Securitatea rețelelor și a sistemelor informatice

 

SINTEZĂ PRIVIND:

Directiva (UE) 2016/1148 privind securitatea rețelelor și a sistemelor informatice

CARE ESTE ROLUL ACESTEI DIRECTIVE?

Aceasta propune un set amplu de măsuri în vederea creșterii nivelului de securitate al rețelelor și a sistemelor informatice (securitatea cibernetică*), pentru a asigura servicii vitale pentru economia și societatea UE. Scopul său este de a asigura că țările UE sunt bine pregătite și sunt gata să facă față și să răspundă atacurilor cibernetice prin:

• desemnarea autorităților competente;
• crearea unor echipe de intervenție în caz de incidente de securitate informatică (CSIRT-uri); și
• adoptarea unor strategii naționale privind securitatea informatică.

De asemenea, aceasta stabilește cooperarea la nivelul UE atât la nivel strategic, cât și la nivel tehnic.

În cele din urmă, aceasta introduce obligația furnizorilor de servicii esențiale și a furnizorilor de servicii digitale de a lua măsurile de securitate corespunzătoare și de a notifica autoritățile naționale competente cu privire la incidente grave.

ASPECTE-CHEIE

Îmbunătățirea capacităților naționale de securitate cibernetică

Țările UE trebuie:

• să desemneze una sau mai multe autorități naționale competente și CSIRT-uri și să identifice un punct unic de contact (în cazul în care există mai multe autorități competente);
• să identifice furnizorii de servicii esențiale în sectoarele critice, cum ar fi energia, transportul, finanțele, sectorul bancar, sănătatea, distribuția de apă potabilă și infrastructura digitală, acolo unde un atac cibernetic ar putea perturba un serviciu esențial.

De asemenea, țările UE trebuie să pună în aplicare o strategie națională privind securitatea informatică pentru rețele și sisteme informatice*, care să acopere următoarele aspecte:

• să fie pregătită și gata de a face față și de a răspunde atacurilor cibernetice;
• să acopere rolurile, responsabilitățile și cooperarea dintre guvern și alte părți;
• programe educaționale, de sensibilizare și de formare;
• planificarea cercetării și a dezvoltării;
• planificarea identificării riscurilor.

Autoritățile naționale competente monitorizează aplicarea directivei prin:

• evaluarea politicilor de securitate cibernetică și de securitate ale furnizorilor de servicii esențiale;
• supravegherea furnizorilor de servicii digitale;
• participarea la activitatea grupului de cooperare [cuprinzând autoritățile competente din domeniul securității rețelelor și informațiilor (INS) din fiecare dintre țările UE, Comisia Europeană și Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA)];
• informând publicul, acolo unde este necesar, pentru a preveni un incident sau pentru a face față unui incident în curs de desfășurare, respectând confidențialitatea;
• prin emiterea de instrucțiuni obligatorii pentru remedierea deficiențelor de securitate informatică.

CSIRT-urile sunt responsabile pentru:

• monitorizarea și răspunsul la incidentele de securitate cibernetică;
• furnizarea de analize de risc și de analiză a incidentelor și de conștientizare situațională;
• participarea la rețeaua CSIRT;
• cooperarea cu sectorul privat;
• promovarea utilizării practicilor standardizate pentru gestionarea incidentelor și a riscurilor și clasificarea informațiilor.

Cerințe de securitate și notificare

Directiva vizează promovarea unei culturi a gestionării riscurilor. Întreprinderile care operează în sectoare-cheie trebuie să evalueze riscurile pe care le desfășoară și să adopte măsuri pentru a asigura securitatea informatică. Aceste societăți trebuie să notifice autorităților competente sau CSIRT-urilor orice incident relevant, cum ar fi hacking-ul sau furtul de date, care compromite în mod serios securitatea informatică și are un efect perturbator semnificativ asupra continuității serviciilor critice și furnizării de bunuri.

Pentru a determina incidentele care trebuie notificate de către furnizorii de servicii esențiale*, țările UE ar trebui să ia în considerare durata incidentului și răspândirea geografică, precum și alți factori, cum ar fi numărul de utilizatori care se bazează pe acest serviciu.

Furnizorii de servicii digitale cheie (motoare de căutare, servicii de cloud computing și piețe online) vor trebui să respecte cerințele de securitate și de notificare.

Îmbunătățirea cooperării la nivelul UE

Directiva stabilește grupul de cooperare ale cărui sarcini includ:

• furnizarea de orientări pentru rețeaua CSIRT;
• schimbul de bune practici privind identificarea furnizorilor de servicii esențiale;
• asistarea țărilor UE în construirea capacităților de securitate cibernetică;
• schimbul de informații și cele mai bune practici privind sensibilizarea și instruirea, cercetarea și dezvoltarea;
• schimbul de informații și colectarea celor mai bune practici privind riscurile și incidentele;
• discutarea modalităților de notificare a incidentelor.

