Situatie
Informații generale despre NIS ( Legea 362/2018)
Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019. Legea transpune așa-numita Directivă NIS (Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune) și:
- are drept scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică și respectiv creșterea gradului de încredere a cetățenilor în Piața Digitală Unică
- se adresează specific
- Operatorilor de Servicii Esențiale (OSE) din 7 sectoare de activitate economică (a se vedea Anexa la lege pentru detalii) astfel:
- Energie
- Transport
- Sectorul bancar
- Infrastructuri ale pieței financiare
- Sectorul sănătății
- Furnizarea și distribuirea de apă potabilă
- Infrastructură digitală
- Furnizorilor de Servicii Digitale (FSD) din trei categorii, respectiv: piețe online, motoare de căutare online, servicii de cloud computing (conform art. 3 lit o)
- Operatorilor de Servicii Esențiale (OSE) din 7 sectoare de activitate economică (a se vedea Anexa la lege pentru detalii) astfel:
- stabilirea de măsuri și cerințe pentru asigurarea efectivă a securității (art. 25)
- notificarea incidentelor survenite
- legea stabilește cerințe de notificare a incidentelor către autoritatea națională (art. 26) pentru categoriile sus-menționate
- pentru stabilirea încrederii și conform practicilor privind confidențialitatea în asigurarea securității informatice, legea conține prevederi referitoare la protejarea secretului comercial și a altor informații comunicate CERT-RO în cursul notificărilor și managementului incidentelor.
- totodată legea instituie un mecanism de primire de notificări și de la alte categorii/alți operatori economici (notificare voluntară)
- cadrul instituțional și de cooperare: legea stabilește cadrul instituțional la nivel național și cadrul național de cooperare în asigurarea securității rețelelor și sistemelor informatice prin:
- desemnarea CERT-RO – Centrul Național de Răspuns la Incidente de Securitate Cibernetică ca autoritate națională cu atribuții de reglementare, supraveghere și control și care va îndeplini și:
- Funcția de Punct Unic de Contact la nivel național
- Funcția de echipă CSIRT națională (echipă de răspuns la incidente de securitate informatică la nivel național și de participare la răspunsul comun la nivel european)
- desemnarea CERT-RO – Centrul Național de Răspuns la Incidente de Securitate Cibernetică ca autoritate națională cu atribuții de reglementare, supraveghere și control și care va îndeplini și:
- Inițiază un proces de identificare a operatorilor de servicii esențiale și înscriere a acestora în registrul operatorilor de servicii esențiale
- legea prevede totodată reguli privind auditarea rețelelor și sistemelor OSE și FSD, înființarea de echipe CSIRT/CERT publice, private sau sectoriale precum și reguli privind formarea în domeniu.
Solutie
Pasi de urmat
Legea 362/2018
Asigurarea securității rețelelor și sistemelor informatice
SECȚIUNEA 1 – Cerințele minime de securitate
Art. 25. –
(1) În vederea asigurării unui nivel comun de securitate a rețelelor și sistemelor informatice, operatorii de servicii esențiale și furnizorii de servicii digitale au obligația de a respecta normele tehnice elaborate de CERT-RO în temeiul prevederilor art. 20 lit. b).
(2) CERT-RO elaborează, cu consultarea autorităților care reglementează sectoarele și subsectoarele prevăzute în anexă, ghiduri în sprijinul implementării măsurilor minime de securitate pentru operatorii și furnizorii prevăzuți în prezenta lege.
(3) Normele tehnice prevăzute la alin. (1) aplicabile operatorilor de servicii esențiale se stabilesc în baza cel puțin a următoarelor categorii de activități de asigurare a securității rețelelor și sistemelor informatice:
a) managementul drepturilor de acces;
b) conștientizarea și instruirea utilizatorilor;
c) jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice;
d) testarea și evaluarea securității rețelelor și sistemelor informatice;
e) managementul configurațiilor rețelelor și sistemelor informatice;
f) asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor informatice;
g) managementul continuității funcționării serviciului esențial;
h) managementul identificării și autentificării utilizatorilor;
i) răspunsul la incidente;
j) mentenanța rețelelor și sistemelor informatice;
k) managementul suporturilor de memorie externă;
l) asigurarea protecției fizice a rețelelor și sistemelor informatice;
m) realizarea planurilor de securitate;
n) asigurarea securității personalului;
o) analizarea și evaluarea riscurilor;
p) asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice;
q) managementul vulnerabilităților și alertelor de securitate.
(4) Normele tehnice prevăzute la alin. (1) aplicabile furnizorilor de servicii digitale se stabilesc în baza următoarelor categorii de activități de asigurare a securității rețelelor și sistemelor informatice:
a) securitatea sistemelor și a instalațiilor;
b) gestionarea incidentelor;
c) gestionarea continuității activității;
d) monitorizarea, auditarea și testarea;
e) conformitatea cu standardele europene și internaționale.
