Previziuni despre Directiva NIS (Legea 362/2018 și debutul autorității CERT-RO)

În data de 12 ianuarie 2019 a intrat în vigoare Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate al rețelelor și sistemelor informatice care transpune în totalitate Directiva UE 1148/2016 a Parlamentului European și a Consiliului, privind măsuri pentru un nivel ridicat de securitate a rețelelor și a sistemelor informatice în Uniune.

Scopul acestei legi este acela de a stabili un „climat” de cooperare națională și la nivel European, la care trebuie să participe autoritatea competentă în România care gestionează problematica securității rețelelor și sistemelor informatice, organizațiile care prestează servicii considerate „esențiale” de către legiuitor și a instituțiilor Europene abilitate.

Legea 362/2018 preia la nivel național întocmai mesajul Directivei UE 1148/2016 (Directiva NIS), respectiv instituirea la nivelul statelor membre ale Uniunii Europene a unui standard de bune practici în materie de politici de securitate a datelor și de prevenire a incidentelor de securitate în contextul avântului tehnologic pe care îl traversează statele Europene cu întreaga lume interconectată digital. Astfel, modul de prevenire a riscurilor de securitate informatică, mijloacele eficiente de răspuns la provocările din domeniul securității rețelelor și a sistemelor informatice devin aspecte deosebit de importante în activitatea furnizorilor de servicii „de încredere” sau „esențiale” așa cum sunt acestea numite și clasificate în aceste norme. 

Directiva NIS oferă posibilitatea statelor membre de a lua măsurile necesare pentru a asigurarea protecției intereselor esențiale de securitate ale fiecărui stat, iar România, încă amețită de efectul GDPR care preocupă organizațiile (în special cele din sectorul privat), este din nou „lovită” de al doilea val, în opinia noastră mult mai complex decât valul GDPR, respectiv securitatea cibernetică.

Organizațiile vizate de Legea 362/2018 care au obligația implementării cerințelor acesteia sunt în principal furnizorii de servicii digitale și operatorii de servicii esențiale, definiți în cadrul actului normativ, din care exemplificăm: furnizori de electricitate și gaze naturale, companii de transport aerian, companii de transport feroviar, naval sau rutier, instituții bancare, spitale și clinici private, organizații furnizoare de apă potabilă și nu în ultimul rând, companii care furnizează infrastructură digitală (IXP, DNS, TLD).   

Amenzile prevăzute de lege în cazul nerespectării de către organizații a prevederilor acesteia sau sustragerea de la implementarea cerințelor actului normativ, se sancționează cu minim 3000 lei și până la 5% din cifra de afaceri prevăzută în ultima situație financiară raportată de operatorul economic (procentul se aplică persoanelor juridice cu o cifră de afaceri de peste 2.000.000 lei).

În cazul în care CERT-RO apreciază în urma controlului că nerespectarea de către operatori sau furnizori a obligațiilor prevăzute de lege poate crea probleme grave de natură economică sau operațională altor operatori sau furnizori, autoritatea poate lua măsuri urgente cu caracter provizoriu (sistarea unor activități) care pot fi menținute până la 90 de zile, termen care poate fi suplimentat dacă este nevoie cu încă 90 de zile. 

Legea 362/2018 desemnează Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO ca fiind autoritatea competentă în România care acționează ca punct unic de contact la nivel național în cazul producerii incidentelor de securitate informatică (deține în componența sa o echipă de răspuns la incidente de securitate denumită CSIRT), elaborează și actualizează printre altele, norme tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice, elaborează și actualizează norme tehnice privind îndeplinirea obligațiilor de notificare a incidentelor de securitate de către operatorii și furnizorii prevăzuți de lege, elaborează și promovează practici comune pentru administrarea incidentelor și a riscurilor și pentru sistemele de clasificare a incidentelor, riscurilor și informațiilor, colectează exemple de bune practici privind riscurile și incidentele, emite dispoziții cu caracter obligatoriu pentru operatorii de servicii esențiale pentru ca aceștia să le urmeze în vederea conformării cu prevederile legii, să remedieze deficiențele constate și fixează termenul până la care acestea trebuie să se conformeze, eliberează atestatele auditorilor de securitate informatică și autorizează formatorii și furnizorii de servicii de formare pentru echipele CSIRT și auditorii de securitate informatică, asigură ținerea unui Registru al operatorilor de servicii esențiale la care acești operatori se pot interconecta (și trebuie să se interconecteze!).

Așadar, sunt multe atribuții pentru această autoritate care deși are activitate din anul 2011 (prin Hotărârea de Guvern nr. 494/2011 a fost înființat Centrul National de Răspuns la Incidente de Securitate Cibernetică – CERT-RO), este insignifiantă în România. O altă autoritate luată prin surprindere de rigorile Uniunii Europene (asemenea ANSPDCP în contextul GDPR), lipsită de buget, de personal, mijloacele și infrastructura necesare pentru a realiza în timp util sarcinile care i-au fost atribuite.

Însă tot această Lege 362/2018 ne oferă câteva indicii despre termenul pe care îl (mai) au la dispoziție entitățile vizate cel puțin pentru a-și însuși prevederile acestui act normativ. Astfel, CERT-RO nu are în prezent venituri proprii cu care să își finanțeze activitatea și astfel până la data de 31 decembrie 2019 finanțarea cheltuielilor curente și de capital ale acesteia sunt asigurare de la bugetul de stat.

Începând cu 1 ianuarie 2020, CERT-RO își va fi creat (probabil) infrastructura și mijloacele necesare producerii veniturilor ca urmare a activității acesteia și va începe sa-și intre în drepturi.

Astfel, având deja experiența GDPR cu o autoritate care nu a avut buget pentru a activa la dimensiunea cerută de Regulament iar cadrul legislativ necesar funcționarii acestei autorități a trebuit să fie creat de la zero, anticipăm că CERT-RO își va începe activitatea și își va face simțită prezența în România (prin întocmirea măsurilor tehnice, realizarea cadrului legislativ național și elaborarea metodologiilor, formarea și atestarea auditorilor de securitate cibernetică, realizarea de controale și emiterea amenzilor contravenționale, etc.) abia la începutul anului 2020.

Până atunci, vă recomandăm să interpretați acest text ca fiind exclusiv opinia noastră, să accesați din ce în ce mai des website-ul CERT-RO, să solicitați departamentelor juridic și de infrastructură din cadrul IT să realizeze un rezumat al Legii 362/2018 interpretat pentru entitatea în care activați, pregătiți bugete de formare profesională a unor responsabili cu securitatea cibernetică care vor activa în cadrul sau în relație cu organizația pe care o conduceți și încercați să aveți contact cu personalul CERT-RO pentru a nu fi luați prin surprindere de posibila precipitare a unor evenimente.

Sursa foto: www.vsec.infinigate.co.uk

----

Alex Gheorghe este unul dintre consultanții juridici și consultanții GDPR pe care îi regăsiți pe platforma BizTool.ro.



Citeste si