Cătălin Petrică Aramă, CERT-RO: De multe ori, CERT-RO a aflat din presă de evenimentele de securitate cibernetică, noua lege impune raportarea obligatorie a acestora

Cătălin Petrică Aramă, Director General, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică CERT-RO, spune că raportarea incidentelor de securitate cibernetică va fi obligatorie pentru toți cei care deservesc grupuri mari de populație, conform unei noi legi, care creează cadrul de cooperare la nivel național și european.

Conform acestuia, de multe ori, CERT-RO a aflat din presă de evenimentele de securitate cibernetică.

Legea care transpune în legislația națională Directiva UE privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune vizează mai multe sectoare, precum sistemul bancar, sistemul energetic, sistemul de transporturi, piaţă financiară, distribuţia de apă şi infrastructura digitală.

Directiva NIS ( Network Internet Security) stabilește la nivel european un sistem unitar de prevenire și răspuns la incidentele de securitate informatică, având drept scop protejarea și stimularea dezvoltării Pieței Digitale Unice, prin crearea la nivelele naționale a mecanismelor adecvate.

În funcție de priorirățile fiecărui stat, este prevăzut ca legea să se extindă, potrivit domnului Aramă.

Acesta spune că este importantă raportarea incidentelor de securitate cibernetică, pentru a evalua impactul pe care îl are incidentul, asupra cetățenilor.

Procesul de digitalizare este unul accelerat şi a cuprins toată Piaţa Unică Digitală, iar transpunerea Directivei NIS – Networking Information Security în legislaţia naţională presupune creşterea încrederii cetăţeanului în serviciile electronice, a afirmat Cătălin Aramă: “Legea 362 pentru implementarea Directivei NIS este o noutate şi o premieră. Această premieră este atât la nivel european, Directiva NIS, în 2016, fiind primul cadru legislativ privind securitatea cibernetică adoptat de Uniunea Europeană, şi evident este o premieră şi transpunerea la nivel naţional, prin legea care a fost promulgată în ultima zi a anului trecut, şi care a intrat în vigoare pe data de 13 ianuarie 2019. Poate ar fi bine să plecăm de la ceea ce presupune legea şi pe cine vizează această lege. Ţinta acestei legi este reprezentată de Piaţa Unică Digitală, de viaţa digitală a cetăţenilor. După părerea mea, procesul de digitalizare este unul accelerat, profund, şi a cuprins toată Piaţa Unică Digitală. Vorbeam despre viaţa digitală a cetăţeanului, faptul că vedem cum viaţa noastră s-a schimbat: folosim servicii electronice în fiecare zi, am ajuns să trăim utilizând dispozitive electronice, să muncim şi chiar să ne educăm copiii pentru a utiliza astfel de dispozitive şi de resurse. Legea are ca scop creşterea încrederii cetăţeanului în Piaţa Unică Digitală, în serviciile electronice şi, totodată, presupune creşterea rezilienţei sistemelor şi, nu în ultimul rând, un cadru de cooperare. Mai presus de orice legiferează acest cadru legislativ, în domeniul securităţii cibernetice este nevoie de cooperare, în sensul în care doar aşa putem ajunge la încredere – un cuvânt-cheie în securitatea cibernetică”.

Obiectivele actului normativ, potrivit unui comunicat MCSI, din decembrie, menționat sunt:

• stabilirea cadrului de cooperare la nivel național și de participare la nivel european și internațional în domeniul asigurării securității rețelelor și sistemelor informatice,
• crearea cadrului instituțional prin desemnarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO ca autoritate competentă,
• desemnarea entităților de drept public și privat care dețin competențe și responsabilități în aplicarea prevederilor prezentei legi,
• desemnarea  punctului unic de contact la nivel național și a echipei naționale de răspuns la incidente de securitate informatică – Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO)
• stabilirea cerințelor de securitate și notificare pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale și instituirea mecanismelor de actualizare a acestora în funcție de evoluția amenințărilor la adresa securității rețelelor și sistemelor informatice

Astfel,  se instituie mecanisme de cooperare în caz de necesitate între (CERT-RO )și autoritățile competente pe sectoarele și subsectoarele de activitate în cadrul cărora își desfășoară activitatea operatorii de servicii esențiale, în vederea  preîntâmpinării situațiilor în care incidente de securitate informatică inițial minore, care afectează un furnizor de servicii digitale, să  evolueze rapid și să  afecteze infrastructuri critice naționale sau europene.

Sectoarele și subsectoarele de activitate în cadrul cărora își desfășoară activitatea operatorii de servicii esențiale, sunt: energie, transporturi, bancar, infrastructuri ale pieței financiare, sănătate, furnizare și distribuire de apă potabilă și infrastructură digitală, legea instituind obligații de asigurare a securității și de notificare a incidentelor și furnizorilor de servicii digitale precum: cloud computing, piețe online, motoare de căutare.