Directiva NIS, transpusă in legislație natională

Want create site? Find Free WordPress Themes and plugins.

 

Întâi GDPR apoi transpunerea Directivei NIS..

Chiar era nevoie de ambele?

Deși amândouă au fost adoptate de UE în cursul anului 2016, amploarea GDPR-ului a opturat importanța directivei NIS, datorită faptului că protecția datelor personale este un subiect de direct interes pentru toți cetățenii europeni. În timp ce Directiva NIS vizează protejarea infrastructurilor critice și digitale, care sunt esențiale pentru activitățile economice și societale și, în special, pentru funcționarea pieței interne.

Directiva NIS are același scop ca si GDPR-ul, apără interesele cetățenilor Uniunii Europene. Ea obligă furnizorilor de servicii digitale precum și furnizorii de servicii esențiale să ia măsuri adecvate.  Riscurile la care sunt supuși cetățenii în urma unui atac cibernetic sunt dintre cele mai grave. Ei pot rămâne făra bani în cont sau fără acces la apa, electricitate, telefonie, internet, sau în imposibilitatea de a accesa servici medicale.

Ce este Directiva NIS?

Directiva NIS (Networking Information Security) este răspunsul Uniunii Europene la atacurile cibernetice tot mai virulente și care profită de vulnerabilitățile infrastructurilor IT depășite din punct de vedere tehnologic.  Scopul ei este creșterea încrederii cetățenilor și stimularea dezvoltării Pieței Digitale Unice.

De ce era necesara aceasta directiva?

Atacurile informatice pot fi mai eficiente, mai silențioase și infinit dificil de detectat decât lansarea unei rachete, fiind capabile să pună pe butuci economia unei țări prin subjugarea infrastructurilor critice.

Deși sună a scenariu de film din seria ”James Bond”, aceste lucruri sunt pe cat se poate de reale și îngrijorătoare.

Cel mai elocvent exemplu vine de la vecinii noștri, Ucraina, care, în urma anexarii Crimeei de către Rusia, s-a văzut nevoită să facă față unui val copleșitor de atacuri cibernetice.  Au fost atacate website-urile unor organizații, bănci, ministere, ziare și firme de electricitate, culminând cu întreruperea pentru cateva ore a furnizării de electricitate în regiunea Ivano-Frankivsk. Astfel, un banal fișier excel descărcat din neatenție poate ascunde un virus, aflat în stare de hibernare și asteptând să fie activat și să saboteze  sistemele infractucturilor critice.

Care va fi impactul Directivei NIS?

Va crea structuri și va institui mecanismele necesare pentru cooperarea strategică și operațională între statele membre și pentru creșterea nivelului de rezistență al rețelelor și al sistemelor informatice de pe teritoriul Uniunii Europene.

Cum se va aplica directiva in Romania?

Directiva (UE) 2016/1148, cunoscuta sub numele de NIS, a fost transpusă în legislația națională prin Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, publicată în Monitorul Oficial în 9 ianuarie 2019.

Ce urmărește Legea 362/2018?

Reglementează cadrul juridic și instituțional, măsurile și mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Stimulează cooperarea în domeniu. Încurajează cultura de securitate informatică la nivelul sectoarelor vitale pentru economie și societate, care depind de rețele și sisteme informatice.

Cui se adresează această lege?

În primul rând, operatorilor de servicii esențiale, care sunt persoane fizice sau juridice de drept public sau privat de tipul celor menționate în anexa legii și care furnizează un serviciu care îndeplinește condițiile prevăzute în lege. Aceste tipuri de activități se referă la sectoarele de energie (electricitate, petrol, gaze naturale), transport (aerian, feroviar, pe apă, rutier), bancar, infrastructuri de piețe financiare, sănătate, furnizarea și distribuirea de apă potabilă și infrastructura digitală (Internet Exchange-uri și DNS). Dincolo de operatorii de servicii esențiale, directiva se mai adresează și serviciilor digitale, mai exact piețelor online (online marketplaces), motoarelor de căutare online și serviciilor de cloud, obligațiile acestor operatori fiind, totuși, mai restrânse în comparație cu cele ale operatorilor de servicii esențiale.

