983 views
|
Actul publicat în Monitor |
Sumar |
| Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice
(M. Of. nr. 21 din 9 ianuarie 2019)
|
Se reglementează cadrul juridic şi instituţional, măsurile şi mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice şi a stimulării cooperării în domeniu |
În M. Of. nr. 21 din 9 ianuarie 2019 s-a publicat Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice.
Astfel, respectivul act normativ reglementează cadrul juridic şi instituţional, măsurile şi mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice şi a stimulării cooperării în domeniu.
Vă prezentăm, în continuare, cele mai importante dispoziții ale Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice.
Structura
– Cap. I („Dispoziţii generale”);
– Secț. 1 („Obiect şi scop”);
– Secț. a 2-a („Definiţii şi principii”);
– Cap. II („Domeniul de aplicare”);
– Secț. 1 („Operatorii de servicii esenţiale”);
– Secț. a 2-a („Furnizorii de servicii digitale”);
– Cap. III („Roluri şi responsabilităţi”);
– Secț. 1 („Coordonarea strategică la nivel naţional”);
– Secț. a 2-a („Autorităţi competente şi responsabilităţi”);
– Secț. a 3-a („Echipele de intervenţie în caz de incidente de securitate informatică”);
– Secț. a 4-a („Autoritatea competentă la nivel naţional – CERT-RO”);
– Cap. IV („Asigurarea securităţii reţelelor şi sistemelor informatice”);
– Secț. 1 („Cerinţele minime de securitate”);
– Secț. a 2-a („Notificarea incidentelor de securitate”);
– Secț. a 3-a („Managementul incidentelor”);
– Cap. V („Audit şi autorizare”);
– Secț. 1 („Auditul de securitate a reţelelor şi sistemelor informatice aparţinând operatorilor de servicii esenţiale sau furnizorilor de servicii digitale”);
– Secț. a 2-a („Autorizarea echipelor CSIRT ce deservesc reţele şi sisteme informatice din categoria serviciilor esenţiale şi serviciilor digitale”);
– Cap. VI („Cooperare”);
– Cap. VII („Supraveghere, control, sancţionare”);
– Secț. 1 („Activitatea de control”);
– Cap. VIII („Dispoziţii tranzitorii”);
– Cap. IX („Dispoziţii finale”);
– Anexă („Sectoare de activitate şi tipuri de entităţi”).
Prezentare generală
Stabilind cadrul juridic și instituțional, măsurile şi mecanismele necesare asigurării unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice şi a stimulării cooperării în domeniu, scopul Legii nr. 362/2018 este unul compex și vizează următoarele aspecte:
– stabilirea cadrului de cooperare la nivel naţional şi de participare la nivel european şi internaţional în domeniul asigurării securităţii reţelelor şi sistemelor informatice;
– desemnarea autorităţii competente la nivel naţional şi a entităţilor de drept public şi privat care deţin competenţe şi responsabilităţi în aplicarea prevederilor prezentei legi, a punctului unic de contact la nivel naţional şi a echipei naţionale de intervenţie în caz de incidente de securitate informatică;
– stabilirea cerinţelor de securitate şi notificare pentru operatorii de servicii esenţiale şi pentru furnizorii de servicii digitale şi instituirea mecanismelor de actualizare a acestora în funcţie de evoluţia ameninţărilor la adresa securităţii reţelelor şi sistemelor informatice.
În mod excepțional, dispozițiile respectivului act normativ nu se vor aplica următoarelor entități:
– instituţiile din domeniul apărării, ordinii publice şi securităţii naţionale;
– Oficiul Registrului Naţional al Informaţiilor Secrete de Stat.
