MCSI: Proiectul de lege privind transpunerea Directivei Networking Information Security, adoptat de Camera Deputaţilor

‘Este îmbucurător pentru mine să văd că parlamentarii au înţeles importanţa şi necesitatea transpunerii acestei directive la nivelul României şi au răspuns cu celeritate demersului legislativ iniţiat de noi. După ce va fi promulgată, noua lege va impune măsuri minime de securitate şi obligaţia de notificare a incidentelor de securitate apărute la nivelul operatorilor de servicii esenţiale şi furnizorilor de servicii digitale’, susţine Bogdan Cojocaru, ministrul de resort.

Potrivit MCSI, viitoarea lege va crea structuri şi va institui mecanismele necesare pentru cooperarea strategică şi operaţională între statele membre şi pentru creşterea nivelului de rezilienţă al reţelelor şi al sistemelor informatice de pe teritoriul Uniunii Europene. Totodată, aceasta se va adresa şi unor categorii de servicii digitale, precum serviciile cloud, motoarele de căutare şi pieţele online.

‘Pentru mine şi echipa Centrului este un succes, întrucât CERT-RO a participat activ la acest proiect, asigurând suportul tehnic necesar. Această reglementare va asigura creşterea gradului de securitate al celor mai importante reţele IT de pe teritoriul României, dar şi al spaţiului cibernetic românesc în general’, a precizat, la rândul său, Cătălin Aramă, director general al Centrului Naţional de Răspuns la Incidente de Securitate Naţională (CERT-RO).

Viitorul act normativ va fi trimis spre promulgare şi va stabili în sarcina CERT-RO funcţia de autoritate competentă la nivel naţional, echipa de răspuns la incidente de securitate informatică, fiind vorba despre echipa CSIRT Naţională, şi un punct unic de contact. De asemenea, este prevăzută primirea notificărilor de incidente, coordonarea la nivel naţional a răspunsului şi cooperarea cu celelalte instituţii şi autorităţi cu atribuţii în domeniu.

Companiile din România care furnizează servicii esenţiale către populaţie şi care se confruntă, la un moment dat, cu probleme de securitate informatică vor fi obligate să notifice către Centrul Naţional de Răspuns la Incidente de Securitate Naţională (CERT-RO) aceste incidente, dar şi să se înscrie în Registrul operatorilor de servicii esenţiale, prevede proiectul de lege aprobat de Guvern în şedinţa săptămânală de la începutul lunii aprilie, care transpune în legislaţia naţională Directiva NIS.

Sectoarele de activitate şi tipurile de servicii ce intră sub incidenţa directivei sunt următoarele: transporturile, sectorul energetic, sectorul bancar, infrastructurile pieţei financiare, sănătatea, furnizarea şi distribuirea de apă potabilă şi infrastructura digitală. Totodată, proiectul se adresează unor categorii de servicii digitale, precum serviciile cloud, motoarele de căutare şi pieţele online.

Proiectul de lege stabileşte categoriile de măsuri de securitate necesare şi obligaţia entităţilor vizate de a le implementa, obligaţia notificării incidentelor de securitate şi obligaţia privind înscrierea în Registrul operatorilor de servicii esenţiale.

La finele lunii ianuarie 2016, Ministerul Comunicaţiilor a lansat în dezbatere publică noul proiect de Lege privind Securitatea Cibernetică a României, ce a luat în considerare criticile aduse prin Decizia nr. 17/2015 a Curţii Constituţionale a României (CCR) asupra obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind Securitatea Cibernetică a României. În 2015, Curtea Constituţională a României îşi motiva decizia prin faptul că Legea privind securitatea cibernetică încalcă prevederile constituţionale privind statul de drept şi principiul legalităţii, precum şi cele privind viaţa intimă, familială şi privată, respectiv secretul corespondenţei.

Directiva NIS prevede, în linii mari, că toate companiile care furnizează servicii esenţiale către populaţie (energie, transporturi, utilităţi, sistemul bancar, sistemul pieţelor financiare etc.) trebuie să minimeze riscurile şi ia măsuri interne manageriale şi de natură tehnică, astfel încât să diminueze riscul cibernetic.

Practic, în planul de afaceri pe care companiile îl vor avea, pe lângă celelalte categorii de riscuri care sunt acoperite prin costuri specifice, cum ar fi riscul de incendiu, trebuie să ia în calcul şi riscurile cibernetice. În cazul în care aceste companii nu se conformează solicitărilor pe care Parlamentul European şi Consiliul European le-au inclus în Directivă riscă o amendă proporţională cu cifra de afaceri anuală.

România trebuia să transpună în legislaţia naţională prevederile Directivei NIS, la fel ca şi celelalte state membre ale Uniunii Europene, până pe data de 9 mai 2018.