Pentru comunicare profesională JURIDICE.ro recomandă Infinit PR
TOP LEGAL
Print Friendly, PDF & Email

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice

10.01.2019 | Vlad BERCU
 Vlad Bercu

Vlad Bercu

În Monitorul Oficial al României, partea I, nr. 21 din data de 9 ianuarie 2019, a fost publicată Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.

Prezenta lege transpune reglementările Directivei (UE) nr. 1148/2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune.

Scopul prezentei legi îl constituie:
a) stabilirea cadrului de cooperare la nivel național și de participare la nivel european și internațional în domeniul asigurării securității rețelelor și sistemelor informatice;
b) desemnarea autorității competente la nivel național și a entităților de drept public și privat care dețin competențe și responsabilități în aplicarea prevederilor prezentei legi, a punctului unic de contact la nivel național și a echipei naționale de intervenție în caz de incidente de securitate informatică;
c) stabilirea cerințelor de securitate și notificare pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale și instituirea mecanismelor de actualizare a acestora în funcție de evoluția amenințărilor la adresa securității rețelelor și sistemelor informatice.

În vederea asigurării unui nivel ridicat de securitate, operatorii de servicii esențiale se identifică și se înscriu în Registrul operatorilor de servicii esențiale.

Prin operator de servicii esențiale se înțelege – persoană fizică sau juridică de drept public sau privat de tipul celor prevăzute în anexa care face parte integrantă din prezenta lege, care furnizează un serviciu considerat esențial, dacă furnizarea lui îndeplinește cumulativ următoarele condiții:
a) serviciul este esențial în susținerea unor activități societale și/sau economice de cea mai mare importanță;
b) furnizarea sa depinde de o rețea sau de un sistem informatic;
c) furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.

Supravegherea securității informatice este efectuată de Centrului Național de Răspuns la Incidente de Securitate Cibernetică, de altfel, autoritatea competentă la nivel național.

Prin furnizor de servicii digitale se înțelege acea persoană juridică care oferă serviciu în sensul prevederilor art. 4 alin. (1) pct. 2 din Hotărârea Guvernului nr. 1.016/2004 privind măsurile pentru organizarea și realizarea schimbului de informații în domeniul standardelor și reglementărilor tehnice, precum și al regulilor referitoare la serviciile societății informaționale între România și statele membre ale Uniunii Europene, precum și Comisia Europeană, cu modificările și completările ulterioare și care se încadrează într-una din categoriile:
1. piață online (serviciu care permite consumatorilor și/sau comercianților, să încheie cu alți comercianții vânzări online sau contracte de servicii, fie pe site-ul internet al pieței online, fie pe site-ul internet al unui comerciant care utilizează servicii informatice furnizate de piața online)
2. motor de căutare online (serviciu care permite utilizatorilor să caute, în principiu, în toate site-urile internet sau site-urile internet într-o anumită limbă pe baza unei interogări privind orice subiect sub forma unui cuvânt, a unei fraze sau a unei alte informații-cheie și care revine cu linkuri în care se pot găsi informații legate de conținutul căutat);
3. serviciu de cloud computing (serviciu care permite accesul la un sistem configurabil de resurse sau servicii informatice care pot fi puse în comun).

Legea stabilește cerințele minime de securitate pentru operatorii de servicii esențiale și furnizorii de servicii digitale la art. 25, care ține de: managementul drepturilor de acces; conștientizarea și instruirea utilizatorilor; jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice; testarea și evaluarea securității rețelelor și sistemelor informatice etc.

Legea obligă aceleași persoane să notifice CERT-RO în cazul unor incidente de securitate, operatorii urmează să includă în aceste notificări:
a) elementele de identificare ale infrastructurii și operatorului sau furnizorului în cauză;
b) descrierea incidentului;
c) perioada de desfășurare a incidentului;
d) impactul estimat al incidentului;
e) măsuri preliminare adoptate;
f) lista de autorități ale statului afectate de incident;
g) întinderea geografică potențială a incidentului;
h) date despre efecte potențial transfrontaliere ale incidentului.

Capitolul Y reglementează așa numitele: audit de securitate a rețelelor și sistemelor informatice aparținând operatorilor de servicii esențiale sau furnizorilor de servicii digitale și autorizarea echipelor CSIRT (echipa de răspuns la incidente de securitate informatică) ce deservesc rețele și sisteme informatice din categoria serviciilor esențiale și serviciilor digitale. Alte reglementări regăsite în lege: cooperare; supraveghere, control și sancționare.

În privința sancțiunilor care pot fi aplicate, vorbim de amenzi de maxime de 50 000 lei și 100 000 lei (în cazul recidivelor), iar în cazul persoanelor cu o cifră de afaceri de peste 2.000.000 lei, cu amendă în cuantum de la 0,5% la 2% din cifra de afaceri, iar, în cazul unor încălcări repetate, limita maximă a amenzii este de 5% din cifra de afaceri.

Pentru mai multe detalii a se vedea Legea integral.

Intrarea în vigoare: 12 ianuarie 2019.

Vlad Bercu
Research assistant SĂVESCU & ASOCIAȚII


Aflaţi mai mult despre , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

JURIDICE.ro este o platformă de exprimare. Publicăm şi opinii cu care nu suntem de acord. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica şi dumneavoastră pe JURIDICE.ro, vă rugăm să citiţi Politica noastră şi Condiţiile de publicare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


 Abonare newsletter | Corporate | Membership

.