De asemenea, se înființează rețeaua CSIRT cuprinzând reprezentanții CSIRT din țările UE și echipa de intervenție în caz de urgență informatică (CERT-EU). Printre sarcinile sale se numără:

• schimbul de informații privind serviciile CSIRT;
• schimbul de informații privind incidentele de securitate cibernetică;
• sprijinirea țărilor UE în răspunsul lor la incidente transfrontaliere;
• discutarea și identificarea unui răspuns coordonat la un incident raportat de o țară a UE;
• discutarea, explorarea și identificarea altor forme de cooperare operațională, inclusiv:
  • categorii de riscuri și incidente;
  • avertismente timpurii;
  • asistență reciprocă;
  • coordonarea între țările care răspund unor riscuri și incidente care afectează mai mult decât o singură țară a UE;
• informarea grupului de cooperare cu privire la activitățile sale și solicitarea de îndrumare;
• discutarea lecțiilor învățate din exercițiile de securitate cibernetică;
• discutarea capacităților CSIRT-urilor individuale, la cererea acestora;
• emiterea de orientări privind cooperarea operațională.

Sancțiuni

Țările UE trebuie să aplice sancțiuni eficace, proporționale și cu efect de descurajare pentru a se asigura că se aplică dispozițiile prezentei directive.

DE CÂND SE APLICĂ DIRECTIVA?

Se aplică de la 8 august 2016. Țările UE trebuie să o integreze în legislația națională până la 9 mai 2018 și să identifice furnizorii de servicii esențiale până la 9 noiembrie 2018.

CONTEXT

• Securitate cibernetică (Comisia Europeană);
• Securitate cibernetică: Comisia își consolidează răspunsul la atacurile cibernetice – comunicat de presă (Comisia Europeană);
• Directiva privind securitatea rețelelor și a sistemelor informatice – comunicat de presă (Comisia Europeană);
• Reziliență, prevenire și apărare: construirea unei securități cibernetice puternice în Europa – Fișă de informare (Comisia Europeană).

TERMENI-CHEIE

DOCUMENTUL PRINCIPAL

Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194, 19.7.2016, pp. 1-30)

Modificările și corectările succesive aduse Directivei (UE) 2016/1148 au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

DOCUMENTE CONEXE

Regulamentul de punere în aplicare (UE) 2018/151 al Comisiei din 30 ianuarie 2018 de stabilire a normelor de aplicare a Directivei (UE) 2016/1148 a Parlamentului European și a Consiliului în ceea ce privește aducerea unor precizări suplimentare cu privire la elementele care trebuie să fie luate în considerare de către furnizorii de servicii digitale pentru gestionarea riscurilor la adresa securității rețelelor și a sistemelor informatice, precum și cu privire la parametrii necesari pentru a se determina dacă un incident are un impact substanțial (JO L 26, 31.1.2018, pp. 48-51)

Decizia de punere în aplicare (UE) 2017/179 a Comisiei din 1 februarie 2017 de stabilire a demersurilor procedurale necesare pentru funcționarea grupului de cooperare în conformitate cu articolul 11 alineatul (5) din Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 28, 2.2.2017, pp. 73-77)

Comunicare a Comisiei către Parlamentul European și Consiliu: Valorificarea la maximum a NIS – către punerea în aplicare eficace a Directivei (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune [COM(2017) 476 final/2, 4.10.2017]

Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, pp. 36-58)

Comunicare comună către Parlamentul European şi Consiliu – Reziliență, prevenire și apărare: construirea unei securități cibernetice puternice pentru UE [JOIN(2017) 450 final, 13.9.2017]

Document de lucru al serviciilor Comisiei – Evaluarea strategiei UE 2013 privind securitatea informatică [SWD(2017) 295 final, 13.9.2017]

Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, pp. 73-114)

Decizia 2013/488/UE a Consiliului din 23 septembrie 2013 privind normele de securitate pentru protecția informațiilor UE clasificate (JO L 274, 15.10.2013, pp. 1-50).

A se vedea versiunea consolidată.

Directiva 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului (JO L 218, 14.8.2013, pp. 8-14)

Regulamentul (UE) nr. 526/2013 al Parlamentului European și al Consiliului din 21 mai 2013 privind Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) și de abrogare a Regulamentului (CE) nr. 460/2004 (JO L 165, 18.6.2013, pp. 41-58)

Comunicare comună către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor – Strategia de securitate cibernetică a Uniunii Europene: un spațiu cibernetic deschis, sigur și securizat [JOIN(2013) 1 final, 7.2.2013]

Data ultimei actualizări: 01.03.2018