Securitatea cibernetică, obligatorie prin lege: Firmele riscă amenzi de 5% din cifra de afaceri dacă nu respectă noile obligații

Companiile care oferă oamenilor servicii esențiale prin intermediul unor rețele sau sisteme informatice au de îndeplinit, începând din acest an, noi obligații ce țin de securitatea cibernetică, astfel încât să fie mai bine protejate împotriva unor atacuri informatice. Măsurile pe care aceste companii sunt obligate să le ia, sub amenințarea unor amenzi consistente din partea autorităților de reglementare, se regăsesc într-un act normativ care a intrat deja în vigoare și vin în contextul în care majoritatea activităților sunt acum realizate prin intermediul tehnologiei, iar compromiterea sistemelor informatice poate duce la consecințe grave: de la întreruperea unor servicii esențiale pentru populație până la pierderea unor date ale companiei, salariaților sau clienților ei.

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice se aplică de la mijlocul lunii ianuarie 2019. Aceasta vine cu noi obligații pentru firme pe partea de securitate cibernetică.

Concret, vizate sunt companiile ce sunt operatori de servicii esențiale. Un serviciu este considerat esențial atunci când este fundamental în susținerea unor activități societale și/sau economice de cea mai mare importanță, când furnizarea sa depinde de o rețea sau de un sistem informatic și când furnizarea sa este tulburată serios la producerea unui incident ce afectează securitatea rețelei/sistemului informatic.

De asemenea, trebuie precizat că sunt vizate de lege și firmele furnizoare de servicii digitale (piețe online, motoare de căutare online, servici de cloud computing), însă acestora li se aplică un alt set de obligații privind securitatea cibernetică.

Aceste companii care oferă servicii esențiale sunt obligate, conform noii legi, să ia anumite măsuri pentru a asigura securitatea rețelelor și a sistemelor informatice. Mai precis, vorbim de nouă obligații.

 1.  Măsuri adecvate pentru un nivel minim de securitate. Legea nr. 362/2018 se referă la implementarea de măsuri tehnice și organizatorice adecvate și proporționale pentru a îndeplini anumite cerințe minime de securitate ce vor fi stabilite curând de Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO). Printre altele, sunt enumerate managementul drepturilor de acces, conștientizarea și instruirea utilizatorilor, testarea și evaluarea securității rețelelor și sistemelor informatice sau analizarea și evaluarea riscurilor. Termenul de conformare va fi de șase luni (de la stabilirea cerințelor sau de la înscrierea în viitorul registru al operatorilor de servicii esențiale).

 2.  Prevenirea și minimizarea impactului incidentelor de securitate. De asemenea, firmele trebuie să ia măsuri adecvate pentru a preveni și a minimiza problemele pe care le-ar putea genera incidentele de securitate ce vizează rețelele și sistemele informatice. Astfel încât serviciile esențiale furnizate de societăți să fie disponibile în continuare. Și în acest caz termenul de conformare va fi de șase luni (de la stabilirea cerințelor sau de la înscrierea în registru).

 3.  Notificarea incidentelor cu impact mare. O altă obligație ce revine transportatorilor, băncilor sau clinicilor medicale este notificarea rapidă, către CERT-RO, a incidentelor care afectează semnificativ continuitatea serviciilor esențiale. O asemenea notificare trebuie să includă, de exemplu, descrierea incidentului, impactul estimat al incidentului și măsurile preliminare luate de firme.

 4.  Furnizarea de informații privind impactul transfrontalier al unui incident. Tot către CERT-RO vor trebui transmise informațiile necesare pentru a se stabili impactul transfrontalier al unui incident de securitate. Practic, firmele trebuie să dea informații despre potențiala întindere geografică a incidentului și despre potențialele efecte la nivel transfrontalier.

 5.  Să permită controalele desfășurate de CERT-RO. O a cincea obligație este ca operatorii de servicii esențiale să permită verificările ce pot fi desfășurate de CERT-RO pentru a vedea cât de bine sunt respectate obligațiile impuse de Legea nr. 362/2018.

 6.  Mijloacele de contact și responsabilii cu monitorizarea lor. Noua lege mai face referire la stabilirea unor mijloace permanente de contact de către firmele operatoare de servicii esențiale, precum și la desemnarea unor responsabili care să se ocupe de monitorizarea mijloacelor de contact. De asemenea, CERT-RO trebuie informat despre mijloace și responsabili, însă acest lucru se va face după înscrierea în viitorul registru al operatorilor de servicii esențiale.

 7. Comunicarea actualizării datelor furnizate de operatorul de servicii esențiale. O a șaptea obligație se referă la comunicarea în maximum 30 de zile, către CERT-RO, a oricărei schimbări ce a apărut în datele furnizate de firme în procesul de identificare ca operatori de servicii esențiale.

 8.  Conectarea la serviciul de alertare al CERT-RO. După ce se vor înscrie în registrul operatorilor de servicii esențiale, firmele vor fi obligate să se conecteze la serviciul de alertare și cooperare al CERT-RO. Practic, firmele vor trebui să monitorizeze permanent alertele și solicitările venite prin acest serviciu (și nu numai), pentru a lua rapid măsuri adecvate la nivelul rețelelor și sistemelor informatice proprii.

 9.  Gestionarea adecvată a incidentelor de securitate. În fine, a noua obligație impusă de legea amintită se referă la gestionarea incidentelor. Mai exact, companiile vor trebui să asigure un răspuns rapid la incidente, să restabilească rapid funcționarea serviciilor esențiale și să facă un audit de securitate.

Pe deasupra, companiile vor fi obligate să pună la dispoziția CERT-RO informațiile necesare pentru evaluarea securității rețelelor și sistemelor informatice vizate de Legea nr. 362/2018 (inclusiv politicile de securitate documentate), precum și rezultatele auditului de securitate făcut la solicitarea CERT-RO (inclusiv informațiile și documentațiile pe care se bazează auditul și alte elemente care dovedesc aplicarea cerințelor minime de securitate).

Costuri suplimentare și pierderi financiare pentru firme, plus amenzi drastice!

Sursa : https://www.avocatnet.ro/