După cum anunță Hotnews legea a fost transmisă către Monitorul Oficial spre publicare. Textul poate ci citit aici.

Cu puțin timp în urmă, în martie anul curent (după multe discuții și controverse), Parlamentul European a votat în favoarea Network and Informaton Security Directive. Despre acest subiect am mai scris. Această directivă va trebui transpusă în legislația națională.

În legătură cu Legea noastră, constat aceleași probleme ca în cazul instrucțiunii ASF: obiectivul este bun, scriitura este superficială. Se prea poate ca scopul acestei legi să fie chiar o încercare de transpunere legislativă a cerințelor NIS.

Care este scopul celor două reglementări?

This Directive lays down measures to ensure a high common level of network and  information security (hereinafter referred to as „NIS”) within the Union.
2.  To that end, this Directive:
(a)  lays down obligations for all Member States concerning the prevention, the handling of and the response to risks and incidents affecting networks and information systems;
(b)  creates a cooperation mechanism between Member States in order to ensure a uniform application of this Directive within the Union and, where necessary, a coordinated and efficient handling of and response to risks and incidents affecting network and information systems;
(c)  establishes security requirements for market operators and public administrations.

versus

 Prezenta lege stabileşte cadrul general de reglementare a activităţilor în domeniul securităţii cibernetice  și obligaţiile ce revin persoanelor juridice de drept public sau privat în scopul protejării infrastructurilor cibernetice.
Art. 2 -Dispoziţiile prezentei legi se aplică persoanelor juridice de drept public sau privat, care au calitatea de proprietari, administratori, operatori sau utilizatori de infrastructuri  cibernetice,  denumite  în  continuare  deţinători  de  infrastructuri cibernetice.

O trecere în revistă a definițiilor.

Securitate

15. securitate cibernetică – starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic,  a resurselor  şi  serviciilor  publice  sau  private,  din  spaţiul  cibernetic.
Măsurile proactive şi reactive pot include politici, concepte, standarde şi ghiduri de securitate,  managementul  riscului,  activităţi  de  instruire  şi  conştientizare, implementarea  de  soluţii  tehnice  de  protejare  a  infrastructurilor  cibernetice, managementul identităţii, managementul consecinţelor;

versus

„security” means the ability of a network and information system to resist, at a given level of confidence, accident or malicious action that compromise the availability, authenticity, integrity and confidentiality ofstored or transmitted data or the related
services offered by or accessible via that network and information system;

„network and information system” means:
(a)  an electronic communications network within the meaning of Directive 2002/21/EC, and
(b)  any device or group of inter-connected orrelated devices, one or more of  which, pursuant to a program, perform automatic processing of computer data, as well as
(c)  computer data stored, processed, retrieved or transmitted by elements covered  under point (a) and (b) for the purposes of their operation, use, protection and maintenance.

 

Risc

risc de securitate în spaţiul cibernetic- probabilitatea ca o ameninţare să se materializeze, exploatând o anumită vulnerabilitate specifică infrastructurilor cibernetice;

versus

„risk” means any circumstance or event having a potential adverse effect on security;

Unele traduceri sînt chiar la nivel de începător:

vulnerabilitate  în  spaţiul  cibernetic –  slăbiciune (n.m: weakness, lb. eng) în  proiectarea  şi implementarea infrastructurilor cibernetice sau a măsurilor de securitate aferente care poate fi exploatată de către o ameninţare.

 

Presupun, cel puțin la nivel teoretic, că guvernul ar trebui să aibă cunoștință de această Directivă. Mă întreb, retoric firește, cum se poate promulga această lege înainte de a avea o strategie, lucru cerut și de viitoarea Directivă, nu doar de cursul firesc al lucrurilor (Strategia de Securitate cibernetică a României, are, din punctul meu de vedere, mai puțin de a face cu o strategie. Este o poveste, scrisă pe ici pe colo în limbaj de lemn și atît). Poate un alt titlu dat acestei legi ar fi fost mai nimerit.

