Companiile din România care furnizează servicii esenţiale către populaţie şi care se confruntă, la un moment dat, cu probleme de securitate informatică vor fi obligate să notifice către Centrul Naţional de Răspuns la Incidente de Securitate Naţională (CERT-RO) aceste incidente, dar şi să se înscrie în Registrul operatorilor de servicii esenţiale, prevede proiectul de lege aprobat de Guvern în şedinţa săptămânală, ce transpune în legislaţia naţională Directiva NIS (Networking Information Security), a anunţat Ministerul Comunicaţiilor şi Societăţii Informaţionale (MCSI), într-un comunicat de presă.
'Directiva creează structuri şi instituie mecanisme necesare pentru cooperarea strategică şi operaţională între statele membre şi pentru creşterea nivelului de rezilienţă al reţelelor şi al sistemelor informatice de pe teritoriul Uniunii Europene. Acest lucru este necesar deoarece amploarea, frecvenţa şi impactul incidentelor de securitate sunt în creştere, reprezentând o ameninţare gravă pentru funcţionarea reţelelor şi sistemelor informatice, ceea ce împiedică desfăşurarea activităţilor economice şi poate genera pierderi financiare substanţiale, subminând încrederea utilizatorilor şi provocând pagube majore economiei naţionale şi europene, putând duce până la pierderi de vieţi omeneşti', declară ministrul Comunicaţiilor şi Societăţii Informaţionale, Bogdan Cojocaru.
Potrivit sursei citate, ministerul de resort transpune şi urmează linia Directivei NIS de a impune măsuri minime de securitate şi obligaţii de notificare a incidentelor survenite la nivelul a două categorii importante de entităţi din mediul economic, respectiv operatorii de servicii esenţiale şi furnizorii de servicii digitale.
Sectoarele de activitate şi tipurile de servicii ce intră sub incidenţa directivei sunt următoarele: transporturile, sectorul energetic, sectorul bancar, infrastructurile pieţei financiare, sănătatea, furnizarea şi distribuirea de apă potabilă şi infrastructura digitală. Totodată, proiectul se adresează unor categorii de servicii digitale, precum serviciile cloud, motoarele de căutare şi pieţele online.
'În concordanţă cu cerinţele Directivei NIS, proiectul de lege stabileşte în sarcina Centrului Naţional de Răspuns la Incidente de Securitate Naţională - CERT-RO funcţia de autoritate competentă la nivel naţional, echipa de răspuns la incidente de securitate informatică, fiind vorba despre echipa CSIRT Naţională, şi un punct unic de contact. Totodată, este prevăzută primirea notificărilor de incidente, precum şi coordonarea la nivel naţional a răspunsului şi cooperarea cu celelalte instituţii şi autorităţi cu atribuţii în domeniu', a precizat, la rândul său, Cătălin Aramă, directorul CERT-RO.
Proiectul de lege stabileşte categoriile de măsuri de securitate necesare şi obligaţia entităţilor vizate de a le implementa, obligaţia notificării incidentelor de securitate şi obligaţia privind înscrierea în Registrul operatorilor de servicii esenţiale.
Actul normativ ce vizează transpunerea la nivel naţional a Directivei Uniunii Europene (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune (Directiva NIS) va fi trimis de către Executiv în Parlamentul României cu propunerea de a fi dezbătut şi aprobat în procedură de urgenţă.
La finele lunii ianuarie 2016, Ministerul Comunicaţiilor lansa în dezbatere publică un nou proiect de Lege privind Securitatea Cibernetică a României, ce a luat în considerare criticile aduse prin Decizia nr. 17/2015 a Curţii Constituţionale a României (CCR) asupra obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind Securitatea Cibernetică a României. În 2015, Curtea Constituţională a României îşi motiva decizia prin faptul că Legea privind securitatea cibernetică încalcă prevederile constituţionale privind statul de drept şi principiul legalităţii, precum şi cele privind viaţa intimă, familială şi privată, respectiv secretul corespondenţei.
Directiva NIS prevede, în linii mari, că toate companiile care furnizează servicii esenţiale către populaţie (Energie, Transporturi, Utilităţi, sistemul bancar, sistemul pieţelor financiare etc.) trebuie să minimeze riscurile şi ia măsuri interne manageriale şi de natură tehnică, astfel încât să diminueze riscul cibernetic.
Practic, în planul de afaceri pe care companiile îl vor avea, pe lângă celelalte categorii de riscuri care sunt acoperite prin costuri specifice, cum ar fi riscul de incendiu, trebuie să ia în calcul şi riscurile cibernetice. În cazul în care aceste companii nu se conformează solicitărilor pe care Parlamentul European şi Consiliul European le-au inclus în Directivă, atunci riscă o amendă proporţională cu cifra de afaceri anuală.
671