Securitatea cibernetică, obligatorie prin lege: Firmele riscă amenzi de 5% din cifra de afaceri dacă nu respectă noile obligații

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice se aplică de la mijlocul lunii ianuarie 2019. Aceasta vine cu noi obligații pentru firme pe partea de securitate cibernetică.

Concret, vizate sunt companiile ce sunt operatori de servicii esențiale. Un serviciu este considerat esențial atunci când este fundamental în susținerea unor activități societale și/sau economice de cea mai mare importanță, când furnizarea sa depinde de o rețea sau de un sistem informatic și când furnizarea sa este tulburată serios la producerea unui incident ce afectează securitatea rețelei/sistemului informatic.

De asemenea, trebuie precizat că sunt vizate de lege și firmele furnizoare de servicii digitale (piețe online, motoare de căutare online, servici de cloud computing), însă acestora li se aplică un alt set de obligații privind securitatea cibernetică.

Așadar, ce fel de companii sunt obligate să respecte noua lege? Firmele de transport (indiferent că acesta e aerian, feroviar, rutier sau pe apă), spitalele și clinicile medicale (atât de stat, cât și private), furnizorii de energie (gaze naturale, curent, petrol) și apă potabilă sau băncile. În același timp, mai este vorba și de infrastructuri ale pieței financiare (operatori de locuri de tranzacționare sau contrapartide centrale, cum ar fi Bursa de valori București sau societăți de investiții financiare) și de infrastructuri digitale (furnizorii de servicii tip internet exchange point, domain name system și registru de nume de domenii top level). 

De ce sunt ele obligate să ia măsuri de securitate? Atacurile informatice afectează tot mai des serviciile esențiale pentru o societate, iar consecințele pot fi deosebit de grave atât pentru firme, cât și pentru populație. De exemplu, putem vorbi, în urma unui atac cibernetic, de pierderi de date, dar și de pierderi financiare semnificative sau de clienți din cauza întreruperii serviciilor. Din acest motiv, Legiuitorul spune că firmele trebuie să asigure niște cerințe minime de securitate general valabile tocmai pentru a preveni asemenea situații.

Așadar, punerea în practică a cerințelor de securitate impuse de Legea nr. 362/2018 și de actele normative care vor fi date pentru aplicarea acesteia vor aduce beneficii companiilor vizate.

Astfel, vorbim de reducerea riscurilor ca un atac informatic să aibă loc, dar și de minimizarea efectelor unui eventual atac informatic. „Pentru companiile care sunt sub efectul legii, beneficiile sunt reducerea riscului ca un atac informatic să producă efecte (prin implementarea de măsuri de protecție, bazate inclusiv pe informații furnizate prin mecanismele de cooperare), precum și de minimizare a eventualelor efecte (prin implementarea de măsuri de răspuns la incidente de securitate)”, a explicat Dan Ionuț Grigore, Cybersecurity Business Unit Director la certSIGN.

În același timp, trebuie luat în calcul faptul că implementarea cerințelor impuse de noua lege va reduce riscul nefuncționării serviciilor, precum și riscul apariției unor pierderi financiare sau de altă natură. „Beneficiile sunt minimizarea riscurilor nefuncționării serviciilor utilizate sau a apariției de pierderi financiare sau de altă natură, din cauza nivelului foarte scăzut de securitate a serviciului utilizat”, a mai spus specialistul.

Aceste companii care oferă servicii esențiale sunt obligate, conform noii legi, să ia anumite măsuri pentru a asigura securitatea rețelelor și a sistemelor informatice. Mai precis, vorbim de nouă obligații.

 1.  Măsuri adecvate pentru un nivel minim de securitate. Legea nr. 362/2018 se referă la implementarea de măsuri tehnice și organizatorice adecvate și proporționale pentru a îndeplini anumite cerințe minime de securitate ce vor fi stabilite curând de Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO). Printre altele, sunt enumerate managementul drepturilor de acces, conștientizarea și instruirea utilizatorilor, testarea și evaluarea securității rețelelor și sistemelor informatice sau analizarea și evaluarea riscurilor. Termenul de conformare va fi de șase luni (de la stabilirea cerințelor sau de la înscrierea în viitorul registru al operatorilor de servicii esențiale).

 2.  Prevenirea și minimizarea impactului incidentelor de securitate. De asemenea, firmele trebuie să ia măsuri adecvate pentru a preveni și a minimiza problemele pe care le-ar putea genera incidentele de securitate ce vizează rețelele și sistemele informatice. Astfel încât serviciile esențiale furnizate de societăți să fie disponibile în continuare. Și în acest caz termenul de conformare va fi de șase luni (de la stabilirea cerințelor sau de la înscrierea în registru).

 3.  Notificarea incidentelor cu impact mare. O altă obligație ce revine transportatorilor, băncilor sau clinicilor medicale este notificarea rapidă, către CERT-RO, a incidentelor care afectează semnificativ continuitatea serviciilor esențiale. O asemenea notificare trebuie să includă, de exemplu, descrierea incidentului, impactul estimat al incidentului și măsurile preliminare luate de firme.

 4.  Furnizarea de informații privind impactul transfrontalier al unui incident. Tot către CERT-RO vor trebui transmise informațiile necesare pentru a se stabili impactul transfrontalier al unui incident de securitate. Practic, firmele trebuie să dea informații despre potențiala întindere geografică a incidentului și despre potențialele efecte la nivel transfrontalier.

