Autorii articolului: Dan Oltean – Senior Associate si Sebastian Spinu – Associate Suciu Popa
Directiva NIS 2, care extinde și consolidează prevederile Directivei NIS 1, a fost adoptată în contextul creșterii amenințărilor cibernetice globale și a necesității de a întări securitatea cibernetică în UE. Incidente cibernetice majore și situația internațională tensionată cauzată de invazia Rusiei în Ucraina evidențiază vulnerabilitățile sistemelor informatice și nevoia de abordări mai eficiente ale securității cibernetice.
De asemenea, dezvoltarea continuă a tehnologiei digitale și diversitatea în creștere a serviciilor online au creat noi oportunități pentru atacatorii cibernetici, ceea ce face necesară adaptarea legislației pentru prevenirea și gestionarea incidentelor cibernetice în Uniunea Europeană.
Directiva NIS 2 are ca scop creșterea securității cibernetice într-o varietate largă de organizații din UE, incluzând sectoarele energiei, transporturilor, apei, bancar, infrastructurilor pieței financiare, sănătății, infrastructurilor digitale și serviciilor digitale. De asemenea, Directiva NIS 2 introduce obligații legate de securitatea cibernetică, incluzând guvernanța organizațională, gestionarea riscurilor operaționale și raportarea incidentelor cibernetice.
Modificările aduse de Directiva NIS 2 includ extinderea domeniilor vizate, creșterea cerințelor de securitate, îmbunătățirea cooperării între autoritățile relevante din statele membre și introducerea de noi sancțiuni.
Statele membre trebuie să pună în aplicare Directiva NIS 2 până la 17 octombrie 2024.
În România, Directiva NIS 2 va avea un impact considerabil, impunând conformarea cu cerințele directivei și transpunerea în legislația internă, dezvoltarea unui cadru legal și instituțional adecvat și îmbunătățirea securității cibernetice.
La nivel național, interesul pentru securitatea cibernetică a crescut, iar recent au fost adoptate o serie de măsuri pentru întărirea securității cibernetice. Printre acestea se numără intrarea în vigoare în decembrie a anului trecut a Legii nr. 354/2022 referitoare la protecția sistemelor informatice ale autorităților și instituțiilor publice, în contextul invaziei inițiate de Federația Rusă împotriva Ucrainei.
Această lege interzice achiziționarea sau utilizarea de produse și servicii software antivirus provenite direct sau indirect din Rusia de către autoritățile și instituțiile publice, atât la nivel central cât și local. De asemenea, conform Ordinului Ministerului Cercetării nr. 20.281/2023 (care se aplică din 27 februarie 2023) entitățile obligate de Legea 354/2022 să renunțe la utilizarea soluțiilor software cu origini în Rusia trebuie să elaboreze și să implementeze, până pe 28 aprilie 2023, o procedură internă de încetare a utilizării și de deconectare/dezinstalare a produselor și serviciilor software interzise.
Printre aceste soluții se numără și produse software de renume precum: XSIGNAL, Metascan, Dr. Web, Kaspersky Security, RPA RusBItech și ViPNet.
Un alt aspect notabil este intrarea în vigoare Legii nr. 58/2023 privind securitatea și apărarea cibernetică a României, care stabilește cadrul juridic și instituțional pentru organizarea și desfășurarea activităților în domeniile securității și apărării cibernetice, mecanismele de cooperare și responsabilitățile instituțiilor implicate în aceste domenii.
Legea prevede înființarea Sistemului Național de Securitate Cibernetică, responsabil cu organizarea și desfășurarea unitară a activităților specifice de securitate și apărare cibernetică la nivel național. Legea se aplică în domeniul securității cibernetice pentru rețelele și sistemele informatice ale autorităților și instituțiilor publice, precum și pentru persoanele fizice și juridice care furnizează servicii publice sau de interes public.
Persoanele responsabile pentru aceste rețele și sisteme informatice au obligația de a notifica incidentele de securitate cibernetică prin intermediul Platformei Naționale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC), iar furnizorii de servicii de securitate cibernetică au obligația de a furniza autorităților date și informații privind incidente, amenințări, riscuri sau vulnerabilități în termen de maximum 48 de ore de la primirea solicitării. Legea stabilește sancțiuni pentru nerespectarea acestor obligații, inclusiv amenzi cuprinse între 5.000 și 50.000 lei sau până la 1% din cifra de afaceri netă pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei.
În plus, România ia în considerare restricționarea accesului la platforma de socializare TikTok pentru dispozitivele utilizate de funcționari și instituții. După ce la începutul anului, Consiliul de Administrație al Comisiei Europene a decis să suspende aplicația TikTok pe dispozitivele de serviciu, pentru a îmbunătăți securitatea cibernetică a activității Comisiei, această posibilitate a apărut și în discuțiile politice interne. Această măsură a fost deja adoptată de alte țări precum Olanda, Norvegia, Belgia și Danemarca, iar recent NATO a interzis oficial angajaților să descarce aplicația de socializare TikTok pe dispozitivele furnizate de NATO, invocând probleme de securitate.
Prin adoptarea acestor măsuri, România își consolidează securitatea cibernetică și reafirmă angajamentul său de a proteja sistemele informatice ale autorităților și instituțiilor publice.
Consolidarea securității cibernetice în România și implementarea Directivei NIS 2 nu ar trebui să se limitează doar la aspectele tehnice și legislative. Este, de asemenea, important să se abordeze și dimensiunile umane și organizatorice ale securității cibernetice, cum ar fi:
- Promovarea unei culturi de securitate cibernetică în rândul angajaților și al managementului organizațiilor, prin înțelegerea importanței securității informației și a responsabilităților individuale în acest sens.
- Dezvoltarea și implementarea de politici și proceduri interne de securitate cibernetică, care să includă măsuri de prevenire, detectare, răspuns și recuperare în cazul incidentelor cibernetice.
- Evaluarea periodică a riscurilor cibernetice la nivelul organizațiilor și adaptarea măsurilor de securitate în funcție de evoluția amenințărilor și vulnerabilităților identificate.
- Încurajarea schimbului de informații despre amenințările și incidentele cibernetice între organizații și autoritățile competente, pentru a îmbunătăți capacitatea de a anticipa și a răspunde la atacurile cibernetice.
Pe măsură ce tehnologia digitală continuă să se dezvolte și să se integreze în toate aspectele vieții sociale și economice, securitatea cibernetică devine o preocupare centrală pentru România și pentru întreaga Uniune Europeană. Implementarea Directivei NIS 2 și eforturile conexe de consolidare a securității cibernetice vor contribui la crearea unei societăți digitale mai sigure și reziliente
Suciu Popa este o firmă de avocati de top, ce oferă servicii juridice complete, cu performanțe notabile în toate ariile dreptului afacerilor, inclusiv litigii și arbitraje, drept imobiliar, administrativ și contencios, dezvoltarea de proiecte, energie și resurse naturale, fiind clasată în mod constant de toate directoarele locale și internaționale în topul furnizorilor de servicii juridice. Fiind angajată pe deplin să facă diferența pe piața avocațială din România, Suciu Popa se bazează pe experiența și reputația solidă a avocaților și a partenerilor săi, construite pe parcursul a peste 20 de ani de asistență a clienților multinaționali, investitorilor strategici și fondurilor de investiții, autorităților publice și instituțiilor financiare internaționale, în unele dintre cele mai complexe tranzacții transfrontaliere, proiecte de investiții și litigii.
