iar lipsa unui cadru legislativ complet creeaza dificultati inclusiv la nivelul autoritatilor, afirma Monica Iancu, Partener Bondoc & Asociatii.

"Procesul este intr-o intarziere, probabil legitima, dar lipsa unor metodologii clare pune sub semnul intrebarii capacitatea companiilor de a se conforma. Sunt multe companii care contribuie activ cu feedback, insa inca avem nevoie de clarificari", a explicat Monica Iancu in cadrul evenimentului ZF Cybersecurity Trends.

Ea a adaugat ca zona de cybersecurity devine si un element de evaluare in procesele de fuziuni si achizitii. "Aceasta zona devine un aspect foarte important in procesul de due diligence. Asta arata cat de diverse sunt efectele acestei directive asupra mediului economic, in general. Cred ca e un element care va prinde si mai mult avant."

Din perspectiva juridica, conformarea presupune doua mari dimensiuni: notificarea si inregistrarea, urmate de implementarea efectiva a masurilor impuse de lege. NIS 2 pune accent pe responsabilitate individuala, adica pe autoevaluare si asumarea riscurilor de catre fiecare entitate, intr-o logica similara cu cea a GDPR, a mai explicat Monica Iancu.

"Exista dificultati reale in a determina daca o companie intra sau nu sub incidenta legii. Avem un proiect de ordin care propune o matrice de evaluare, dar care presupune implicarea unor echipe multidisciplinare - IT, legal, business - pentru a analiza impactul asupra drepturilor, riscurile financiare, transfrontaliere sau trans-sectoriale. Este, intr-un fel, o matematica a riscurilor."

Monica Iancu atrage atentia ca multe companii, chiar daca nu intra in prima etapa sub incidenta directivei, vor fi fortate sa se alinieze prin mecanisme de due diligence cerute de partenerii lor care sunt deja obligati sa respecte NIS 2.

"Cybersecurity-ul devine un criteriu relevant si in tranzactii, in procesele de fuziuni si achizitii, zona de securitate IT este analizata din ce in ce mai serios. Practic, vorbim de un nou standard de evaluare."

Alte declaratii

Asa cum orice legislatie de generatie noua - inclusiv GDPR-ul, dar si Digital Services Act - pune accentul pe responsabilitate, deci pe self-assessment si pe responsabilitatea entitatii respective, asa o face si NIS 2. Tocmai de aceea, intr-adevar, este o schimbare de paradigma intre raspunderea, sa spunem, a statului si raspunderea entitatii. Practic, fiecare trebuie sa isi asume, in masura in care intra sau nu sub incidenta legii. Si aici putem sa spunem ca este o intreaga dificultate de a ajunge la concluzia daca intri sau nu, pe anumite sectoare sau domenii, in incidenta legii. Avem un proiect de ordin care creeaza un matrix, dar care, pana la urma, trimite la o intreaga echipa - care trebuie sa fie una multidisciplinara, de IT, legal si multe alte componente din companie - care trebuie sa-ti spuna in ce masura sunt afectate libertatile si drepturile celor cu care interactionezi tu ca entitate, in ce masura poti sa generezi impact financiar, in ce masura exista un risc transfrontalier sau trans-sectorial. Si toate lucrurile astea trebuie puse ca intr-un fel de matematica, sa-ti dea un rezultat - un risc mediu sau ridicat -, in functie de care te incadrezi pe legislatie.

Mai este un alt aspect legat de dimensiunea companiei. Exista sectoare de activitate care, mai mult sau mai putin automat, te incadreaza in incidenta legii - cum este, de exemplu, sectorul energiei sau serviciile medicale sau sectorul IT. Asta inseamna ca, daca desfasori o astfel de activitate, criteriul acesta, impreuna cu criteriul dimensiunii si al relevantei pentru sector, atrage aplicarea legii.

In ceea ce priveste dimensiunea, poti avea o activitate relativ mica, de exemplu in domeniul energiei, dar faci parte dintr-un grup mare, pe alte sectoare - de exemplu, sa spunem, sectorul constructiilor. Acest fapt te atrage spre aplicarea legii, pentru ca se aplica normele din domeniul intreprinderilor mici si mijlocii, pentru care prevaleaza criteriul apartenentei la grup. Si exista o anumita frustrare in piata, pentru ca sunt sectoare de activitate in care nu exista suficienta activitate pentru grupul respectiv si, totusi, trebuie sa treaca prin toata procedura, cu toate riscurile asociate.

De asemenea, centrele de cost din cadrul grupurilor - cele mai multe presteaza si servicii IT catre companii din cadrul grupului - intra prin incidenta legii si, prin urmare, toate obligatiile corelative probabil ca vor duce si la forme de reamenajare contractuala a multor aspecte.

Sunt multe criterii. E un moment de rascruce.

Se poate intampla o evolutie in valuri. Vor exista furnizori care nu intra in prima faza in incidenta legii, dar, pentru ca sunt furnizori pentru entitati care intra sub incidenta legii, vor face - prin efectul acelui due diligence, care va deveni un instrument foarte uzual in 'laboratorul' fiecarei companii - ajustari. Vor trebui practic sa se adapteze ca si cand ar fi sub incidenta legii, altfel riscand sa nu mai aiba parteneriatul respectiv.

Costurile pentru conformitatea cu NIS 2 depind foarte mult de la ce pornesti. Zona de cybersecurity devine si un element de evaluare in procesele de fuziuni si achizitii. Aceasta zona devine un aspect foarte important in procesul de due diligence. Asta arata cat de diverse sunt efectele acestei directive asupra mediului economic, in general. Cred ca e un element care va prinde si mai mult avant.

Probabil ca segmentarea e o solutie care ar trebui avuta in vedere - adica, cumva, o granulare a tipurilor de risc. Acum avem risc mediu si mare, avem intreprinderi critice si esentiale, dar diferenta dintre cele doua e relativ mica si, probabil, o segmentare e necesara.

In relatia cu autoritatile, companiile sa foloseasca deschiderea lor de a propune modificari. Deci e un moment bun de venit cu idei si solutii. E posibil ca acest proces sa dureze mai mult decat ne-am asteptat, dar nu e timp de pierdut - ar trebui demarate procesele si intarita zona aceasta contractuala.