Încă nu au fost publicate normele de aplicare și nici cerințele minime de securitate. Chiar și așa, încerc un exercițiu.

Să presupunem că organizația care intră sub incidența viitoarei legi este un furnizor de utilități: companie apa-canal

Art.2 – Prezenta lege se aplică:

1. autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare aduce atingere securităţii naţionale sau prejudicii grave statului român ori cetăţenilor acestuia;
2. persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal;

Organizația luată ca exemplu va intra și sub incidența GDPR și NIS. Spre deosebire de NIS care cuprinde în mod explicit furnizorii de utilități, legea noastră trebuie mai întîi să identifice deținătorii de infrastructuri critice și să întocmească catalogul ICIN. Cu o probabilitate destul de mare, organizația noastră se va încadra la cel puțin două categorii:;

 

c) infrastructuri cibernetice din sectoarele energetic, alimentare cu apă, alimentație, sănătate, transporturi, industrie chimică și nucleară, spațiu și cercetare;

g) infrastructuri cibernetice de tip Sistem de Control Industrial;

Art. 21– (1) Deţinătorii de infrastructuri cibernetice prevăzuți la art. 2 lit. a) – c) au următoarele obligaţii:

1. să asigure implementarea cerinţelor minime de securitate cibernetică;
2. să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;
3. să se asigure că datele tehnice referitoare la configurarea şi protecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le cunoască;
4. să nu permită accesul la datele de conţinut din infrastructurile cibernetice deţinute sau aflate în competenţă, în lipsa unei înştiinţări scrise din partea autorităţilor abilitate, privind existenţa unei autorizaţii emise de judecător, în condiţiile legii;
5. să gestioneze incidentele de securitate cibernetică;
6. să nu afecteze, prin acţiunile proprii, securitatea altor infrastructuri cibernetice.

(2) Faţă de cele prevăzute la alin. (1), deţinătorii de infrastructuri cibernetice de interes naţional au, suplimentar, următoarele obligaţii:

1. să efectueze auditări de securitate cibernetică, potrivit standardelor și specificațiilor europene sau internaționale, aplicabile în domeniul securității cibernetice;
2. să constituie structuri sau să desemneze persoane responsabile privind coordonarea activităţilor de securitate cibernetică;
3. să transmită autorităţilor competente copie după rapoartele de audit de securitate cibernetică;
4. să elaboreze şi să transmită autorităţii competente planuri de acţiune corespunzătoare fiecărui nivel de alertă cibernetică, pe care au obligaţia să le pună în aplicare la instituirea unui nivel de alertă cibernetică;
5. să transmită autorităţilor competente date referitoare la rezultatele măsurilor de contracarare a incidentelor de securitate cibernetică aplicate.

În înțelegerea mea, o astfel de organizație va fi și deținătoare de infrastructuri critice de interes național. Pe lîngă implementarea măsurilor minime de securitate, organizația luată ca exemplu trebuie să notifice incidentele de securitate:

Art. 21– (1) Deţinătorii de infrastructuri cibernetice prevăzuți la art. 2 lit. a) – c) au următoarele obligaţii:

1. să asigure implementarea cerinţelor minime de securitate cibernetică;
2. să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;
3. să se asigure că datele tehnice referitoare la configurarea şi protecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le cunoască;
4. să nu permită accesul la datele de conţinut din infrastructurile cibernetice deţinute sau aflate în competenţă, în lipsa unei înştiinţări scrise din partea autorităţilor abilitate, privind existenţa unei autorizaţii emise de judecător, în condiţiile legii;
5. să gestioneze incidentele de securitate cibernetică;
6. să nu afecteze, prin acţiunile proprii, securitatea altor infrastructuri cibernetice.

Legea reglementează managementul incidentelor:

Art. 25– (1) Notificarea incidentelor de securitate cibernetică se transmite în modalitatea stabilită de autoritatea competentă şi trebuie să conţină, în mod obligatoriu, următoarele elemente:

1. elementele de identificare ale infrastructurii cibernetice afectate;
2. descrierea incidentului;
3. perioada de desfăşurare a incidentului;
4. impactul incidentului.

Sper că actele juridice subsecvente aceste legi vor fi ceva mai clare…Cîteva opinii despre incidentul de securitate cibernetică care este definit ca

eveniment survenit în spaţiul cibernetic care perturbă funcționarea uneia sau mai multor infrastructuri cibernetice și ale cărui consecinţe sunt de natură a afecta securitatea cibernetică;

Interpretînd exact această definiție, se pare că divulgarea sau modificarea neautorizată a datelor (de exemplu, cele cu caracter personal cu siguranță nu afectează funcționarea nici unei infrastructuri) nu va fi incident de securitate conform legii noastre. Conform GDPR va trebui notificată:

de îndată ce a luat cunoștință de producerea unei încălcări a securității datelor cu caracter personal, operatorul ar trebui să notifice această încălcare autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în cel mult 72 de ore după ce a luat cunoștință de existența acesteia, cu excepția cazului în care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilității, că încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. Atunci când notificarea nu se poate realiza în termen de 72 de ore, aceasta ar trebui să cuprindă motivele întârzierii, iar informațiile pot fi furnizate treptat, fără altă întârziere.

