Întrucât viața cotidiană și economiile noastre depind tot mai mult de tehnologiile digitale, din ce în ce mai multe companii sunt îngrijorate de creşterea atacurilor cibernetice şi de consecințele asupra planurilor lor de business. Astfel, se pune accentul informațiile sensibile, cum ar fi date despre clienți, angajați, parteneri de afaceri sau contracte.
Aliniindu-se cerințelor europene – Guvernul Romaniei a adoptat Legea nr. 362/2018 prin care au fost transpuse în legislația națională prevederile Directivei UE 2016/1148, stabilind măsuri pentru atingerea unui nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană (Directiva NIS).
Așadar, ce sectoare de activitate vizează această lege?
firmele de transport (aerian, feroviar, rutier sau pe apă)
- spitalele și clinicile medicale (atât cele de stat, cât și cele private)
- furnizorii de energie (gaze naturale, curent, petrol)
- furnizarea și distribuirea de apă potabilă
- sectorul bancar
- infrastructuri ale pieței financiare (operatori de locuri de tranzacționare sau contrapartide centrale, (ex: bursa de valori, societăți de investiții financiare)
- infrastructuri digitale (furnizorii de servicii tip internet exchange point, domain name system etc.) .
În măsura în care unul dintre sistemele informatice este prejudiciat, consecințele pot varia de la o simplă scurgere de date până la întreruperea unor servicii esențiale pentru populație.
Chiar dacă celelalte sectoare de activitate nu sunt vizate de lege, luarea măsurilor de securitate cibernetică este vitală pentru reputația companiilor.
Pentru evitarea și combaterea rapidă a unor atacuri cibernetice se recomandă întocmirea de către fiecare companie a unui plan de securitate cibernetică, ce implică deopotrivă munca unor avocați și specialiști în securitate cibernetică.
Printre obligațiile prevăzute de lege se află și aceea de a notifica rapid, către CERT-RO a incidentelor care afectează semnificativ continuitatea serviciilor. O asemenea notificare trebuie să includă, de exemplu, descrierea incidentului, impactul estimat al incidentului și măsurile preliminare luate.
În condițiile în care se vehiculează foarte multă informație în format digital și în care sunt utilizate tot mai multe platforme cloud (de stocare în reţea), companiile trebuie să facă o evaluare a riscurilor, să limiteze vectorii de atac, să controleze foarte bine accesul de la distanţă (remote), să îşi definească o politică a parolelor, să monitorizeze continuu şi să aibă alerte în timp real, şi să aibă abilitatea să aducă oamenii potriviţi pentru contracararea problemelor.
Pe deasupra, Legea nr. 362/2018 prevede și posibilitatea aplicării unor amenzi drastice pentru nerespectarea obligațiilor impuse.
Deși pentru abaterile minore acestea încep de la 3.000 de lei, în cazul constatării unor încălcări repetate limita maximă a amenzii este de 100.000 lei. Pentru persoanele cu o cifră de afaceri de peste 2.000.000 lei, acestea pot ajunge, pentru încălcările majore repetate, și la 5% din cifra de afaceri.
Cu toate acestea, mediul de afaceri actual nu este suficient de pregatit să facă față riscurilor multiple actuale în domeniul securitații cibernetice. Clienţii pot acţiona compania în judecată pentru a-şi revendica drepturile care le-au fost încălcate, dar şi pentru a determina compania să fie mai atentă pe viitor cu datele personale pe care le deţine.