Marile magazine online riscă amenzi drastice dacă nu respectă noi obligații de securitate cibernetică

Noile obligații legate de securitatea cibernetică sunt incluse în Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, care se aplică de la mijlocul lunii ianuarie 2019. Amenzile pentru încălcarea acestora încep de la câteva mii de lei, dar pot ajunge până la 5% din cifra de afaceri.

Acest act normativ vizează, în afara companiilor care operează servicii esențiale pentru populație, și firmele mari care furnizează servicii digitale cum sunt serviciile de piață online, motor de căutare online și cloud computing.

Potrivit lui Dan Ionuț Grigore, Cybersecurity Business Unit Director la certSIGN, atunci când vorbim de piețe online ne referim la platforme de comerț online din categoriile business to business (de exemplu, portale destinate persoanelor juridice folosite în relațiile producători-distribuitori sau distribuitori-reselleri), business to customer (de exemplu, magazinele prin care o persoană juridică vinde către persoane fizice) și customer to customer (de exemplu, platforme prin care se vând produse între persoane fizice). Referitor la cloud computing, aici este vorba de companiile care furnizează servicii de cloud (spațiu de stocare, de obicei).

Concret, noile obligații de securitate cibernetică se aplică societăților cu un număr mediu anual de salariați de la 250 în sus și care au o cifră de afaceri anuală netă de la 50 de milioane de euro în sus sau care dețin active totale de la 43 de milioane de euro în sus. În același timp, firmele sunt vizate dacă au sediul social pe teritoriul României sau, dacă sunt din afara Uniunii Europene, dacă au sediul reprezentanței din Uniune pe teritoriul României. În orice caz, trebuie subliniat că obligațiile nu se aplică întreprinderilor mici și mijlocii care furnizează servicii digitale.

Deoarece atacurile informatice afectează tot mai des serviciile digitale și consecințele pot fi grave pentru firme și populație, autoritățile au stabilit că firmele mari trebuie să asigure niște cerințe minime de securitate general valabile pentru a preveni situațiile de acest gen. Însă cerințele minime de securitate sunt doar o parte a obligațiilor impuse de noua lege, acestea din urmă fiind, în esență, în număr de șase.

 1.  Să ia măsuri adecvate pentru a îndeplini cerințele minime de securitate pentru serviciile digitale. O primă obligație a firmelor este să implementeze măsurile tehnice și organizatorice adecvate și proporționale pentru a îndeplini cerințele minime de securitate a rețelelor și sistemelor informatice legate de serviciile digitale pe care le oferă în Uniunea Europeană. Cerințele minime de securitate vor fi stabilite curând de Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO). Termenul de conformare va fi de șase luni (de la intrarea în vigoare a cerințelor).

 2.  Să ia măsuri adecvate pentru prevenirea și minimizarea impactului incidentelor asupra serviciilor digitale. A doua obligație face referire la implementarea, tot în acel termen de șase luni, a unor măsuri adecvate pentru prevenirea și minimizarea impactului incidentelor care afectează securitatea rețelelor și a sistemelor informatice folosite la furnizarea serviciilor digitale. De asemenea, mai este necesar ca firmele să poată interveni când apar atacuri informatice și să asigure continuitatea serviciilor digitale.

 3.  Anunțarea atacurilor care afectează serios serviciile digitale. Furnizorii de servicii digitale mai au obligația de a notifica imediat CERT-RO privind incidentele de securitate care au un impact major asupra respectivelor servicii. Firmele trebuie să furnizeze cel puțin informații precum descrierea incidentului, măsurile preliminare luate și impactul estimat al unui atac informatic.

 4.  Să furnizeze informații pentru determinarea impactului transfrontalier al unui atac. O altă obligație a furnizorilor de servicii digitale este să pună la dispoziția reprezentanților CERT-RO informațiile care permit stabilirea impactului transfrontalier al incidentului de securitate.

