Directiva NIS - partea a III-a
Ce stabileste?
CERT-RO este autoritate competenta la nivel national pentru securitatea retelelor si a sistemelor informatice care asigura furnizarea serviciilor esentiale ori furnizeaza serviciile digitale, avand suport din partea SRI, SIE, STS, Ministerul Apararii Nationale, Ministerul Afacerilor Interne si altor entitati.
A fost infiintat CSIRT, respectiv echipa de raspuns la incidente de securitate informatica la nivel national care printre atributiile sale monitorizeaza incidentele de securitate a retelelor si sistemelor informatice, emite avertizari, primeste notificari, reprezinta Romania in grupul de cooperare si este punct unic de contact cu celelalte echipe CERT la nivel national si international. CERT-RO indeplineste rolul de CSIRT/CERT national.
Legea mai stabileste alcatuirea unui Registru al operatorilor de servicii esentiale in vederea asigurarii unui nivel ridicat de securitate.
In vederea coordonarii la nivel national in managementul incidentelor, legea prevede furnizarea de catre CERT-RO a unui serviciu de alertare si cooperare la care se vor interconecta operatorii si furnizorii prevazuti in actul normativ, stabilind totodata obligatia acestora de a monitoriza alertele primite si a asigura raspunsul prompt in caz de necesitate.
Care este impactul pentru organizatii?
Legea nr. 362/2018 are impact seminificativ asupra sectoarelor vizate: energia, transporturile, sectorul bancar, infrastructuri ale pietei financiare, sanatate, furnizarea si distribuirea de apa potabila si infrastructura digitala.
Este asteptata o crestere a rezilientei acestor servicii si respectiv o reducere a riscurilor la nivel social asociate cu atacurile cibernetice. Indirect va duce pe termen lung la o crestere a increderii in serviciile societatii digitale si o dezvoltare a serviciilor de securitate informatica.
Avand in vedere cerintele de securitate impuse operatorilor de servicii esentiale si furnizorilor de servicii digitale, aceste lucruri se vor reflecta in costuri de implementare.
Ce trebuie sa faca, in principal, organizatiile?
Operatorii de servicii esentiale trebuie:
- sa notifice CERT-RO in vederea inscrierii in Registrul operatorilor de servicii esentiale. daca indeplinesc conditiile si criteriile prevazute in lege
- sa implementeze masuri tehnice si organizatorice adecvate si proportionale pentru indeplinirea cerintelor minime de securitate stabilite;
- sa implementeaze masuri adecvate pentru a preveni si minimiza impactul incidentelor care afecteaza securitatea retelelor si a sistemelor informatice utilizate;
- sa notifice de indata CERT-RO despre incidentele care au un impact semnificativ asupra continuitatii serviciilor esentiale;
- sa puna la dispozitia CERT-RO informatii care sa permita stabilirea impactului transfrontalier al incidentului;
- sa se supuna controlului desfasurat de catre CERT-RO in vederea stabilirii gradului de respectare a obligatiilor ce le revin;
- sa stabileasca mijloacele permanente de contact, desemneaza responsabilii cu securitatea retelelor si sistemelor informatice insarcinati cu monitorizarea mijloacelor de contact si comunica CERT-RO, precum si orice modificari ulterioare de indata ce au survenit.
Pentru furnizorii de servicii digitale obligatiile de conformare sunt asemanatoare operatorilor de servicii esentiale, insa nu exista obligatia alcatuirii unui registru al acestora. Totusi, legea permite autoritatii identificarea acestora in vederea stabilirii indeplinirii cerintelor de securitate si notificare.
Care sunt principalele fapte sanctionabile?
Sub aspectul regimului sanctionator, Legea ofera autoritatii competente la nivel national CERT-RO dreptul de realizare a controlului implementarii cerintelor de securitate si notificare, precum si de indeplinire a obligatiilor de catre celelalte entitati vizate, definind un set de contraventii si sanctiuni, printre care:
- neindeplinirea de catre operatorii de servicii esentiale a obligatiei de implementare a masurilor pentru indeplinirea cerintelor minime de securitate;
- neindeplinirea de catre operatorii de servicii esentiale a obligatiei de implementare a masurilor adecvate pentru a preveni si minimiza impactul incidentelor;
- neindeplinirea obligatiei de notificare in vederea inscrierii in Registrul operatorilor de servicii esentiale;
- neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO;
- nedepunerea raportului de audit, in conditiile legii;
- neducerea la indeplinire a masurilor dispuse de CERT-RO.
Ce amenzi sunt stabilite?
Contraventiile prevazute sunt amenda de la 3.000 lei la 50.000 lei, iar in cazul constatarii unor incalcari repetate limita maxima a amenzii este de 100.000 lei. Pentru entitatile cu o cifra de afaceri de peste 2.000.000 lei, amenda este in cuantum de la 0,5% pana la 2% din cifra de afaceri, iar, in cazl unor incalcari repetate, limita maxima a amenzii este de 5% din cifra de afaceri.
