INFORMAȚII CARACTER GENERAL

1) Informații generale despre Legea NIS

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019.

Legea transpune așa-numita Directivă NIS (Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune) și:

  • Are drept scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică și respectiv creșterea gradului de încredere a cetățenilor în Piața Digitală Unică

  • Se adresează specific

    • Operatorilor de Servicii Esențiale (OSE) din 7 (șapte) sectoare de activitate economică (a se vedea Anexa la lege pentru detalii) astfel:

      • Energie

      • Transport

      • Sectorul bancar

      • Infrastructuri ale pieței financiare

      • Sectorul sănătății

      • Furnizarea și distribuirea de apă potabilă

      • Infrastructură digitală

    • Furnizorilor de Servicii Digitale (FSD) din 3 (trei) categorii, respectiv: piețe online, motoare de căutare online, servicii de cloud computing (conform art. 3 lit. o)

  • Stabilește măsuri și cerințe pentru asigurarea efectivă a securității (art. 25)

  • Notificarea incidentelor survenite

    • legea stabilește cerințe de notificare a incidentelor către autoritatea națională (art. 26) pentru categoriile sus-menționate

    • pentru stabilirea încrederii și conform practicilor privind confidențialitatea în asigurarea securității informatice, legea conține prevederi referitoare la protejarea secretului comercial și a altor informații comunicate CERT-RO în cursul notificărilor și managementului incidentelor.

    • totodată legea instituie un mecanism de primire de notificări și de la alte categorii/alți operatori economici (notificare voluntară)

  • Stabilește cadrul instituțional și de cooperare. Legea stabilește cadrul instituțional la nivel național și cadrul național de cooperare în asigurarea securității rețelelor și sistemelor informatice prin:

    • Desemnarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO ca, Autoritate competentă la nivel național în domeniul securității rețelelor și a sistemelor informatice având atribuții de reglementare, autorizare/atestare, supraveghere și control și care va îndeplini și:

      • Funcția de Punct Unic de Contact la nivel național

      • Funcția de echipă CSIRT națională (echipă de răspuns la incidente de securitate informatică la nivel național și de participare la răspunsul comun la nivel european)

  • Inițiază un proces de identificare a operatorilor de servicii esențiale și înscriere a acestora în Registrul operatorilor de servicii esențiale (ROSE).

  • Prevede totodată reguli privind auditarea rețelelor și sistemelor OSE și FSD, înființarea de echipe CSIRT/CERT publice, private sau sectoriale, precum și reguli privind formarea în domeniu.

 

2) Informații despre Autoritatea NIS – Autoritatea națională pentru securitatea rețelelor și sistemelor informatice. [Art. 15 alin. (1)]

Autoritatea NIS este responsabilă pentru implementarea Directivei NIS la nivelul României având atribuții de: reglementare; identificare și evidență OSE și FSD; autorizare CSIRT și formatori în domeniu; atestare auditori de securitate informatică; monitorizare și control a respectării Legii NIS.

Email: nis@cert.ro; Telefon: (+40) 0316-202.167; Fax: (+40) 0316-202.190.

 

3) Atribuțiile Autorității NIS [Art. 20]

Art. 20. – CERT-RO în calitate de autoritate competentă la nivel național are următoarele atribuții generale:

a) identifică, cu consultarea autorităților și entităților de reglementare și administrare a sectoarelor și subsectoarelor prevăzute în anexă, operatorii de servicii esențiale care au sediul social, filială, sucursală sau punct de lucru pe teritoriul României;

b) elaborează și actualizează normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice;

c) elaborează și actualizează normele tehnice privind îndeplinirea obligațiilor de notificare a incidentelor de securitate de către operatorii și furnizorii prevăzuți de prezenta lege;

d) coordonează activitatea Grupului de lucru interinstituțional menționat la art. 6 alin. (4);

e) elaborează și actualizează, după consultarea celorlalte instituții cu responsabilități în domeniul apărării, ordinii publice și securității naționale, precum și a altor instituții și autorități, după caz, normele metodologice, tehnice, precum și regulamentele privind cerințele referitoare la înființarea, autorizarea și funcționarea echipelor CSIRT, desemnarea echipelor CSIRT sectoriale, cele referitoare la atestarea auditorilor calificați cu competențe în domeniul securității serviciilor esențiale și a serviciilor digitale, precum și normele referitoare la autorizarea formatorilor și furnizorilor de servicii de formare pentru activitățile prevăzute la literele o) și p);

