Securitate cibernetică: măsuri imediate pentru marile companii din domenii cheie
Transpunerea în legislația română a primului act normativ al Uniunii Europene privind securitatea rețelelor și sistemelor informatice este așteptată în această perioadă. Noua lege va aduce cu sine obligații crescute de securitate cibernetică pentru marile companii active în anumite domenii, precum și amenzi ce pot atinge până la 5% din cifra de afaceri a companiilor care nu reușesc să îndeplinească aceste obligații.
România este pe cale să finalizeze a doua încercare de a transpune în legislația națională Directiva Europeană privind securitatea rețelelor și a sistemelor informatice (Directiva NIS), menită să asigure un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în rândul tuturor Statelor Membre.
În condițiile în care luna mai a acestui an a reprezentat termenul limită pentru ca Statele Membre să transpună Directiva NIS în legislația națională, companiile vizate ar trebui să urmărească stadiul transpunerii acesteia în legislația României și, mai ales, să ia deja primele măsuri pentru a asigura respectarea obligațiilor prevăzute de Directiva NIS, astfel încât să evite întârzieri sau efecte negative la momentul intrării în vigoare a legislației naționale în acest domeniu.
Care sunt companiile vizate?
Directive NIS este aplicabilă marilor companii active în domenii care se bazează într-o mare măsură pe tehnologia informației și comunicațiilor și care operează în sectoare critice, precum:
- Energie (electricitate, petrol, gaze naturale).
- Transporturi (aerian, feroviar, pe apă, rutier).
- Sectorul bancar.
- Infrastructuri ale pieței financiare.
- Sănătate (spitale și clinici private).
- Apă (furnizarea și distribuirea de apă potabilă).
- Infrastructură digitală.
- Furnizori de servicii digitale (piețe online, motoare de căutare online, servicii de cloud computing).
Și furnizorii de servicii relevante ai companiilor active în aceste domenii ar trebui să aibă în vedere cerințele Directivei NIS, în condițiile în care este necesar ca nivelul serviciilor lor să respecte de asemenea noul regim al securității cibernetice.
Legea de transpunere a Directivei NIS și normele sale de aplicare urmează să ofere indicații clare privind criteriile pentru identificarea companiilor vizate, precum și cu privire la alte aspecte ce țin de respectarea cerințelor de securitate cibernetică.
Principalele obligații ale companiilor vizate de Directiva NIS se referă la:
- Luarea măsurilor tehnice și organizaționale pentru asigurarea securității rețelelor și sistemelor lor informatice.
- Luarea în considerare a celor mai noi dezvoltări și a riscurilor potențiale cu care se confruntă sistemele.
- Luarea măsurilor necesare pentru prevenirea și reducerea impactului incidentelor de securitate, în scopul asigurării continuității serviciilor.
- Notificarea imediată a autorității de supraveghere (în țara noastră, conform legii de implementare a Directivei NIS aceasta fiind Centrul Național de Răspuns la Incidente de Securitate Cibernetică, CERT-RO) cu privire la orice incident de securitate care ar putea avea un impact semnificativ asupra continuității serviciilor.
- Revizuirea contractelor încheiate cu furnizorii lor de servicii, în scopul asigurării respectării noilor cerințe privind securitatea cibernetică și răspunderea relevantă.
Sancțiuni pentru neîndeplinirea obligațiilor
Conform proiectului de lege existent, pot fi aplicate amenzi între 0.5% și 5% din cifra de afaceri anuală a companiei pentru nerespectarea legislației naționale de transpunere a Directivei NIS.
Stadiul transpunerii Directivei NIS în România
Conform autorităților publice, legea de transpunere a Directivei NIS ar urma să fie adoptată de către Parlament până la finalul lunii decembrie. Este de așteptat ca Președintele să o promulge curând după aceea. Estimăm că Directiva NIS ar putea fi transpusă complet până în primul trimestru al anului 2019. Odată cu intrarea în vigoare a legislației naționale de transpunere a Directivei NIS, există posibilitatea ca autoritățile să înceapă să aplice amenzile relevante pentru nerespectarea acesteia.
Măsuri imediate necesare pentru companii
Marile companii active în sectoarele relevante ar trebui deja să înceapă să evalueze nevoile de conformare, derulând o analiză de evaluare a nevoii de conformare cu legislația NIS. Derulată de către experți, această analiză va identifica punctele sensibile din programul de securitate general al companiei, cu scopul prioritizării obiectivelor și definirii unui set de măsuri menite să asigure respectarea prevederilor legale privind securitatea cibernetică.
Material scris de Costin Sandu (Senior Attorney at Law: banking & finance, regulatory; head of data protection | c.sandu@schoenherr.eu) și Daniele Iacona (Senior Attorney at Law: corporate/M&A head of Italian desk | d.iacona@schoenherr.eu), avocați în cadrul Schoenherr și Asociații SCA.