Implementarea Directivei NIS (Network Internet Security) în România

IT&C / Securitatea Informatiei

Vizualizari: 609

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În timp ce Regulamentul UE 2016/679 (GDPR) este preocupat de protectia datelor cu caracter personal, Directiva NIS  se concentrează asupra menținerii funcționării serviciilor esențiale.

Să presupunem că un furnizor este afectat de un atac cibernetic și datele personale nu sunt compromise dar serviciul devine inutilizabil pentru o zi întreagă. Deși nu există nicio obligație de a raporta sub GDPR, compania va fi aproape sigur că va trebui să notifice autoritatea de reglementare în conformitate cu Directiva NIS. Dar să presupunem că există o întrerupere a serviciului și pierderea datelor cu caracter personal. Compania se va confrunta cu cerințe distincte de raportare, atât în ​​conformitate cu Directiva NIS, cât și cu GDPR. După cum afirmă autoritatea britanică de reglementare, " cerințele fiecărei legislații ar trebui să fie respectate în termenii săi ". Acest lucru ridică posibilitatea de a prezenta două rapoarte autorității de reglementare pentru aceeași încălcare!

Elaborarea, în iulie 2016, a Directivei UE 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor şi a sistemelor informatice în Uniunea Europeana (Directiva NIS), confirmă preocupările constante din ultimii ani ale forurilor comunitare pe linia creșterii rezilienței infrastructurilor IT&C aparținând operatorilor de servicii esențiale și furnizorilor de servicii digitale din statele membre. Această Directivă prevede măsuri unitare pentru atingerea unui nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune și noi mecanisme de cooperare la nivel european.

Directiva NIS urmărește îmbunătățirea capabilităților naționale, consolidarea cooperării la nivelul UE și promovarea unei culturi a gestionării riscurilor și a raportării incidentelor în rândul principalilor actori
economici care furnizează servicii esențiale și servicii digitale. Pornește de la riscurile pe care le implică incidentele de securitate asupra desfășurării activităților economice, a potențialelor pierderi financiare pe care le pot înregistra companiile, cetățenii sau administrațiile statelor membre, precum și a perturbărilor intenționate sau neintenționate asupra sistemelor electronice care susțin servicii esențiale pentru societate și care pot afecta mai multe state membre în același timp.

Directiva NIS acordă atenție deosebită domeniului IT&C, în sensul că există prevederi clare pentru operatorii de servicii esențiale (OSE) și furnizorii de servicii digitale (FSD).

Transpunerea în legislația națională a Directivei NIS s-a realizat prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, care a fost promulgată de Președintele României la 28 decembrie 2018 și a intrat în vigoare începând cu 12 ianuarie 2019. Actul normativ are o importanţă deosebită pentru România, deoarece transpune la nivel naţional Directiva NIS nr. 1148/2016 şi aliniază ţara noastră la un cadru european comun de răspuns la incidente de securitate cibernetică.

Noile reglementări legislative vizează asigurarea securității rețelelor și sistemelor informatice ce deservesc activități vitale pentru economie și societate, precum infrastructură digitală, energie, transport, sănătate etc.. Mai exact, este stabilit mecanismul de prevenţie, detecţie şi reacţie în cazul unor incidente de securitate cibernetică, astfel încât impactul asupra economiei şi populaţiei să fie minim - toate acestea în contextul creşterii continue a riscurilor la care suntem expuşi în era digitală, nu doar la nivel individual.

Un exemplu relevant îl poate constitui cazul virusului cibernetic BlackEnergy care a afectat Ucraina timp de mai mulţi ani, culminând cu o pană de curent în decembrie 2015 ce a lăsat aproximativ 230.000 de persoane fără electricitate. Acest atac cibernetic asupra infrastructurilor critice din Ucraina este doar unul dintre multiplele semnale de alarmă din ultimii ani asupra modului în care populaţia şi economia unei ţări pot fi afectate direct, la scară largă.

Cine este vizat de Legea de transpunere a Directivei NIS (Legea nr. 362/2018)?

În primul rând, sunt vizaţi operatorii de servicii esenţiale – persoanele fizice sau juridice, de stat sau private, care furnizează servicii din următoarele sectoare energie, transport , bancar, infrastructuri ale pieţei financiare, sănătate,  furnizarea şi distribuirea de apă potabilă și infrastructură digitală.

De reţinut că, potrivit Legii nr. 362/2018, un serviciu este considerat esențial dacă furnizarea lui îndeplinește cumulativ următoarele condiții:

  • serviciul este esențial în susținerea unor activități societale și/sau economice de cea mai mare importanță;
  • furnizarea sa depinde de o rețea sau de un sistem informatic;
  • furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.

