Pe 12 ianuarie 2019 a intrat în vigoare Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, după publicarea acesteia în Monitorul Oficial. Actul normativ are o importanţă deosebită pentru România, deoarece transpune la nivel naţional Directiva NIS nr. 1148/2016 şi aliniază ţara noastră la un cadru european comun de răspuns la incidente de securitate cibernetică.
De ce este importantă Legea nr. 362/2018 de transpunere a Directivei NIS în România?
Noile reglementări legislative vizează asigurarea securității rețelelor și sistemelor informatice ce deservesc activități vitale pentru economie și societate, precum infrastructură digitală, energie, transport, sănătate etc.. Mai exact, este stabilit mecanismul de prevenţie, detecţie şi reacţie în cazul unor incidente de securitate cibernetică, astfel încât impactul asupra economiei şi populaţiei să fie minim – toate acestea în contextul creşterii continue a riscurilor la care suntem expuşi în era digitală, nu doar la nivel individual.
Un exemplu relevant îl poate constitui cazul virusului cibernetic BlackEnergy care a afectat Ucraina timp de mai mulţi ani, culminând cu o pană de curent în decembrie 2015 ce a lăsat aproximativ 230.000 de persoane fără electricitate. Acest atac cibernetic asupra infrastructurilor critice din Ucraina este doar unul dintre multiplele semnale de alarmă din ultimii ani asupra modului în care populaţia şi economia unei ţări pot fi afectate direct, la scară largă.
Cine este vizat de Legea de transpunere a Directivei NIS?
În primul rând, sunt vizaţi operatorii de servicii esenţiale – persoanele fizice sau juridice, de stat sau private, care furnizează servicii din următoarele sectoare:
· energie (electricitate, petrol, gaze naturale);
· transport (aerian, feroviar, pe apă, rutier);
· bancar;
· infrastructuri ale pieţei financiare;
· sănătate (instituții de asistență medical, inclusiv spitale și clinici private);
· furnizarea şi distribuirea de apă potabilă;
· infrastructură digitală.
De reţinut că, potrivit Legii nr. 362/2018, un serviciu este considerat esențial dacă furnizarea lui îndeplinește cumulativ următoarele condiții:
· serviciul este esențial în susținerea unor activități societale și/sau economice de cea mai mare importanță;
· furnizarea sa depinde de o rețea sau de un sistem informatic;
· furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.
În ceea ce priveşte autoritatea competentă a nivel național pentru securitatea rețelelor și a sistemelor informatice, funcţia revine Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO). Instituţia se va consulta şi va coopera cu SRI, MApN, MAI, ORNISS, SIE, STS, SPP etc.
De asemenea, în cadrul CERT-RO se organizează și funcționează și:
· punctul unic de contact la nivel național;
· echipa de răspuns la incidente de securitate informatică la nivel național, denumită în continuare echipa CSIRT națională sau CSIRT național.