Legea NIS și normele metodologice privind registrul operatorilor de servicii esențiale (ROSE)

Revenim asupra subiectului cu actualizări importante, însă nu înainte de a explica foarte succint istoricul fenomenului cyber security care a condus la reglementarea actuală a „lumii digitale” sau a „spațiului cibernetic”.

În data de 12.01.2019 a intrat în vigoare Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, care transpune în legislația din România textul Directivei Europene nr. 1148/2016 (denumită și “Directiva NIS – Network Information Security”), al cărui scop este acela de a obliga anumiți operatori economici să aplice măsuri tehnice care asigură fiabilitatea și securitatea informațiilor prelucrate la nivelul rețelelor și sistemelor informatice.

Această inițiativă legislativă face parte din strategia Europeană de Securitate Cibernetică (Cybersecurity Strategy) care a fost adoptată în anul 2013, toate eforturile Comisiei Europene reprezentând adoptarea unui set de norme propuse pentru a fi introduse la nivelul statelor europene, pentru aplicarea cărora Uniunea Europeană investește între 2014 – 2020 suma totală de 600 milioane euro pentru cercetare și inovație în cadrul proiectelor comune de cooperare în domeniul securității cibernetice.

Spre deosebire de Regulamentul General privind Protecția Datelor (GDPR), care are ca scop protecția datelor personale ale persoanelor fizice (clienți sau angajați ai organizației) Directiva NIS reglementează protecția tuturor informațiilor cu care operatorul lucrează, ceea ce înseamnă atât date cu caracter personal cât și alte informații considerate confidențiale, strict confidențiale sau publice. Astfel, Directiva NIS este mult mai extinsă ca și aplicabilitate decât GDPR. 

Previziuni despre Directiva NIS (Legea 362/2018 și debutul autorității CERT-RO)

Motivul pentru care securitatea cibernetică devine un concept atât de important este acela că în ultimii ani, tehnologiile digitale au devenit coloana vertebrală a economiei statelor Europene și reprezintă o resursă de o importanță majoră pe care se bazează operatorii economici. Sistemele informatice complexe stau la baza activității acestor operatori economici care prestează servicii considerate esențiale, cum ar fi servicii financiare, energie, sănătate și transport. Modelul de business al celor mai mulți dintre operatori se bazează astăzi pe disponibilitatea neîntreruptă a internetului și ca efect, a funcționarii continue a sistemelor informatice.

Incidentele privind securitatea cibernetică, fie că sunt accidentale sau intenționate, pot să afecteze sau să distrugă furnizarea serviciilor esențiale cum ar fi apa, gazele sau energia electrică pe care persoanele fizice le primesc pe baza unui contract de furnizare. Aceste amenințări pot avea diferite origini inclusiv atacuri infracționale, teroriste sau sponsorizate de alte state, precum și produse ale dezastrelor naturale sau comiterea unor greșeli neintenționate. 

Organizațiile vizate de Legea 362/2018 care au obligația implementării cerințelor acesteia sunt în principal furnizorii de servicii digitale și operatorii de servicii esențiale, definiți în cadrul actului normativ, din care exemplificăm: furnizori de electricitate și gaze naturale, companii de transport aerian, companii de transport feroviar, naval sau rutier, instituții bancare, spitale și clinici private, organizații furnizoare de apă potabilă și nu în ultimul rând, companii care furnizează infrastructură digitală (IXP, DNS, TLD) sau companii care prestează activități de comerț online în sistem de „piață online” (digital market).

La nivelul României, prin Legea 362/2018 autoritatea competentă desemnată cu atribuții privind primirea notificărilor privind incidentele de securitate și de intervenție în cazul sesizării acesteia, identificarea operatorilor de servicii esențiale și servicii digitale și înregistrarea acestora în Registrul operatorilor de servicii esențiale (ROSE), formarea și atestarea auditorilor de securitate este CERT-RO, care se subordonează Ministerului Comunicațiilor și Societății Informaționale. În cadrul CERT-RO activează o echipă de intervenție în cazul producerii unor incidente de securitate informatică denumită „Echipă CSIRT”.

După introducerea extinsă în istoricul recent al actului normativ „NIS”, în data de 2 iulie 2019 a intrat în vigoare actul de publicare a Normelor Metodologice de organizare și funcționare a Registrului operatorilor de servicii esențiale (ROSE), prin Ordinul nr. 600 din 21 iunie 2019 emis de Ministerul Comunicațiilor și Societății Informaționale.

ROSE este constituit în format hârtie în cadrul echipei CSIRT și este actualizat în funcție de solicitările operatorului de servicii esențiale, din oficiu sau la termenul de întreținere și actualizare prevăzut de Legea 362/2018 (cel puțin o dată la 2 ani de la data intrării în vigoare a Legii NIS adică 12.01.2019, deși, în opinia noastră, mai relevantă este în acest caz data intrării în vigoare a normelor metodologice despre care facem vorbire).

În ROSE sunt consemnate date privind notificările efectuate de operatorii de servicii esențiale, respectiv înscrierea, modificarea și radierea acestora. Este de asemenea important de menționat că acest Registru face parte din categoria documentelor clasificate ceea ce înseamnă că nu poate fi consultat public.

Reamintim pe aceasta cale amenzile prevăzute de Legea NIS în cazul nerespectării de către organizațiile vizate a prevederilor acesteia sau sustragerea de la implementarea cerințelor actului normativ, se sancționează cu minim 3000 lei și până la 5% din cifra de afaceri prevăzută în ultima situație financiară raportată de operatorul economic (procentul se aplică persoanelor juridice cu o cifră de afaceri de peste 2.000.000 lei).

Sursa foto: www.forescout.com

----

Alex Gheorghe este unul dintre consultanții juridici și consultanții GDPR pe care îi regăsiți pe platforma BizTool.ro.



Citeste si