fbpx

8:00 - 18:00

Luni - Vineri


 

0741.019.006

Evaluarea cazului tău și consilierea sunt gratuite!

DIRECTIVA EUROPEANĂ NIS (2016/1148) – UE în fața amenințărilor la adresa securității cibernetice

JGV si Asociatii > Business news  > DIRECTIVA EUROPEANĂ NIS (2016/1148) – UE în fața amenințărilor la adresa securității cibernetice
Oana Draghici - Avocat despagubiri accidente rutiere
Oana Draghici - Avocat despagubiri accidente rutiere

Autor :

Oana-Georgiana Draghici – Associate – Corporate M&A, Banking, Commercial Department – JGV & ASOCIATII

Directiva Europeană NIS (Network and Information Security) privind securitatea reţelelor şi a sistemelor informatice a fost aprobată de către Parlamentul și Consiliul European la nivelul anilor 2016, respectiv 6 iulie 2016, având un obiectiv clar: acela de a garanta un nivel superior standardizat a securității rețelelor și informațiilor pentru statele membre ale Uniunii Europene, mai ales pentru sectoarele cheie ale industriei.

 

În epoca hiperdigitalizării, aspectele legate de securitatea și protecția informațiilor digitale sunt capitale și trebuie înființată o formă de control cibernetică menită să întărească încrederea generală în piața digitală. Astfel, Directiva Europeană NIS (2016/1148) propune să contribuie la sustenabilitatea noii economii digitale.

 

În acest articol, vom prezenta care sunt îmbunătățirile aduse și cum directiva contribuie la gestionarea riscurilor în rândul principalilor actori economici care furnizează servicii esențiale și servicii digitale, precum și prezentarea unor aspecte referitoare la transpunerea directivei în legislația națională.

 

  • OPERATORII DE SERVICII ESENȚIALE ȘI SERVICII DIGITALE

 

În contextul în care, companiile au devenit din ce în ce mai dependente de sisteme informatice mai mult sau mai puțin avansate, a atras, inevitabil, interesul infractorilor cibernetici. Încălcările sistemelor de securitate au crescut proporțional cu fenomenul digitalizării, astfel că implementarea unui pachet de politici care poate fi utilizat pentru a crea un perimetru defensiv de securitate cibernetică nu a întârziat să apară.

 

Nivelul de protecție ale statelor membre UE în raport de amenințările cibernetice erau diferite și asigurau inegal protecția consumatorilor, dar și a întreprinderilor. Astfel că, prin implementarea Directivei Europene NIS, se dorește aducerea tuturor companiilor din statele membre la același nivel de securitate în ceea ce privește riscurile asociate rețelelor și sistemelor lor informatice.

 

Obiectivul Directivei Europene NIS este, așadar, acela de a oferi o protecție cetățenilor europeni, determinând companiile din industriile critice să adopte un set de măsuri și mecanisme standard de securitate cibernetică. Cu alte cuvinte, companiile care furnizează servicii esențiale (OES) populației – și anume cele din domeniile energiei, transporturilor, bancar, piețelor financiare, sănătății, aprovizionării și distribuției apei potabile, infrastructurii digitale – și companiile care oferă servicii și soluții digitale (DSP) – de exemplu, furnizorii de servicii cloud, motoarele de căutare și piețele online – trebuie să dezvolte și să implementeze soluții mai avansate pentru a-și securiza rețelele și să colaboreze cu autoritățile publice pentru a contracara atacurile computerizate.

 

Potrivit art. 4 intitulat „Definiții” din cadrul Directivei Europene NIS, noțiunea de „operator de servicii esențiale” este definită ca acea „entitate publică sau privată de tipul menționat în anexa II care îndeplinește criteriile prevăzute la articolul 5 alineatul (2)”. În acest sens, putem identifica operatorii de Servicii Esențiale (OSE) din 7 sectoare de activitate vitale pentru economie:

  • energie;
  • transport;
  • sectorul bancar;
  • domeniul medical;
  • infrastructuri ale pieței financiare;
  • infrastructură digitală;
  • furnizarea și distribuirea de apă potabilă.

