Înainte de a discuta/promulga o lege a securității cibernetice, consider că ar trebui să înțelegem contextul. Să pornim altfel spus top-down. Cînd discutăm despre context trebui să începem de la cel european și abia apoi să ajungem la cel național. Astfel am în vedere două Directive:

• Data Protection Directive (95/46/EC) obligă la implementarea măsurilor tehnice și organizatorice care să asigure protecția datelor cu caracter personal
• Network and Information Security Directive (în așteptarea votului final)

Directiva privind protecția datelor cu caracter personal este prima care suferă modificări. O aduc în discuție pentru că este direct legată de cea de a doua. ”Un singur continent – o singură reglementare”. În ianuarie  2014 a fost propusă nouă directivă din care citez aspectele pe care le consider mai importante:

Statele membre prevăd dispoziții potrivit cărora operatorul adoptă norme interne și pune în aplicare măsuri adecvatepentru a se asiguracă prelucrarea datelorcu caracter personal este realizată în conformitate cu dispozițiile adoptate în temeiul prezentei directive
2. Măsurile menționate la alineatul (1) cuprind în special:
(a) păstrarea documentației menționate la articolul 23;
(b) respectarea cerințelor privind consultarea prealabilă, în temeiul articolului 26;
(c) punerea în aplicare a cerințelor privind securitatea datelor prevăzute la articolul 27;
(d) desemnarea unui responsabil cu protecția datelor, în temeiul articolului 30.

(…)

Statele membre prevăd dispoziții potrivit cărora operatorul  și persoana împuternicită de  către  operator   pun  în  aplicare  măsuri   tehnice și organizatorice adecvate  pentru   a asigura un nivel de securitate corespunzător riscurilor pe care le presupune prelucrarea  și naturii datelor care trebuie protejate, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare.
2. În ceea ce privește prelucrarea automată a datelor, fiecare stat membru prevede dispoziții potrivit cărora operatorul sau persoana  împuternicită de către operator, în urma unei evaluări a riscurilor, puneîn aplicare măsuri menite:
(a) să  împiedice accesul  persoanelor  neautorizate  la  echipamentele   de  prelucrare  a datelor   utilizate   pentru   prelucrarea   datelor   cu   caracter   personal   (controlul accesului la echipamente);
(b) să   împiedice   orice   citire,   copiere,   modificare   sau   eliminare   neautorizată   a suporturilor de date (controlul suporturilor de date);
(c) să  împiedice   introducerea  neautorizată   de  date  și inspectarea,   modificarea  sau ștergerea neautorizată a datelor cu caracter personal stocate (controlul stocării);
(d) să   împiedice   utilizarea   sistemelor   de   prelucrare   automată   a   datelor   de   către persoane   neautorizate   cu   ajutorul   echipamentelor   de   comunicare   a   datelor (controlul utilizatorului);
(e) să   asigure   faptul   că   persoanele   autorizate   să   utilizeze   un   sistem  de   prelucrare automată a datelor au acces numai la datele pentru care au autorizare (controlul accesului la date);
(f) să asigure că este posibilă verificarea  și identificarea organismelor cărora le-au fost  transmise sau puse  la dispoziție sau s-ar putea să le fie  transmise sau puse la dispoziție date cu caracter personal utilizându-se echipamente de comunicare a datelor (controlul comunicării);
(g) să   asigure   că   este   posibil   ulterior   să   se   verifice  și   să   se   identifice   datele   cu caracter   personal   introduse   în   sistemele   de   prelucrare   automată   a   datelor, momentul   introducerii   acestora  și   entitatea   care   le-a   introdus   (controlul
introducerii datelor);
(h) să  împiedice  citirea,   copierea,   modificarea  sau  ștergerea  neautorizată  a  datelor cu caracter personal   în  timpul   transferurilor de date cu caracter personal sau în timpul transportării suporturilor de date (controlul transportării);

(…)

Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale  și,  în special, a cunoștințelor de specialitate în domeniul legislației și practicilor privind protecția  datelor,   precum și pe baza capacității de a îndeplini sarcinile prevăzute  la articolul 32.

Observăm că, cel puțin teoretic, un operator de date cu caracter personal va trebui să investească în tehnologie pentru că aceste date trebuie protejate pe întregul lor ciclu de viață: in-use (la nivel de endpoint), in-motion (traficul prin rețele), at-rest (dispozitive de stocare). În plus, conform amendamentului votat de Parlamentul European apar și sanțiunile în cazul oepratorilor de date cu caracter personal:

The supervisory authority shall impose a fine that shall not exceed 500 000 EUR, or in  case of an enterprise 1 % of its annual
worldwide turnover to any one who intentionallyor negligently infringes Articles 11, 12(3) and (4), 13, 14,15, 16, 17, 18, 24, 28, 31(4), 44(3), 80, 82, 83.

Despre cea de a doua Directivă am mai scris cîteva opinii.

