Pe 12 Ianuarie 2019 a intrat în vigoare Legea nr. 362/2018, privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, fiind publicată în Monitorul Oficial. Legea transpune la nivel naţional Directiva Europeană NIS 1148/2016 în vederea alinierii cadrului comun european de răspuns la incidente de securitate cibernetică.
Scopul principal este creşterea nivelului de pregătire a statelor UE pentru a face faţă la incidentele de securitate informatică şi creșterea gradului de încredere a cetăţenilor în Piaţa Digitală Unică. Practic este reglementat modul în care o instituţie publică/privată trebuie să se protejeze, raporteze dar şi să reacţioneze la incidentele de securitate cibernetică astfel încât impactul asupra serviciului oferit să fie minim.
Se adresează operatorilor de servicii esenţiale publici şi privaţi din 7 sectoare de activitate economică:
- Energie (electricitate, petrol şi gaze)
- Transport (aerian, feroviar, apă, rutier)
- Sectorul Bancar
- Infrastructuri ale pieţei financiare
- Sănătate (spitale şi clinici publice şi private)
- Furnizarea şi distribuirea de apă potabilă
- Furnizori de servicii digitale (e-commerce, motoare de căutare, servicii de cloud computing etc.)
Entităţile publice sau private sunt considerate operatori de servicii esenţiale dacă, furnizează prin intermediul unei infrastructuri informatice un serviciu esenţial în susţinerea unor activităţi societale şi/sau economice de cea mai mare importanţă.
Textul legislativ desemnează Centrul Naţional de Răspuns la Incidente se Securitate Cibernetică (CERT-RO) ca autoritatea competentă la nivel naţional pentru securitate reţelelor şi a sistemelor informatice în colaborare, în funcţie de domeniul în care a fost identificat incidentul, cu MApN, MAI, ORNISS, SIE, SRI, SPP.
Totodată CERT-RO elaborează normele tehnice pentru managementul drepturilor de acces, conștientizarea şi instruirea utilizatorilor, jurnalizarea şi asigurarea trasabilităţii, configuraţia reţelelor, asigurarea disponibilităţii serviciului esenţial precum şi alte activităţi, acestea fiind regăsite la art 25. alin 3.
De asemenea în cadrul CERT-RO va funcţiona şi punctul unic de contract la nivel naţional (pentru raportarea incidentelor de securitate informatică identificate) şi echipa de răspuns la incidente de securitate informatică (CSIRT).
Nerespectarea condiţiilor reglementate de L 362 este considerată contravenţie şi se sancţionează cu amendă de la 3.000 lei până la 50.000 lei, iar în cazul în care entitatea are o cifră de afaceri mai mare de 2.000.000 lei, amenda este între 0,5% şi 2% din cifra de afaceri.
Legea reprezintă un pas necesar în asigurarea securităţii sistemelor informatice, şi tot odată deschide noi oportunităţii pe piaţa de Securitate IT din România, fiind creată o cerere la nivel naţional de echipe CSIRT, specialiști IT&C precum şi specialişti în securitate cibernetică.