Pe 8 decembrie s-a obținut acordul asupra Directivei NIS: „Negotiators of the European Parliament, the Council and the Commission have agreed on the first EU-wide legislation on cybersecurity.„ Urmează aprobarea sa formală, posibil în a doua parte a anului 2016.

Am mai scris cîte ceva despre acest subiect: 1, 2.

Cerințele de bază ale acestei Directive:

1. Administrațiile publice și operatorii de piață trebuie să asigure securitatea rețelelor și a sistemelor aflate sub controlul lor
2. Pentru a evita impunerea unei sarcini financiare și administrative disproporționate asupra micilor operatori și a utilizatorilor, cerințele trebuie să fie proporționale cu riscurile la care este expusă rețeaua sau sistemul informatic în cauză, ținând seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri. Aceste cerințe nu trebuie să se aplice microîntreprinderilor.
3. Statele membre se asigură că administrațiile publice  și operatorii de piață iau măsurile tehnice și organizatorice adecvate pentru a gestiona riscurile de securitate a rețelelor și a sistemelor informatice aflate sub controlul lor și pe care le utilizează în activitățile lor. Ținând seama de cea mai avansată tehnologie, aceste măsuri trebuie să garanteze un nivel de securitate adecvat riscului existent. Trebuie luate, în special, măsuri pentru a preveni și a reduce la minimum impactul incidentelor care afectează rețeaua sau sistemul informatic utilizat pentru furnizarea serviciilor esențiale, asigurând astfel continuitatea serviciilor care se bazează pe rețeaua sau sistemul informatic respectiv.
4. Statele membre se asigură că administrațiile publice și operatorii de piață notifică autorității competente incidentele care au un impact semnificativ asupra securității serviciilor esențiale pe care le furnizează

În teorie aceste cerințe se înțeleg cam așa:

• managementul riscurilor nu ar trebui să mai fie un simplu formalism, simple pagini listate și aruncate într-un dosar.
• dacă nu aveam o cerință ce impunea transmiterea incidentelor de securitate către CERT, de acum CERT este obligat să notifice celelalte CERT-uri. Raportarea incidentelor de securitate către CERT de către operatorii din piață este obligatorie;
• după managementul riscurilor operatorii de piață trebuie să își pună la punct infrastructura pentru a gestiona în mod real riscurile și a putea raporta incidentele.

La  nivel național ar trebui să urmeze cîteva reglementări specifice care să transpună cerințele directivei. Așept cu mare interes cum vor fi reglementate cel puțin două aspecte:

• Statele membre se asigură că autoritățile competente sunt împuternicite să solicite operatorilor de piață și administrațiilor publice:
  (a)  să furnizeze informațiile necesare pentru evaluarea securității rețelelor și a sistemelor lor informatice, inclusiv documente privind politicile de securitate;
  (b)  să se supună unui audit de securitate efectuat de un organism calificat independent sau de o autoritate națională și să le pună la dispoziție rezultatele acestuia.

Nu îmi pun prea mari speranțe cu privire la cine din cele două entități va face auditul de securitate….