Despre Legea NIS: întrebări și răspunsuri

1. Ce este Legea NIS?

Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice este cunoscută ca „Legea NIS”, și reprezintă o transpunere a Directivei UE nr. 2016/1148.

Prin acest act normativ se reglementează standarde tehnice și procedurale minime ce trebuie respectate de organizațiile care au calitatea de operatori de servicii esențiale, în scopul de a institui un nivel minim de securitate în tot spațiul comunitar.
Cu alte cuvinte, odată cu intrarea în vigoare a Legii NIS (vezi un articol mai vechi aici), orice operator de servicii esențiale trebuie să implementeze standardele tehnice și procedurale prevăzute de aceasta.

2. Ce sectoare sunt vizate de dispozițiile Legii NIS?

Legea NIS se aplică în principal operatorilor de servicii esențiale, iar în categoria serviciilor esențiale sunt incluse următoarele domenii: energie (electricitate, petrol, gaze naturale), transport (feroviar, terestru, aerian, naval), sectorul bancar, piețele financiare, domeniul sănătății, apa potabilă, infrastructura digitală.
Orice persoană fizică sau juridică, de drept privat sau de drept public, care acționează într-unul sau mai multe din aceste domenii este vizată de Legea NIS.

3. Care sunt măsurile și cerințele pentru asigurarea efectivă a securității?

Legea NIS instituie două categorii de măsuri: de ordin tehnic și de ordin procedural.
Printre măsurile de ordin tehnic se numără obligativitatea utilizării unor programe care să prevină apariția incidentelor de securitate, care să sesizeze automat apariția incidentului, jurnalizarea automată, standarde în materie de segmentare a rețelelor, de arhitectură a rețelei, de distribuire de roluri de administrator, de notificare a unui incident autorităților competente.
Printre măsurile de ordin procedural se numără instituirea obligativității implementării unor proceduri privind activitatea operatorului în raport de securitatea informatică, precum și a unei documentații specifice.

4. Care sunt sancțiunile prevăzute de Legea NIS?

Nerespectarea de către operatorii de servicii esențiale, sau de către alte persoane a dispozițiilor Legii NIS poate atrage răspunderea juridică a acestora (civilă, contravențională sau penală).
Amenzile contravenționale pornesc de la 3000 lei și pot ajunge până la 5% din cifra de afaceri, reprezentând așadar o sancțiune ce nu poate fi trecută cu vederea.

5. Daca nu sunt operator de servicii esențiale, mă impactează Legea NIS?

Poate că nu ai calitatea de operator de servicii esențiale, dar cu siguranță că vei interacționa sau contracta, direct sau indirect, cu un astfel de operator.
Întrucât Legea NIS instituie un nivel minim de securitate, deși acesta nu este obligatoriu pentru orice operator economic, va fi recunoscut ca un standard de bună practică în industrie.
Așadar, este important ca prevederile sale să fie cunoscute de întreg mediul de business.

6. De ce e nevoie de un audit de securitate cibernetica pentru a atesta conformitatea cu Legea NIS?

Legea NIS instituie obligativitatea ca orice operator de servicii esențiale să efectueze periodic un audit de securitate cibernetică.
Scopul acestui audit este acela de a atesta că măsurile de securitate impuse de lege există, au fost implementate de operatorul de servicii esențiale, și că este asigurat standardul minim de securitate a rețelelor și sistemelor informatice.

7. De ce sa apelez la serviciile unui consultant pentru a mă asigura că respect dispozițiile Legii NIS?

Legea NIS instituie o serie de standarde, atât tehnice, cât și procedurale, iar nerespectarea acestora poate atrage consecințe costisitoare (amenzi, compromiterea datelor și a proceselor companiei, pierderea credibilității în afaceri etc.).
Un consultant va echilibra cerințele impuse de legislație cu modelul business-ului tău, și va dezvolta un proiect tehnic relevant care să respecte măsurile tehnice, dar și să se încadreze într-un buget rezonabil. Mai mult, consultantul te poate ajuta în raport de cerințele procedurale, adaptând procedurile deja existente în compania ta sau sprijinindu-te în implementarea unui nou set de proceduri.
Auditorii acreditați în acest scop vor raporta Autoritații pentru Digitalizarea României rezultatele verificărilor efectuate. Poate fi o idee bună să lucrezi în prealabil cu un consultant pentru a te asigura ca raportul de audit nu va conține neconformități de natură să atragă amenzi consistente.

8. Vrei să afli mai multe detalii?

Serviciile noastre de consultanță asigură respectarea tuturor normelor tehnice privind securitatea cibernetică.