01 Jul 2016

Transpunerea Directivei UE privind securitatea reţelelor şi a sistemelor informatice (NIS)

Transpunerea Directivei UE privind securitatea reţelelor şi a sistemelor informatice (NIS)

REZUMAT

Consiliul Uniunii Europene a publicat la 21 aprilie 2016 versiunea finală a Directivei privind securitatea reţelelor şi a sistemelor informatice (NIS). În timp ce aceasta trebuie să fie semnată în mod oficial de Parlamentul European în această vară, textul în sine a fost convenit de trei instituţii ale UE şi nu este de aşteptat să se schimbe. Statele membre sunt obligate să îl transpună în legislaţia naţională în termen de 21 de luni de la data adoptării sale. Pentru a veni în sprijinul acestui proces, în anexă veţi găsi un ghid de bune practici privind modul de punere în aplicare a aspectelor relevante pentru industria tehnologiilor şi pentru a consfinți în mod efectiv intenţiile legiutorilor.

Directiva NIS a Uniunii Europene este prima legislaţie paneuropeană privind securitatea cibernetică şi se concentrează pe consolidarea autorităţilor cibernetice la nivel naţional, pe creşterea coordonării între acestea şi pe introducerea cerinţelor privind securitatea pentru sectoarele cheie ale industriei.

Orice legislaţie naţională de punere în aplicare nu trebuie să piardă din vedere cele două obiective principale ale Directivei: (1) asigurarea unui nivel ridicat de securitate cibernetică a infrastructurilor critice ale ţării; (2) stabilirea unui mecanism de cooperare eficace între statele membre ale UE pentru a promova acest obiectiv. Resursele ar trebui să fie, înainte de toate, dedicate realizării acestor două obiective importante.

Pentru industria tehnologiilor, prevederile privind aşa-numiţii furnizori de servicii digitale (DSP-uri) prezintă un interes deosebit. Directiva precizează în mod clar că există diferenţe fundamentale între operatorii de servicii esenţiale (OES-uri) şi DSP-uri. Într-adevăr, aceştia din urmă nu sunt consideraţi ca infrastructură critică ca atare. După cum recunoaşte legislaţia, un incident cu impact asupra acestor servicii digitale ar reprezenta un nivel semnificativ mai mic de risc la adresa securităţii economice a unei ţări şi a siguranţei publice. Menţinerea acestei distincţii este esenţială pentru a desfăşura, de asemenea, în mod efectiv şi eficient, resurse limitate de autorităţi, care vor trebui să supravegheze şi să pună în aplicare normele.

Drept urmare, susţinem acordarea unei atenţii deosebite domeniului de aplicare vizat al serviciilor în cauză şi solicităm factorilor din domeniul elaborării de politici ca în legislaţia naţională să nu supună cerinţelor de securitate alte sectoare decât cele identificate ca DSP-uri şi OES-uri..

În ceea ce priveşte jurisdicția, DSP-urile ar trebui să poată să se bazeze pe legea aplicabilă în ţara în care se află sediul lor principal, chiar şi în situaţiile în care sunt implicate autorităţi competente din mai multe ţări. În ceea ce priveşte supravegherea, autorităţile competente ar trebui să urmeze o abordare ex-post, spre deosebire de impunerea unei obligaţii generale de a supraveghea DSP-urile. Mai mult decât atât, acestea ar trebui să se concentreze asupra rezultatelor şi să menţină distincţia între OES-uri şi DSP-uri prin faptul de a nu le supune pe acestea din urmă cerinţelor care nu sunt prevăzute de Directivă, cum ar fi auditul şi instrucţiunile obligatorii.

Măsurile de securitateprivind DSP-urile ar trebui să fie diferite de cele pentru OES-uri, având în vedere declaraţia din Directivă potrivit căreia acestea reprezintă un risc de securitate semnificativ mai mic. Factorii de decizie ar trebui să îndeplinească obiectivul privind armonizarea cu privire la aceste servicii, să recunoască standardele internaţionale existente în întreprinderile din domeniu, să evite mandatele tehnologice şi să respecte dreptul DSP-urilor consfințit în Directivă de a defini cele mai potrivite măsuri de securitate pentru sistemele proprii. Raportarea incidentelor ar trebui să fie și ea armonizată pe cât posibil la nivel european, ar trebui să se concentreze asupra incidentelor cu impact asupra continuităţii serviciului, să respecte flexibilitatea în calendarul de notificare şi să creeze un mediu de încredere, care să încurajeze schimbul de informaţii, fără a expune partea care face notificarea unui nivel crescut de răspundere.

Măsurile impuse OES-urilor vor avea impact şi asupra altor industrii, deoarece măsurile de securitate şi raportarea incidentelor vor fi transferate în prevederile contractuale. Acest lucru este valabil în special pentru serviciile de cloud. Așadar, DSP-urile pot fi indirect supuse legilor naţionale ale clienţilor lor şi, prin urmare, suntem extrem de interesaţi să constatăm că măsurile de securitate recunoscute pe plan internaţional se aplică acestor servicii. De asemenea, propunem coordonare şi sinergii cât de extinse posibil între cerințele de raportare atât cu privire la OES-uri, cât şi la DSP-uri, având în vedere că acestea din urmă sunt susceptibile de a face obiectul unei notificări duble.

Directiva stabileşte ambiţia de a atinge un nivel comun ridicat de securitate a reţelelor şi a sistemelor de informaţii, în vederea îmbunătăţirii funcţionării pieţei interne. Pentru a atinge acest obiectiv măreţ, transpunerile naţionale ar trebui să se concentreze pe o abordare bazată pe riscuri, armonizată şi de nivel internaţional, care oferă actorilor din sectorul privat flexibilitatea de a se adapta la un peisaj al ameninţărilor în continuă schimbare, permite autorităţilor cibernetice să concentreze resurse limitate asupra celor mai importante provocări şi recunoaşte că soluţia la o problemă fără frontiere trebuie să fie globală. Sperăm că acest ghid este un instrument util în vederea realizării acestui scop şi suntem încântaţi să răspundem la orice întrebări suplimentare pe care le puteţi avea.

Back to Cybersecurity
View the complete Policy Paper
PDF
Our resources on Cybersecurity
Policy Paper 05 Sep 2019
Response to ENISA consultation on EU ICT industrial policy
Policy Paper 01 Sep 2019
DIGITALEUROPE and ESIA response to the Office of State Commercial Cryptography Administration Draft Cryptography Law
Policy Paper 19 Jul 2019
Joint industry letter on Cybersecurity Vulnerabilities Administrative Regulation Response to MIIT published draft for comments
Hit enter to search or ESC to close