Directiva NIS - noul GDPR cu tinta fixa si amenzi mari - Ancora Protect
Google ar putea primi o nouă amendă „usturătoare” în Europa pentru nerespectarea GDPR
28 mai 2019
Amendă GDPR 2019: 250.000 Euro pentru aplicația La Liga din Spania
28 iunie 2019
Google ar putea primi o nouă amendă „usturătoare” în Europa pentru nerespectarea GDPR
28 mai 2019
Amendă GDPR 2019: 250.000 Euro pentru aplicația La Liga din Spania
28 iunie 2019

Directiva NIS – noul GDPR cu tinta fixa si amenzi mari

Prin noua Directiva NIS, UE obliga companiile si institutiile publice care ofera servicii esentiale pentru populatie sa isi asigure securitatea informatica si sa aiba o relatie mai stransa cu statul pentru a oferi un raspuns rapid oricaror provocari informatice.

Directiva NIS (Network and Information Security) este primul pachet legislativ intrat in vigoare la nivel european prin care se instituie masuri importante cu privire la securitatea informatiilor sensibile din intreaga Uniune Europeana. In tara noastra prevederile au fost transpuse prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice.

NIS are ca scop protejarea infrastructurilor digitale prin care se asigura functionarea unor sisteme vitale pentru societate si stabileste masuri prin care se poate obtine un nivel comun de securitate ridicata. In plus, cetatenii UE vor beneficia si ei de o protectie mai buna in fata posibilelor riscuri de ordin cibernetic.

Daca GDPR se aplica tuturor in mod egal (cu foarte putine exceptii), NIS se concentreaza pe institutii, autoritati si companii din:

  • energie;
  • transport;
  • banci;
  • piete financiare;
  • domeniul apei potabile;
  • furnizori de internet;
  • furnizori de servicii digitale.

Directiva NIS urmareste, impreuna cu GDPR, sa sporeasca securitatea cibernetica in structurile vitale din UE, astfel incat cetatenii blocului comunitar sa beneficieze de acelasi nivel de protectie impotriva celor care ar vrea sa ne atace un punct vulnerabil.

Dintre obligatiile noi pe care Directiva NIS le impune acelor institutii sau companii mentionate mai sus, amintim:

  • implementarea masurilor tehnice si organizatorice adecvate si proportionale pentru a putea gestiona riscurile la adresa securitatii retelelor si sistemelor informatice pe care le utilizeaza;
  • implementarea masurilor adecvate pentru a preveni si minimiza impactul incidentelor; 
  • notificarea „fara intarzieri nejustificate” catre autoritatile competente a incidentelor care afecteaza securitatea.

Nota! Aproape 95% dintre prevederile NIS erau deja cuprinse in standardul international ISO 27001.

  • Implementarea Directivei NIS in Romania prin Legea nr. 362/2018 (intrata in vigoare la inceputul lui 2019) va insemna noi cheltuieli pentru companiile si institutiile din tara noastra, avand in vedere ca vor trebui sa asigure banii necesari pentru urmatoarele:
  • securitatea sistemelor si a retelelor; 
  • gestionarea incidentelor; 
  • gestionarea continuitatii activitatii; 
  • monitorizarea, auditarea si testarea periodic; 
  • conformitatea cu standardele internationale; 
  • mentinerea unui grad ridicat de constientizare a angajatilor impotriva amenintarilor.

Entitatile tintite de NIS vor trebui sa angajeze personal calificat pentru a putea gestiona evenimente cu privire la securitatea cibernetica si sa implementeze:

  • sisteme mature de detectare a amenintarilor; 
  • un management experimentat pentru gestionarea incidentelor, astfel incat sa poata identifica cu usurinta natura atacului, dar si solutii pentru reducerea impactului; 
  • mecanisme eficiente de raportare a incidentelor.

Legea nr. 362/2018 stabileste amenzi de pana la 5% din cifra de afaceri pentru institutii sau companii care nu reusesc sa se conformeze prevederilor. In Romania, CERT-RO exercita controlul respectarii prevederilor legii, conform art. 35 din lege.

Articolul 35
(1) CERT-RO exercita controlul respectarii prevederilor prezentei legi, a obligatiilor impuse prin actele emise de CERT-RO in aplicarea prezentei legi, in limitele competentelor legale de monitorizare sau de verificare.
(2) In vederea efectuarii controlului prevazut la alin. (1), directorul general al CERT-RO, prin decizie, desemneaza personalul de specialitate imputernicit sa efectueze controlul si stabileste atributiile acestuia.
(3) Normele de aplicare a dispozitiilor privind controlul indeplinirii obligatiilor de securitate si notificare de catre operatorii de servicii esentiale si furnizorii de servicii digitale si controlul indeplinirii obligatiilor de catre auditorii de securitate informatica atestati ori de catre echipele CSIRT autorizate sa deserveasca operatori de servicii esentiale si furnizori de servicii digitale se aproba, la propunerea CERT-RO, prin ordin al ministrului comunicatiilor si societatii informationale care se publica in Monitorul Oficial al Romaniei, Partea I.

CSIRT este echipa de raspuns la incidente de securitate informatica la nivel national.

Directiva NIS este disponibil in limba romana si in format .PDF dand click AICI!

Ai intrebari cu privire la GDPR? Ai AICI raspunsurile!de Florin Amariei

Sursa articol:
https://e-juridic.manager.ro/articole/directiva-nis-noul-gdpr-cu-tinta-fixa-si-amenzi-mari-26144.html