Mesaje principale:
- Cum pot fi protejati utilizatorii?
În iulie 2016 a fost adoptată Directiva (UE) 2016/11481 privind măsurile necesare pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeana.
Acesta este primul act legislativ al Uniunii privind securitatea rețelelor și sistemelor informatice menit să transpună obiectivele Strategiei Europene de securitate cibernetică.
- In ce consta Directiva? Detalii despre cadrul legal
Directiva impune o abordare globală la nivelul Uniunii Europene, care să includă cerințe comune privind crearea capacităților minime și planificarea, schimb de informații, cooperare și cerințe comune de securitate.
- impactul si aplicabilitatea Directivei 2016/11481 in Romania.
Până la intrarea în vigoare a legii în România nu existau prevederi unitare în legislația națională privitoare la notificarea, în sensul Directivei NIS, a incidentelor de securitate a rețelelor și sistemelor, existând doar cerințe specifice derivate din transpunerea unor acte normative europene care reglementează anumite sectoare de activitate.
Deși termenul pentru implementarea Directivei a fost stabilit pentru data de 9 mai 2018, actul normativ conceput pentru transpunerea prevederilor acesteia in legislația naționala a fost adoptat de Parlamentul României abia in data de 21 ianuarie 2019, intrând in vigoare la data de 9 ianuarie 2019.
Este vorba despre Legea nr. 362/2018, privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.
Pentru a pune efectiv in aplicare prevederile Directivei NIS si a da efect Legii 362/2018, Guvernul României va trebui sa reglementeze pana la sfârșitul lunii iunie: valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul reţelelor şi sistemelor informatice ale operatorilor de servicii esenţiale, valorile de prag corespunzătoare criteriilor intersectoriale, criteriile sectoriale specifice şi valorile de prag corespunzătoare fiecărui sector şi subsector de activitate, normele tehnice de stabilire a impactului incidentelor.
De asemenea, MCSI, pe baza propunerii CERT-RO, urmează sa elaboreze normele tehnice, metodologice şi regulamentele prevăzute de Legea 362/2018, în termen de 6 luni de la data intrării în vigoare a acesteia.
Obiectivele principale ale Legii 362/2018:
- stabilirea cadrului de cooperare la nivel național și de participare la nivel european și internațional în domeniul asigurării securității rețelelor și sistemelor informatice;
- desemnarea autorităților și entităților de drept public și privat care dețin competențe și responsabilități în aplicarea prevederilor prezentei legi și a punctului unic de contact la nivel național (CERT-RO);
- stabilirea cerințelor de securitate și notificare pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale precum și instituirea mecanismelor de actualizare a acestora.
Preluând prevederile Directivei, Legea 362/2018 vizează operatorii de servicii esențiale (OSE) precum și furnizorii de servicii digitale (FSD), exceptându-se din această a doua categorie microîntreprinderile și întreprinderile mici.
Sectoarele vizate cuprind: energia, transporturile, sectorul bancar, infrastructuri ale pieței financiare, sănătate, furnizarea și distribuirea de apă potabilă, infrastructura digitală precum și administrația publică.
Un element esențial al legii este crearea unui registru al operatorilor de servicii esențiale, înscrierea în acesta putându-se face fie voluntar prin notificarea transmisă de operator autorității competente la nivel național – CERT-RO, fie din oficiu în urma verificărilor efectuate de către CERT-RO
În privința furnizorilor de servicii digitale, proiectul nu prevede alcătuirea unui registru al acestora, însă permite autorității identificarea acestora în vederea stabilirii îndeplinirii cerințelor de securitate și notificare, proiectul preluând excepțiile de la aplicare și cerințele mai reduse ce se aplică acestora, dar in nici un caz de neglijat, fiind supuse regimului sancționator prevăzut de lege.
În vederea coordonării la nivel național în managementul incidentelor, Legea 362/2018 prevede furnizarea de către CERT-RO a unui serviciu de alertare și cooperare la care se vor interconecta operatorii și furnizorii prevăzuți de prezentul proiect de act normativ, stabilind totodată obligația acestora de a monitoriza alertele primite și a asigura răspunsul prompt în caz de necesitate.
Care sunt obligatiile operatorilor de servicii esențiale si ale furnizorilor de servicii, conform Legii nr. 362/2018:
- să ia măsurile tehnice și organizatorice adecvate pentru a-și asigura rețelele și sistemele informatice;
- să prevină incidentele de securitate și să minimizeze impactul acestora pentru a asigura continuitatea serviciilor;
- să notifice CERT-RO despre orice incidente de securitate care au un impact semnificativ asupra continuității serviciului;
- să numească un Responsabil de Securitate IT în contact direct cu CERT-RO;
- sa asigure interconectarea cu alertele și sistemul de cooperare ale CERT-RO.
În același timp, companiile vizate de lege va trebui sa prezinte CERT-RO urmatoarele:
- informații necesare pentru evaluarea securității rețelelor și a sistemelor informatice
- politici de securitate documentate și dovezi privind punerea efectivă în aplicare a acestor politici
- rezultatele unui audit de securitate realizat de autoritatea competentă sau de un auditor calificat
Având în vedere amplitudinea obligațiilor prevăzute de lege, costurile pe care companiile vizate le pot avea cu implementarea acestor măsuri pot ajunge sa depășească 500.000 euro (depinzand de nivelul de conformitate existent la nivel de entitate).
Sub aspectul regimului sancționator, Legea 362/2018 oferă CERT-RO dreptul de realizare a controlului implementării cerințelor de securitate și notificare, precum și de îndeplinire a obligațiilor de către celelalte entități vizate de proiect, definind un set de contravenții și sancțiuni în linie cu cerințele directivei și oferind un set de garanții în privința contestării acestora. Sancțiunile cu amenda pot avea un cuantum constând în până la 5% din cifra de afaceri, în cazul companiilor care au o cifră de afaceri mai mare de 2 milioane lei.
Totodată, în multe cazuri, datele cu caracter personal pot fi compromise în urma unor incidente de securitate. În acest context, este de așteptat ca autoritățile de supraveghere din ambele zone să coopereze și să facă schimb de informații cu privire la toate aspectele relevante pentru abordarea oricăror cazuri de încălcare a securității datelor cu caracter personal în urma unor astfel de incidente, aplicându-se ambele regimuri sancționatorii.