Legea securității cibernetice a României este publicată la un an după aprobarea Strategiei de securitate cibernetică a României şi a Planului de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică. Conform cerințelor Directivei, Strategia națională de securitate cibernetică și Planul de cooperare vor trebui comunicate Comisiei într-o lună de la adoptare.  Printre altele, legea în discuție prevede că:

Art.20 – (1) Persoanele juridice de drept public sau privat care deţin sau au în responsabilitate ICIN au următoarele obligaţii:
a) să  stabilească  şi  să  aplice  măsuri  pentru  asigurarea  rezilienţei infrastructurilor cibernetice proprii sau aflate în responsabilitate;
b) să întocmească planul de securitate al ICIN, precum şi planuri de acțiune proprii corespunzătoare fiecărui nivel de alertă cibernetică;
c) să  efectueze  periodic  şi/sau  să  permită  efectuarea  unor  auditări  de securitate  cibernetică,  la  solicitarea  motivată  a  autorităţilor  competente  potrivit prezentei legi;
d) să  constituie  structuri  sau  să  desemneze  persoane  responsabile  cu prevenirea, identificarea şi reacţia la incidentele cibernetice;
e) să implementeze soluţii pentru gestionarea permanentă a evenimentelor din  spaţiul  cibernetic  care  pot  afecta  securitatea  infrastructurii  cibernetice  şi  să genereze alerte cu privire la acestea;
f) să aplice politicile de securitate prevăzute prin cerinţele minime stabilite conform dispoziţiilor prezentei legi;
g) să prevină şi să minimizeze, după caz, impactul incidentelor cibernetice asupra utilizatorilor sau beneficiarilor ICIN şi, după caz, să îi informeze cu privire la acestea;
h) să notifice imediat, după caz, CNSC, CERT-RO, ANCOM sau autorităţile desemnate, în condiţiile legii, în domeniul securității cibernetice cu privire la  riscurile şi incidentele cibernetice care, prin efectul lor, pot aduce prejudicii de orice natură utilizatorilor sau beneficiarilor serviciilor lor;
i) să respecte modalitatea de notificare, precum şi datele şi informaţiile care însoţesc în mod obligatoriu notificarea, stabilite potrivit alin.(2) al prezentului articol.

Să ne întoarcem la definiții:

4. audit  de  securitate  cibernetică –  evaluare  sistematică,  detaliată, măsurabilă  şi  tehnică  a  modului  în  care  politicile  de  securitate  cibernetică  sunt aplicate la nivelul infrastructurilor cibernetice, precum şi emiterea de recomandări
pentru minimizarea riscurilor identificate;

9. infrastructuri  cibernetice  de  interes  naţional  (ICIN)  –  infrastructurile cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale,  a  căror  afectare  poate  aduce  atingere  securităţii  naţionale,  sau
prejudicii grave statului român ori cetăţenilor acestuia;

”Statele membre nu sunt împiedicate să adopte sau să mențină dispoziții să asigure un nivel mai ridicat de securitate, fără a aduce atingere obligațiilor care le revin în temeiul dreptului Uniunii.” – se spune în Art. 2 al propunerii de Directivă. Există deci toată libertatea de a reglementa domeniul dacă prin asta ”se menține” un nivel mai ridicat de securitate.

Member States shall ensure that the competent authorities have the power to require market operators and public administrations to:
(a)  provide information needed to assess the security of their networks and information systems, including documented security policies;
(b)  undergo a security audit carried out by a qualified independent body or national authority and make the results thereof available to the competent authority

Cîteva concluzii:

• protecția datelor cu caracter personal trebuie să depășească stadiul de ”paper based”/notificări.
• propunerea de directivă (NIS) se adresează operatorilor din piață și administrațiilor publice în timp ce legea noastră aduce în discuție infrastructuri cibernetice critice (există Directive on European Critical Infrastructures)
• legea noastră definiște incorect auditul în timp ce propunerea de directivă europeană impune (shall) fără echivoc: un corp profesional independent (cine este/va fi în România????) sau o autoritate competentă!
• propunerea de directivă definește operatorii din  piață:

„market operator” means:
(a)  provider of information society serviceswhich enable the provision of other information society services, a non exhaustive list of which is set out in Annex II;
(b)  operator of critical infrastructure that are essential for the maintenance of vital economic and societal activities in the fields of energy, transport, banking, stock exchanges and health, a non exhaustive list of which is set out in Annex II.

Concret, operatorii din piață vizați de NIS sînt, cel puțin:

Referred to in Article 3(8) a):
1. e-commerce platforms
2. Internet payment gateways
3. Social networks
4. Search engines
5. Cloud computing services
6. Application stores

Referred to in Article (3(8) b):
1. Energy
–  Electricity and gas suppliers
–  Electricity and/or gas distribution system operators and retailers for final consumers
–  Natural gas transmission system operators, storage operators and LNG operators
–  Transmission system operators in electricity
–  Oil transmission pipelines and oil storage
–  Electricity and gas market operators
–  Operators of oil and natural gas production, refining and treatment facilities
2. Transport
–  Air carriers (freight and passenger air transport)
–  Maritime carriers (sea and coastal passenger water transport companies and sea and coastal freight water transport companies)
–  Railways (infrastructure managers, integrated companies and railway transport operators)
–  Airports
–  Ports
–  Traffic management control operators
–  Auxiliary logistics services (a) warehousing and storage, b) cargo handling and c) other transportation support activities)

3. Banking: credit institutions in accordance with Article 4.1 of Directive 2006/48/CE.

4. Financial market infrastructures: stock exchanges and central counterparty clearing houses

5. Health sector: health care settings (including hospitals and private clinics) and other entities involved in health care provisions