Sectorul bancar trebuie sa se adapteze legislatiei NIS privind asigurarea unui nivel ridicat de securitate a retelelor si sistemelor informatice

30 septembrie 2019

Amenzile pentru neîndeplinirea obligațiilor legale pleacă de la un minim de 0,5% din cifra de afaceri și pot ajunge până la 5%

Marile companii din domenii cheie, precum și furnizorii lor de servicii digitale, trebuie să se pregătească pentru a respecta obligațiile prevăzute de legislația privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice (legislația NIS), pentru a evita amenzi consistente, avertizează experții.

Domeniile vizate sunt: energie, transporturi, sectorul bancar, infrastructuri ale pieței financiare, sănătate, furnizarea și distribuirea de apă potabilă, infrastructură digitală, precum și furnizorii de servicii digitale (piețe online, motoare de căutare online, servicii de cloud computing).

Astfel, companiile active pe aceste piețe trebuie să deruleze o analiză internă pentru a identifica dacă sunt operatori de servicii esențiale sau furnizori de servicii digitale în sensul legislației NIS. Pașii acestui proces sunt prevăzuți de normele metodologice adoptate în vara aceasta ca parte a legislației NIS. Procesul nu poate fi însă finalizat în absența altor norme, precum cele privind cerințele minime de securitate sau lista serviciilor esențiale, la care autoritățile încă lucrează.

„De la momentul intrării în vigoare a normelor minime de securitate, companiile vor avea la dispoziție doar șase luni pentru a stabili în ce măsură se califică drept operatori de servicii esențiale sau, după caz, furnizori de servicii digitale în sensul legislației NIS. Având în vedere complexitatea acestui demers, există riscul ca analiza internă respectivă, în special efortul de auto-evaluare a companiilor, să necesite însă un termen mai îndelungat. Pentru a nu risca depășirea termenului legal de conformare și, implicit, eventuale sancțiuni, companiile ar trebui să își pună deja problema demarării analizei interne.‟, recomandă avocatul Costin Sandu din cadrul Schoenherr și Asociații SCA.

Specialiștii estimează că derularea acestei analize interne și luarea măsurilor de conformare ar putea presupune costuri semnificative pentru companii, precum și angrenarea unei echipe de proiect consistente. „Este de așteptat că aceste analize sunt deja avute în vedere de către companii în definirea bugetelor pentru anul viitor.‟, apreciază Costin Sandu.

„Directiva NIS reglemetează numeroase aspecte tehnice care cuprind rețelele IT și securitatea acestora. Analiza gradului de reziliență și a proceselor interne de mentenanță și securitate IT se poate concluziona cu recomandări de imbunătățire. De cele mai multe ori, aceste recomandări necesită resurse financiare și umane, cât și timp, pentru a fi implementate. Mai mult, companiile vor fi nevoite să dezvolte capacități de răspuns la incidente de securitate cibernetică, atât procedural, cât și din punct de vedere tehnic și al resursei umane.‟, a remarcat Tiberiu Anghel, Chief Strategy Officer la firma de securitate cibernetică CyBourn.

Normele în vigoare și ghidurile recent emise de CERT-RO prevăd o contribuție semnificativă a CERT-RO în procesul de analiză internă de identificare a operatorilor de servicii esențiale, respectiv a furnizorilor de servicii digitale. Astfel, este recomandat pentru companii să ia deja legătura cu serviciul specializat din cadrul CERT-RO.

Rezultatul analizei interne va dicta sau nu obligația companiilor de a notifica autoritatea de reglementare în domeniu, CERT-RO și, ulterior primirii acestor notificări, autoritatea va decide dacă societățile respective vor fi înscrise în registrele ținute de autoritate și vor fi supuse obligațiilor de conformare la legislația NIS.

Sursa | Legislația NIS include:

Legea nr. 362 din 28 decembrie 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice

Ordinul Ministerului Comunicațiilor și Societății Informaționale nr. 599/2019 privind aprobarea Normelor Metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale

Ordinul Ministerului Comunicațiilor și Societății Informaționale nr. 600/2019 privind aprobarea Normelor metodologice de organizare și funcționare a Registrului operatorilor de servicii esențiale

Ordinul Ministerului Comunicațiilor și Societății Informaționale nr. 601/2019 pentru aprobarea Metodologiei de stabilire a efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale

Adauga comentariu

Noutăți
Cifra/Declaratia zilei

Adrian Vasilescu – consilier de strategie al guvernatorului BNR

„O singură provizie am făcut, de card, pentru că nu mai umblu cu banii în buzunar. Banii sunt cei mai periculoși când este vorba de răspândirea unei molimi. Am renunțat la cash. În rest, este o prostie să faci provizii. Dacă vine o molimă și nici nu știi când va ajunge, dacă ar fi să se întindă, pe cât timp să poți să faci provizii? Faci provizii pe trei săptămâni, pe patru săptămâni și mai departe?”, a spus consultantul.

Sondaj

In 23 septembrie 2019, BNR a anuntat infiintarea unui Fintech Innovation Hub pentru a sustine inovatia in domeniul serviciilor financiare si de plata. In acest sens, care credeti ca ar trebui sa fie urmatorul pas al bancii centrale in 2020?
NoCash