De ce este necesară adaptarea la legislația NIS
Experții avertizează că marile companii din domenii cheie și furnizorii lor trebuie să se conformeze legislației NIS pentru a evita amenzi consistente.
În data de 12.01.2019 a intrat în vigoare Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, care transpune în legislația din România textul Directivei Europene nr. 1148/2016 (denumită și “Directiva NIS – Network Information Security”), al cărui scop este acela de a obliga anumiți operatori economici să aplice măsuri tehnice care asigură fiabilitatea și securitatea informațiilor prelucrate la nivelul rețelelor și sistemelor informatice, scrie start-up.ro.
Directiva NIS reglementează protecția tuturor informațiilor cu care operatorul lucrează, ceea ce înseamnă atât date cu caracter personal cât și alte informații considerate confidențiale, strict confidențiale sau publice. Astfel, Directiva NIS este mult mai extinsă ca și aplicabilitate decât GDPR.
Marile companii din domenii cheie, precum și furnizorii lor de servicii digitale, trebuie să se pregătească pentru a respecta obligațiile prevăzute de legislația privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice (legislația NIS), pentru a evita amenzi consistente, avertizează experții. Amenzile pentru neîndeplinirea obligațiilor legale pleacă de la un minim de 0,5% din cifra de afaceri și pot ajunge până la 5%, conform startupcafe.ro.
Domeniile vizate sunt: energie, transporturi, sectorul bancar, infrastructuri ale pieței financiare, sănătate, furnizarea și distribuirea de apă potabilă, infrastructură digitală, precum și furnizorii de servicii digitale (piețe online, motoare de căutare online, servicii de cloud computing).
Astfel, companiile active pe aceste piețe trebuie să deruleze o analiză internă pentru a identifica dacă sunt operatori de servicii esențiale sau furnizori de servicii digitale în sensul legislației NIS.
Pașii acestui proces sunt prevăzuți de normele metodologice adoptate în vara aceasta ca parte a legislației NIS. Procesul nu poate fi însă finalizat în absența altor norme, precum cele privind cerințele minime de securitate sau lista serviciilor esențiale, la care autoritățile încă lucrează.
„Directiva NIS reglementează numeroase aspecte tehnice care cuprind rețelele IT și securitatea acestora. Analiza gradului de reziliență și a proceselor interne de mentenanță și securitate IT se poate concluziona cu recomandări de îmbunătățire. De cele mai multe ori, aceste recomandări necesită resurse financiare și umane, cât și timp, pentru a fi implementate. Mai mult, companiile vor fi nevoite să dezvolte capacități de răspuns la incidente de securitate cibernetică, atât procedural, cât și din punct de vedere tehnic și al resursei umane‟, a remarcat Tiberiu Anghel, Chief Strategy Officer la firma de securitate cibernetică CyBourn, citat de clubitc.ro.
Normele în vigoare și ghidurile recent emise de CERT-RO prevăd o contribuție semnificativă a CERT-RO în procesul de analiză internă de identificare a operatorilor de servicii esențiale, respectiv a furnizorilor de servicii digitale. Astfel, este recomandat pentru companii să ia deja legătura cu serviciul specializat din cadrul CERT-RO.
Rezultatul analizei interne va dicta sau nu obligația companiilor de a notifica autoritatea de reglementare în domeniu, CERT-RO și, ulterior primirii acestor notificări, autoritatea va decide dacă societățile respective vor fi înscrise în registrele ținute de autoritate și vor fi supuse obligațiilor de conformare la legislația NIS.
