Consultare care vizeaza operatorii de retele IT si furnizorii de servicii digitale din Romania: Cum sa fie aplicata Directiva UE privind securitatea retelelor si a sistemelor informatice?
Ministerul Comunicatiilor a lansat o consultare publica privind transpunerea unei Directive UE care vizeaza masuri de securitate a retelelor si a sistemelor informatice in Uniunea Europeana (Directiva NIS). Directiva, care va trebui aplicata de statele membre pana in 9 mai 2018, vizeaza operatorii de servicii esentiale si furnizorii de servicii digitale pe care se bazeaza din ce in ce mai mult numeroase intreprinderi din Uniune, precum serviciile de cloud computing, motoarele de cautare online si magazinele de aplicatii.
- NOTA: In Romania, s-a incercat promovarea Legii securitatii cibernetice, inainte de adoptarea acestei Directive UE. Legea a fost declarata insa neconstitutionala in 2015, unul dintre motive fiind ca SRI nu ar trebui sa fie autoritatea nationala in domeniul securitatii cibernetice.
Directiva NIS, aprobata in data de 6 iulie 2016 de Parlamentul si Consiliul European, stabileste masuri in vederea obtinerii unui nivel comun ridicat de securitate a retelelor si a sistemelor informatice in cadrul Uniunii, astfel incat sa se imbunatateasca functionarea pietei interne, astfel:
- (a) stabileste pentru toate statele membre obligatia de a adopta o strategie nationala privind securitatea retelelor si a sistemelor informatice;
- (b) creeaza un grup de cooperare pentru a sprijini si facilita cooperarea strategica si schimbul de informatii intre statele membre si pentru a dezvolta increderea intre acestea;
- (c) creeaza o retea a echipelor de interventie in caz de incidente de securitate informatica (‘reteaua CSIRT’) pentru a contribui la dezvoltarea increderii intre statele membre si pentru a promova cooperarea operationala rapida si eficace;
- (d) stabileste cerinte de securitate si notificare pentru operatorii de servicii esentiale si pentru furnizorii de servicii digitale;
- (e) stabileste pentru statele membre obligatii de desemnare a autoritatilor competente la nivel national, a punctelor unice de contact si a CSIRT cu atributii legate de securitatea retelelor si a sistemelor informatice.
O intrebare interesanta ridicata de Ministerul Comunicatiilor: Considerati ca alte sectoare de servicii esentiale/ digitale ar trebui sa aiba obligatii in ceea ce priveste securitatea retelelor si sistemelor informatice decat cele incluse in Anexele Directivei NIS? Care?
In Directiva NIS sunt definiti la modul general operatorii de servicii esentiale si furnizorii de servicii digitale si sunt prezentati in doua Anexe.
Operatorul de servicii esentiale este definit ca o entitate publica sau privata care indeplineste cumulativ urmatoarele criterii:
- a) furnizeaza un serviciu esential pentru sustinerea activitatilor societale si/sau economice de cea mai mare importanta;
- (b) furnizarea serviciului respectiv depinde de retea si de sistemele informatice; si
- (c) un incident ar avea efecte perturbatoare semnificative asupra furnizarii serviciului
In Anexa II a Directivei sunt date spre exemplu cateva tipuri de astfel de operatori de servicii esentiale din domeniile: energie, transport, sectorul bancar, infrastructuri ale pietei financiare, sectorul sanatatii (inclusiv spitale si clinici private), furnizarea si distributia de apa potabila; infrastructura digitala (furnizori de servicii – domain name system -DNS; entitatile care administreaza si opereaza inregistrarea de nume de domenii de internet si Internet Exchange Point – IXP);
Potrivit Directivei, pana la 9 noiembrie 2018, pentru fiecare sector si subsector mentionat in anexa II, statele membre identifica operatorii de servicii esentiale care au un sediu pe teritoriul lor.
Furnizorul de servicii digitale inseamna orice persoana juridica care furnizeaza un serviciu digital, tipurile de servicii digitale fiind enumerate in Anexa III, respectiv: magazinele de aplicatii, motoarele de cautare online si serviciile de cloud computing.
Interesant este ca Ministerul Comunicatiilor intreaba daca si ‘alte sectoare de servicii esentiale/ digitale, care nu sunt mentionate in Directiva NIS, ar trebui sa aiba obligatii in ceea ce priveste securitatea retelelor si sistemelor informatice’.
Ministerul mai intreaba, printre altele, si „care institutii ar trebui sa fie responsabile cu verificarea implementarii acestor masuri”.
In Directiva NIS se mentioneaza ca „statele membre ar trebui sa fie capabile sa desemneze mai multe autoritati nationale competente responsabile cu indeplinirea atributiilor legate de securitatea retelelor si a sistemelor informatice ale operatorilor de servicii esentiale si ale furnizorilor de servicii digitale in temeiul prezentei directive„.
- De ce a fost declarata neconstitutionala Legea Securitatii cibernetice in Romania
Amintim ca in Romania, s-a incercat promovarea unei legi a securitatii cibernetice inainte de adoptarea acestei Directive UE. Legea a fost declarata insa neconstitutionala in 2015, unul dintre motive fiind ca SRI nu ar trebui sa fie autoritatea nationala in domeniul securitatii cibernetice.
Curtea Constitutionala a subliniat in motivarea deciziei sale ca la data solutionarii cauzei, nu exista la nivelul Uniunii Europene un act normativ in vigoare cu privire la securitatea cibernetica. Curtea preciza ca „la nivelul UE a fost initiata procedura legislativa ordinara de adoptare a unei directive privind masuri de asigurare a unui nivel comun ridicat de securitate a retelelor si a informatiei in Uniune – Directiva NIS (Network and Information Security), dar ca este inca in dezbatere„.
Propunerea de Directiva UE prevedea la acel moment ca „autoritatile competente si punctele unice de contact ar trebui sa fie organisme civile, care sa functioneze integral pe baza controlului democratic, si care nu ar trebui sa desfasoare activitati in domeniul informatiilor, al aplicarii legii sau al apararii si nici sa fie legate organizational in vreun fel de organismele active in aceste domenii”.
- Curtea Constitutionala a motivat atunci si de ce nu ar trebui sa fie SRI – autoritatea nationala in domeniul securitatii cibernetice.
„In analiza Curtii, optiunea pentru desemnarea in calitate de autoritate nationala in domeniul securitatii cibernetice a unui organism civil, iar nu a unei entitati militare cu activitate in domeniul informatiilor, se justifica prin necesitatea preintampinarii riscului de a de turna scopul legii securitatii cibernetice in sensul folosirii atributiilor conferite prin aceasta lege de catre serviciile de informatii in scopul obtinerii de informatii si date cu consecinta incalcarii drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei. Or, tocmai acest lucru nu evita legea supusa controlului de constitutionalitate prin desemnarea SRI si a structurii sale militarizate CNSC.
Astfel, examinand atributiile stabilite de actul normativ supus controlului, apare cu evidenta intentia legiuitorului de a stabili in competenta CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, atat din mediul public, cat si din cel privat. Or, in conditiile in care Centrul National de Securitate Cibernetica constituie o structura militara, in cadrul unui serviciu de informatii, subordonata ierarhic conducerii acestei institutii, deci sub un control direct militar- administrativ, apare cu evidenta ca o atare entitate nu indeplineste conditiile cu privire la garantiile necesare respectarii drepturilor fundamentale referitoare la viata intima, familiala si privata si la secretul corespondentei„, preciza in ianuarie 2015 Curtea Constitutionala.
- Pentru detalii citeste: De ce a cazut Legea securitatii cibernetice. Motivarea Curtii Constitutionale