Companiile care trebuiau să se înregistreze ca operatori de servicii esenţiale până la finele anului trecut şi nu au făcut-o sunt pasibile de amenzi între 0,5 şi 2% din cifra de afaceri! Nu este cazul de panică, însă: până în luna iunie aceste firme au posibilitatea să intre în legalitate. În sprijinul lor vine compania orădeană HELION SECURITY, specializată în servicii de securitate informatică, singura din judeţ care deţine Aviz de Securitate Industrială emis de ORNISS pentru acces la informaţii secret de stat. Vezi mai jos ce trebuie să faci!

Ce este Directiva NIS

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019, transpunând în practică aşa-numita Directivă NIS (Directiva (UE) 2016/1148 a Parlamentului European şi a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune).

Între altele, actul normativ are drept scop creşterea nivelului de pregătire a statelor UE pentru a face faţă incidentelor de securitate informatică, stabilirea de măsuri şi cerinţe pentru asigurarea efectivă a securităţii, şi stabileşte clar cerinţe de notificare a incidentelor către Autoritatea Naţională pentru Securitatea Reţelelor şi Sistemelor informatice (ANSRSI). De asemenea, actul normativ desemnează Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO ca autoritate naţională cu atribuţii de reglementare, supraveghere şi control.

De ce vorbim despre asta?

Guvernul României a aprobat două Hotărâri de Guvern privind lista serviciilor esenţiale şi pragurile pentru determinarea efectului perturbator al incidentelor din reţelele şi sistemele informaţionale ale operatorilor de servicii esenţiale, care au intrat în vigoare la 17 noiembrie 2020.

Astfel, până la această dată, operatorii de servicii esenţiale trebuiau să parcurgă un proces de înregistrare la Autoritatea Naţională NIS din cadrul CERT-RO.

Nerespectarea cererii de înregistrare poate declanşa amenzi între 0,5 - 2% din cifra de afaceri!

Cine este vizat?

Rareș Codrean, Helion"În cazul în care o companie / instituţie desfăşoară activităţi legate de anumite sectoare şi servicii esenţiale, trebuie să urmeze un proces de autoevaluare în conformitate cu legislaţia secundară care implementează Legea NIS pentru a determina dacă se califică a fi Operatori ai Serviciilor Esenţiale (OSE). Dacă se află în această situaţie, entitatea trebuia să se înregistreze la Autoritatea Naţională NIS în cadrul CERT-RO până la 17 decembrie 2020. Atenţie, însă, cei care nu s-au înregistrat mai au o şansă, dat fiind că termenul de implementare a măsurilor este de 6 luni, adică până în luna iunie", explică Rareş Codrean (foto), directorul general al HELION SECURITY.

Compania orădeană este specializată în servicii de securitate informatică, fiind cea care, anul trecut, a salvat baza de date a Spitalului Municipal Oradea de atacul hackerilor care cereau bani pentru răscumpărarea datelor criptate de pe servere.

"HELION SECURITY oferă o Foaie de parcurs completă clienţilor săi referitor la Legea NIS şi îi asistă pe aceştia pe întreg procesul de evaluare şi implementare a măsurilor necesare pentru respectarea legii", anunţă Rareş Codrean.

Ce e de făcut?

Sectoarele vizate de lege sunt: Electricitate, Petrol, Gaze, Transporturi Aeriene, Feroviare, pe Apă şi Rutiere, Sectorul Bancar, Infrastructuri ale pieţei financiare, Sănătate (prevenţie, diagnostic, tratament şi/sau îngrijiri de sănătate; depozitare şi/sau distribuire de medicamente, producţie de medicamente; laboratoare de analize şi diagnostic; spitalizare (inclusiv ambulatoriu), furnizare dispozitive medicale cu impact asupra vieţii, asistenţă medicală de urgenţă, Case de asigurări sociale de sănătate), Furnizare apă potabilă si Infrastructură digitală.

"Dacă activităţile unei companii se încadrează în sectoarele şi sub-sectoarele menţionate în Lege, aceasta ar trebui să înceapă imediat procesul de evaluare şi înregistrare pentru a determina dacă se califică să fie Operator de Servicii Esenţiale, pentru a evita amenzi uriaşe", explică Rareş Codrean.

