Regulamente versus directive
Directiva NIS este un tip diferit de act juridic în comparație, de exemplu, cu Regulamentul general privind protecția datelor (GDPR). Acesta din urmă este imediat aplicabil și executoriu prin lege în toate statele membre. O directivă este oarecum diferită.

Deși se aplică și tuturor statelor membre, în loc să fie aplicabil imediat, stabilește obiective, cerințe și rezultate care trebuie atinse. Apoi, fiecare stat membru trebuie să elaboreze propriile legi cu privire la modul de atingere a acestor obiective și ce tipuri de sancțiuni vor presupune nerespectarea. Directiva NIS stabilește, de asemenea, un nivel minim. Pot exista cerințe mai mari aplicabile pe baza sectorului industrial al organizației și a statelor membre în care operează.

Acest statut juridic dezvăluie una dintre posibilele probleme ale unei directive: în timp ce un regulament este drept direct, o directivă trebuie transpusă în legislația locală de către fiecare stat membru. Aceste transpuneri pot duce la diferențe în punerea în aplicare a directivei în lege, în unele cazuri complicând chestiunile pentru organizațiile care operează transfrontalier.

Beneficiile notificării incidentelor
Unul dintre motivele pentru notificare în contextul directivei este acela de a respecta cerințele legale. Cu toate acestea, dacă punctul de plecare al organizației dumneavoastră este să se conformeze doar cu strictul minim al acestor cerințe de notificare, atunci veți rata oportunitățile oferite de directivă.

În plus, cea mai mare parte a acestor cerințe, inclusiv capabilitățile de notificare și detectare, ar trebui să fie deja acoperite în mare parte de mediul dvs. de securitate existent. Dacă nu este cazul, puteți utiliza Directiva NIS ca un semnal de alarmă pentru a vă îmbunătăți postura de securitate.

Din punctul de vedere al factorilor de decizie, cerințele de notificare pot ajuta la identificarea mai bună a provocărilor dintr-un sector și pot propune măsuri de atenuare care se bazează pe fapte și cifre reale. Aceste fapte și cifre pot fi apoi utilizate de către CSIRT (sau o autoritate responsabilă) pentru a furniza avertismente și rapoarte de situație mai relevante, împreună cu informații despre amenințări specifice sectorului. În mod similar, aceste informații pot fi utilizate și pentru a evalua impactul transfrontalier al incidentelor sau amenințărilor și, opțional, pentru a notifica alte state membre.

Ce reprezinta un incident semnificativ?
Un set de trei parametri de la articolul 14 din Directiva NIS poate fi utilizat pentru a determina ceea ce este considerat un incident semnificativ:

-Numărul de utilizatori care sunt afectați de întreruperea serviciului esențial.
-Durata incidentului.
-Răspândirea geografică a celor afectați de incident.

În plus, parametrii de la articolul 6 sunt, de asemenea, de ajutor pentru a defini ceea ce se califică drept incident semnificativ:

-Care este dependența altor OES de serviciul afectat de incident?
-Care este impactul (grad, durata) asupra activităților economice și sociale sau asupra siguranței publice? În special, impactul asupra activităților sociale poate fi greu de măsurat pentru OES.
-Cât de mare este cota de piață a serviciului afectat?
-Care este răspândirea geografică care ar putea fi afectată?
-Cât de important este elementul afectat pentru menținerea unui nivel suficient de serviciu?

În general, acești parametri sunt de cele mai multe ori deja incluși în ceea ce OES sunt obișnuiți să folosească pentru a defini crizele din cadrul serviciilor lor care nu au legătură cu IT.

Criteriile, pragurile și parametrii efectivi pentru determinarea incidentelor substanțiale sunt definiți de statele membre. Aceasta poate include parametrii definiți în Directiva NIS, eventual extinși cu alte state sau prin criterii specifice sectorului.