Analiză

Ce trebuie sa stim despre Directiva NIS si Legea nr. 362/2018 privind securitatea retelelor si sistemelor informatice?

• Data 06/07/2022
• Autor Alin Nita
• 1
• 902

Informații generale despre NIS ( Legea 362/2018)

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019. Legea transpune așa-numita Directivă NIS (Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune) și:

• are drept scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică și respectiv creșterea gradului de încredere a cetățenilor în Piața Digitală Unică
• se adresează specific
  • Operatorilor de Servicii Esențiale (OSE) din 7 sectoare de activitate economică (a se vedea Anexa la lege pentru detalii) astfel:
    • Energie
    • Transport
    • Sectorul bancar
    • Infrastructuri ale pieței financiare
    • Sectorul sănătății
    • Furnizarea și distribuirea de apă potabilă
    • Infrastructură digitală
  • Furnizorilor de Servicii Digitale (FSD) din trei categorii, respectiv: piețe online, motoare de căutare online, servicii de cloud computing (conform art. 3 lit o)
• stabilirea de măsuri și cerințe pentru asigurarea efectivă a securității (art. 25)
• notificarea incidentelor survenite
  • legea stabilește cerințe de notificare a incidentelor către autoritatea națională (art. 26) pentru categoriile sus-menționate
  • pentru stabilirea încrederii și conform practicilor privind confidențialitatea în asigurarea securității informatice, legea conține prevederi referitoare la protejarea secretului comercial și a altor informații comunicate CERT-RO în cursul notificărilor și managementului incidentelor.
  • totodată legea instituie un mecanism de primire de notificări și de la alte categorii/alți operatori economici (notificare voluntară)
• cadrul instituțional și de cooperare: legea stabilește cadrul instituțional la nivel național și cadrul național de cooperare în asigurarea securității rețelelor și sistemelor informatice prin:
  • desemnarea CERT-RO – Centrul Național de Răspuns la Incidente de Securitate Cibernetică ca autoritate națională cu atribuții de reglementare, supraveghere și control și care va îndeplini și:
    • Funcția de Punct Unic de Contact la nivel național
    • Funcția de echipă CSIRT națională (echipă de răspuns la incidente de securitate informatică la nivel național și de participare la răspunsul comun la nivel european)
• Inițiază un proces de identificare a operatorilor de servicii esențiale și înscriere a acestora în registrul operatorilor de servicii esențiale
• legea prevede totodată reguli privind auditarea rețelelor și sistemelor OSE și FSD, înființarea de echipe CSIRT/CERT publice, private sau sectoriale precum și reguli privind formarea în domeniu.