(5) În implementarea măsurilor de la alin. (1) operatorii de servicii esențiale:
a) identifică rețelele și sistemele informatice care susțin furnizarea de servicii esențiale;
b) elaborează și implementează politici și planuri proprii de securitate a rețelelor și sistemelor informatice;
c) asigură managementul incidentelor care afectează securitatea rețelelor și sistemelor informatice;
d) previn accesul neautorizat la rețelele și sistemele informatice;
e) previn diseminarea datelor deținute la nivelul rețelelor și sistemelor informatice către alte persoane decât cele autorizate să cunoască conținutul acestora;
f) implementează un sistem de management al riscului;
g) implementează planuri de acțiune pe niveluri de alertă de securitate a rețelelor și sistemelor informatice;
h) asigură continuitatea serviciilor.
(6) Normele tehnice prevăzute la alin. (1) se emit cu luarea în considerare a cerințelor și standardelor europene și internaționale fără a impune sau a discrimina în favoarea utilizării unui anumit tip de tehnologie.
SECȚIUNEA a 2-a – Notificarea incidentelor de securitate
Art. 26. –
(1) Notificările efectuate de operatorii de servicii esențiale în temeiul art. 10 alin. (1) lit. c) trebuie să îndeplinească condițiile și să conțină informațiile prevăzute în normele tehnice prevăzute la art. 20 lit. c).
(2) Notificările efectuate de furnizorii de servicii digitale în temeiul prevederilor art. 12 alin. (1) lit. c) trebuie să îndeplinească condițiile și să conțină informațiile prevăzute în normele tehnice prevăzute la art. 20 lit. c).
(3) Notificarea incidentelor conține, în mod obligatoriu, următoarele informații:
a) elementele de identificare ale infrastructurii și operatorului sau furnizorului în cauză;
b) descrierea incidentului;
c) perioada de desfășurare a incidentului;
d) impactul estimat al incidentului;
e) măsuri preliminare adoptate;
f) lista de autorități ale statului afectate de incident;
g) întinderea geografică potențială a incidentului;
h) date despre efecte potențial transfrontaliere ale incidentului.
(4) Notificarea prevăzută la alin. (1) și (2) nu va conține:
a) informații clasificate;
b) date care pot aduce atingere drepturilor și libertăților cetățenești ori intereselor legitime ale unor terțe entități implicate în incident, în condițiile legii.
(5) CERT-RO, în calitate de autoritate competentă la nivel național, elaborează și actualizează, prin decizie a directorului general publicată în Monitorul Oficial al României, Partea I, formularele necesare notificărilor de incident efectuate în temeiul prezentului articol, detaliind informațiile și documentațiile necesar a fi furnizate.
(6) CERT-RO, în calitate de CSIRT național, va stabili și va aduce la cunoștința publicului, precum și operatorilor și furnizorilor menționați în prezenta lege mijloacele de comunicare pentru efectuarea notificărilor cerute prin prezenta lege.
(7) Notificările privind incidentele ce fac obiectul prezentei legi pot fi făcute și de către echipele CSIRT ale entităților de drept public sau privat ori care deservesc un anumit sector de activitate ori de către furnizorii de servicii de securitate aflați în relație contractuală, conform atribuțiilor ce le revin în baza actului de înființare ori a contractului de prestări servicii, după caz.
(8) Notificarea făcută de o echipă CSIRT în temeiul alin. (7) echivalează cu notificarea făcută de operatorul sau furnizorul afectat, acesta purtând întreaga răspundere pentru conținutul notificării și îndeplinirea celorlalte obligații ce îi revin conform prezentei legi.
(9) Obligația de a notifica un incident de către furnizorii de servicii digitale se aplică doar în cazul în care aceștia au acces la informațiile necesare pentru a evalua impactul unui incident asupra parametrilor menționați la art. 28 alin. (2).
(10) Entitățile care nu au fost identificate drept operatori de servicii esențiale și nu sunt furnizori de servicii digitale pot notifica voluntar CERT-RO, în calitate de CSIRT național, furnizând cel puțin informațiile prevăzute la alin. (3), incidentele care au un impact semnificativ asupra continuității serviciilor pe care le furnizează.
(11) CERT-RO tratează notificările obligatorii cu prioritate față de notificările voluntare.
(12) Notificările voluntare se tratează doar atunci când această prelucrare nu împiedică îndeplinirea celorlalte obligații ce îi revin autorității competente la nivel național și în limita resurselor existente.
(13) Notificarea voluntară nu impune entității notificatoare nicio obligație care nu i-ar fi revenit dacă nu ar fi făcut notificarea.
(14) Notificările prevăzute la alin. (1) și (2) nu atrag răspunderea pentru entitățile care notifică, în condițiile respectării obligațiilor prevăzute de prezenta lege.
