Marile companii din domenii cheie, precum și furnizorii lor de servicii digitale, trebuie să se pregătească pentru a respecta obligațiile prevăzute de legislația privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice (legislația NIS), pentru a evita amenzi consistente, avertizează experții.
Domeniile vizate sunt: energie, transporturi, sectorul bancar, infrastructuri ale pieței financiare, sănătate, furnizarea și distribuirea de apă potabilă, infrastructură digitală, precum și furnizorii de servicii digitale (piețe online, motoare de căutare online, servicii de cloud computing).
Astfel, companiile active pe aceste piețe trebuie să deruleze o analiză internă pentru a identifica dacă sunt operatori de servicii esențiale sau furnizori de servicii digitale în sensul legislației NIS. Pașii acestui proces sunt prevăzuți de normele metodologice adoptate în vara aceasta ca parte a legislației NIS. Procesul nu poate fi însă finalizat în absența altor norme, precum cele privind cerințele minime de securitate sau lista serviciilor esențiale, la care autoritățile încă lucrează.
„De la momentul intrării în vigoare a normelor minime de securitate, companiile vor avea la dispoziție doar șase luni pentru a stabili în ce măsură se califică drept operatori de servicii esențiale sau, după caz, furnizori de servicii digitale în sensul legislației NIS. Având în vedere complexitatea acestui demers, există riscul ca analiza internă respectivă, în special efortul de auto-evaluare a companiilor, să necesite însă un termen mai îndelungat. Pentru a nu risca depășirea termenului legal de conformare și, implicit, eventuale sancțiuni, companiile ar trebui să își pună deja problema demarării analizei interne.‟, recomandă avocatul Costin Sandu din cadrul Schoenherr și Asociații SCA.
Specialiștii estimează că derularea acestei analize interne și luarea măsurilor de conformare ar putea presupune costuri semnificative pentru companii, precum și angrenarea unei echipe de proiect consistente. „Este de așteptat că aceste analize sunt deja avute în vedere de către companii în definirea bugetelor pentru anul viitor.‟, apreciază Costin Sandu.
„Directiva NIS reglemetează numeroase aspecte tehnice care cuprind rețelele IT și securitatea acestora. Analiza gradului de reziliență și a proceselor interne de mentenanță și securitate IT se poate concluziona cu recomandări de imbunătățire. De cele mai multe ori, aceste recomandări necesită resurse financiare și umane, cât și timp, pentru a fi implementate. Mai mult, companiile vor fi nevoite să dezvolte capacități de răspuns la incidente de securitate cibernetică, atât procedural, cât și din punct de vedere tehnic și al resursei umane.‟, a remarcat Tiberiu Anghel, Chief Strategy Officer la firma de securitate cibernetică CyBourn.
Normele în vigoare și ghidurile recent emise de CERT-RO prevăd o contribuție semnificativă a CERT-RO în procesul de analiză internă de identificare a operatorilor de servicii esențiale, respectiv a furnizorilor de servicii digitale. Astfel, este recomandat pentru companii să ia deja legătura cu serviciul specializat din cadrul CERT-RO.
Rezultatul analizei interne va dicta sau nu obligația companiilor de a notifica autoritatea de reglementare în domeniu, CERT-RO și, ulterior primirii acestor notificări, autoritatea va decide dacă societățile respective vor fi înscrise în registrele ținute de autoritate și vor fi supuse obligațiilor de conformare la legislația NIS.
Legislația NIS include:
- Legea nr. 362 din 28 decembrie 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice;
- Ordinul Ministerului Comunicațiilor și Societății Informaționale nr. 599/2019 privind aprobarea Normelor Metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale;
- Ordinul Ministerului Comunicațiilor și Societății Informaționale nr. 600/2019 privind aprobarea Normelor metodologice de organizare și funcționare a Registrului operatorilor de servicii esențiale;
- Ordinul Ministerului Comunicațiilor și Societății Informaționale nr. 601/2019 pentru aprobarea Metodologiei de stabilire a efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale.
