Legea 362 este pe (ca)ducă

Istoria a consemnat că, în cazul nostru, fosta ”Directivă NIS” nu a fost transpusă într-o lege națională pînă în iulie 2018 ci abia 5 luni mai tîrziu, în 28.12.2018…..și a intrat in vigoare în ianuarie 2019

Acum avem din nou la dispoziție aproximativ 2 ani pentru a transpune ”Directiva NIS2” în practică. Noua directivă recunoaște încă de la început că diferențierea dintre operatorii de servicii esențiale și furnizorii de servicii digitale s-a dovedit a fi caducă ” deoarece nu reflectă importanța sectoarelor sau a serviciilor pentru activitățile societale și economice din cadrul pieței interne.”

Strategia de securitate cibernetică a României pentru perioada 2022-2027 va trebui actualizată pentru a reflecta noile cerințe. Strategia valabilă astăzi are următorul cuprins:

1. Introducere

1.1. Sumar

1.2. Context și importanța securității cibernetice

1.3. Amenințarea cibernetică la adresa României

1.4. Factori potențatori ai amenințării cibernetice

2. Viziunea pentru 2022-2027

3. Principii

4. Obiectivele Strategiei de Securitate Cibernetică a României 2.0

4.1. Rețele și sisteme informatice sigure și reziliente

4.2. Cadru normativ și instituțional consolidat

4.3. Parteneriat public-privat pragmatic

4.4. Rezilienta prin abordare proactiva și descurajare

4.5. România – actor relevant în arhitectura internațională de cooperare

5. Concepte, definiții și termeni

Planul de acțiune pentru implementarea Strategiei nu oferă detalii despre modul în care se verifică/urmărește atingerea obiectivelor de mai sus. Altfel spus lipsesc KPI sau școlărește spus, obiectivele din strategie nu sînt SMART. Cum scopul meu nu este să fac o critică a actualei strategii voi spune că în viitoare strategie trebuie incluse (printre altele):

  • obiective și priorități care acoperă în special sectoarele cu importanță critică ridicată (Anexa I) și importanță critică (Anexa II)
  • un mecanism care să identifice activele și o evaluare a riscurilor din statul membru respectiv;

A doua cerință se leagă direct cu cea prin care ”fiecare stat membru adoptă un plan național de răspuns la incidente de securitate cibernetică de mare amploare și crize, în care sunt stabilite obiectivele și modalitățile de gestionare a incidentelor de securitate cibernetică de mare amploare și a crizelor:

(a) obiectivele măsurilor și ale activităților naționale de pregătire;

(b)  sarcinile și responsabilitățile autorităților de gestionare a crizelor cibernetice;

(c)  procedurile de gestionare a crizelor cibernetice, inclusiv integrarea acestora în cadrul național general de gestionare a crizelor și canalele de schimb de informații

(d)  măsurile naționale de pregătire, inclusiv exerciții și activități deformare;

(e)  părțile interesate relevante din sectorul public și privat și infrastructura implicată;

(f)  procedurile naționale și acordurile dintre autoritățile și organismele naționale relevante menite să asigure participarea efectivă a statului membru la gestionarea coordonată a incidentelor de securitate cibernetică de mare amploare și a crizelor la nivelul Uniunii și sprijinul acordat de acesta.

De la Art. 20 încep responsabilitățile entităților, responsabilități care vor fi proporționale cu riscurile. Aici modificarea este cu implicații majore pentru cultura/practica de la noi:

  • organele de conducere ale entităților esențiale și ale entităților importante aprobă măsurile de gestionare a riscurilor în materie de securitate cibernetică luate de entitățile respective, supraveghează punerea în aplicare a acestuia și pot fi trase la răspundere pentru încălcarea de către entități a Art. 21
  • membrii organelor de conducere din cadrul entităților esențiale și al entităților importante au obligația de a urma o formare pentru a dobândi suficiente cunoștințe și competențe pentru a putea identifica riscurile și a evalua practicile de gestionare a riscurilor în materie de securitate cibernetică și impactul acestora asupra serviciilor pe care le furnizează entitatea, și încurajează entitățile esențiale și entitățile importante să ofere o formare similară tuturor angajaților în mod regulat..

Modul de realizarea a auditului (cred) că se va modifica deoarece:

  • pot fi periodice și specifice
  • trebuie realizate de către un organism independent sau de către autoritatea competentă.
  • se bazează pe evaluări ale riscurilor efectuate de autoritatea competentă sau de entitatea auditată
  • auditul de securitate specific efectuat de un organism independent este plătit de entitatea auditată
  • autoritatea competentă dispune punerea în practică a recomandărilor auditorului într-un termen rezonabil.

Autoritățile competente pot desemna un ofițer de monitorizare cu sarcini bine definite pe o perioadă determinată de timp pentru a supraveghea respectarea Art. 21.  Cu privire la sancționarea entităților, autoritățile competente trebuie să țină seama de:

(a)  gravitatea încălcării și importanța dispozițiilor încălcate, următoarele fiind considerate, printre altele, încălcări grave în orice situație:

(i)  încălcări repetate;

(ii)  o neîndeplinire a obligației de notificare sau de remediere a incidentelor semnificative

(iii)  o neremediere a deficiențelor în urma instrucțiunilor obligatorii din partea autorităților competente;

(iv)  obstrucționarea auditurilor sau a activităților de monitorizare dispuse de autoritatea competentă în urma constatării unei încălcări;

(v)  furnizarea de informații false sau vădit denaturate în ceea ce privește măsurile de gestionare a riscurilor în materie de securitate cibernetică sau obligațiile de raportare prevăzute la articolele 21 și 23;

(b) durata încălcării;

(c)  orice încălcare anterioară relevantă comisă de entitatea în cauză;

(d)  oriceprejudiciimaterialesaumoralecauzate,inclusivpierderilefinanciaresaueconomice,efecteleasupraaltorservicii și numărul de utilizatori afectați;

(e)  orice intenție sau neglijență din partea autorului încălcării;

(f)  orice măsuri luate de entitate pentru a preveni sau a atenua prejudiciile materiale sau morale;

(g)  oriceaderarelacodurideconduităaprobatesaulamecanismedecertificareaprobate;

(h)  măsuraîncarepersoanelefizicesaujuridicedeclarateresponsabilecoopereazăcuautoritățilecompetente.

Anul trecut scriam că, în opinia mea, în timpul unui audit calificat pe ”Legea NIS”, auditorul ar trebui să aibă în vedere și modul în care se asigură protecția datelor cu caracter personal. Conform noi directive dacă prin neîndeplinirea obligațiilor de la Art. 21 poate atrage după sine o încălcare a securității datelor cu caracter personal, trebuie informată fără întârzieri nejustificate autoritățile de supraveghere!

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.