SECȚIUNEA a 3-a – Managementul incidentelor
Art. 27. –
După primirea notificării, CERT-RO, în calitate de CSIRT național:
a) evaluează preliminar impactul incidentului la nivel național și alertează, sesizează ori notifică sau, după caz, poate solicita operatorului sau furnizorului să alerteze alte entități afectate precum și autoritățile cu responsabilități în prevenirea, limitarea și combaterea efectelor incidentului, precum și autoritățile prevăzute la art. 16, potrivit legii;
b) poate solicita informații suplimentare operatorului sau furnizorului care a făcut notificarea în vederea îndeplinirii obligațiilor ce îi revin, menționând termenul de furnizare a acestora;
c) oferă operatorului sau furnizorului care a făcut notificarea, atunci când circumstanțele o permit, informații care ar putea sprijini administrarea incidentului;
d) în calitate de punct unic de contact, informează celelalte state membre sau partenere afectate dacă incidentul are un impact semnificativ asupra continuității serviciilor esențiale ori a serviciilor digitale în statele respective;
e) în urma analizei incidentelor, poate, după caz, declanșa acțiune de control pentru verificarea respectării cerințelor prezentei legi;
f) poate lua măsurile prevăzute la art. 41;
g) coordonează la nivel național răspunsul la incident în colaborare cu celelalte autorități și entități publice sau private, conform domeniului de activitate și responsabilitate.
Art. 28. –
(1) Impactul unui incident se determină ținând cont cel puțin de următorii parametri:
(i) în cazul operatorilor de servicii esențiale:
a) numărul de utilizatori afectați de perturbarea serviciului esențial;
b) durata incidentului;
c) distribuția geografică în ceea ce privește zona afectată de incident;
(ii) în cazul furnizorilor de servicii digitale:
a) numărul de utilizatori afectați de incident, în special utilizatori care se bazează pe serviciul pentru furnizarea propriilor servicii;
b) durata incidentului;
c) distribuția geografică în ceea ce privește zona afectată de incident;
d) amploarea perturbării funcționării serviciului;
e) amploarea impactului asupra activităților economice și societale.
(2) Grupul de lucru interinstituțional prevăzut la art. 6 alin. (4) elaborează și actualizează normele tehnice de stabilire a impactului pentru categoriile de operatori și furnizori prevăzuți de prezenta lege.
(3) Criteriile prevăzute la pct. 2. se aplică și notificărilor voluntare efectuate în temeiul prevederilor art. 26 alin. (10).
Art. 29. –
(1) CERT-RO poate înștiința publicul, atunci când informarea este necesară pentru a preveni un incident sau pentru a se administra un incident în curs.
(2) Pentru incidentele care afectează un operator de servicii esențiale sau un furnizor de servicii digitale, informarea menționată la alin. (1) se realizează după consultarea prealabilă a acestuia asupra conținutului înștiințării.
(3) În cazul furnizorilor de servicii digitale, informarea publicului specificată la alin. (1) poate fi făcută și direct de către aceștia la solicitarea CERT-RO ori a autorităților sau echipelor CSIRT ale altor state membre afectate.
Art. 30. –
(1) În activitățile de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale, de control, de primire a notificărilor privitoare la incidente și de management al acestora desfășurate în baza prezentei legi, precum și în procesele interne, CERT-RO protejează interesele de securitate și comerciale ale operatorului de servicii esențiale și ale furnizorului de servicii digitale, precum și confidențialitatea informațiilor furnizate.
(2) Cu excepția informațiilor necesare înștiințării de la art. 29 alin. (1), informațiile prelucrate în sensul îndeplinirii obligațiilor de la alin. (1) nu fac parte din categoria informațiilor de interes public așa cum acestea sunt reglementate în Legea nr. 544/2001 privind liberul acces la informațiile de interes public, cu modificările și completările ulterioare.
(3) Informațiile confidențiale conform legislației naționale și normelor Uniunii Europene, precum cele privind secretul comercial, fac obiectul schimbului de informații cu Comisia Europeană și cu alte autorități numai dacă acest lucru este necesar pentru aplicarea prezentei legi.
(4) Informațiile care fac obiectul schimbului menționat la alin. (3) se limitează la informații relevante și proporționale cu scopul urmărit.
(5) Schimbul de informații menționat la alin. (3) se va face cu garantarea păstrării confidențialității informațiilor și protejarea securității și intereselor comerciale ale operatorilor de servicii esențiale și ale furnizorilor de servicii digitale.
(6) Prelucrările de date cu caracter personal ce intră sub incidența prezentei legi se efectuează cu respectarea reglementărilor legale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.
(7) Notificările realizate în temeiul prezentei legi nu afectează obligațiile operatorilor de date cu caracter personal stabilite potrivit art. 33 și 34 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
(8) În scopul îndeplinirii atribuțiilor ori furnizării serviciilor prevăzute de prezenta lege, precum și în scopul prevenirii și răspunsului la incidentele de securitate informatică ori al cooperării la nivel național, comunitar și internațional în prevenirea și răspunsul la incidentele de securitate informatică, CERT-RO colectează, primește, prelucrează și transmite date și informații ce pot constitui sau pot conține date cu caracter personal, în limitele legislației aplicabile, cu asigurarea respectării prevederilor alin. (6).
Leave A Comment?