CERT-RO este autoritate competenta la nivel national pentru securitatea retelelor si a sistemelor informatice care asigura furnizarea serviciilor esentiale ori furnizeaza serviciile digitale, avand suport din partea SRI, SIE, STS, Ministerul Apararii Nationale, Ministerul Afacerilor Interne si altor entitati.
A fost infiintat CSIRT, respectiv echipa de raspuns la incidente de securitate informatica la nivel national care printre atributiile sale monitorizeaza incidentele de securitate a retelelor si sistemelor informatice, emite avertizari, primeste notificari, reprezinta Romania in grupul de cooperare si este punct unic de contact cu celelalte echipe CERT la nivel national si international. CERT-RO indeplineste rolul de CSIRT/CERT national.
Legea mai stabileste alcatuirea unui Registru al operatorilor de servicii esentiale in vederea asigurarii unui nivel ridicat de securitate.
In vederea coordonarii la nivel national in managementul incidentelor, legea prevede furnizarea de catre CERT-RO a unui serviciu de alertare si cooperare la care se vor interconecta operatorii si furnizorii prevazuti in actul normativ, stabilind totodata obligatia acestora de a monitoriza alertele primite si a asigura raspunsul prompt in caz de necesitate.
Care este impactul pentru organizatii?
Legea nr. 362/2018 are impact seminificativ asupra sectoarelor vizate: energia, transporturile, sectorul bancar, infrastructuri ale pietei financiare, sanatate, furnizarea si distribuirea de apa potabila si infrastructura digitala.
Este asteptata o crestere a rezilientei acestor servicii si respectiv o reducere a riscurilor la nivel social asociate cu atacurile cibernetice. Indirect va duce pe termen lung la o crestere a increderii in serviciile societatii digitale si o dezvoltare a serviciilor de securitate informatica.
Avand in vedere cerintele de securitate impuse operatorilor de servicii esentiale si furnizorilor de servicii digitale, aceste lucruri se vor reflecta in costuri de implementare.
Ce trebuie sa faca, in principal, organizatiile?
Operatorii de servicii esentiale trebuie:
- sa notifice CERT-RO in vederea inscrierii in Registrul operatorilor de servicii esentiale. daca indeplinesc conditiile si criteriile prevazute in lege
- sa implementeze masuri tehnice si organizatorice adecvate si proportionale pentru indeplinirea cerintelor minime de securitate stabilite;
- sa implementeaze masuri adecvate pentru a preveni si minimiza impactul incidentelor care afecteaza securitatea retelelor si a sistemelor informatice utilizate;
- sa notifice de indata CERT-RO despre incidentele care au un impact semnificativ asupra continuitatii serviciilor esentiale;
- sa puna la dispozitia CERT-RO informatii care sa permita stabilirea impactului transfrontalier al incidentului;
- sa se supuna controlului desfasurat de catre CERT-RO in vederea stabilirii gradului de respectare a obligatiilor ce le revin;
- sa stabileasca mijloacele permanente de contact, desemneaza responsabilii cu securitatea retelelor si sistemelor informatice insarcinati cu monitorizarea mijloacelor de contact si comunica CERT-RO, precum si orice modificari ulterioare de indata ce au survenit.
Pentru furnizorii de servicii digitale obligatiile de conformare sunt asemanatoare operatorilor de servicii esentiale, insa nu exista obligatia alcatuirii unui registru al acestora. Totusi, legea permite autoritatii identificarea acestora in vederea stabilirii indeplinirii cerintelor de securitate si notificare.
Care sunt principalele fapte sanctionabile?
Sub aspectul regimului sanctionator, Legea ofera autoritatii competente la nivel national CERT-RO dreptul de realizare a controlului implementarii cerintelor de securitate si notificare, precum si de indeplinire a obligatiilor de catre celelalte entitati vizate, definind un set de contraventii si sanctiuni, printre care:
- neindeplinirea de catre operatorii de servicii esentiale a obligatiei de implementare a masurilor pentru indeplinirea cerintelor minime de securitate;
- neindeplinirea de catre operatorii de servicii esentiale a obligatiei de implementare a masurilor adecvate pentru a preveni si minimiza impactul incidentelor;
- neindeplinirea obligatiei de notificare in vederea inscrierii in Registrul operatorilor de servicii esentiale;
- neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO;
- nedepunerea raportului de audit, in conditiile legii;
- neducerea la indeplinire a masurilor dispuse de CERT-RO.
Ce amenzi sunt stabilite?
Contraventiile prevazute sunt amenda de la 3.000 lei la 50.000 lei, iar in cazul constatarii unor incalcari repetate limita maxima a amenzii este de 100.000 lei. Pentru entitatile cu o cifra de afaceri de peste 2.000.000 lei, amenda este in cuantum de la 0,5% pana la 2% din cifra de afaceri, iar, in cazl unor incalcari repetate, limita maxima a amenzii este de 5% din cifra de afaceri.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!