 5.  Să permită controalele desfășurate de CERT-RO. O a cincea obligație este ca operatorii de servicii esențiale să permită verificările ce pot fi desfășurate de CERT-RO pentru a vedea cât de bine sunt respectate obligațiile impuse de Legea nr. 362/2018.

 6.  Mijloacele de contact și responsabilii cu monitorizarea lor. Noua lege mai face referire la stabilirea unor mijloace permanente de contact de către firmele operatoare de servicii esențiale, precum și la desemnarea unor responsabili care să se ocupe de monitorizarea mijloacelor de contact. De asemenea, CERT-RO trebuie informat despre mijloace și responsabili, însă acest lucru se va face după înscrierea în viitorul registru al operatorilor de servicii esențiale.

 7.  Comunicarea actualizării datelor furnizate de operatorul de servicii esențiale. O a șaptea obligație se referă la comunicarea în maximum 30 de zile, către CERT-RO, a oricărei schimbări ce a apărut în datele furnizate de firme în procesul de identificare ca operatori de servicii esențiale.

 8.  Conectarea la serviciul de alertare al CERT-RO. După ce se vor înscrie în registrul operatorilor de servicii esențiale, firmele vor fi obligate să se conecteze la serviciul de alertare și cooperare al CERT-RO. Practic, firmele vor trebui să monitorizeze permanent alertele și solicitările venite prin acest serviciu (și nu numai), pentru a lua rapid măsuri adecvate la nivelul rețelelor și sistemelor informatice proprii.

 9.  Gestionarea adecvată a incidentelor de securitate. În fine, a noua obligație impusă de legea amintită se referă la gestionarea incidentelor. Mai exact, companiile vor trebui să asigure un răspuns rapid la incidente, să restabilească rapid funcționarea serviciilor esențiale și să facă un audit de securitate.

Pe deasupra, companiile vor fi obligate să pună la dispoziția CERT-RO informațiile necesare pentru evaluarea securității rețelelor și sistemelor informatice vizate de Legea nr. 362/2018 (inclusiv politicile de securitate documentate), precum și rezultatele auditului de securitate făcut la solicitarea CERT-RO (inclusiv informațiile și documentațiile pe care se bazează auditul și alte elemente care dovedesc aplicarea cerințelor minime de securitate).

Costuri suplimentare și pierderi financiare pentru firme, plus amenzi drastice

Prevederile legii amintite mai sus reprezintă, practic, transpunerea Directivei europene NIS (Network Information Security) în legislația noastră. Aceste reguli noi de securitate vin în contextul în care apar tot mai des atacuri ce vizează sistemele informatice, consecințele fiind dezastruoase uneori pentru mediul de afaceri și pentru populație.

Însă ce costuri poate presupune pentru o firmă implementarea măsurilor de securitate cerute de Legea nr. 362/2018? Acestea sunt destul de greu de estimat, în condițiile în care depind nu doar de dimensiunea unei afaceri, ci și de măsurile de securitate existente. Practic, conform specialiștilor, se poate pleca de la câteva sute sau mii de euro pe an și se poate ajunge la câteva zeci sau sute de mii de euro pe an.

„Pentru companiile care sunt sub efectul legii, costul aferent implementării variază în funcție de nivelul existent al măsurilor de securitate implementate și de dimensiunea companiei, respectiv a infrastructurii digitale utilizate pentru prestarea serviciilor, astfel că un cost mediu nu poate fi estimat la acest moment. Ordinul de mărime al costurilor poate fi de câteva sute sau mii de euro anual pentru activități de audit și notificare, putând ajunge la zeci sau sute de mii de euro în cazul necesității implementării de măsuri de protecție adaptate companiei”, a explicat Dan Ionuț Grigore, Cybersecurity Business Unit Director la certSIGN.

Concret, vorbim de costuri direct proporționale cu pierderile ce pot apărea în situația în care are loc un atac informatic asupra unei rețele sau asupra unui sistem informatic.

Din discuțiile pe care le-am avut cu specialiștii certSIGN a reieșit că efectele unui atac informatic pot fi foarte grave pentru o companie. Putem vorbi de pierderea datelor companiei, ale salariaților și ale clienților. Un studiu recent al IBM arată, de exemplu, că, în anul 2018, costul mediu global al unui atac informatic pentru compromiterea datelor a fost de 3,86 milioane de dolari.

De asemenea, pot exista pierderi financiare din cauza întreruperii serviciilor unei companii. De exemplu, în urma unor atacuri informatice de tip ransomware (criptarea datelor și solicitarea unei răscumpărări pentru recuperarea lor) din 2017, Serviciul Național de Sănătate din Marea Britanie a avut pierderi de circa 100 de milioane de lire sterline din cauza serviciilor întrerupte. Alt exemplu din același an este al companiei Maersk (livrări de containere), care a avut pierderi de circa 200 de milioane de dolari.

Tot la capitolul pierderi pentru firme avem și pierderea clienților, un efect indirect al atacurilor informatice. Practic, există un risc foarte mare ca clienții companiei afectate să decidă să apeleze la serviciile altor firme.

Pe deasupra, Legea nr. 362/2018 prevede și posibilitatea aplicării unor amenzi drastice pentru nerespectarea prevederilor sale, de către personalul de control al CERT-RO. Deși încep de la 3.000 de lei, pentru abaterile minore, acestea pot ajunge, pentru încălcările majore repetate, și la 5% din cifra de afaceri.