Potrivit art. 3 lit. e), prin termenul „incident” se înțelege orice eveniment care are un impact real negativ asupra securităţii reţelelor şi a sistemelor informatice, în vreme ce prin sintagma „reţea şi sistem informatic” se desemnează următoarele:
– o reţea de comunicaţii electronice în sensul prevederilor art. 4 alin. (1) pct. 6 din O.U.G. nr. 111/2011 privind comunicaţiile electronice;
– orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor cu ajutorul unui program informatic;
– datele digitale stocate, prelucrate, recuperate sau transmise de elementele mai sus menționate, în vederea funcţionării, utilizării, protejării şi întreţinerii lor.
Noțiunea „risc” este definită ca fiind orice circumstanţă sau eveniment ce poate fi identificat în mod rezonabil, anterior producerii sale, care are un efect potenţial negativ asupra securităţii reţelelor şi a sistemelor informatice, iar prin sintagma „securitatea reţelelor şi a sistemelor informatice” se înțelege capacitatea unei reţele şi a unui sistem informatic de a rezista, la un nivel de încredere dat, oricărei acţiuni care compromite disponibilitatea, autenticitatea, integritatea, confidenţialitatea sau nonrepudierea datelor stocate ori transmise sau prelucrate ori a serviciilor conexe oferite de reţeaua sau de sistemele informatice respective sau accesibile prin intermediul acestora.
În cele din urmă strategia naţională privind securitatea reţelelor şi a sistemelor informatice reprezintă cadrul care furnizează obiective şi priorităţi strategice privind securitatea reţelelor şi a sistemelor informatice la nivel naţional.
Potrivit art. 4, Legea nr. 362/2018 se bazează pe următoarele principii:
– principiul responsabilităţii şi conştientizării;
– principiul proporţionalităţii;
– principiul cooperării şi coordonării.
Asigurarea nivelului ridicat de securitate presupune identificarea și înregistrarea operatorilor de servicii esenţiale în Registrul operatorilor de servicii esenţiale. Astfel, pentru a fi considerat esențial, un serviciu trebuie să îndeplinească următoarele condiții, cumulativ:
– serviciul este esenţial în susţinerea unor activităţi societale şi/sau economice de cea mai mare importanţă;
– furnizarea sa depinde de o reţea sau de un sistem informatic;
– furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.
Registrul operatorilor de servicii esenţiale se întocmește pentru sectoarele şi subsectoarele prevăzute în anexă şi raportat la criteriile prevăzute la art. 6 şi valorile de prag prevăzute la art. 6 alin. (3). Acest registru se va înființa, întreține și actualiza periodic, minim o dată la doi ani, de către CERT-RO în calitate de autoritate competentă la nivel naţional.
Operatorii de servicii esențiale au obligația să notifice CERT-RO în vederea înscrierii în Registru, iar în mod excepțional, identificarea în vederea înscrierii se poate face și de către CERT-RO din oficiu în vederea îndeplinirii obligaţiilor legale ce îi revin sau în urma unei sesizări privind sustragerea de la obligaţia de notificare şi înscriere în Registrul operatorilor de servicii esenţiale făcută de către orice persoană interesată, aducând la cunoştinţa entităţii vizate declanşarea procedurii de identificare şi comunicând la final operatorului rezultatul acesteia.
În cazul în care entitățile nu mai îndeplinesc condițiile de înregistrare în Registru, acestea trebuie să notifice CERT-RO în vederea radierii, iar radierea se dispune prin decizia directorului general al CERT-RO.
Furnizorii de servicii digitale au obligația să pună la dispoziția CERT-RO, la solicitarea acesteia făcută cu menţionarea scopului şi precizând informaţiile necesare şi termenul de furnizare a acestora:
– informaţiile necesare pentru evaluarea securităţii reţelelor şi a sistemelor informatice vizate de prezenta lege, inclusiv politicile de securitate documentate;
– rezultatele auditului de securitate realizat, inclusiv informaţiile şi documentaţiile pe care se bazează acesta, precum şi alte elemente care atestă punerea efectivă în aplicare a cerinţelor minime de securitate.
