Ce pași trebuie să urmeze firmele pentru a se conforma noilor obligații de securitate cibernetică

Deoarece atacurile informatice afectează din ce în ce mai des serviciile esențiale pentru o societate și serviciile digitale majore, iar consecințele pot fi grave pentru firme și populație, Parlamentul a dat o lege prin care s-au instituit noi obligații de securitate cibernetică.

Legea face parte dintr-un context mai larg la nivel european, reprezentând transpunerea în legislația națională a unei directive adoptate de Parlamentul European în 2016.

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice se aplică de la mijlocul lunii ianuarie 2019 și trebuie pusă în aplicare de firme precum cele din domeniile transport, medical, energie și servicii digitale.

Astfel, pentru a respecta noile obligații de securitate cibernetică, despre care am scris pe larg aici și aici, companiile din România trebuie să urmeze anumite etape concrete, pe care le-am identificat cu ajutorul specialiștilor de la certSIGN.

 1.  Analizarea încadrării în categoriile de firme vizate. O primă etapă pe care firmele trebuie să o parcurgă este o analiză, pentru a vedea dacă sunt furnizori de servicii esențiale sau furnizori de servicii digitale, ne-a spus Dan Ionuț Grigore, Cybersecurity Business Unit Director la certSIGN. Acolo unde este cazul, trebuie notificat Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) pentru înscrierea în Registrul operatorilor de servicii esențiale.

 2.  Identificarea măsurilor ce trebuie implementate. Apoi, după prima etapă, companiile trebuie să evalueze propria situație a sistemelor informatice și cerințele impuse de legislație pentru a identifica măsurile tehnice care trebuie implementate.

 3.  Implementarea măsurilor de securitate necesare. Al treilea pas al procesului de conformare constă în „implementarea măsurilor tehnice și organizatorice adecvate și proporționale pentru îndeplinirea cerințelor minime de securitate a rețelelor și sistemelor informatice, precum și implementarea măsurilor adecvate pentru a preveni și minimiza impactul incidentelor de securitate, conform normelor tehnice ce vor fi elaborate”, a explicat Dan Ionuț Grigore.

 4.  Realizarea unui audit de securitate. După ce firmele implementează măsurile de securitate necesare, urmează o etapă de auditare. Concret, trebuie făcut un audit de securitate, cu ajutorul unui auditor atestat, prin care să fie validată implementarea măsurilor de securitate.

 5.  Interconectarea cu serviciul de alertare și cooperare al CERT-RO este a cincea etapă pe care firmele vizate de Legea nr. 362/2018 trebuie să o pună în aplicare.

 6.  Monitorizarea și notificarea atacurilor informatice. Penultimul pas al procedurii de conformare la noile obligații de securitate cibernetică presupune monitorizarea rețelelor și sistemelor informatice și, atunci când este cazul, notificarea incidentelor de securitate către CERT-RO.

 7.  Luarea măsurilor de combatere a atacurilor informatice. În fine, un ultim pas al conformării este luarea măsurilor de răspuns, atunci când apar incidente de securitate, prin intermediul unor echipe proprii specializate sau prin echipe externe specializate. Totodată, trebuie asigurată restabilirea funcționării serviciilor esențiale sau digitale.

Punerea în practică a cerințelor de securitate impuse de Legea nr. 362/2018 și de actele normative care vor fi date pentru aplicarea acesteia vor aduce beneficii companiilor vizate.

Pe de o parte, vorbim de reducerea riscurilor ca un atac informatic să aibă loc, dar și de minimizarea efectelor unui eventual atac informatic. Pe de altă parte, trebuie luat în calcul faptul că implementarea cerințelor de securitate va reduce riscul nefuncționării serviciilor și riscul apariției unor pierderi financiare sau de altă natură.

Referitor la costurile pe care le presupune implementarea măsurilor de securitate cerute de noua lege, acestea sunt destul de greu de estimat, în condițiile în care depind de dimensiunea unei afaceri și de măsurile de securitate existente. Conform specialiștilor certSIGN, se poate pleca de la câteva sute sau mii de euro pe an și se poate ajunge la câteva zeci sau sute de mii de euro pe an.

Important! Legea nr. 362/2018 prevede și posibilitatea aplicării unor amenzi drastice pentru nerespectarea prevederilor sale, de către personalul de control al CERT-RO. Acestea încep de la 3.000 de lei pentru abaterile minore, însă pot ajunge, pentru încălcările majore repetate, și la 5% din cifra de afaceri a firmelor.