Companiile care oferă oamenilor servicii esențiale prin intermediul unor rețele sau sisteme informatice au de îndeplinit, începând din acest an, noi obligații ce țin de securitatea cibernetică, astfel încât să fie mai bine protejate împotriva unor atacuri informatice. Măsurile pe care aceste companii sunt obligate să le ia, sub amenințarea unor amenzi consistente din partea autorităților de reglementare, se regăsesc într-un act normativ care a intrat deja în vigoare și vin în contextul în care majoritatea activităților sunt acum realizate prin intermediul tehnologiei, iar compromiterea sistemelor informatice poate duce la consecințe grave: de la întreruperea unor servicii esențiale pentru populație până la pierderea unor date ale companiei, salariaților sau clienților ei.
Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice se aplică de la mijlocul lunii ianuarie 2019. Aceasta vine cu noi obligații pentru firme pe partea de securitate cibernetică.
Concret, vizate sunt companiile ce sunt operatori de servicii esențiale. Un serviciu este considerat esențial atunci când este fundamental în susținerea unor activități societale și/sau economice de cea mai mare importanță, când furnizarea sa depinde de o rețea sau de un sistem informatic și când furnizarea sa este tulburată serios la producerea unui incident ce afectează securitatea rețelei/sistemului informatic.
De asemenea, trebuie precizat că sunt vizate de lege și firmele furnizoare de servicii digitale (piețe online, motoare de căutare online, servici de cloud computing), însă acestora li se aplică un alt set de obligații privind securitatea cibernetică.
Așadar, ce fel de companii sunt obligate să respecte noua lege? Firmele de transport (indiferent că acesta e aerian, feroviar, rutier sau pe apă), spitalele și clinicile medicale (atât de stat, cât și private), furnizorii de energie (gaze naturale, curent, petrol) și apă potabilă sau băncile. În același timp, mai este vorba și de infrastructuri ale pieței financiare (operatori de locuri de tranzacționare sau contrapartide centrale, cum ar fi Bursa de valori București sau societăți de investiții financiare) și de infrastructuri digitale (furnizorii de servicii tip internet exchange point, domain name system și registru de nume de domenii top level).
De ce sunt ele obligate să ia măsuri de securitate? Atacurile informatice afectează tot mai des serviciile esențiale pentru o societate, iar consecințele pot fi deosebit de grave atât pentru firme, cât și pentru populație. De exemplu, putem vorbi, în urma unui atac cibernetic, de pierderi de date, dar și de pierderi financiare semnificative sau de clienți din cauza întreruperii serviciilor. Din acest motiv, Legiuitorul spune că firmele trebuie să asigure niște cerințe minime de securitate general valabile tocmai pentru a preveni asemenea situații.
Așadar, punerea în practică a cerințelor de securitate impuse de Legea nr. 362/2018 și de actele normative care vor fi date pentru aplicarea acesteia vor aduce beneficii companiilor vizate.
Astfel, vorbim de reducerea riscurilor ca un atac informatic să aibă loc, dar și de minimizarea efectelor unui eventual atac informatic. „Pentru companiile care sunt sub efectul legii, beneficiile sunt reducerea riscului ca un atac informatic să producă efecte (prin implementarea de măsuri de protecție, bazate inclusiv pe informații furnizate prin mecanismele de cooperare), precum și de minimizare a eventualelor efecte (prin implementarea de măsuri de răspuns la incidente de securitate)”, a explicat Dan Ionuț Grigore, Cybersecurity Business Unit Director la certSIGN.
În același timp, trebuie luat în calcul faptul că implementarea cerințelor impuse de noua lege va reduce riscul nefuncționării serviciilor, precum și riscul apariției unor pierderi financiare sau de altă natură. „Beneficiile sunt minimizarea riscurilor nefuncționării serviciilor utilizate sau a apariției de pierderi financiare sau de altă natură, din cauza nivelului foarte scăzut de securitate a serviciului utilizat”, a mai spus specialistul.
Aceste companii care oferă servicii esențiale sunt obligate, conform noii legi, să ia anumite măsuri pentru a asigura securitatea rețelelor și a sistemelor informatice. Mai precis, vorbim de nouă obligații.