Conform art. 13, coordonarea strategică la nivel naţional a activităţilor de asigurare a unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice se realizează de către Guvern prin Ministerul Comunicaţiilor şi Societăţii Informaţionale sub aspectul politicilor publice şi al iniţiativei legislative în domeniu.
CERT-RO reprezintă autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice care asigură furnizarea serviciilor esenţiale ori furnizează serviciile digitale identificate, sens în care aceasta cooperează cu următoarele:
– S.R.I. – securitatea reţelelor şi a sistemelor informatice care asigură servicii esenţiale a căror afectare aduce atingere securităţii naţionale;
– M.A.N. – securitatea reţelelor şi a sistemelor informatice care asigură servicii esenţiale în sprijinul activităţilor privind apărarea naţională;
– M.A.I., O.R.N.I.S.S., S.I.E., S.T.S. şi S.P.P. – pentru securitatea reţelelor şi a sistemelor informatice care asigură servicii esenţiale în domeniul lor de activitate şi responsabilitate.
Conform art. 21, în sarcina CERT-RO sunt date următoarele atribuții:
– exercitarea funcţiei de legătură între autorităţile statului şi autorităţile similare din alte state, Grupul de cooperare şi reţeaua echipelor de răspuns la incidentele de securitate informatică;
– elaborarea şi transmiterea Grupului de cooperare rapoarte de sinteză privind notificările primite şi acţiunile întreprinse;
– transmiterea, la cererea autorităţilor sau a echipelor CSIRT, către punctele unice de contact din celelalte state membre notificările şi solicitările privind incidentele ce afectează funcţionarea serviciilor esenţiale şi a celor digitale de pe teritoriul respectivelor state;
– transmiterea autorităţilor prevăzute la art. 15 alin. (2) şi art. 16 notificările şi cererile primite din alte state membre, potrivit ariei de responsabilitate.
Normele tehnice aplicabile operatorilor de servicii esenţiale se elaborează de către CERT-RO, operatorii având obligația să le respecte. Pe de altă parte, normele tehnice aplicabile furnizorilor de servicii digitale se stabilesc în baza următoarelor categorii de activităţi de asigurare a securităţii reţelelor şi sistemelor informatice:
– securitatea sistemelor şi a instalaţiilor;
– gestionarea incidentelor;
– gestionarea continuităţii activităţii;
– monitorizarea, auditarea şi testarea;
– conformitatea cu standardele europene şi internaţionale.
Incidentele de securitate trebuie comunicate CERT-RO, iar notificarea va trebui să conțină, în mod obligatoriu, următoarele informaţii:
– elementele de identificare ale infrastructurii şi operatorului sau furnizorului în cauză;
– descrierea incidentului;
– perioada de desfăşurare a incidentului;
– impactul estimat al incidentului;
– măsuri preliminare adoptate;
– lista de autorităţi ale statului afectate de incident;
– întinderea geografică potenţială a incidentului;
– date despre efecte potenţial transfrontaliere ale incidentului.
Conform art. 29, CERT-RO are posibilitatea de a înştiinţa publicul cu privire la un incident de securitate, atunci când informarea este necesară pentru a preveni un incident sau pentru a se administra un incident în curs.
Calitatea de auditor de securitate a reţelelor şi sistemelor informatice poate fi deținută de persoana fizică sau persoana juridică ce realizează audit de securitate a reţelelor şi sistemelor informatice, adică desfăşoară acea activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul reţelelor şi sistemelor informatice, în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora.
CERT-RO exercită controlul respectării prevederilor legii, a obligaţiilor impuse prin actele emise în aplicarea legii, în limitele competenţelor legale de monitorizare sau de verificare.
Potrivit art. 42, înscrierea în Registrul operatorilor de servicii esenţiale, în primii 2 ani de la data intrării în vigoare a legii, se face prin depunerea unei declaraţii pe propria răspundere însoţite de o documentaţie de autoevaluare a îndeplinirii cerinţelor minime de securitate şi notificare.
