Statistici oficiale despre stadiul implementării măsurilor tehnice în organizațiile sancționate de ANSPDCP nu sînt. Știm doar că au fost sancționate, în cele mai multe cazuri, pe motiv de prelucrare incorectă sau lipsa măsurilor tehnice și organizatorice.

”Legea NIS” și ”GDPR” reglementează subiecte diferite. NIS se referă la securitatea rețelelor și a sistemelor informatice care prelucrează date digitale, în timp ce GDPR se referă la prelucrarea datelor cu caracter personal, inclusiv prelucrările manuale. Dar ”datele digitale” care trebuie protejate prin NIS includ orice fel de date, inclusiv cele cu caracter personal.

Cîteva preluări din REGULAMENTUL din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică respectiv NORMELE TEHNICE din 9 noiembrie 2020 privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale

Auditorul de securitate cibernetică trebuie să cunoască legislația de specialitate și să se preocupe în mod continuu de creșterea nivelului de pregătire, conform standardelor internaționale;

În desfășurarea unei activități de audit de securitate, auditorul de securitate cibernetică trebuie:a) să respecte legile și reglementările în vigoare pe teritoriul național;

Auditorul de securitate cibernetică trebuie să cunoască legislația română în vigoare, aplicabilă auditului de securitate cibernetică.

auditorul de securitate cibernetică este obligat să respecte legile și reglementările naționale aplicabile, precum și cele mai bune practici legate de activitățile de audit de securitate;

(1) În cazul în care există legi speciale mai restrictive din punctul de vedere al cerințelor minime de securitate, se aplică acestea.

(2) Aplicarea legilor speciale nu exclude obligația operatorului economic în identificarea ca OSE și nici îndeplinirea celorlalte obligații ce îi revin conform Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare.

Pentru a asigura confidențialitatea, integritatea și autenticitatea datelor procesate, stocate sau tranzitate prin rețelele și sistemele informatice, OSE va stabili, implementa și menține o procedură pentru asigurarea protecției criptografice pentru informații și resurse.

OSE elaborează o procedură pentru etichetarea și clasificarea datelor și informațiilor pentru a reflecta sensibilitatea acestora și, în consecință, se asigură că aceasta este respectată, iar datele/informațiile sunt gestionate corespunzător.

Măsurile criptografice se aplică în toate etapele ciclului de viață a informației și au ca obiect de aplicare aplicațiile, sistemele informatice, echipamentele de rețea și canalele de comunicare.

Există OSE care, în infrastructura declarată critică, prelucrează date cu caracter personal? Cu siguranță da, pentru că pot fi operatori sau persoane împuternicite.

Există OSE care au pus în practică mai mult ”măsuri administrative” și mai puține măsuri tehnice conform Art. 32 din GDPR? Cu siguranță da.

În lista standardelor publicată de DNSC și la care OSE trebuie să se raporteze, protecția datelor personale este tratată? Cu siguranță da (ISO 27001/27002/27005, COBIT, NIST)

Auditorul de securitate cibernetică ar trebui să revizuiască și aspectele care vizează protecția datelor personale? În opinia mea, cu siguranță DA, pentru acele date personale care sînt în format digital. Nu va revizui securitatea datelor personale prelucrate manual.

Un incident ”NIS” poate fi și incident ”ANSPDCP”? Da, în funcție de circumstanțe.