Provocarea cea mai mare a proiectului de implementare a Directivei NIS este sistemul propus pentru implementarea acesteia, respectiv obligativitatea înregistrării și autorizării de către CERT-RO a auditorilor și echipelor de răspuns la incidentele de securitate informatică precum și faptul că registrul furnizorilor de servicii esențiale în document clasificat. „Art. 7. (3) Registrul prevăzut la alin.(1) face parte din categoria documentelor clasificate.
Așadar, se știe lista domeniilor de activitate acoperite (pentru că este specificată în mod explicit în anexă) și se va ști și procedura după care se va face face selecția (procedură ce va fi creată ulterior adoptării legii) dar nu vom putea ști exact care vor fi firmele care vor fi subiecții legii.

Contravențiile prevăzute în Legea nr. 362/2018 se sancționează astfel:

  1. cu amendă de la 3.000 lei la 50.000 lei, iar în cazul constatării unor încălcări repetate limita maximă a amenzii este de 100.000 lei;
  2. prin derogare de la dispozițiile legale privind regimul juridic al contravențiilor, pentru persoanele cu o cifră de afaceri de peste 2.000.000 lei, cu amendă în cuantum de la 0,5% la 2% din cifra de afaceri, iar, în cazul unor încălcări repetate, limita maximă a amenzii este de 5% din cifra de afaceri.
  3. Pentru entitățile nou-înființate și care nu au înregistrat cifra de afaceri în anul anterior sancționării, amenda se stabilește în cuantum de minimum unu și maximum 25 de salarii minime brute pe economie.

 

Un nou curs ONLINE - Implementarea Directivei NIS (Network Internet Security) în România

Elaborarea, în iulie 2016, a Directivei UE 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor şi a sistemelor informatice în Uniunea Europeana (Directiva NIS), confirmă preocupările constante din ultimii ani ale forurilor comunitare pe linia creșterii rezilienței infrastructurilor IT&C aparținând operatorilor de servicii esențiale și furnizorilor de servicii digitale din statele membre. Această Directivă prevede măsuri unitare pentru atingerea unui nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune și noi mecanisme de cooperare la nivel european.

De aceea am lansat un nou curs pe platforma de E-learning DPO-NET.ro, intitulatImplementarea Directivei NIS (Network Internet Security) în România„.

Scopul acestui curs este de a furniza o sinteză a tuturor informațiilor legate de noile prevederi introduse prin Directiva UE 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor şi a sistemelor informatice în Uniunea Europeana (Directiva NIS).

Cost curs: 190 LEI

La finalul cursului se va accesa un chestionar grila cu zece intrebari alese aleatoriu din baza de date si daca rezultatul final al raspunsurilor corecte depaseste procentul de 70%, cursantul obtine automat un Certificat de Absolvire. 

Acest curs poate fi utilizat de Responsabilul cu Protectia Datelor (DPO) pentru a asigura informarea angajatilor operatorului de date, obtinand astfel si dovada instruirii acestora prin obtinerea Certificatului de Absolvire emis de dpo-NET.ro. Pentru inscrierea la curs este nevoie sa aveti un cont cu acces la cursurile online dpo-NET.ro.

Daca nu ati solicitat inca un astfel de cont, o puteti face prin completarea urmatorului formular: https://dpo-net.ro/solicitare-cont-acces-cursuri-online/, urmand ca in maxim 48 de ore sa primiti un email de confirmare privind inregistrarea, cu detalii despre autentificarea in sistem. 

Din cuprins:

1. Introducere
2. De ce este importantă Legea nr. 362/2018 de transpunere a Directivei NIS în România?
3. Cine este vizat de Legea de transpunere a Directivei NIS?
4. Transpunerea Directivei în România
4. Legea 362/2018
6. Principiile Legii 362/2018
7. Registrul operatorilor de servicii esențiale
8. Obligațiile operatorilor de servicii esențiale
9. Obligațiile furnizorilor de servicii digitale
10. Obligațiile echipelor de intervenție în caz de incidente de securitate informatică
11. Cerințele minime de securitate pentru asigurarea securității rețelelor și sistemelor informatice
12. Notificarea incidentelor de securitate
13. Managementul incidentelor de securitate
14. Auditul de securitate a rețelelor și sistemelor informatice aparținând operatorilor de servicii esențiale sau furnizorilor de servicii digitale
15. Autorizarea echipelor CSIRT ce deservesc rețele și sisteme informatice din categoria serviciilor esențiale și serviciilor digitale
16. Controlul îndeplinirii obligațiilor de securitate și aplicarea sancțiunilor

ANEXA 1 – Textul promulgat al Directivei 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeana
ANEXA 2 – Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice

 

Germania 75 – România 0

IT&C / Securitatea Informatiei

Vizualizari: 637

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Nu, nu este vorba de un meci de baschet și nici măcar nu este vorba despre o competiție, ci despre rezultatele a doua modele diferite de aplicare a GDPR-ului.

