NIS v2.0

Pe 16.12.2020 Comisia Europeană a adoptat propunerea de directivă revizuită privind securitatea rețelelor și a sistemelor informatice (Directiva NIS 2). Propunerea va face obiectul negocierilor dintre colegislatori, în special Consiliul UE și Parlamentul European. Odată ce propunerea este convenită și adoptată în consecință, statele membre vor trebui să transpună Directiva NIS2 în termen de 18 luni. Comisia trebuie să revizuiască periodic Directiva NIS2 și să raporteze cu privire la revizuire la 54 de luni de la intrarea în vigoare. 

Îndrăznesc să spun că întîrzierile locale ne ajută în acest moment. Vom avea la dispoziție minim 2 ani pentru a avea o legislație coerentă plecînd de la acestă propunere și de la documentele/ghidurile/recomandările ENISA. Se poate deja începe proiectarea unei noi strategii de securitate cibernetică după noile cerințe: obiectivele strategice și măsurile de politică și de reglementare adecvate. Strategia națională de securitate cibernetică trebuie să includă, în special: 

  • o definiție a obiectivelor și priorităților strategiei României privind securitatea cibernetică; 
  • un cadru de guvernare pentru a atinge aceste obiective și priorități
  • rolurile și responsabilitățile organismelor și entităților publice, precum și ale altor actori relevanți;
  • o evaluare pentru identificarea activelor relevante și a riscurilor de securitate cibernetică în România
  • o identificare a măsurilor care asigură pregătirea, răspunsul și recuperarea la incidente, inclusiv cooperarea între sectoarele public și privat;
  • lista autorităților și actorilor implicați în implementarea strategiei naționale de securitate cibernetică; 
  • un cadru politic pentru o coordonare sporită între autoritățile competente

Directiva revizuită precizează că, statele membre, ca parte a strategiei naționale de securitate cibernetică, adoptă în special:

  • o politică care abordează securitatea cibernetică în lanțul de aprovizionare cu produse și servicii TIC utilizate de entități esențiale și importante pentru furnizarea serviciilor lor;
  • orientări privind includerea și specificarea cerințelor legate de securitatea cibernetică pentru produsele și serviciile TIC în achizițiile publice;
  • o politică de promovare și facilitare a dezvăluirii coordonate a vulnerabilităților;
  • o politică legată de susținerea disponibilității generale și a integrității internetului deschis;
  • o politică privind promovarea și dezvoltarea abilităților de securitate cibernetică, sensibilizarea și inițiativele de cercetare și dezvoltare;
  • o politică de sprijinire a instituțiilor academice și de cercetare în dezvoltarea instrumentelor de securitate cibernetică și a infrastructurii de rețea securizate;
  • o politică, proceduri relevante și instrumente adecvate de schimb de informații pentru a sprijini schimbul voluntar de informații privind securitatea cibernetică între companii, în conformitate cu legislația Uniunii
  • o politică care abordează nevoile specifice ale IMM-urilor, în special cele excluse din domeniul de aplicare al directivei, în ceea ce privește orientarea și sprijinul pentru îmbunătățirea rezistenței lor la amenințările la adresa securității cibernetice.

Și dacă strategia națională din 2013 a fost uitată, acum Directiva revizuită precizează că „Statele membre își evaluează strategiile naționale de securitate cibernetică cel puțin o dată la patru ani pe baza indicatorilor cheie de performanță„

În urmă cu o săptămînă scriam că Avem nevoie de un Directorat pentru securitatea cibernetică. Directiva revizuită face referire la o astfel de autoritate: „una sau mai multe autorități competente responsabile de securitatea cibernetică și de sarcinile de supraveghere„ care:

  • monitorizează aplicarea directivei la nivel național. 
  • este punct de contact național privind securitatea cibernetică („punct unic de contact”). 

Prin urmare, DNSC nu va fi „all-in-one„!