f) elaborează și promovează practici comune pentru administrarea incidentelor și a riscurilor și pentru sistemele de clasificare a incidentelor, riscurilor și informațiilor;

g) participă, prin reprezentanți, la Grupul de cooperare la nivelul Uniunii Europene constituit pentru a facilita cooperarea strategică și schimbul de informații între statele membre, pentru a consolida încrederea și în vederea obținerii unui nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană și compus din reprezentanți ai statelor membre, ai Comisiei Europene și ai Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor – ENISA, în vederea adoptării soluțiilor optime pentru atingerea obiectivului de securitate și a schimbului de informații între statele membre respectiv:

i. după caz, participă la schimbul de experiență privind aspecte legate de securitatea rețelelor și a sistemelor informatice cu instituții, organe, oficii și agenții relevante ale Uniunii Europene;

ii. participă la dezbateri privind standardele și specificațiile prevăzute la art.25 alin.(6) cu reprezentanți ai organizațiilor de standardizare europene relevante;

iii. colectează exemple de bune practici privind riscurile și incidentele;

h) permite echipelor CSIRT, acces la datele privind incidentele notificate de operatorii de servicii esențiale sau de furnizorii de servicii digitale, în măsura necesară pentru a-și îndeplini atribuțiile, cu respectarea legii;

i) verifică în condițiile art. 35 – 42 respectarea de către operatorii de servicii esențiale și furnizorii de servicii digitale a obligațiilor ce le revin conform prezentei legi;

j) emite în temeiul art. 37 dispoziții cu caracter obligatoriu pentru operatorii de servicii esențiale în vederea conformării și remedierii deficiențelor constatate și stabilește termenul până la care aceștia trebuie să se conformeze;

k) instituie măsuri de supraveghere ex post pentru furnizorii de servicii digitale cu privire la neîndeplinirea obligațiilor ce le revin conform prevederilor prezentei legi;

l) primește sesizări cu privire la neîndeplinirea obligațiilor operatorilor și furnizorilor prevăzuți de prezenta lege;

m) cooperează cu autoritățile competente din celelalte state și oferă asistență acestora, prin schimbul de informații, transmiterea de solicitări și sesizări, efectuarea controlului ori luarea de măsuri de supraveghere și remediere a deficiențelor constatate, în cazul operatorilor și furnizorilor prevăzuți de prezenta lege care își au sediul principal în România ori care, deși au sediul principal stabilit în alt stat membru, rețelele sau sistemele informatice acestora sunt situate și pe teritoriul României;

n) monitorizează aplicarea prevederilor prezentei legi;

o) autorizează, revocă sau reînnoiește autorizarea echipelor CSIRT ce deservesc operatori de servicii esențiale ori furnizori de servicii digitale;

p) eliberează, revocă sau reînnoiește atestatele auditorilor de securitate informatică care pot efectua audit în cadrul rețelelor și sistemelor informatice ce susțin servicii esențiale ori furnizează servicii digitale în

condițiile prezentei legi;

q) autorizează, revocă sau reînnoiește autorizarea formatorilor și furnizorilor de servicii de formare pentru activitățile prevăzute la lit. o) și p);

r) alcătuiește și actualizează periodic, cel puțin o dată la doi ani, începând cu data intrării în vigoare a prezentei legi, lista serviciilor esențiale care îndeplinesc condițiile de la art. 6 alin. (1) cu consultarea autorităților și entităților prevăzute la lit. a), precum și a celor prevăzute la art. 15 alin. (2) și o înaintează MCSI spre a fi supusă aprobării, prin hotărâre a Guvernului. Prima listă se supune aprobării Guvernului în termen de 6 luni de la data intrării în vigoare a prezentei legi;

s) propune spre aprobare MCSI normele tehnice, metodologice și regulamentele prevăzute de prezenta lege, în termen de 6 luni de la data intrării în vigoare a acesteia.