Update articol:

Pentru a evita infringementul, CERT-RO solicită Guvernului adoptarea actelor subsecvente principale necesare implementării Directivei NIS la nivelul României

CERT-RO a transmis, la finalul săptămânii trecute,  o scrisoare Secretariatului General al  Guvernului (SGG), prin care anunţa că autorităţile europene au adoptat avizul motivat în cazul de infringement 2019/2214 declanșat împotriva României pe tema neîndeplinirii obligațiilor ce decurg din Directiva NIS, și anume notificarea operatorilor de servicii esențiale.

Tot în acea scrisoare, CERT-RO solicita Guvernului adoptarea actelor subsecvente principale necesare implementării Directivei NIS la nivelul României.

CERT- RO a precizat în scrisoarea către SGG: “Deși Guvernul României și-a asumat măsurile de conformare notificate la Comisia Europeana privind transpunerea directivei, și anume aprobarea cadrului legal subsecvent, acest fapt nu s-a materializat încă, prin urmare Comisia poate, în această etapă, să solicite Curții de Justiție a Uniunii Europene să ceară plata unei sume forfetare și/sau a unor penalități cu titlu cominatoriu.

CERT-RO a identificat posibilele riscuri și, pentru limitarea acestora, a procedat la elaborarea actelor subsecvente principale necesare implementării Directivei NIS la nivelul României care au fost deja înaintate la Secretariatul General al Guvernului spre a intra în fluxul de avizare și aprobare în ședință de Guvern:
1. HG “Lista de Servicii Esențiale”, nr. SGG 12723/19.08.2020 (avizat cu observații de Ministerul Justiției 271276/2020, avizat favorabil de Ministerul Afacerilor Externe);
2. HG “Norme tehnice de stabilire a impactului incidentelor pentru categoriile de operatori de servicii esențiale și furnizori de servicii digitale” nr. SGG 17368/23.10.2020;
3. HG “Valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale” nr. SGG 17366/23.10.2020;
4. Ordin al SGG “Aprobarea Normelor tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale” nr. SGG 17367/23.10.2020.

Azi 30 Octombrie, Comisia a publicat la Bruxelles, Avizul Motivat C(2020) 6075 în referire la dosarul 2019/2214 C(2020) 6075 – aviz adresat României în temeiul articolului 258 din Tratatul privind funcționarea Uniunii Europene, având în vedere neîndeplinirea obligațiilor care îi revin în temeiul articolului 5 alineatul (7) din Directiva (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune („Directiva NIS”).
În concluzie vă adresăm pe această cale solicitarea de a acționa în consecință la nivelul Secretariatului General al Guvernului, în promovarea adoptării celor patru (4) acte normative mai sus menționate”.

Comisia Europeană a decis vineri să trimită avize motivate Belgiei, Ungariei și României în ceea ce privește absența notificării către Comisie a anumitor informații cu privire la identificarea operatorilor de servicii esențiale.

Comisia a solicitat aceste informații, astfel cum este prevăzut în Directiva privind securitatea rețelelor și a sistemelor informatice [Directiva (UE) 2016/1148], pentru a evalua coerența abordărilor pe care le adoptă diferite state membre atunci când identifică operatorii de servicii esențiale. Termenul limită pentru transmiterea informațiilor a fost 9 noiembrie 2018. Avizele motivate urmează scrisorilor de punere în întârziere trimise de Comisie celor trei state în iulie 2019. În cazul României, autoritățile române nu au notificat încă măsurile naționale care permit identificarea operatorilor, numărul operatorilor de servicii esențiale și pragurile utilizate în procesul de identificare.

Belgia, Ungaria și România au la dispoziție două luni pentru a lua măsurile necesare pentru a se conforma; în caz contrar, cazul poate fi înaintat Curții de Justiție a UE.

  • Sabin Popescu, CERT-RO:  Este nevoie de un Directorat Național pentru Securitate Cibernetică care să asigure o adaptare adecvată și necesară a nevoilor de cooperare cu partenerii interni și externi

Sabin Popescu, Head of Analysis, Policies and Cooperation CERT-RO, a scris la finalul săptămânii trecute, pe Linkedin, că este nevoie de un Directorat Național pentru Securitate Cibernetică care să asigure o adaptare adecvată și necesară a nevoilor de cooperare cu partenerii interni și externi, din domeniul public și privat, precum și la dezvoltarea unor capacităţi analitice, pentru fundamentarea unor decizii importante la nivel național în domeniul securității cibernetice, precum și produse valoroase, exploatabile la nivelul experților.

Oficialul CERT-RO a mai scris: “De asemenea, s-ar evita unele neajunsuri cum au fost cele apărute în implementarea normativelor europene. Spre exemplu, în perioada 2019- 2020, din cauza incoerenței în alocarea competențelor instituționale privind implementarea prevederilor Directivei NIS (1148/2016) a UE, privind măsuri pentru un nivel comun ridicat de securitate cibernetică a rețelelor și a sistemelor informatice, România a acumulat întârzieri în implementarea acestei Directive. Întârzierile au dus la declanșarea procedurii de infringement de către Comisia Europeană pentru neîndeplinirea obligațiilor asumate de România prin Legea 362/2018, pentru implementarea Directivei NIS.

Dinamica schimbărilor în domeniul securității cibernetice, noile cerințe ale Uniunii Europene, inclusiv responsabilitățile primite prin intrarea în vigoare a Legii 362/2018 au generat probleme de fond, ca urmare a depășirii capacităților funcționale actuale și a resurselor alocate către CERT-RO pentru a face față noilor provocări, riscuri și ameninari. Este nevoie stringentă de personal specializat în vederea îndeplinirii atribuțiilor și obligațiilor ce revin CERT-RO în calitate de autoritate competentă la nivel național.

Cerințele UE privind securitatea cibernetică se multiplică permanent (5G, Inteligența Artificială, big data, standardizare și certificare cyber, etc.) iar CERT-RO – autoritatea civilă competență la nivel național pe domeniul securității cibernetice – este o instituție depășită, slab încadrată cu personal, funcționand încă în baza unui HG din 2011”.

BVBStiri BVB

SIF OLTENIA S.A. (SIF5) (27/11/2020)

Comunicat referitor la comentarii media

SIF BANAT CRISANA S.A. (SIF1) (27/11/2020)

Autorizatie ASF - Modificare act constitutiv

ELECTROARGES SA (ELGS) (27/11/2020)

Prelungire mandat reprezentant permanent Benjamins United SRL