 

Cu toate că Directiva Europeană NIS reglementează anumite sectoare ale economiei, nu trebuie să ne rezumăm numai la acestea. Pot fi reglementate noi sectoare prin acte juridice ale Uniunii specifice fiecărui sector în parte, urmând ca operatorii de servicii esențiale (OES) să fie identificați de fiecare stat membru, ținând cont de anumite criterii, precum: în procesul de evaluare a entităților active din sectoare și subsectoare specifice, trebuie avut în vedere dacă serviciul este esențial în susținerea unor activități societale sau economice de cea mai mare importanță, furnizarea sa depinde de o rețea sau de un sistem informatic și furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.[1]

 

La determinarea impactului perturbator, statele membre vor ține cont de umătorii factori transsectoriali:

(a) numărul de utilizatori care se bazează pe serviciul furnizat de entitatea în cauză;

(b) dependența altor sectoare de serviciul furnizat de entitatea în cauză;

(c) impactul pe care l-ar putea avea incidentele, în ceea ce privește intensitatea și durata, asupra activităților economice și sociale sau asupra siguranței publice;

(d) cota de piață a entității în cauză;

(e) distribuția geografică în ceea ce privește zona care ar putea fi afectată de un incident;

(f) importanța entității pentru menținerea unui nivel suficient al serviciului, ținând cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului respectiv.

 

Pentru a asigura reflectarea corectă a posibilelor modificări în piață, statele membre ar trebui să revizuiască periodic lista operatorilor identificați (și înscriși în Registrul operatorilor de servicii esențiale) și ar trebui să o actualizeze atunci când este necesar. În sfârșit, statele membre ar trebui să transmită Comisiei informațiile necesare pentru a evalua măsura în care această metodologie comună permite o aplicare coerentă a definiției de către statele membre.[2]

 

Din sfera furnizorilor de servicii digitale fac parte acele persoane juridice care furnizează un serviciu digital,  respectiv: pieţele online, motoarele de căutare web şi serviciile de cloud-computing.

 

Primele două tipuri de servicii au o mai mare popularitate în rândul cetățenilor europeni și întreprinderilor, fiind ușor recognoscibile chiar și pentru cei care nu dețin cunoștințe avansate în domeniu, dar ce fel de servicii sunt cele de cloud-computing?

 

Serviciile de cloud-computing, în accepțiunea directivei, „înseamnă servicii care permit accesul la un bazin redimensionabil și elastic de resurse informatice care pot fi puse în comun. Noțiunea „resurse informatice” include resurse precum rețelele, serverele sau alte infrastructuri, stocarea, aplicațiile și serviciile. Noțiunea de „redimensionabil” se referă la resursele informatice care se alocă flexibil de către furnizorul de servicii cloud, indiferent de poziția geografică a resurselor, pentru a administra fluctuațiile de cerere. Noțiunea „bazin elastic” descrie acele resurse informatice care sunt atribuite și transferate în funcție de cerere, pentru a înmulți și a reduce rapid resursele disponibile în conformitate cu necesarul de lucru. Sintagma „care pot fi puse în comun” descrie acele resurse informatice care sunt furnizate mai multor utilizatori care au acces comun la serviciu, dar tratamentul se efectuează separat pentru fiecare utilizator, deși serviciul este furnizat de același echipament electronic.”

 

  • IMPLEMENTAREA MĂSURILOR ÎN ROMÂNIA

 

Transpunerea în legislația națională a Directivei Europene NIS s-a realizat prin Legea                nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, care a intrat în vigoare începând cu 12 ianuarie 2019.

 

Operatorii de servicii esențiale se identifică și se înscriu în Registrul operatorilor de servicii esenţiale, conform art. 5 din Legea nr. 362/2018. Astfel că, în măsura în care sunt îndeplinite condițiile stabilite la art. 6 alin. (1) – (3)[3] din lege pentru a se califica drept operator de servicii esenţiale, urmează ca DNSC [4] (Directoratul Naţional de Securitate Cibernetică) să fie notificat în vederea înscrierii în Registrul operatorilor de servicii esenţiale în termen de 30 de zile de la data îndepliniri acestora.

 

Din efectuarea unei analize asupra prevederilor Directivei NIS şi a Legii nr. 362/2018 putem constata cu ușurință faptul că, obligaţiile ce revin operatorilor de servicii esenţiale pot fi clasificate în (i) obligaţii de a asigura implementarea unor măsuri minime de securitate şi (ii) obligaţii de notificare a incidentelor de securitate (a se vedea art. 14 din Directiva Europeană NIS și art. 10 din Legea nr. 362/2018).

