Despre NIS 2 se va tot discuta/scrie în următorii doi ani. Indiferent cum va fi transpusă directiva în legislația națională, cîteva lucruri nu se vor schimba.

De exemplu, conceptul de „entități esențiale” înlocuiește „operatorii de servicii esențiale”. Este foarte probabil ca majoritatea organizațiilor clasificate acum în baza Legii 362/2018 drept „operatori de servicii esențiale” să fie clasificate ulterior ca „entități esențiale” în conformitate cu Directiva NIS2. Conceptul de „entitate esențială” este însă mult mai larg și va include și alte organizații care, până în prezent, nu au fost supuse regimului NIS – de exemplu, companiile farmaceutice și operatorii de producție, stocare și transport de hidrogen.

Conceptul de „furnizor de servicii digitale” a fost eliminat din Directiva NIS2, în favoarea conceptului de „entități importante”, care va include acele organizații considerate acum „furnizori de servicii digitale” dar și categorii suplimentare. Entitățile importante vor fi supuse unor obligații mai stricte în temeiul Directivei NIS2 decât au fost furnizorii de servicii digitale în conformitate cu Directiva NIS inițială.

Tot în luna decembrie 2022, în strînsă legătură cu NIS2 a mai fost publicată o directivă: reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului. Pe scurt ”Directiva CER”.

Noile reguli vor să consolideze reziliența (=rezistența) infrastructurilor critice în fața unor amenințări, inclusiv atacuri teroriste, amenințări interne sau sabotaj, toate acestea putând avea, desigur, un element de securitate cibernetică sau alt element conex. Directiva CER se aplică în 11 sectoare care au fost considerate critice: energie, transport, bancar, infrastructuri ale pieței financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, administrație publică, spațiu și alimentație.

Statele membre vor trebui să aibă o strategie națională pentru a spori reziliența entităților critice, să efectueze o evaluare a riscurilor cel puțin o dată la patru ani și să identifice entitățile critice care furnizează servicii esențiale. Entitățile critice vor trebui să identifice riscurile relevante care pot perturba în mod semnificativ furnizarea de servicii esențiale, să ia măsuri adecvate pentru a le asigura rezistența și să notifice incidentele perturbatoare autorităților competente.

„reziliență” înseamnă capacitatea unei entități critice de a preveni un incident, de a oferi protecție și de a rezista în cazul producerii unui incident, de a răspunde la un incident, de a atenua un incident, de a absorbi un incident, de a se adapta unui incident și de a se redresa în urma unui incident;

Conform definiției se schimbă în mod fundamental abordarea din fosta ”directivă CIP” de la protejarea activelor specifice infrastructurilor critice la consolidarea rezilienței entităților critice care le operează: înainte, în timpul și după manifestarea unui incident (nu doar cibernetic!)

Iată și definițiile prin care CER se întrepătrunde cu NIS2:

„infrastructură critică” înseamnă un activ, o instalație, un echipament, o rețea ori un sistem, sau o componentă a unui activ, instalații, echipament, rețea ori sistem, care este necesar(ă) pentru furnizarea unui serviciu esențial;

„serviciu esențial” înseamnă un serviciu care este indispensabil pentru menținerea funcțiilor societale vitale, a activităților economice vitale, a sănătății și siguranței publice, sau a mediului;

În plus, în Anexa care prezintă sectoarele, subsectoarele și categoriile de entități care intră sub incidența Directivei se observă că sînt cele care apar în NIS.

Autoritatea competentă (cel mai probabil DNSC) va trebui să dispună ”de competențele și de mijloacele necesare pentru (…) a efectua sau a ordona audituri ale entităților critice respective”….

Am și trei critici/observații derivate din ”limbajul european” în care este scris textul Directivei.

În primul rînd dacă tot s-a folosit conceptul de ”operator” (de date cu caracter personal, de ex.) poate ar fi fost mai clar/util ca și în acest caz să se facă referire la ”operator de infrastructură critică” și nu la ”entitate critică”. Proprietatea asupra ”infrastructurii critice” este foarte complicată în contextul tehnologic actual…..

Al doilea concept care mă pune pe gînduri este lipsa unei definiții a ”funcțiilor societale vitale”. Eu înțeleg cam ce s-a dorit a spune, plecînd de la analizele de impact asupra activităților dintr-o organizației: există ”nevoie societale” care sînt satisfăcute cu ajutorul unor ”funcții societale vitale” care depind de ”infrastructuri” care devin „critice„. Dar directiva nu ne spune care sînt acele ”funcții societale vitale” ci care sînt ”entitățile critice. Nu există o metodologie clară cu privire la condițiile în care o entitate este critică.

Am lăsat la final cîrcotelile ce țin de cerințele în legătură cu managementul riscurilor. Este un truism să spun că nu pot fi prognozate toate pericolele sau combinațiile acestora. Prin urmare să ai un singur ”plan” funcțional care să acopere toate situațiile de criză este imposibil. Cu excepția hîrtiei.

Evaluarea riscurilor efectuată de statul membru ia în considerare riscurile naturale și cele provocate de om relevante, inclusiv cele de ordin intersectorial sau transfrontalier, accidentele, dezastrele naturale, situațiile de urgență din domeniul sănătății publice și amenințările hibride, sau alte amenințări antagoniste….

Ce sînt amenințările hibride? Singura definiție ”europeană” peste care am dat se regăsește în Overview of natural and man-made disaster risks the European Union may face – 2020 edition (pg.50):

The term ”hybrid threats” indicates a mix of coercive and subversive activity, conventional and unconventional methods (i.e. diplomatic, military, economic, and technological) used in a coordinated manner by state and non-state groups to pursue their strategic objectives…