 5.  Mijloace de contact și responsabili cu monitorizarea lor. Noua lege mai prevede stabilirea unor mijloace permanente de contact și desemnarea unor responsabili care să se ocupe de securitatea rețelelor și sistemelor informatice, care să fie însărcinați și cu monitorizarea mijloacelor de contact. De asemenea, CERT-RO trebuie informat despre mijloace și responsabili (inclusiv când apar modificări ulterioare).

 6.  Conectarea la serviciul de alertare al CERT-RO. În fine, firmele mai sunt obligate să se conecteze la serviciul de alertare și cooperare al CERT-RO. Mai exact, este necesară monitorizarea permanentă a alertelor și solicitărilor venite prin acest serviciu (și nu numai), pentru a lua rapid măsuri adecvate la nivelul rețelelor și sistemelor informatice proprii.

În plus, companiile care furnizează servicii digitale mai trebuie să pună la dispoziția CERT-RO, la cerere, informațiile necesare pentru evaluarea securității rețelelor și sistemelor informatice vizate de Legea nr. 362/2018 (inclusiv politicile de securitate documentate), precum și rezultatele auditului de securitate realizat (inclusiv informațiile și documentațiile pe care se bazează auditul și alte elemente care dovedesc aplicarea cerințelor minime de securitate).

Prevederile Legii nr. 362/2018 transpun în legislația noastră Directiva europeană NIS (Network Information Security). Costurile pentru implementarea măsurilor de securitate cerute de actul normativ amintit sunt destul de greu de estimat. Acestea depind de dimensiunea unei afaceri și de măsurile de securitate existente. Concret, așa cum ne-a explicat aici Dan Ionuț Grigore de la certSIGN, se poate pleca de la câteva sute sau mii de euro pe an și se poate ajunge la câteva zeci sau sute de mii de euro pe an.

„Pentru companiile care sunt sub efectul legii, beneficiile sunt reducerea riscului ca un atac informatic să producă efecte (prin implementarea de măsuri de protecție, bazate inclusiv pe informații furnizate prin mecanismele de cooperare), precum și de minimizare a eventualelor efecte (prin implementarea de măsuri de răspuns la incidente de securitate)”, a precizat Dan Ionuț Grigore.

Amenzile sunt date de CERT-RO și pot ajunge până la 5% din cifra de afaceri

Amenzile se aplică gradual, în funcție de dimensiunea companiei vizate, dar și în funcție de cât de des sunt încălcate prevederile referitoare la nivelul comun de securitate a rețelelor și sistemelor informatice, este lămurit în Legea nr. 362/2019.

În plus, amenzile sunt individualizate în funcție de gradul de pericol social, perioada pe care s-a întins o încălcare și, acolo unde este cazul, consecințele încălcării. Așa cum am mai scris deja într-un articol anterior, sancțiunile pot fi aplicate de personalul de control al CERT-RO.

Dacă au o cifră de afaceri de maximum două milioane de lei (aproximativ 420.000 de euro), firmele riscă, la prima abatere, amenzi între 3.000 și 50.000 de lei. În cazul încălcărilor repetate, amenzile pot ajunge până la 100.000 de lei.

Dacă au o cifră de afaceri de peste două milioane de lei, firmele riscă amenzi inițiale între 0,5% și 2% din cifra de afaceri. Iar pentru încălcările repetate amenzile pot ajunge până la 5% din cifra de afaceri.

Conform noilor prevederi, cifra de afaceri luată în calcul la stabilirea amenzilor este cea prevăzută în cea mai recentă situație financiară anuală raportată de contribuabili. Dacă în anul anterior sancționării nu s-a înregistrat cifră de afaceri, se merge în urmă până la cea mai recentă cifră de afaceri înregistrată.

Nici firmele nou-înființate nu sunt uitate. În cazul lor, amenzile sunt stabilite prin raportare la salariul minim brut. Mai exact, acestea sunt între unu și 25 de salarii minime brute, adică, în 2019, între 2.080 și 52.000 de lei.