 

Each Member State shall adopt a national NIS strategy defining the strategic  objectives and concrete policy and regulatory measures to achieve and maintain a high level of network and information security. The national NIS strategy shall address in particular the following issues:

(a)  The definition of the objectives and priorities of the strategy based on an up-to-date risk and incident analysis;
(b)  A governance framework to achieve the strategy objectives and priorities, including a clear definition of the roles and responsibilities of the government bodies and the other relevant actors;
(c)  The identification of the general measures on preparedness, response and recovery, including cooperation mechanisms between the public and private sectors;
(d)  An indication of the education, awareness raising and training programmes;
(e)  Research and development plans and a description of how these plans reflect the identified priorities.
2.  The national NIS strategy shall include a national NIS cooperation plan complying at least with the following requirements
(a)  A risk assessment plan to identify risks and assess the impacts of potential incidents;
(b)  The definition of the roles and responsibilities of the various actors involved in the implementation of the plan;
(c)  The definition of cooperation and communication processes ensuring prevention, detection, response, repair and recovery, and modulated according to the alert level;
(d)  A roadmap for NIS exercises and training to reinforce, validate, and test the plan. Lessons learned to be documented and incorporated into updates to the plan.
3.  The national NIS strategy and the national NIS cooperation plan shall be communicated to the Commission withinone month from their adoption.

Un ultim exemplu:

CAPITOLUL III– Asigurarea securităţii cibernetice
Art. 16 – Deţinătorii de infrastructuri ciberneticeau următoarele obligaţii:
a) să  adopte  şi  să  pună  în  aplicare  politici  de  securitate  cibernetică,  cu respectarea cerinţelor minime de securitate stabilite  la nivel naţional   de  Ministerul pentru Societatea Informaţională  sau  de către  alte autorităţi publice competente
potrivit legii;
b) să  identifice  şi  să  implementeze  măsurile  tehnice  şi  organizatorice adecvate  pentru  a  gestiona  eficient  riscurile  de  securitate  în  infrastructurile cibernetice proprii sau aflate în responsabilitate;
c) să prevină şi să reducă la minimum impactul incidentelor care afectează infrastructurile cibernetice proprii sau aflate în responsabilitate;
d) să  nu  afecteze,  prin  acţiunile  proprii,  securitatea  altor  infrastructuri cibernetice;
e) să prevină accesul neautorizat al persoanelor la resursele infrastructurilor cibernetice proprii sau aflate în responsabilitate;
f) să  se  asigure  că  datele  şi/sau  informaţiile  referitoare  la  configurarea  şi protecţia  infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le cunoască

Nu știu să existe la această dată nici un fel de criterii minime de securitate stabilite la nivel național de către MCSI sau alte autorități publice competente. Este posibil să existe, caz în care este strict vina mea.

Pe de altă parte, Directiva impune ca statele membre să asigure.

CHAPTER IV
SECURITY OF THE NETWORKS AND INFORMATION SYSTEMS OF PUBLIC ADMINISTRATIONS AND MARKET OPERATORS

Article 14
Security requirements and incident notification

1. Member States shall ensure that public administrations and market operators take  appropriate technical and organisational measures to manage the risks posed to the security of the networks and information systems which they control and use in their operations. Having regard to the state of the art, these measures shall guarantee a level of security appropriate to the risk presented. In particular, measures shall be taken to prevent and minimise the impact of incidents affecting their network and information system on the core services theyprovide and thus ensure the continuity of the services underpinned by those networks and information systems.
2.  Member States shall ensure that public administrations and market operators notify to the competent authority incidents having a significant impact on the security of the core services they provide.
3.  The requirements under paragraphs 1 and 2 apply to all marketoperators providing services within the European Union.

 

Urmează și altceva după această directivă? Da. folosirea acelorași standarde:

 

Article 16
Standardisation
1.  To ensure convergent implementation of Article 14(1), Member States shall encourage the use of standards and/or specifications relevant to networks and information security.
2.  The Commission shall draw up, by means of implementing acts a list of the standards referred to in paragraph 1. The list shall be published in the Official Journal of the European Union.