Acel “scor” neverosimil este realitatea din teren privind numărul de sancțiuni impuse de autoritățile naționale de supraveghere a prelucrării datelor cu caracter personal ale celor doua țări.

Să analizăm activitatea Autoritatii din Germania

Conform unui raport al publicației germane Welt Am Sonntag si preluat de Telecompaper, Autoritățile regionale germane de protecție a datelor au aplicat amenzi în 75 de investigații, în valoare totală de 449.0000 EUR pentru încălcări ale GDPR-ului, de la intrarea în vigoare a acestuia pană în prezent

Autoritatea naționala de supraveghere din Germania (LfDI), este împărțită în 16 comisariate corespunzătoare celor 16 landuri care împreună constituie statul federație Germania. Dintre acestea, doar 14 comisariate au furnizat informațiile privind amenzile, Mecklenburg-Vorpommern și Turingia neparticipând la sondaj.

Amenzile au fost impuse în șase state federale. De exemplu, Comisariatul din Baden-Württemberg au aplicat amenzi în valoare totala de 203.000 € în șapte investigații, în Renania-Palatinat noua investigații s-au finalizat cu amenzi în valoare totala de 124.000 € pentru nouă cazuri, în Berlin s-au dat amenzi de 105,600 € în urma a optsprezece investigații iar în Hamburg doua investigații au însumat sancțiuni de 25 000 EUR.

Pentru ce s-au dat amenzile?

Trebuie subliniat faptul că doar câteva încălcări ale GDPR au fost sancționate cu amendă, LfDI  acordând o "perioadă de grație" în care valorile amenzilor au fost minime sau au fost înlocuite de avertismente și măsuri corective.

Operatorii au fost sancționați cu amenzi pentru o varietate de încălcări ale GDPR, cum ar fi măsurile de securitate tehnice și organizatorice inadecvate, nerespectarea obligațiilor de informare și trimiterea de e-mail-uri de marketing neautorizate.

Cele mai cunoscute sancțiuni contravenționale impuse de LfDI

  • 80.000 € pentru divulgarea datelor de sănătate în mediul online
  • 20.000 € unei rețele sociale care a stocat parolele necriptate ale utilizatorilor
  • 50 000 EUR împotriva unei bănci care a utilizat datele personale ale unor foști clienți fără acordul acestora

Datele oficiale ale Autorității Romane de Supraveghere (ANSPDCP), prezentate în conferința GDPR Talks 2019 care a avut loc în data de 21 mai, au confirmat faptul că în România, din cele peste 900 de investigații efectuate, niciuna nu s-a soldat cu amenzi contravenționale, fiind aplicate doar avertismente și măsuri corective. In ceea ce priveste aceste cifre apreciez ca a fost o munca titanica sa efectuezi acest numar de investigatii cu un asa numar redus de persoane angajate in cadrul Autoritatii. 

Inevitabil ne punem următoarea întrebare: sunt operatorii români mai mai responsabili și implicit mai pregătiți în ceea ce privește respectarea dispozițiilor Regulamentului general privind protecția datelor decât omologii germani? Cunoscând faptul ca legislația germana anterioara GDPR-ului era impusă cu strictețe, aplicarea GDPR-ului este tratata cu seriozitate de majoritatea operatorilor, ceea ce n-am putea spune și despre majoritatea operatorilor de date din România.

Nimeni nu s-ar bucura să vadă amenzile ANSPDCP curgând în valuri in Romania, însă exista riscul ca lipsa unor repercursiuni reale sa duca la o lipsa a interesului operatorilor în ceea ce privește protecția datelor personale, fapt ce se va răsfrânge mai ales asupra persoanelor vizate. Dupa o perioada in care in Romania marketingul facut in sprijinul implementarii GDPR s-a bazat mai mult pe cuantumul posibilelor amenzi, limitarea sanctiunilor prin Legea 190/2018 pentru autoritatile publice din Romania alaturi de lipsa de comunicare privind spetele celor peste 900 de investigatii efectuate in ultimul an, nu fac decat sa scada in timp nivelul de constientizare si dorinta de conformare a operatorilor romani. 

