Blog

(Directiva NIS transpusă în legislația românească)

Da, dacă sunteți printre companiile care activează în sectorul energetic, medical, servicii financiare, transport, comunicații sau furnizori de apă potabilă.

A fost publicată Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice în Monitorul Oficial. Această lege transpune reglementările Directivei (UE) nr. 1148/2016 prin care se stabilesc măsuri de securitate obligatorii precum și recomandările în cazul unui incident informatic.

Începem cu sfârșitul, legea prevede sancțiuni consistente pentru încălcările prevederilor sale, cu amendă în cuantum de la 0,5% la 2% din cifra de afaceri, iar, în cazul unor încălcări repetate, limita maximă a amenzii este de 5% din cifra de afaceri (pentru persoane juridice cu cifra de afaceri > 2 mil RON/an, adică 95% din entitătile cărora le este adresată legea).

“Pentru a recupera” întârzierea cu aprox 6 luni de la termenul de 2 ani în care trebuia transpunsă în legislația romanească directivă UE, guvernanții au mai împachetat un termen de grație de 6 luni de la publicare pentru emiterea de către CERT.RO a normelor tehnice, precum și un termen de 6 luni de aplicare a acestora. Așadar, companiile vizate mai au la dispoziție 10 luni  să devină aliniați cu aceste prevederi.

Cele mai importante sunt:

  • Obligativitatea înscrierii în Registrul Operatorilor de Servicii Esențiale, cu tot cu persoana de contact nominalizată (ca și DPO-ul în cazul GDPR) pentru organizațiile în cauză;
  • Obligativitatea notificării incidentelor de securitate către CERT.RO. După caz, rezolvarea acestora cu ajutorul echipelor de răspuns la incidente de securitate cibernetică CSIRT;
  • Îndeplinirea anumitor standarde minime de securitate-tehnic vorbind:
    • managementul identificării şi autentificării utilizatorilor, managementul drepturilor de acces (adică 2FA/MFA peste AD, fileserver integrat);
    • jurnalizarea şi asigurarea trasabilităţii activităţilor în cadrul reţelelor şi sistemelor informatice (adică SIEM);
    • Firewall de segmentare internă, mai ales între rețele SCADA și rețelele “office”;
    • Protecția fizică a sistemelor (control acces, supraveghere video incintă, alte elemente care țin de locație);
    • Obligativitatea existenței unei soluții de BCDR și existența unui plan documentat în acest scop;
    • Un sistem de patch management centralizat;
    • Obligativitatea auditului de securitate anual, axat pe securitatea cibernetică;
    • Conştientizarea şi instruirea utilizatorilor;

Totusi, obligativitatea implementării acestor prevederi este un lucru pozitiv, având în vedere impactul potential al breselor de securitate suferite de companiile care activează în sectoarele sus-menționate. Probabil că multe companii sunt “aproape” conforme, iar alinierea lor completă nu presupune investiții colosale. Elementele tehnice care trebuie respectate le considerăm a fi de bun simț, iar toate aceste organizații ar fi trebuit să se uite deja către astfel de soluții de mai multă vreme. Până la urmă, securitatea în IT nu e un subiect nou. În lunile următoare, vom deschide acest subiect cu clienții noștri, care se încadrează în segmentele amintite.

Nu ne-am supara dacă provocarea ar veni și din partea dumneavoastră. Ne-am simti cu toții foarte bine dacă argumentele tehnice ar fi hotărâtoare în definirea de către CERT.RO a criteriilor tehnice de respectat atât pentru soluțiile eligibile în atingerea acestor obiective, cât și în componența echipelor de audit. Cel mai rău lucru posibil ar fi aruncarea în derizoriu a unei inițiative corecte, prin facilitarea comerțului cu maculatura sau software inutil, furnizată de persoane cu “anumite” certificări, sau deghizarea unei taxe anuale sub pretextul efectuării unui audit.