Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice

În M. Of. nr. 21 din 9 ianuarie 2019 s-a publicat Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.

Astfel, respectivul act normativ reglementează cadrul juridic și instituțional, măsurile și mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice și a stimulării cooperării în domeniu.

Vă prezentăm, în continuare, cele mai importante dispoziții ale Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.

Structura

– Cap. I („Dispoziții generale”);

– Secț. 1 („Obiect și scop”);

– Secț. a 2-a („Definiții și principii”);

– Cap. II („Domeniul de aplicare”);

– Secț. 1 („Operatorii de servicii esențiale”);

– Secț. a 2-a („Furnizorii de servicii digitale”);

– Cap. III („Roluri și responsabilități”);

– Secț. 1 („Coordonarea strategică la nivel național”);

– Secț. a 2-a („Autorități competente și responsabilități”);

– Secț. a 3-a („Echipele de intervenție în caz de incidente de securitate informatică”);

– Secț. a 4-a („Autoritatea competentă la nivel național – CERT-RO”);

– Cap. IV („Asigurarea securității rețelelor și sistemelor informatice”);

– Secț. 1 („Cerințele minime de securitate”);

– Secț. a 2-a („Notificarea incidentelor de securitate”);

– Secț. a 3-a („Managementul incidentelor”);

– Cap. V („Audit și autorizare”);

– Secț. 1 („Auditul de securitate a rețelelor și sistemelor informatice aparținând operatorilor de servicii esențiale sau furnizorilor de servicii digitale”);

– Secț. a 2-a („Autorizarea echipelor CSIRT ce deservesc rețele și sisteme informatice din categoria serviciilor esențiale și serviciilor digitale”);

– Cap. VI („Cooperare”);

– Cap. VII („Supraveghere, control, sancționare”);

– Secț. 1 („Activitatea de control”);

– Cap. VIII („Dispoziții tranzitorii”);

– Cap. IX („Dispoziții finale”);

– Anexă („Sectoare de activitate și tipuri de entități”).

Prezentare generală

Stabilind cadrul juridic și instituțional, măsurile și mecanismele necesare asigurării unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice și a stimulării cooperării în domeniu, scopul Legii nr. 362/2018 este unul compex și vizează următoarele aspecte:

– stabilirea cadrului de cooperare la nivel național și de participare la nivel european și internațional în domeniul asigurării securității rețelelor și sistemelor informatice;

– desemnarea autorității competente la nivel național și a entităților de drept public și privat care dețin competențe și responsabilități în aplicarea prevederilor prezentei legi, a punctului unic de contact la nivel național și a echipei naționale de intervenție în caz de incidente de securitate informatică;

– stabilirea cerințelor de securitate și notificare pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale și instituirea mecanismelor de actualizare a acestora în funcție de evoluția amenințărilor la adresa securității rețelelor și sistemelor informatice.

În mod excepțional, dispozițiile respectivului act normativ nu se vor aplica următoarelor entități:

– instituțiile din domeniul apărării, ordinii publice și securității naționale;

– Oficiul Registrului Național al Informațiilor Secrete de Stat.

Potrivit art. 3 lit. e), prin termenul „incident” se înțelege orice eveniment care are un impact real negativ asupra securității rețelelor și a sistemelor informatice, în vreme ce prin sintagma „rețea și sistem informatic” se desemnează următoarele:

– o rețea de comunicații electronice în sensul prevederilor art. 4 alin. (1) pct. 6 din O.U.G. nr. 111/2011 privind comunicațiile electronice;

– orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor cu ajutorul unui program informatic;

– datele digitale stocate, prelucrate, recuperate sau transmise de elementele mai sus menționate, în vederea funcționării, utilizării, protejării și întreținerii lor.

Noțiunea „risc” este definită ca fiind orice circumstanță sau eveniment ce poate fi identificat în mod rezonabil, anterior producerii sale, care are un efect potențial negativ asupra securității rețelelor și a sistemelor informatice, iar prin sintagma „securitatea rețelelor și a sistemelor informatice” se înțelege capacitatea unei rețele și a unui sistem informatic de a rezista, la un nivel de încredere dat, oricărei acțiuni care compromite disponibilitatea, autenticitatea, integritatea, confidențialitatea sau nonrepudierea datelor stocate ori transmise sau prelucrate ori a serviciilor conexe oferite de rețeaua sau de sistemele informatice respective sau accesibile prin intermediul acestora.

În cele din urmă strategia națională privind securitatea rețelelor și a sistemelor informatice reprezintă cadrul care furnizează obiective și priorități strategice privind securitatea rețelelor și a sistemelor informatice la nivel național.

Potrivit art. 4, Legea nr. 362/2018 se bazează pe următoarele principii:

– principiul responsabilității și conștientizării;

– principiul proporționalității;

– principiul cooperării și coordonării.

Asigurarea nivelului ridicat de securitate presupune identificarea și înregistrarea operatorilor de servicii esențiale în Registrul operatorilor de servicii esențiale. Astfel, pentru a fi considerat esențial, un serviciu trebuie să îndeplinească următoarele condiții, cumulativ:

– serviciul este esențial în susținerea unor activități societale și/sau economice de cea mai mare importanță;

– furnizarea sa depinde de o rețea sau de un sistem informatic;

– furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.