România aderă la Recomandările privind Inteligența Artificială

IT&C / Securitatea Informatiei

Vizualizari: 443

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Alexandru Petrescu, ministrul Comunicațiilor și Societății Informaționale, prezent miercuri, 22 mai 2019, la Paris, la reuniunea Consiliului Ministerial 2019 al Organizaţiei pentru Cooperare şi Dezvoltare Economică (OCDE) având ca temă principală tranziția digitală, a declarat că România va adera la Recomandările OCDE privind Inteligența Artificială, fiind singura țară europeană non-membră a organizației care aderă la acestea.

”România va adera la Recomandările OCDE privind Inteligența Artificială, alături de cele 36 de țări membre ale Organizatiei, două state candidate și trei  aspirante la statutul de membru OCDE din America Latină, în prezența  Secretarului General al OCDE José Ángel Gurria si al prim-ministrului Slovaciei Peter Pellegrini (țara care deține președinția Ministerialei OCDE). Recomandările OCDE privind Inteligența Artificială reprezintă primul instrument de cooperare interguvernamentală în domeniu, iar România este singura țară europeană non-membră a OCDE care aderă la aceste recomandări”, a declarat Alexandru Petrescu.

Ministrul a menționat că România este ferm angajată pe drumul de tranziție etapizată, eficace și sustenabilă către o societate susținută de Inteligența Artificială. ”Vom lucra pentru adoptarea inteligenței artificiale în condiții de siguranță în toate aspectele vieții cotidiene și economice, vom sprijini cercetarea fundamentală pentru a dezvolta o inteligență artificială autentică și vom realiza aceste obiective fundamentale în viitorul apropiat, punând în centrul preocupării noastre valorile și drepturile omului”, a mai spus ministrul Petrescu.

În acest sens, România acționează, potrivit ministrului Comunicațiilor și Societății Informaționale, deja pe multiple planuri. ”Suntem în proces de elaborare a primei strategii naționale în domeniul Inteligenței Artificiale, care va fi postată pentru dezbatere publică până la finele anului 2019. În calitate de stat care deține Președinția Consiliului Uniunii Europene, România a sprijinit negocierile cu succes în cadrul Programului Europa Digitală, program ce deține o componentă de finanțare dedicată adoptării Inteligenței Artificiale (inclusiv dezvoltării cunoștințelor digitale asociate acesteia). Nu în ultimul rând, lucrăm cu Comisia Europeană și cu puternicul sector IT din România să potențăm rețelele de inovare digitală europeană cu inițiative asociate Inteligenței Artificiale”, a precizat ministrul Alexandru Petrescu.

Summitul digital al OECD prezintă principalele constatări și mesaje politice din ultimii doi ani de activitate ai organizației în acest domeniu. Acesta reunește factorii de decizie la nivel înalt responsabili cu politicile legate de economia digitală și părțile interesate, facilitând schimbul de opinii și de experiență în jurul celor șapte piloni ai cadrului strategic integrat Going Digital al OCDE: inovarea, asigurarea locurilor de muncă, promovarea prosperității sociale, consolidarea încrederii și favorizarea deschiderii pieței. Recunoscând că inteligența artificială (AI) este un factor-cheie al tranziției digitale și că fiabilitatea sistemelor AI este esențială pentru difuzarea lor și desăvârșirea completă a tehnologiei, OCDE dezvoltă reguli de bază privind inteligența artificială pentru a menține o abordare axată pe om asupra AI.

 

Valoarea reală a confidențialității digitale

Evoluția digitală a ultimului deceniu a condus la un nou model de interacțiune dintre clienți și organizații migrând tot mai accentuat către platforme online. Luând exemplul domeniului bancar, […]

CERT-RO a organizat la Cluj-Napoca cel de-al doilea workshop din cadrul proiectului eCSI

Joi, 16 mai 2019, CERT-RO a organizat la Cluj-Napoca workshop-ul intitulat  “Modalități concrete de îmbunătățire a cooperării și schimbului de informații privind alertele de securitate cibernetică”. Evenimentul a […]

O vulnerabilitate severă în procesoare Intel permite sustragerea datelor din calculatoare

Specialiștii în securitate informatică de la Bitdefender au identificat o vulnerabilitate la nivel de hardware în procesoarele Intel care, pe fondul deficiențelor de proiectare, permite furtul de date […]

Vulnerabilitate gravă la adresa securității pe platforma WhatsApp

Comisia pentru Protecția Datelor din Irlanda (DPC) a fost informată luni seara, 13 mai 2019, de către WhatsApp Ireland în legătură cu o vulnerabilitate gravă la adresa securității […]

De ce se retrage UniCredit de pe Facebook ?

