Pe 12 ianuarie 2019 a intrat în vigoare Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, după publicarea acesteia în Monitorul Oficial. Prezenta lege stabilește cadrul juridic și instituțional, măsurile și mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice și a stimulării cooperării în domeniu.

Actul normativ are o importanţă deosebită pentru România, deoarece transpune la nivel naţional Directiva NIS nr. 1148/2016 şi aliniază ţara noastră la un cadru european comun de răspuns la incidente de securitate cibernetică.

Legea se adresează operatorilor de servicii esențiale, persoane fizice sau juridice de drept public sau privat care furnizează servicii în următoarele sectoare:
• energie (electricitate, petrol, gaze naturale)
• transport (aerian, feroviar, pe apă, rutier);
• bancar;
• infrastructuri ale pieţei financiare;
• sănătate (instituții de asistență medical, inclusiv spitale și clinici private);
• furnizarea şi distribuirea de apă potabilă;
• infrastructură digitală.
Potrivit art. 6 al prezentei legi pentru a putea fi considerat esențial un serviciu trebuie să îndeplinească următoarele condiții, cumulativ:

– serviciul este esențial în susținerea unor activități societale și/sau economice de cea mai mare importanță;
– furnizarea sa depinde de o rețea sau de un sistem informatic;
– furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.
În cazul unui incident, (definit de prezenta lege ca orice eveniment care are un impact real negativ asupra securităţii reţelelor şi a sistemelor informatice), operatorii de servicii esențiale trebuie să-i comunice CERT-RO incidentul printr-o notificare, iar notificarea va trebui să conțină, în mod obligatoriu, următoarele informații:

– elementele de identificare ale infrastructurii și operatorului sau furnizorului în cauză;
– descrierea incidentului;
– perioada de desfășurare a incidentului;
– impactul estimat al incidentului;
– măsuri preliminare adoptate;
– lista de autorități ale statului afectate de incident;
– întinderea geografică potențială a incidentului;
– date despre efecte potențial transfrontaliere ale incidentului.

În sensul prezentei legi, operatorii de servicii esențiale au obligația de a se identifica și de a se înscrie în Registrul operatorilor de servicii esențiale iar, în mod excepțional, identificarea în vederea înscrierii se poate face și de către CERT-RO din oficiu în vederea îndeplinirii obligațiilor legale ce îi revin sau în urma unei sesizări privind sustragerea de la obligația de notificare și înscriere în Registrul operatorilor de servicii esențiale făcută de către orice persoană interesată, aducând la cunoștința entității vizate declanșarea procedurii de identificare și comunicând la final operatorului rezultatul acesteia.

Totodată, conform art. 9, entităţile care nu mai îndeplinesc condiţiile şi criteriile prevăzute pentru a fi un operator de servicii esențiel notifică CERT-RO în vederea radierii din Registrul operatorilor de servicii esenţiale.

Operatorii de servicii esențiale au de asemenea, obligația să notifice CERT-RO în vederea înscrierii în Registrul operatorilor de servicii esenţiale aceștia putând solicita asistenţa CERT-RO în procesul de identificare.
Înscrierea operatorilor de servicii esențiale în Registrul operatorilor de servicii esențiale se realizează prin decizia directorului general al CERT-RO care se comunică operatorului de servicii esențiale în urma depunerii unui raport de audit care atestă îndeplinirea cerințelor minime de securitate și notificare.

Acest registru se va înființa, întreține și actualiza periodic, minim o dată la doi ani, de către CERT-RO în calitate de autoritate competentă la nivel național.

CERT-RO va fi deci, autoritatea competentă ce va avea responsabilități de supraveghere, control și sancționare. Ținem să atragem atenția că sancțiunile nu sunt deloc neglijabile, urmărind trendul impus de GDPR. Astfel, la articolul 38 din lege identificăm o listă care cuprinde nu mai puțin de 49 de contravenții, care pot fi amendate cu sume între 3.000 și 50.000 lei sau până la 100.000 lei în cazul unor încălcări repetate.
Trebuie menționat că în cazul în care aveți o cifră de afaceri care depășeste 2.000.000 lei, prin derogare de la OUG 2/2001, puteți fi sancționați cu amenzi în cuantum de 0,5% pana la 2%, sau, atentie, în cazul unor încălcări repetate, limita maximă a amenzii poate ajunge la 5% din cifra de afaceri, depășind astfel limita maximă a amenzilor prevăzute de GDPR.

Pentru mai multe detalii și asistență juridică ne puteți contcata la :
• telefon : 0720291919/ 0369418723
• e-mail : [email protected]

Leave a Reply

Your email address will not be published.

*