A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Invitație la consultare publică privind transpunerea Directivei NIS 2

2024/04/30
Popularitate -10000

Foto: DNSC

Directoratul Național de Securitate Cibernetică, în calitate de autoritate desemnată să elaboreze proiectul de lege pentru transpunerea Directivei EU 2022/2555 [1](NIS 2), vă solicită sprijinul și vă invită să transmiteți un prim set de propuneri concrete privind transpunerea unor aspecte prevăzute de Directiva NIS 2 în legislația națională. 

Această consultare se adresează în special reprezentanților entităților vizate de Directivă, asociațiilor profesionale, sindicale sau patronale, mediului academic și de cercetare, precum și specialiștilor și consultanților în domeniile securității cibernetice și protecției drepturilor omului în mediul online.

În contribuțiile dumneavoastră, vă rugăm să vă îndreptați cu precădere atenția față de următoarele subiecte:

  • protejarea drepturilor cetățenilor, inclusiv aplicarea reglementărilor GDPR;
  • respectarea intereselor economice, comerciale și de imagine ale entităților ce fac obiectul reglementării;
  • asigurarea proporționalității impactului reglementărilor de transpunere a Directivei NIS 2, raportat la nivelul riscurilor de securitate cibernetică, pentru fiecare entitate/sector;
  • asigurarea eficienței activității de reglementare, supraveghere și control.

Subiectele supuse dezbaterii sunt următoarele:

  1. Având în vedere prevederile Directivei NIS 2, art. 12:

Statele membre se asigură că persoanele fizice sau juridice pot raporta, în mod anonim atunci când solicită acest lucru, o vulnerabilitate echipei CSIRT desemnate drept coordonator. Echipa CSIRT desemnată drept coordonator se asigură că au loc acțiuni subsecvente susținute în ceea ce privește vulnerabilitatea raportată și asigură anonimatul persoanei fizice sau juridice care raportează vulnerabilitatea

  • Care sunt condițiile care ar trebui avute în vedere pentru a clasifica o raportare a unei vulnerabilități drept un act de bună credință, menit să ajute la creșterea siguranței cibernetice și care să se diferențieze de un act injust, comis cu rea credință și în scop ilicit, având în vedere prevederile Legii 286/2009, actualizat (Codul Penal)?
  • Ce criterii ar trebui aplicate pentru păstrarea proporționalității între obligația de protejare a identității raportorului și nevoia de a proteja interesul public, pe de o parte, respectiv cel al entităților vizate de vulnerabilitate?
  • Care sunt criteriile ce ar trebui luate în considerare pentru stabilirea atribuirii responsabilităților de remediere a vulnerabilităților de securitate cibernetică?
  • Ce termene ar trebuie să fie prevăzute de lege pentru remedierea vulnerabilităților de către entitățile responsabile?
  • Care sunt circumstanțele care fac necesară publicarea vulnerabilităților?

 

  1. Având în vedere prevederile Directivei NIS 2, art. 32 alin. 2 lit. d:

Statele membre se asigură că autoritățile competente, atunci când își exercită sarcinile de supraveghere în ceea ce privește entitățile esențiale, au competența de a supune entitățile respective cel puțin:

[...]

  1. d) unor scanări de securitate bazate pe criterii obiective, nediscriminatorii, echitabile și transparente de evaluare a riscurilor, după caz cu cooperarea entității în cauză;”
  • Care sunt circumstanțele care ar determina necesitatea măsurii de scanare de securitate?
  • Ce condiții ar trebui îndeplinite pentru realizarea scanării de securitate de către DNSC?

 

  1. Având în vedere prevederile Directivei NIS 2, art. 32 alin. 5 lit. a și b:

În cazul în care măsurile de asigurare a respectării legii adoptate în temeiul alineatului (4) literele (a)-(d) și (f) sunt ineficiente, statele membre se asigură că autoritățile lor competente au competența de a stabili un termen în care entității esențiale i se solicită să ia măsurile necesare pentru remedierea deficiențelor sau să respecte cerințele autorităților respective. În cazul în care acțiunea solicitată nu este întreprinsă în termenul stabilit, statele membre se asigură că autoritățile lor competente au competența:

(a) de a suspenda temporar sau de a solicita unui organism de certificare sau de autorizare sau unei instanțe, în conformitate cu dreptul intern, suspendarea temporară a unei certificări sau a unei autorizații privind o parte sau toate serviciile relevante furnizate sau activitățile relevante desfășurate de entitatea esențială;

(b) de a solicita impunerea de către organismele sau instanțele relevante, în conformitate cu dreptul intern, a unei interdicții temporare de a exercita funcții de conducere în cadrul entității respective împotriva oricărei persoane fizice care exercită responsabilități de conducere la nivel de director executiv sau de reprezentant legal în entitatea esențială.

Suspendările sau interdicțiile temporare impuse în temeiul prezentului alineat se aplică numai până în momentul în care entitatea în cauză ia măsurile necesare în vederea remedierii deficiențelor sau a respectării cerințelor impuse de autoritatea competentă pentru care au fost aplicate aceste măsuri de asigurare a respectării legii. Impunerea unor astfel de suspendări sau interdicții temporare face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu carta, inclusiv dreptul la o cale de atac eficace și la un proces echitabil, prezumția de nevinovăție și dreptul la apărare.”