Registrul operatorilor de servicii esențiale se întocmește pentru sectoarele și subsectoarele prevăzute în anexă și raportat la criteriile prevăzute la art. 6 și valorile de prag prevăzute la art. 6 alin. (3). Acest registru se va înființa, întreține și actualiza periodic, minim o dată la doi ani, de către CERT-RO în calitate de autoritate competentă la nivel național.

Operatorii de servicii esențiale au obligația să notifice CERT-RO în vederea înscrierii în Registru, iar în mod excepțional, identificarea în vederea înscrierii se poate face și de către CERT-RO din oficiu în vederea îndeplinirii obligațiilor legale ce îi revin sau în urma unei sesizări privind sustragerea de la obligația de notificare și înscriere în Registrul operatorilor de servicii esențiale făcută de către orice persoană interesată, aducând la cunoștința entității vizate declanșarea procedurii de identificare și comunicând la final operatorului rezultatul acesteia.

În cazul în care entitățile nu mai îndeplinesc condițiile de înregistrare în Registru, acestea trebuie să notifice CERT-RO în vederea radierii, iar radierea se dispune  prin decizia directorului general al CERT-RO.

Furnizorii de servicii digitale au obligația să pună la dispoziția CERT-RO,  la solicitarea acesteia făcută cu menționarea scopului și precizând informațiile necesare și termenul de furnizare a acestora:

– informațiile necesare pentru evaluarea securității rețelelor și a sistemelor informatice vizate de prezenta lege, inclusiv politicile de securitate documentate;

– rezultatele auditului de securitate realizat, inclusiv informațiile și documentațiile pe care se bazează acesta, precum și alte elemente care atestă punerea efectivă în aplicare a cerințelor minime de securitate.

Conform art. 13, coordonarea strategică la nivel național a activităților de asigurare a unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice se realizează de către Guvern prin Ministerul Comunicațiilor și Societății Informaționale sub aspectul politicilor publice și al inițiativei legislative în domeniu.

CERT-RO reprezintă autoritatea competentă la nivel național pentru securitatea rețelelor și a sistemelor informatice care asigură furnizarea serviciilor esențiale ori furnizează serviciile digitale identificate, sens în care aceasta cooperează cu următoarele:

– S.R.I. – securitatea rețelelor și a sistemelor informatice care asigură servicii esențiale a căror afectare aduce atingere securității naționale;

– M.A.N. – securitatea rețelelor și a sistemelor informatice care asigură servicii esențiale în sprijinul activităților privind apărarea națională;

– M.A.I., O.R.N.I.S.S., S.I.E., S.T.S. și S.P.P.  – pentru securitatea rețelelor și a sistemelor informatice care asigură servicii esențiale în domeniul lor de activitate și responsabilitate.

Conform art. 21, în sarcina CERT-RO sunt date următoarele atribuții:

– exercitarea funcției de legătură între autoritățile statului și autoritățile similare din alte state, Grupul de cooperare și rețeaua echipelor de răspuns la incidentele de securitate informatică;

– elaborarea și transmiterea Grupului de cooperare rapoarte de sinteză privind notificările primite și acțiunile întreprinse;

– transmiterea, la cererea autorităților sau a echipelor CSIRT, către punctele unice de contact din celelalte state membre notificările și solicitările privind incidentele ce afectează funcționarea serviciilor esențiale și a celor digitale de pe teritoriul respectivelor state;

– transmiterea autorităților prevăzute la art. 15 alin. (2) și art. 16 notificările și cererile primite din alte state membre, potrivit ariei de responsabilitate.

Normele tehnice aplicabile operatorilor de servicii esențiale se elaborează de către CERT-RO, operatorii având obligația să le respecte. Pe de altă parte, normele tehnice aplicabile furnizorilor de servicii digitale se stabilesc în baza următoarelor categorii de activități de asigurare a securității rețelelor și sistemelor informatice:

– securitatea sistemelor și a instalațiilor;

– gestionarea incidentelor;

– gestionarea continuității activității;

– monitorizarea, auditarea și testarea;

– conformitatea cu standardele europene și internaționale.

Incidentele de securitate trebuie comunicate CERT-RO, iar notificarea va trebui să conțină, în mod obligatoriu, următoarele informații:

– elementele de identificare ale infrastructurii și operatorului sau furnizorului în cauză;

– descrierea incidentului;

– perioada de desfășurare a incidentului;

– impactul estimat al incidentului;

– măsuri preliminare adoptate;

– lista de autorități ale statului afectate de incident;

– întinderea geografică potențială a incidentului;

– date despre efecte potențial transfrontaliere ale incidentului.

Conform art. 29, CERT-RO are posibilitatea de a  înștiința publicul cu privire la un incident de securitate, atunci când informarea este necesară pentru a preveni un incident sau pentru a se administra un incident în curs.

Calitatea de auditor de securitate a rețelelor și sistemelor informatice poate fi deținută de persoana fizică sau persoana juridică ce realizează audit de securitate a rețelelor și sistemelor informatice, adică desfășoară acea activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, în vederea identificării disfuncțiilor și vulnerabilităților și a furnizării unor soluții de remediere a acestora.

CERT-RO exercită controlul respectării prevederilor legii, a obligațiilor impuse prin actele emise în aplicarea legii, în limitele competențelor legale de monitorizare sau de verificare.

Potrivit art. 42, înscrierea în Registrul operatorilor de servicii esențiale, în primii 2 ani de la data intrării în vigoare a legii, se face prin depunerea unei declarații pe propria răspundere însoțite de o documentație de autoevaluare a îndeplinirii cerințelor minime de securitate și notificare.