Tot în articolul de acum o săptămînă scriam că „DNSC trebuie să aibă de la bun început alocat un buget consistent prin care să pună în practică un „program național de securitate„ care atinge obiectivele unei strategii de securitate.„. În Articolul 8 din noua Directivă se precizează că autoritățile competente trebuie „să dispună de resurse adecvate pentru a îndeplini, într-un mod eficient și eficace, sarcinile care le-au fost atribuite și, prin urmare, pentru a îndeplini obiectivele prezentei directive.„

Managementul entităților care intră sub incidența Directivei răspunde explicit de punerea în aplicare a măsurilor de securitate „având în vedere stadiul tehnicii„:

  • analiza riscurilor și politicile de securitate a sistemului informațional;
  • gestionarea incidentelor (prevenirea, detectarea și răspunsul la incidente);
  • continuitatea activității și gestionarea crizelor;
  • securitatea lanțului de aprovizionare, inclusiv aspecte legate de securitate referitoare la relațiile dintre fiecare entitate și furnizorii săi sau furnizorii de servicii, cum ar fi furnizorii de servicii de stocare și procesare a datelor sau servicii de securitate gestionate;
  • securitatea achiziționării, dezvoltării și întreținerii sistemelor, inclusiv gestionarea și divulgarea vulnerabilităților;
  • politici și proceduri (testare și audit) pentru a evalua eficacitatea măsurilor de gestionare a riscului de securitate cibernetică;
  • utilizarea criptografiei și criptării.

Despre „puterile„ autorității competente (DNSC):

  • emite avertismente cu privire la nerespectarea de către entități a obligațiilor stabilite în directivă;
  • emite instrucțiuni obligatorii sau un ordin prin care se solicită entităților respective să remedieze deficiențele identificate sau încălcările obligațiilor prevăzute în directivă;
  • dispune entităților respective să înceteze comportamentul care nu este conform cu obligațiile prevăzute în directivă și să renunțe la repetarea comportamentului respectiv;
  • ordonă entităților respective să își aducă măsurile de gestionare a riscurilor și/sau obligațiile de raportare în conformitate cu obligațiile prevăzute, într-un mod specific și într-o perioadă specificată;
  • ordonă acestor entități să informeze persoana (persoanele) fizică sau juridică cărora le furnizează servicii sau activități care pot fi afectate de o amenințare cibernetică semnificativă cu privire la orice măsuri de protecție sau de remediere care pot fi luate de acea persoană fizică sau juridică ca răspuns la acea amenințare;
  • ordonă entităților respective să pună în aplicare recomandările furnizate ca urmare a unui audit de securitate într-un termen rezonabil;
  • desemnează un ofițer de monitorizare cu sarcini bine definite pe o perioadă determinată de timp pentru a supraveghea respectarea obligațiilor entităților
  • ordonă entităților respective să facă publice aspecte ale nerespectării obligațiilor prevăzute în directivă într-un mod specific;
  • emit declarații publice care identifică persoana (persoanele) juridică și fizică responsabilă pentru încălcarea unei obligații prevăzute în directivă și natura încălcării respective;
  • impune sau solicită impunerea de către organele sau instanțele competente în conformitate cu legislația națională a unei amenzi administrative în plus față de sau în loc de măsurile menționate, în funcție de circumstanțele fiecărui caz individual.

Dar cel mai mult îmi place asta:

„să impună sau să solicite impunerea de către organele sau instanțele competente în conformitate cu legislația națională a unei interdicții temporare împotriva oricărei persoane care își îndeplinește responsabilitățile manageriale la nivel de director executiv sau reprezentant legal în acea entitate esențială și a oricărei alte persoane fizice considerate responsabile pentru încălcare securității, de la exercitarea funcțiilor manageriale în acea entitate.„

Și nu în ultimul rînd: dacă „breșa„ afectează datele cu caracter personal, „autoritatea competentă„ trebuie să anunțe ANSPDC…

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.