  • Care sunt circumstanțele care justifică aplicarea acestor măsuri?
  • Ce condiții trebuie îndeplinite de DNSC pentru a se asigura proporționalitatea măsurii în raport cu nevoia de asigurare a continuității serviciului, pentru art. 32 alin. 5 lit. (a)?
  • Ce responsabilități concrete ale managementului ar trebui să facă obiectul sancțiunii prevăzute la art. 32 alin. 5 lit. (b)?

 

  1. Având în vedere prevederile Directivei NIS 2, art. 2 alin. 1 și alin. 2 lit. e și f:

”(1) Prezenta directivă se aplică entităților publice sau private de tipul celor menționate în anexa I sau II, care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau care depășesc plafoanele pentru întreprinderile mijlocii prevăzute la alineatul (1) [2] din respectivul articol și care prestează servicii sau își desfășoară activitățile în cadrul Uniunii.

 

(2)Indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților de tipul celor menționate în anexa I sau II, în cazul în care:

e)entitatea este critică din cauza importanței sale specifice la nivel național sau regional pentru sectorul sau tipul de servicii în cauză sau pentru alte sectoare interdependente din statul membru;

f)entitatea este o entitate a administrației publice:

            (i) la nivel central, astfel cum este definită de un stat membru în conformitate cu dreptul intern;

            (ii) a nivel regional, astfel cum este definită de un stat membru în conformitate cu dreptul intern, care, în urma unei evaluări bazate pe riscuri, furnizează servicii a căror întrerupere ar putea avea un impact semnificativ asupra activităților societale sau economice critice.”

precum și recitalul 7:

”... Statele membre ar trebui, de asemenea, să prevadă ca anumite întreprinderi mici și microîntreprinderi, astfel cum sunt definite la articolul 2 alineatele (2) și (3) din respectiva anexă, care îndeplinesc criterii specifice ce indică un rol esențial pentru societate, pentru economie sau pentru anumite sectoare sau tipuri de servicii, să intre în domeniul de aplicare al prezentei directive”

  • Ce alte entități sau instituții publice din afara sectoarelor de aplicare al Directivei NIS 2 sau care nu depășesc pragurile impuse de aceasta, ar trebui avute în vedere pentru a fi desemnate ca entități esențiale sau importante având în vedere rolul și importanța lor?
  • Ce aspecte ar trebui avute în vedere cu ocazia transpunerii acestor prevederi?

 

  1. Având în vedere prevederile Directivei NIS 2, art. 32 alin. 2 lit. b:

”Statele membre se asigură că autoritățile competente, atunci când își exercită sarcinile de supraveghere în ceea ce privește entitățile esențiale, au competența de a supune entitățile respective cel puțin:

[…]

  1. b) unor audituri de securitate periodice și specifice efectuate de un organism independent sau de o autoritate competentă;”
  • La ce interval de timp ar trebui efectuate auditurile periodice pentru entitățile esențiale? Dar pentru entitățile importante?

 

  1. Ce alte prevederi din NIS 2 considerați că sunt relevante din perspectiva protejării drepturilor cetățenilor și intereselor entităților vizate de directivă și ar necesita o consultare a societății civile și care sunt motivele pentru care ați ajuns la această concluzie?

 

Așteptăm răspunsurile dumneavoastră până la data de 10.05.2024, prin e-mail, la adresa [email protected] cu respectarea următoarelor condiții:

  • Subiectul mail-ului: ”PROPUNERI SOCIETATE CIVILĂ NIS 2” (pentru centralizarea contribuțiilor și o mai facilă gestionare a acestora);
  • Vă rugăm să vă prezentați și să precizați apartenența la o organizație relevantă în contextul transpunerii Directivei NIS 2, conform precizărilor de mai sus (în vederea identificării unor posibile aspecte relevante doar pentru un anumit sector)
  • Delimitarea răspunsurilor și indicarea întrebării la care se face referire.

 

Vă mulțumim,

Echipa DNSC

 

[1] DIRECTIVA (UE) 2022/2555 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2)

[2] Art. 2 alin. 1 din anexa la Recomandarea 2003/361/CE: ”Categoria microîntreprinderilor și întreprinderilor mici și mijlocii (IMM) este constituită din întreprinderi care au mai puțin de 250 de angajați și a căror cifră anuală de afaceri nu depășește 50 de milioane de euro sau al căror bilanț total anual nu depășește 43 milioane de euro.”

Postat în: comunicat cybersecurity awareness Directiva NIS cybersecurity cybersecurity cybersecurity awareness cybersecurity cybersecurity cybersecurity cybersecurity

Vizualizat de 1261 ori

  • English
  • English


    

    Parteneri

logo-agerpres
logo-dekeneas

    Certificatul digital este asigurat de:

Subiecte populare

Copyright © 2011-2024 DNSC
Feed RSS | Contact | Termeni și condiții