Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019.
Legea transpune Directivă NIS (Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune) și:
- are drept scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică și respectiv creșterea gradului de încredere a cetățenilor în Piața Digitală Unică
- se adresează specific
- Operatorilor de Servicii Esențiale (OSE) din 7 sectoare de activitate economică (a se vedea Anexa la lege pentru detalii) astfel:
- Energie
- Transport
- Sectorul bancar
- Infrastructuri ale pieței financiare
- Sectorul sănătății
- Furnizarea și distribuirea de apă potabilă
- Infrastructură digitală
- Furnizorilor de Servicii Digitale (FSD) din trei categorii, respectiv: piețe online, motoare de căutare online, servicii de cloud computing (conform art. 3 lit o)
- Operatorilor de Servicii Esențiale (OSE) din 7 sectoare de activitate economică (a se vedea Anexa la lege pentru detalii) astfel:
- stabilirea de măsuri și cerințe pentru asigurarea efectivă a securității (art. 25)
- notificarea incidentelor survenite
- legea stabilește cerințe de notificare a incidentelor către autoritatea națională (art. 26) pentru categoriile sus-menționate
- pentru stabilirea încrederii și conform practicilor privind confidențialitatea în asigurarea securității informatice, legea conține prevederi referitoare la protejarea secretului comercial și a altor informații comunicate CERT-RO în cursul notificărilor și managementului incidentelor.
- totodată legea instituie un mecanism de primire de notificări și de la alte categorii/alți operatori economici (notificare voluntară)
- cadrul instituțional și de cooperare: legea stabilește cadrul instituțional la nivel național și cadrul național de cooperare în asigurarea securității rețelelor și sistemelor informatice prin:
- desemnarea CERT-RO – Centrul Național de Răspuns la Incidente de Securitate Cibernetică ca autoritate națională cu atribuții de reglementare, supraveghere și control și care va îndeplini și:
- Funcția de Punct Unic de Contact la nivel național
- Funcția de echipă CSIRT națională (echipă de răspuns la incidente de securitate informatică la nivel național și de participare la răspunsul comun la nivel european)
- desemnarea CERT-RO – Centrul Național de Răspuns la Incidente de Securitate Cibernetică ca autoritate națională cu atribuții de reglementare, supraveghere și control și care va îndeplini și:
- Inițiază un proces de identificare a operatorilor de servicii esențiale și înscriere a acestora în registrul operatorilor de servicii esențiale
- legea prevede totodată reguli privind auditarea rețelelor și sistemelor OSE și FSD, înființarea de echipe CSIRT/CERT publice, private sau sectoriale precum și reguli privind formarea în domeniu.
Sursa: https://dnsc.ro/