Care va fi impactul acestei legi?

În linii mari, toate companiile care furnizează servicii esenţiale către populaţie trebuie să minimeze riscurile şi ia măsuri interne manageriale şi de natură tehnică, astfel încât să diminueze riscul cibernetic. Ceea ce înseamnă că vor fi obligate sa bugeteze și să realizeze investiții în aceasta directie, având în vedere că, de multe ori, acest aspect nu a fost unul de o importanță majoră pentru managementul unul operator de servicii esențiale.

Nota personală: Oare câte spitale din Romania au luat în considerare masuri tehnice și organizatorice adecvate pentru îndeplinirea cerințelor minime de securitate cibernetică atât timp cât ele nu sunte capabile să estompeze raspândirea bacteriilor spitalicești. Oare suntem noi. romanii, pregătiți pentru o astfel de lege?

Elemente cheie introduse de Legea 362/2018.

Desemnarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) în rolul de  autoritate competentă la nivel național, oferindu-i competențe și responsabilități sporite.

Aceste responsabilități sunt atât pe zona cooperării funcționale în sistemul comun european, cât și la nivel național.  Prin constituirea registrului operatorilor de servicii esențiale, stabilirea normelor de securitate și notificare, primirea de notificări de incident, autorizarea echipelor de răspuns și cooperarea cu autoritățile, operatorii și furnizorii vizați de lege, în scopul unei implementări eficiente a prevederilor legii.

Tot CERT-RO va fi și cea care va avea responsabilități de supraveghere, control și sancționare. Ținem să atragem atenția că sancțiunile nu sunt deloc neglijabile, urmărind trendul impus de GDPR. Astfel, la articolul 38 din lege identificăm o listă care cuprinde nu mai puțin de 49 de contravenții, care pot fi amendate cu sume între 3.000 și 50.000 lei sau pana la 100.000 lei în cazul încălcărilor repetate.

Nimic de speriat până aici, însă dacă aveți o cifră de afaceri care depășește 2.000.000 lei, prin derogare de la OUG 2/2001, puteți fi sancționați cu amenzi în cuantum de 0,5% pana la 2%, sau, atentie, în cazul unor încălcări repetate, limita maximă a amenzii poate ajunge la 5% din cifra de afaceri, depășind astfel limita maximă a amenzilor prevăzute de GDPR.

Important: Înscrierea operatorilor de servicii esențiale în Registrul operatorilor de servicii esențiale implica depunerea unui raport de audit care atestă îndeplinirea cerințelor minime de securitate și notificare, întocmit de un auditor atestat de către CERT-RO pentru a audita rețele și sisteme informatice ce deservesc servicii esențiale sau servicii digitale.

Aspecte temporale:

  • Ministerul Comunicațiilor și Societății Informaționale (MCSI) CERT-RO, supune aprobării prin hotărâre a Guvernului în termen de 5 luni de la intrarea în vigoare a prezentei legi:

  1. valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale;
  2. valorile de prag corespunzătoare criteriilor intersectoriale;
  3. criteriile sectoriale specifice și valorile de prag corespunzătoare fiecărui sector și subsector de activitate prevăzut în Anexă ;
  4. normele tehnice de stabilire a impactului incidentelor.

  • MCSI, la propunerea CERT-RO, în termen de 3 luni de la intrarea în vigoare a prezentei legi, supune aprobării prin hotărâre a Guvernului componența, atribuțiile și modul de organizare a Grupului de lucru interinstituțională

  • Operatorii de servicii esențiale pun la dispoziția CERT-RO, la solicitarea acesteia făcută cu menționarea scopului și precizând informațiile necesare și termenul de furnizare a acestora, in termen de 6 luni de la data intrării în vigoare a normelor tehnice privind cerințele de securitate și notificare ori, după caz, de la data înscrierii în Registrul operatorilor de servicii esențiale:

  1. informațiile necesare pentru evaluarea securității rețelelor și a sistemelor informatice vizate de prezenta lege, inclusiv politicile de securitate documentate;
  2. realizează audit de securitate și transmit către CERT-RO rezultatele acestuia, inclusiv informațiile și documentațiile pe care se bazează acesta, precum și alte elemente care atestă punerea efectivă în aplicare a cerințelor minime de securitate.