To do list

În acest scop, HELION SECURITY a întocmit o fişă de parcurs în 10 paşi care îi poate ajuta pe reprezentanţii companiilor, sau chiar ai instituţiilor publice, să stabilească dacă se încadrează în această categorie de Operator de Servicii Esenţiale şi să se înregistreze, dacă este cazul:

1. Creaţi o echipă de proiect şi luaţi măsurile necesare pentru gestionarea informaţiilor clasificate, deoarece datele referitoare la înregistrarea ca Operator al Serviciului Esenţial sunt clasificate ca fiind restricţionate (secret de serviciu);

2. Evaluaţi activităţile pentru a identifica dacă vreuna dintre ele se potriveşte cu serviciile esenţiale;

3. Identificaţi reţelele şi sistemele de informaţii utilizate pentru desfăşurarea activităţilor dvs;

4. Identificaţi măsurile de securitate aplicabile pentru fiecare reţea şi sistem de informaţii pe care le utilizaţi;

5. Asociaţi reţelele şi sistemele de informaţii cu activităţile care sunt servicii esenţiale;

6. Completaţi Formularul de autoevaluare a măsurilor de securitate legate de reţelele şi sistemele de informaţii pe care le utilizaţi pentru activităţi care sunt servicii esenţiale;

7. Evaluaţi efectul perturbator al unui incident asupra activităţilor dvs. care sunt servicii esenţiale;

8. În urma evaluării de la punctele 1-7, specialiştii Helion concluzionează dacă vă calificaţi ca Operator al unui Serviciu Esenţial pentru fiecare activitate relevantă;

9. Dacă este cazul, asistenţă în pregătirea înregistrării la CERT-RO

10. Dacă este cazul, asistenţă în pregătirea cererilor pentru cererile de clarificări de la CERT-RO pe cererea dvs. de înregistrare.

Care sunt obligaţiile?

Odată ce înregistrarea este completă, instituţiile şi companiile vor trebui să notifice la CERT-RO incidentele de securitate care au un impact material asupra serviciului esenţial pe care îl furnizează în termen de 12 ore de la data la care au luat cunoştinţă de incident.

Nu în ultimul rând, în termen de 6 luni de la înregistrarea în Registrul de Operatori Servicii Esenţiale instituţiile şi companiile vizate trebuie să asigure conformarea şi documentarea conformării cu cerinţele minime de securitate aplicabile OSE, adoptate în aplicarea art. 25 alin. 1 şi 3 din Legea NIS.

Având în vedere că majoritatea instituţiilor vizate lucrează sub Certificate ORNISS (Oficiul Registrului Naţional al Informaţiilor Secrete de Stat), este important de ştiut că HELION SECURITY, specializată în securitate cibernetică şi cu o experienţă de peste 17 ani în domeniu, este singura companie cu sediul în judeţul Bihor care deţine Aviz de Securitate Industrială emis de ORNISS pentru acces la informaţii secret de stat.

Serviciile oferite de Helion în baza unui contract standard de Securitate Informatică sunt:

- Audit complet al Infrastructurii IT privind securitatea cibernetică, urmat de recomandări concrete de implementare a măsurilor de securitate informatică;

- Furnizarea, instalarea şi configurarea echipamentelor şi soft-urilor necesare;

- Asistarea pentru a obţine răspunsul dacă trebuie să vă înregistraţi ca Operator de Servicii Esenţiale;

- Asistarea pentru completarea formularelor de înregistrare şi a documentelor suport necesare;

- Asistarea cu servicii de evaluare, planificare şi documentare a activităţilor de conformare;

- Sprijinirea în proiectarea şi implementarea proceselor obligatorii de management al riscurilor, incidentelor, situaţiilor de alertă şi al continuităţii serviciilor

- Sprijinirea cu soluţii IT dedicate pentru asigurarea cerinţelor minime tehnice specificate în lege.

HELION SECURITY oferă informaţii detaliate privind securitatea cibernetică şi măsurile minimale conform Legii NIS pe pagina sa de internet www.helion.ro.

(advertorial)