[RedirectPrompt_en-US]

10 December 2020
newsletter
romania

Securitate cibernetică: ultimele zile în care operatorii de servicii esențiale pot notifica CERT-RO

Operatorii de servicii esențiale au obligația de a notifica CERT-RO – autoritatea competentă la nivel național pentru securitatea rețelelor și sistemelor informatice – în vederea înscrierii în Registrul operatorilor de servicii esențiale, până cel mai târziu la data de 17 decembrie 2020. În caz contrar, aceste companii riscă amenzi de până la 5% din cifra de afaceri, în unele cazuri.

Obligația de notificare a CERT-RO în termenul indicat este una dintre implicațiile pachetului de acte normative emise luna trecută de către Guvernul României în aplicarea prevederilor Legii nr. 362/2018 ce reglementează asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, lege ce a transpus la nivel național Directiva (UE) 2016/1.148 (legislația NIS). 

 

Cui i se aplică legislația NIS și ce obligații implică aceasta?

Amintim că legislația NIS li se aplică:

  • operatorilor de servicii esențiale (OSE), ce includ operatori din sectorul energiei, transportului, bancar, infrastructuri ale pieței financiare, sănătății, furnizării și distribuirii de apă potabilă, infrastructură digitală, precum și
  • furnizorilor de servicii digitale.

Legislația NIS stabilește obligații specifice pentru cele două categorii de entități, în vederea asigurării unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, precum obligația de a:

  • implementa măsuri pentru îndeplinirea unor cerințe minime de securitate și pentru asigurarea continuității serviciilor;
  • notifica CERT-RO incidentele cu impact semnificativ;
  • desemna responsabili cu securitatea rețelelor și sistemelor informatice, etc.

În plus, în cazul OSE, legislația NIS a stabilit obligația notificării CERT-RO în vederea înscrierii în Registrul operatorilor de servicii esențiale, în termen de 30 de zile de la data îndeplinirii condițiilor de a considera un serviciu drept esențial, prin raportare la criterii și valori de prag ce urmau a fi stabilite prin Hotărâre de Guvern.  

Clarificări pentru OSE

Actele normative emise în cursul lunii noiembrie vizează tocmai stabilirea serviciilor esențiale, precum și a criteriilor și valorilor de prag relevante pentru OSE, necesare pentru identificarea și înscrierea acestora în Registrul operatorilor de servicii esențiale, astfel:

  • Lista serviciilor esențiale pentru fiecare sector a fost aprobată prin HG nr. 963/05.11.2020, publicată în Monitorul Oficial, Partea I, nr. 1086/16.11.2020.

De exemplu, în cazul operatorilor din sectorul bancar, lista menționează tipul de entitate (instituții de credit), precum și serviciile esențiale relevante aferente, și anume: (i) administrarea conturilor, inclusiv a celor legate de activitatea de atragere de depozite și de acordare de credite, (ii) servicii de plată, (iii) servicii de investiții.

  • Valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale OSE au fost aprobate prin HG nr. 976/12.11.2020 publicată în Monitorul Oficial, Partea I, nr. 1089/17.11.2020.

    Astfel, actul normativ stabilește atât valori de prag corespunzătoare criteriilor intersectoriale (de exemplu: durată incident 1 oră, intensitate incident 1Gbps), cât și criterii sectoriale specifice și valorile de prag corespunzătoare fiecărui sector și subsector de activitate.

    De exemplu, în cazul tuturor tipurilor de servicii esențiale stabilite pentru sectorul bancar, se menționează valoarea de prag: „Fără excepție”, stabilind că într-un astfel de caz, toți operatorii economici care furnizează serviciul esențial corespunzător sunt OSE.
     
  • Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile OSE au fost aprobate prin Ordinul nr. 1323/2020, publicat în Monitorul Oficial, Partea I, nr. 1142/26.11.2020.

Ce trebuie făcut până la 17 decembrie 2020? Riscuri în caz de neîndeplinire a obligațiilor

În ceea ce privește obligația de notificare a CERT-RO, aceasta presupune o analiză documentată prealabilă a serviciilor esențiale furnizate de OSE din sectoarele de activitate menționate mai sus. Notificarea se realizează prin depunerea unui formular, împreună cu o declarație pe propria răspundere și o documentație de autoevaluare a îndeplinirii cerințelor minime de securitate și notificare.

Neîndeplinirea obligației de identificare și de notificare a CERT-RO de către OSE până la data sus menționată constituie contravenție și se sancționează cu amendă. Potrivit Legislației NIS, amenda contravențională poate fi cuprinsă între 3.000 lei și 50.000 lei, iar în caz de încălcări repetate, de până la 100.000 lei. Pentru entitățile cu o cifră de afaceri de peste 2 milioane lei, amenda este cuprinsă între 0,5% și 2% din cifra de afaceri, iar, în cazul unor încălcări repetate, amenda poate ajunge până la 5% din cifra de afaceri.

Carmen
Ştirbu

Managing Attorney at Law

romania

co-authors