S-a întîmplat ca propunerea de Lege a securității cibernetice să rămînă la stadiul de… propunere chiar după cele două runde de consultări publice. Din declarațiile fostului ministru MCSI, această propunere se află „pe masa guvernului„. Din punctul meu de vedere, această întîrziere este bună pentru că oferă legiuitorului nostru suficient răgaz pentru a veni cu o versiune îmbunătățită.

Între timp, Directiva NIS a fost votată de către consiliul UE în luna mai și astăzi se așteaptă votul final al Parlamentului European.

Conform datelor oficiale, intrarea  în vigoare a Directivei se va face începînd cu luna august 2016. Statele membre vor avea la dispoziție 21 de luni pentru transpunerea cerințelor în legislația națională și un plus de 6 luni pentru identificarea „operatorilor de servicii esențiale„. Ca și în cazul GDPR, 2018 va fi termenul limită!

Statele membre se asigură că administrațiile publice și operatorii de piață iau măsurile tehnice și organizatorice adecvate pentru a gestiona riscurile de securitate a rețelelor și a sistemelor informatice aflate sub controlul lor și pe care le utilizează în activitățile lor. Ținând seama de cea mai avansată tehnologie, aceste măsuri trebuie să garanteze un nivel de securitate adecvat riscului existent. Trebuie luate, în special, măsuri pentru a preveni și a reduce la minimum impactul incidentelor care afectează rețeaua sau sistemul informatic utilizat pentru furnizarea serviciilor esențiale, asigurând astfel continuitatea serviciilor care se bazează pe rețeaua sau sistemul informatic respectiv.

Dintre multitudinea de neconcordanțe dintre Legea propusă de MCSI și cerințele NIS amintesc acum doar pe cea privitoare la audit. În timp ce propunerea MCSI includea „auditorul„ în categoria „furnizorilor de servicii de securitate„ și impunea obligativitatea acestora de a se înscrie într-un registru la MCSI, Directiva NIS are următoarea abordare:

Statele membre se asigură că autoritățile competente sunt împuternicite să solicite operatorilor de piață și administrațiilor publice:

(a) să furnizeze informațiile necesare pentru evaluarea securității rețelelor și a sistemelor lor informatice, inclusiv documente privind politicile de securitate;

(b) să se supună unui audit de securitate efectuat de un organism calificat independent sau de o autoritate națională și să le pună la dispoziție rezultatele acestuia.

Din punctul meu de vedere soluția din Propunere nu este în acord cu prevederile Directivei. Lucrurile sînt clare în ceea ce privește asumarea responsabilității auditului:

• fie se decide înființarea unui corp profesional al auditorilor (cum este cazul domeniului financiar – CAFR) – am scris despre așa ceva în 2014 :), corp care va fi independent;
• fie legiuitorul își va asuma această responsabilitate printr-o autoritate națională

Statele membre adoptă și publică, până cel târziu la [un an și jumătate după data adoptării], actele cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive. Statele membre comunică fără întârziere Comisiei textul acestor acte.

Statele membre aplică actele în cauză începând cu [un an și jumătate după data adoptării].

Atunci când statele membre adoptă actele respective, acestea conțin o trimitere la prezenta directivă sau sunt însoțite de o astfel de trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.