În iulie 2016 a fost adoptată Directiva (UE) 2016/11481 privind măsurile necesare pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeana.
Acesta este primul act legislativ al Uniunii privind securitatea rețelelor și sistemelor informatice menit să transpună obiectivele Strategiei Europene de securitate cibernetică.
Directiva impune o abordare globală la nivelul Uniunii Europene, care să includă cerințe comune privind crearea capacităților minime și planificarea, schimb de informații, cooperare și cerințe comune de securitate.
Impactul și aplicabilitatea Directivei 2016/11481 in Romania
Până la intrarea în vigoare a legii în România nu existau prevederi unitare în legislația națională privitoare la notificarea, în sensul Directivei NIS, a incidentelor de securitate a rețelelor și sistemelor, existând doar cerințe specifice derivate din transpunerea unor acte normative europene care reglementează anumite sectoare de activitate.
Deși termenul pentru implementarea Directivei a fost stabilit pentru data de 9 mai 2018, actul normativ conceput pentru transpunerea prevederilor acesteia in legislația naționala a fost adoptat de Parlamentul României abia in data de 21 ianuarie 2019, intrând in vigoare la data de 9 ianuarie 2019.
Este vorba despre Legea nr. 362/2018, privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.
Pentru a pune efectiv in aplicare prevederile Directivei NIS si a da efect Legii 362/2018, Guvernul României va trebui sa reglementeze pana la sfârșitul lunii iunie: valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul reţelelor şi sistemelor informatice ale operatorilor de servicii esenţiale, valorile de prag corespunzătoare criteriilor intersectoriale, criteriile sectoriale specifice şi valorile de prag corespunzătoare fiecărui sector şi subsector de activitate, normele tehnice de stabilire a impactului incidentelor.
De asemenea, MCSI, pe baza propunerii CERT-RO, urmează sa elaboreze normele tehnice, metodologice şi regulamentele prevăzute de Legea 362/2018, în termen de 6 luni de la data intrării în vigoare a acesteia.
Obiectivele principale ale Legii 362/2018:
- stabilirea cadrului de cooperare la nivel național și de participare la nivel european și internațional în domeniul asigurării securității rețelelor și sistemelor informatice;
- desemnarea autorităților și entităților de drept public și privat care dețin competențe și responsabilități în aplicarea prevederilor prezentei legi și a punctului unic de contact la nivel național (CERT-RO);
- stabilirea cerințelor de securitate și notificare pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale precum și instituirea mecanismelor de actualizare a acestora.
Preluând prevederile Directivei, Legea 362/2018 vizează operatorii de servicii esențiale (OSE) precum și furnizorii de servicii digitale (FSD), exceptându-se din această a doua categorie microîntreprinderile și întreprinderile mici.
Sectoarele vizate cuprind: energia, transporturile, sectorul bancar, infrastructuri ale pieței financiare, sănătate, furnizarea și distribuirea de apă potabilă, infrastructura digitală precum și administrația publică.
Un element esențial al legii este crearea unui registru al operatorilor de servicii esențiale, înscrierea în acesta putându-se face fie voluntar prin notificarea transmisă de operator autorității competente la nivel național – CERT-RO, fie din oficiu în urma verificărilor efectuate de către CERT-RO
În privința furnizorilor de servicii digitale, proiectul nu prevede alcătuirea unui registru al acestora, însă permite autorității identificarea acestora în vederea stabilirii îndeplinirii cerințelor de securitate și notificare, proiectul preluând excepțiile de la aplicare și cerințele mai reduse ce se aplică acestora, dar in nici un caz de neglijat, fiind supuse regimului sancționator prevăzut de lege.
În vederea coordonării la nivel național în managementul incidentelor, Legea 362/2018 prevede furnizarea de către CERT-RO a unui serviciu de alertare și cooperare la care se vor interconecta operatorii și furnizorii prevăzuți de prezentul proiect de act normativ, stabilind totodată obligația acestora de a monitoriza alertele primite și a asigura răspunsul prompt în caz de necesitate.
Care sunt obligatiile operatorilor de servicii esențiale si ale furnizorilor de servicii, conform Legii nr. 362/2018:
- să ia măsurile tehnice și organizatorice adecvate pentru a-și asigura rețelele și sistemele informatice;
- să prevină incidentele de securitate și să minimizeze impactul acestora pentru a asigura continuitatea serviciilor;
- să notifice CERT-RO despre orice incidente de securitate care au un impact semnificativ asupra continuității serviciului;
- să numească un Responsabil de Securitate IT în contact direct cu CERT-RO;
- sa asigure interconectarea cu alertele și sistemul de cooperare ale CERT-RO.
În același timp, companiile vizate de lege va trebui sa prezinte CERT-RO urmatoarele:
- informații necesare pentru evaluarea securității rețelelor și a sistemelor informatice
- politici de securitate documentate și dovezi privind punerea efectivă în aplicare a acestor politici
- rezultatele unui audit de securitate realizat de autoritatea competentă sau de un auditor calificat
Având în vedere amplitudinea obligațiilor prevăzute de lege, costurile pe care companiile vizate le pot avea cu implementarea acestor măsuri pot ajunge sa depășească 500.000 euro (depinzand de nivelul de conformitate existent la nivel de entitate).
Sub aspectul regimului sancționator, Legea 362/2018 oferă CERT-RO dreptul de realizare a controlului implementării cerințelor de securitate și notificare, precum și de îndeplinire a obligațiilor de către celelalte entități vizate de proiect, definind un set de contravenții și sancțiuni în linie cu cerințele directivei și oferind un set de garanții în privința contestării acestora. Sancțiunile cu amenda pot avea un cuantum constând în până la 5% din cifra de afaceri, în cazul companiilor care au o cifră de afaceri mai mare de 2 milioane lei.
Totodată, în multe cazuri, datele cu caracter personal pot fi compromise în urma unor incidente de securitate. În acest context, este de așteptat ca autoritățile de supraveghere din ambele zone să coopereze și să facă schimb de informații cu privire la toate aspectele relevante pentru abordarea oricăror cazuri de încălcare a securității datelor cu caracter personal în urma unor astfel de incidente, aplicându-se ambele regimuri sancționatorii.
Maria Maxim este Partener Wolf Theiss şi coordonator al practicii TMT (tehnologie, media, telecom) și Protecția Datelor cu Caracter Personal, în cadrul biroului din România.
De-a lungul carierei sale juridice de aproape 21 de ani, Maria a implementat pentru companii majore numeroase programe de compliance și protecția datelor cu caracter personal (EU GDPR) și a susținut o serie de training-uri externe în domeniile sale de expertiză.
Maria are în special o vastă cunoaștere a industriei de telecomunicații. Înainte de a se alătura Wolf Theiss, a avut o colaborare de peste 18 ani cu o companie majoră de telecom din România, unde a coordonat de-a lungul timpului ariile de litigii, protecția datelor cu caracter personal, compliance și prevenirea spălarii banilor. Experiența sa impresionantă include și funcția de senior manager, FIDS în cadrul unei firme din „Big Four”, din România.
Maria deține o diplomă a Facultății de Drept a Universității din București și un masterat în drept comercial de la Universitatea Titu Maiorescu din București. A absolvit un program de EMBA la Școala de Management Maastricht, fiind în prezent doctorand în drept civil în cadrul Universității din București – Facultatea de Drept.
Este membră a Baroului București.