  • Furnizorii de servicii digitale

  1. implementează măsurile tehnice și organizatorice adecvate și proporționale pentru îndeplinirea cerințelor minime de securitate a rețelelor și sistemelor informatice, în termen de 6 luni de la data intrării în vigoare a normelor tehnice;
  2. implementează, în termen de 6 luni de la data intrării în vigoare a normelor tehnice măsuri adecvate pentru a preveni și minimiza impactul incidentelor care afectează securitatea rețelelor și a sistemelor informatice, asigură răspunsul la incidente și continuitatea serviciilor acestora;
  3. stabilesc mijloace permanente de contact, desemnează responsabilii cu securitatea rețelelor și sistemelor informatice însărcinați cu monitorizarea canalelor de contact și comunică CERT-RO în termen de 60 de zile de la intrarea în vigoare a prezentei legi, lista acestora precum și orice modificări ulterioare deîndată ce au survenit
  4. se interconectează în termen de 60 de zile de la intrarea în vigoare a prezentei legi la serviciul de alertare și cooperare al CERT-RO, asigură monitorizarea permanentă a alertelor și solicitărilor primite prin acest serviciu ori prin celelalte modalități de contact și ia în cel mai scurt timp măsurile adecvate de răspuns la nivelul rețelelor și sistemelor informatice proprii.

  • Strategia națională privind securitatea rețelelor și a sistemelor informatice se aprobă prin hotărâre a Guvernului, la propunerea MCSI în termen de 6 luni de la intrarea în vigoare a prezentei legi.

  • CERT-RO Propune spre aprobare Ministrului Comunicațiilor și Societății Informaționale normele tehnice, metodologiile și regulamentele prevăzute de prezenta lege în termen de 6 luni de la intrarea în vigoare a prezentei legi.

  • Entitățile care îndeplinesc condițiile și criteriile de incarare in categoria de operatorilor de servicii esentiale au obligația să notifice CERT-RO în vederea înscrierii în Registrul operatorilor de servicii esențiale în termen de 30 de zile de la data îndeplinirii condițiilor de incadrare in acesta categorie.

  • Operatorii de servicii esentiale/Operatorii de servicii digitale au obligația de a pune la dispoziția CERT-RO, la cererea acesteia, în termen de 60 de zile de la data primirii solicitării, documentațiile necesare, inclusiv rapoarte de audit, pentru:

  1. stabilirea calității de operator de servicii esențiale/digitale;
  2. stabilirea interdependenței și interconectării rețelelor și sistemelor informatice cu cele ale altor operatori de servicii esențiale ori furnizori de servicii digitale, inclusiv a celor pe care se bazează furnizarea serviciilor entității în cauză.
  3. stabilirea listei de autorități ale statului pentru care furnizează servicii esențiale.

Suplimentar, Operatorii de servicii esentiale au obligatia sa transmita si:

b.  stabilirea măsurilor necesare pentru conformarea cu cerințele prezentei legic

  •  desemnează responsabilii cu securitatea rețelelor și sistemelor informatice și comunică CERT-RO lista acestora în termen de 60 de zile de la înscrierea în Registrul operatorilor de servicii esențiale

  •  se interconectează în termen de 60 de zile de la înscrierea în Registrul operatorilor de servicii esențiale la serviciul de alertare și cooperare al CERT-RO

IMPORTANT: Capitolul DISPOZIȚII TRANZITORII ne aduce urmatoarele precizari:

Înscrierea în  Registrul operatorilor de servicii esențiale, în primii 2 ani de la data intrării în vigoare a prezentei legi, se face prin depunerea unei declarații pe propria răspundere însoțită de o documentație de autoevaluare a îndeplinirii cerințelor minime de securitate și notificare.

În Concluzie:

Avem nevoie de masuri de securitate sporite, avem nevoie furnizori de servicii esențiale și digitale capabili să ne protejeze și să răspundă la atacuri cibernetice într-un mod eficient, dar oare suntem pregătiți să realizăm cât de nepregătiți suntem?

Did you find apk for android? You can find new Free Android Games and apps.