Reprezentanții UniCredit Bank România au anunțat că, începând din 1 iunie, se vor retrage complet de pe toate canalele social media. „UniCredit a suspendat orice fel de publicitate pe […]

2 mai 2019 – Ziua mondială a parolei

Astăzi este Ziua Mondială a Parolei, o zi pentru a reflecta cât de vulnerabilă este o parolă slabă și cât de tare vă poate afecta un atac de […]

De astăzi este operațional 1911 pentru raportarea incidentelor de securitate cibernetică

Conform declaratiilor ministrului Comunicaţiilor, Alexandru Petrescu, România are începând de astazi, 2 mai 2019, un număr de telefon unic, 1911, la care se pot raporta incidentele de securitate […]

„Directiva UE privind Drepturile de Autor: un pas inainte, doi pasi inapoi” ?

Noile reguli, propuse inițial cu mai mult de doi ani în urmă, dar aprobate în sfârșit de Parlamentul European în luna martie 2019 și Comisia Europeană în luna […]

Facebook anunță schimbări majore privind confidențialitatea

În cadrul conferinței anuale F8, Facebook a anuntat schimbari majore ale produselor sale, în special ale aplicațiilor Facebook Messenger si WhatsApp. Schimbările vin după un an 2018 dificil, […]

Care sunt cele mai frecvente amenințări de securitate ?

Aceasta este o listă a celor mai frecvente amenințări de securitate de care organzația Dumneavoastră și angajații trebuie să fie conștienți. Există, desigur, mai multe amenințări și aceată […]

Hitler ar fi iubit rețelele de socializare

Bob Iger, Directorul Executiv al Disney, a criticat în termeni foarte duri platformele de social media afirmând chiar că „Hitler ar fi iubit rețelele de socializare pentru ca […]

Grecia înregistrează o nouă amendă GDPR de 30.000 EUR

La 15 aprilie 2019, Autoritatea elenă pentru protecția datelor („DPA”) a aplicat o amendă pentru Hellenic Petroleum SA în valoare de 20.000 EUR pentru prelucrarea ilegală de date […]

Se lansează numărul unic 1911 pentru raportarea incidentelor de securitate cibernetică

Conform declaratiilor ministrului Comunicaţiilor, Alexandru Petrescu, România va avea un număr de telefon unic, 1911, la care vor putea fi raportate incidentele de securitate cibernetică de către persoanele […]

Campanie de phishing îndreptată către fanii Game Of Thrones

Cum abia a apărut ultimul sezon din Game of Thrones, baieții răi au profitat de aceasta ocazie pentru a păcălii fanii din întreaga lume. Cercetătorii din domeniul securității […]

Italia aplică prima amendă GDPR în valoare de 50,000 EUR

Autoritatea italiană pentru protecția datelor, Garante, a emis o amendă de 50 000 EUR împotriva unei platforme de procesare a datelor pentru că nu a reușit să pună […]

Microsoft dezvăluie o încălcare de securitate din 2019 care afectează utilizatorii Hotmail, MSN și Outlook.com

Conform welivesecurity.com by ESET, datele utilizatorilor serviciilor de e-mail Microsoft bazate pe web, cum ar fi Outlook.com,  au fost expuse într-un incident care a afectat și conținutul de […]

ICO amendează o companie de pompe funebre cu 92500 EUR

ICO a lansat o investigație după ce un ziar național a raportat acuzații de practici ilegale la un call-center din Cheshire, condus de o companie care la vremea […]

Noi camere de supraveghere smart permit atacatorilor să spioneze utilizatorii

Deși camerele IP nu mai sunt demult o noutate, funcționalitățile aduse de modelele smart au devenit din ce în ce mai atrăgătoare pentru utilizatori. Și poate și mai […]

România, cea mai afectată țară din lume de amenințarea informatică a momentului

Scranos sustrage toate parolele și informațiile bancare ale victimelor și le compromite activitatea pe rețelele de socializare Specialiștii în securitate informatică de la Bitdefender au descoperit o amenințare […]

Atenție la solicitările FALSE în numele ANMCS!

Autoritatea Nationala de Management al Calitatii in Sanatate (ANMCS) atrage atenția cu privire la apariția în mediul online a unor mesaje e-mail din partea unor falși angajați ai […]