Guvernul a stabilit noi obligații pentru firmele care oferă servicii esențiale prin intermediul unor rețele sau sisteme informatice. Nerespectarea noilor prevederi pot aduce amenzi de 5% din cifra de afaceri a organizației.
Începând din acest an, furnizorii de servicii prin intermediul Internetului trebuie să ia măsuri suplimentare de protecție împotriva atacurilor informatice, pentru a asigura un mediu mai sigur pentru clienții lor. Noile măsuri au intrat deja în vigoare și afectează majoritatea activităților realizate online. În cazul în care unul dintre sistemele informatice este afectat, consecințele definite de lege pot varia de la o simplă scurgere de date până la întreruperea unor servicii esențiale pentru populație.
În M. Of. nr. 80 din 31 ianuarie 2019, s-a publicat O.G. nr. 2/2019 pentru modificarea și completarea Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.
Astfel, respectiva ordonanță aduce unele modificări și completări Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice (M. Of. nr. 21 din 9 ianuarie 2019).
Legea vizează companiile care sunt operatori de servicii esențiale. Un serviciu este considerat esențial atunci când este fundamental în susținerea unor activități societale și/sau economice de cea mai mare importanță, când furnizarea sa depinde de o rețea sau de un sistem informatic.
Sub influența legii vor intra firmele furnizoare de servicii digitale, companiile de transport (aerian, feroviar, rutier sau pe apă, spitalele și clinicile medicale (de stat și private), furnizorii de energie (gaze naturale, curent, petrol), furnizorii de apă potabilă și băncile. Vor fi afectați și operatorii de servicii de tranzacționare sau contrapartide centrale (infrastructuri ale pieței financiare) și cei care oferă infrastructuri digitale (furnizorii de servicii tip Internet exchange point, domain name system și registru de nume de domenii top level).
Legea aduce nouă măsuri noi care trebuie aplicate în vederea creșterii securității cibernetice, pentru a evita ca furnizarea acestor sisteme să fie tulburată de producerea unui incident ce afectează securitatea rețelei/sistemului informatic:
- Aplicarea de măsuri pentru un nivel minim de securitate.
- Prevenirea și minimizarea impactului incidentelor de securitate.
- Notificarea incidentelor cu impact mare către CERT-RO.
- Furnizarea de informații privind impactul transfrontalier al unui incident.
- Să permită controalele desfășurate de CERT-RO.
- Stabilirea de mijloace de contact și responsabilii cu monitorizarea lor.
- Comunicarea actualizării datelor furnizate de operatorul de servicii esențiale.
- Conectarea la serviciul de alertare al CERT-RO.
- Proceduri pentru gestionarea adecvată a incidentelor de securitate.
În plus, firmele trebuie să pună la dispoziția CERT-RO informații necesare pentru evaluarea securității rețelelor și sistemelor informatice vizate de Legea nr. 362/2018 (inclusiv politicile de securitate documentate), precum și rezultatele auditului de securitate făcut la solicitarea CERT-RO (inclusiv informațiile și documentațiile pe care se bazează auditul și alte elemente care dovedesc aplicarea cerințelor minime de securitate).
CERT-RO este Centrul National de Răspuns la Incidente de Securitate Cibernetică, înființat în urma Hotărârii Nr.494 din 11.05.2011. Centrul are inițiative și activități de natură de a îmbunătăți securitatea cibernetică în România, inclusiv newsletter-ul „Știrile săptămânii din cybersecurity”, în care sunt detaliate cele mai importante amenințări cibernetice ale săptămânii.