 

Cerinţele de securitate care trebuie adoptate de operatorii de servicii esenţiale sunt însoţite de obligaţia de a notifica autorităţile competente cu privire la orice incident care are un impact asupra continuităţii serviciilor esenţiale pe care le oferă un operator. Regăsim reglementată această obligație și la art. 14 alin. (3) din Directiva Europeană NIS, care statuează că, statele membre trebuie să se asigure că operatorii de servicii esenţiale notifică „orice incident care are un impact semnificativ asupra continuităţii serviciilor esenţiale pe care le furnizează”. La determinarea impactului, operatorul de servicii esenţiale va avea în vedere criteriile enumerate mai sus (a se vedea paragraful 9).

 

Totodată, la art. 25 din Legea nr. 362/2018, regăsim enumerate cerințele minime de securitate pe care operatorii de servicii esențiale (și furnizorii de servicii digitale) trebuie să le respecte în vederea asigurării unui nivel comun de securitate a reţelelor şi sistemelor informatice.

 

Centrul Național de Răspuns la Incidente de Securitate Cibernetică a dezvoltat și un ghid practic pentru identificarea operatorilor de servicii esențiale, ce detaliază prima etapă din procesul de identificare a unui OSE (Operator de Servicii Esențiale), proces reglementat prin OMCSI nr. 599/2019 privind aprobarea Normelor metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale, completat cu OMCSI nr. 601/2019 pentru aprobarea Metodologiei de stabilire a efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale

 

În ceea ce privește furnizorii de servicii digitale, oarecum măsurile sunt mai „relaxate”, în sensul că, aceștia sunt liberi să ia măsurile pe care le consideră adecvate şi proporţionale pentru a gestiona riscul generat de securitatea sistemelor pe care le utilizează. Cu toate acestea, Legea nr. 362/2018 enumeră câteva elemente care trebuie să fie luate în considerate (a se vedea art. 16 din Legea nr. 362/2018). Însă obligația de notificare a oricărui incident ar avea un impact serios asupra serviciului furnizar subzistă și în cazul lor.

 

  • SANCȚIUNI

 

În cazul nerespectării normelor NIS, organizațiile pot fi sancționate cu amenzi cuprinse între 3.000 RON și 50.000 RON în caz de încălcări repetate, cu o limită maximă de 100.000 RON. La stabilirea sancțiunilor, se vor avea în vedere criterii precum gradul de pericol social, perioada de timp în care obligația legală a fost încălcată, precum și consecințele încălcării.

 

Referitor la operatorii care au o cifră de afaceri de peste 2.000.000 RON, acestea pot fi  sancționate cu amenzi în cuantum de la 0,5% la 2% din cifra de afaceri.

 

  • SCURTĂ COMPARAȚIE ÎNTRE „NIS” ȘI „GDPR”

 

Curios este faptul că, Regulamentul GDPR şi a Directiva Europeană NIS au intrat în vigoare în perioade de timp scurte una față de cealaltă (luna aprilie, respectiv luna iulie 2016), procesul de legiferare desfășurându-se în paralel, ceea ce a condus la o lipsă de armonizare între cele două acte legislative. La art. 2 al Directivei Europene NIS se face trimitere la Directiva 95/46/CE pentru prelucrarea datelor cu caracter personal, în loc de Regulamentul GDPR care era în vigoare la data respectivă.

 

Există o influență mutuală între acestea, cu precădere în situațiile în care se regăsesc date cu caracter personal în sistemele operatorilor de servicii esențiale și a furnizorilor de servicii digitale. Cu titlu exemplificativ, una dintre situații privește securitatea informațiilor, inclusiv dar fără a ne limita la cele cu caracter personal. La art. 5 alin. (1) lit. f) din Regulamentul (UE) 2016/679, statuează în mod expres faptul că, „Datele cu caracter personal sunt: (…) f) „prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate şi confidenţialitate”)”.

 

În continuare, să ne imaginăm situația ipotetică când se ivește un incident de securitate care ar trebui notificat autorității competente potrivit legislației GDPR, dar și potrivit Directivei Europene NIS. În acest context, apreciem că, procedura de notificare trebuie respectată în mod independent, cu respectarea cerințelor impuse de legislația respectivă.

 

Potrivit legislației GDPR, obligația de notificare trebuie îndeplinită fără întârziere și cel mult în termen de 72 de ore de la data la care operatorul a luat cunoștință de incident. În ceea ce privește Directiva Europeană NIS, aceasta nu reglementează un termen anume care trebuie îndeplinit, ci lasă la latitudinea statelor membre de a stabili un asemenea termen. În cuprinsul Legii nr. 362/2018, operatorii au obligația de a notifica de îndată DNCS.

