Ieri a fost adoptată în Senat Legea securități cibernetice.

Frămîntările mele de astăzi sînt date de ultima parte din conținutul Art. 3(1)(c) unde cred că de fapt s-a dorit a fi incluși ”furnizorii” dar ca formă a ieșit ceva mult mai complicat.

reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute la lit.a), precum şi de persoane fizice şi juridice care furnizează servicii publice ori de interes public, altele decât cele de la lit.b). 

Completez definiția cu cea din Legea 362:

rețea și sistem informatic: 
1. rețea de comunicații electronice în sensul prevederilor art. 4 alin. (1) pct. 6 din Ordonanța de urgență a Guvernului nr. 111/2011 privind comunicațiile electronice, aprobată cu modificări și completări prin Legea nr. 140/2012, cu modificările și completările ulterioare;
2. orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor cu ajutorul unui program informatic;
3. datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevăzute la pct. 1 și 2 în vederea funcționării, utilizării, protejării și întreținerii lor;

Acum să analizăm puțin definiția din Legea adoptată ieri. Cu privire la o ”rețea” avem următoarele “stări” posibile:

• Deținut = Se află în proprietatea persoanei fizice sau juridice (N.M.-nu ”ȘI” ca în lege) dar poate să nu fie și ”administrată” ci doar ”utilizată” (contract de prestări servicii)
• Organizat = ?????
• Administrat= poate fi în proprietate sau nu, caz în care persoana fizică sau juridică este: a) proprietarul care își gestionează singur sistemele sau b) furnizor de servicii
• Utilizat = poate fi în proprietate (caz in care este ”deținută” și poate fi și ”administrată”) sau nu (caz în care apare din nou un furnizor de servicii pentru ”adminsitrare”) – similar cu prima situație.

Toate cele de mai sus se aplică atît „autorităţilor şi instituţiilor administraţiei publice centrale şi locale, altele decât cele prevăzute la lit.a)„ cît și ”persoanelor fizice şi juridice care furnizează servicii publice ori de interes public, altele decât cele de la lit.b).”

Definiția nu se referă însă doar la ”rețele” ci vizează și ”sistemele informatice” care includ și…..”programele informatice”.

Așadar, în înțelegerea mea, Legea se va aplică și furnizorilor de servicii (inclusiv de soluții software) ai căror clienți ”furnizează servicii publice ori de interes public” și care au contracte de administrare (rețele sau aplicații). Furnizorul de Office365 pentru o primărie intră sau nu sub incidența legii? Firma care se ocupă de adminisitrarea ”rețelei” și cea care se ocupă de ”administrarea aplicației/ERP”?

Voi vedea dacă am dreptate sau nu peste 60 de zile cînd MCID va stabili ”categoriile de persoane prevăzute la art.3 alin.(l) lit.c)” Este cert însă că, mergînd spre finalul Legii, ajungem la prevederile care vizează Lanțul de aprovizionare și unde se face referire la persoanele de la Art.3:

Art.41.- (1) Persoanele prevăzute la art.3 implementează procesele de management al riscurilor de securitate cibernetică specifice lanţului de aprovizionare, în conformitate cu prevederile art.52 alin.(l).
(2) Riscurile lanţului de aprovizionare includ cel puţin următoarele:
a) livrarea de soluţii informatice false sau contrafăcute;
b) producţie neautorizată;
c) manipulare frauduloasă a produselor şi serviciilor software şi hardware, respectiv a sistemelor şi reţelelor informatice;
d) inserarea de componente software şi hardware false sau contrafăcute;
e) servicii software şi hardware periculoase pentru funcţionare;
f) spionaj cibernetic;
g) compromiteri neintenţionate ale sistemelor şi reţelelor informatice;
h) practici deficitare de fabricaţie şi dezvoltare de produse software şi hardware.
Art.42.-Persoanele prevăzute la art.3 desemnează responsabili de securitate cibernetică, în conformitate cu prevederile art.52 alin.(l), pentru:
a) stabilirea politicilor, strategiilor şi proceselor de management al riscurilor de securitate cibernetică specifice lanţului de aprovizionare;
b) includerea în conţinutul politicilor, strategiilor şi proceselor existente a cerinţelor noi şi emergente privind managementul riscurilor cibernetice specifice lanţului de aprovizionare;
c) stabilirea standardelor de management al riscurilor de securitate cibernetică obligatorii pentru autorităţile contractante în cadrul procedurilor de achiziţii;
d) stabilirea măsurilor de stimulare a potenţialilor furnizori în cadrul proceselor de achiziţii, raportat la nivelul de implementare a practicilor de securitate cibernetică ale acestora; 
e) stabilirea metodologiilor şi aplicaţiilor folosite în evaluarea riscurilor de securitate cibernetică, specifice lanţului de aprovizionare;
f) schimbul de informaţii cu celelalte instituţii referitoare la ameninţările, riscurile şi vulnerabilităţile de natură cibernetică specifice lanţului de aprovizionare;
g) elaborarea metodologiei de evaluare a nivelului de maturitate şi a capacităţii operatorilor de pe lanţurile de aprovizionare de a realiza managementul riscurilor de securitate cibernetică;
h) colectarea şi actualizarea datelor referitoare la eficienţa furnizorilor în eliminarea sau diminuarea riscurilor de securitate cibernetică.

Poate reușesc să aflu și la ce se referă ”organizat(ă)” și cum se pune de acord această lege cu NIS2, DORA și CER