Totuși legea noastră face referire și la date, dar nu în mod explicit ca fiind și ele parte a incidentelor:

Art. 17- (1) Evaluarea potenţialului impact asupra securităţii infrastructurilor cibernetice prin compromiterea confidenţialităţii, integrităţii, disponibilităţii, autenticităţii sau a non-repudierii datelor, resurselor şi serviciilor se realizează pe baza următoarelor criterii:

1. prejudiciul adus intereselor statului român;
2. prejudiciul produs în planul securităţii naţionale;
3. afectarea vieţii şi siguranţei cetăţeanului;
4. afectarea încrederii utilizatorilor în serviciile oferite;
5. prejudiciul material sau financiar;
6. întreruperea furnizării serviciului afectat;
7. utilizatorii afectaţi raportat la spaţiul geografic – internaţional, naţional, regional, local;
8. afectarea relaţiilor internaţionale în care România este angrenată;
9. afectarea infrastructurii critice de interes naţional în cazul în care infrastructura cibernetică este parte componentă a acesteia sau în interdependenţă cu aceasta;
10. interdependenţa cu alte infrastructuri cibernetice.

Aștept cu nerăbdare să aflu cum vor fi detaliate cele de mai sus.

La final cîteva rînduri despre audit.

audit de securitate cibernetică – activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unei infrastructuri cibernetice, în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora

Dar auditul de securitate cibernetică se va face „potrivit standardelor și specificațiilor europene sau internaționale, aplicabile în domeniul securității cibernetice„. Rezultă deci că cei care se vor înregistra la MCSI ca auditori vor folosi ca referențiale:

• legea
• standarde europene (???? eu nu știu să existe la această dată. Directiva NIS recunoaște acest aspect: „Standardizarea  cerințelor  de  securitate  este  un  proces  impulsionat  de  piață.  Pentru  a asigura o aplicare convergentă a standardelor de securitate, statele membre trebuie să încurajeze respectarea standardelor indicate sau conformitatea cu acestea, în vederea
  garantării unui nivel ridicat de securitate la nivelul Uniunii )
• standarde internaționale ( cîte dintre acestea sînt mandatare? Standardele ISO sînt facultative)

Așa cum la ASF sîny auditori înregistrați, exact la fel se va întîmpla și în acest caz. Cu atît mai mult cu cît acum „mămăliga„ este mai mare 🙂

Printre comentariile oficiale transmise MCSI a fost unul legat de audit. Mi s-a răspuns că actuala propunere legislativă nu dorește să reglementeze domeniul. Am înțeles. Privind însă spre 2018, anul limită cînd foarte probabil directiva NIS va trebui pusă în practică, mă întreb cum se vor rezolva două cerințe:

Statele  membre  se  asigură  că  autoritățile  competente  sunt  împuternicite să  solicite operatorilor de piață și administrațiilor publice:
(…)
(b)  să  se  supună  unui  audit  de  securitate  efectuat  de  un  organism  calificat independent sau de o autoritate națională și să le pună la dispoziție rezultatele acestuia.

(…)

Pentru a asigura aplicarea convergentă a articolului 14 alineatul (1), statele membre încurajează utilizarea standardelor și/sau a specificațiilor relevante pentru securitatea rețelelor și a informației.
2.  Comisia stabilește, prin acte de punere în aplicare, o listă a standardelor menționate la alineatul (1). Lista se publică în Jurnalul Oficial al Uniunii Europene.

Îndrăznesc o profeție: la cum arată acum, legea se va transforma într-un „generator„ de „politici și proceduri„ iar auditul în „certificate de bună purtare„. În cazul instituțiilor publice, deși în expunerea de motive se spune că nu va fi nici un impact bugetar, legea va fi un bun prilej de noi achiziții:

Art. 35 – (1) La nivelul instituţiilor publice, aşa cum sunt definite în Legea nr. 500/2002 privind finanţele publice, cu modificările şi completările ulterioare, fondurile necesare organizării şi desfăşurării activităţii în condiţiile prezentei legi se asigură de la bugetul de stat, din venituri proprii sau din alte surse legal constituite, anual, potrivit legii.

(2) Pentru buna desfăşurare a activităţilor specifice pot fi utilizate şi fonduri provenite din credite externe contractate sau garantate de stat şi ale căror rambursare, dobânzi şi alte costuri se asigură din fonduri publice, precum şi din fonduri externe sau europene.