 

Dacă ar fi să ne raportăm la regimul sancționator impus de către ambele regulamente, nu există dificultăți cu privire la aplicarea amenzilor sau a altor sancțiuni prevăzute întrucât acestea nu se exclud, ci vor fi aplicate cumulativ.

 

  • CONCLUZII

 

Directiva Europeană NIS a contribuit, fără doar și poate, la pregătirea Europei pentru era digitală. Securitatea cibernetică reprezintă în continuare una din prioritățile principale ale Comsiei Europene, motiv pentru care aceasta a propus, în decembrie 2020, revizuirea Directivei actuale.

 

Directiva Europeană NIS 2 are ca obiectiv să includă în sfera acesteia de acțiune și entitățile medii și mari din mai multe sectoare critice pentru economie și societate, inclusiv furnizorii de servicii publice de comunicații electronice, servicii digitale, ape uzate și gestionarea deșeurilor, fabricarea produselor critice, servicii poștale și de curierat și administrație publică, atât la nivel central, cât și regional.

 

De asemenea, aduce noutăți și în sectorul asistenței medicale, prin includerea producătorilor de dispozitive medicale, având în vedere creșterea amenințărilor de securitate care au apărut în timpul pandemiei de COVID-19. Extinderea domeniului de aplicare acoperit de noile reguli, prin obligarea efectivă a mai multor entități și sectoare să ia măsuri de gestionare a riscului de securitate cibernetică, va contribui la creșterea nivelului de securitate cibernetică în Europa pe termen mediu și lung.[5]

 

În prezent, Directiva Europeană NIS 2 a primit acordul provizoriu al Consiliului și al Parlamentului European în luna mai a anului acesta și urmează să fie supus aprobării în plen în lunile următoare. Odată adoptată, noua Directivă o va înlocui pe cea anterioară.

[1] A se vedea integral pe site-ul: http://ier.gov.ro/wp-content/uploads/2018/11/Paul-Turcu_CERT.pdf.

[2] Extras din Directiva Europeană NIS (2016/1148);

[3] Art. 6 alin. (1) – (3) din Legea nr. 362/2018, are următorul cuprins:

(1)Un serviciu este considerat esenţial dacă furnizarea lui îndeplineşte cumulativ următoarele condiţii:

a)serviciul este esenţial în susţinerea unor activităţi societale şi/sau economice de cea mai mare importanţă;

b)furnizarea sa depinde de o reţea sau de un sistem informatic;

c)furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.

(2)Evaluarea gradului de perturbare a furnizării serviciului esenţial se realizează în funcţie de următoarele criterii intersectoriale, fără a fi cumulative:

a)numărul de utilizatori care se bazează pe serviciul furnizat de entitatea în cauză;

b)dependenţa altor sectoare prevăzute în anexa la prezenta lege de serviciul furnizat de entitatea în cauză;

c)impactul pe care l-ar putea avea incidentele, în ceea ce priveşte intensitatea şi durata, asupra activităţilor economice şi societale sau asupra siguranţei publice;

d)cota de piaţă a entităţii în cauză;

e)distribuţia geografică în ceea ce priveşte zona care ar putea fi afectată de un incident;

f)importanţa entităţii pentru menţinerea unui nivel suficient al serviciului, ţinând cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului respectiv.

[4] Începând din 24 septembrie 2021, Directoratul Naţional de Securitate Cibernetică (DNSC) a preluat atribuțiile CERT-RO (Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică).

[5] A se vedea textul integral pe site-ul: https://dpo-net.ro/directiva-nis2-devine-realitate/?cat=62.

 

JGV & Asociații - Avocat despagubiri accidente rutiere

Dacă ați fost implicat într-un accident auto (deces, vătămări corporale etc) și aveți nevoie de un avocat specializat în despăgubiri accidente rutiere, adresați-vă JGV și Asociații,  o echipă de peste 40 de avocați și colaboratori, având peste 15 ani experiență în domeniu.

Ultimele Noutăți

Arii de expertiză

  • Despagubiri accidente rutiere
  • Despagubiri malpraxis
  • Despagubiri accidente de munca
  • Transport law. Insurance
  • Commercial law
  • Banking law

Contactează-ne

free consultation

    SEDIU CENTRAL BUCURESTI

    Adresa:
    Bulevardul Mihail Kogălniceanu nr. 53, Clădirea Splay, et. 1 si 2, cod poștal 050104, sector 5, București

    Telefon:
    0741 019 006