Directivă NIS (Network and Information Security) 2016/1148 a Parlamentului European este prima reglementare în domeniul securității informatice la nivel european.
Statele membre sunt nevoite să adopte reglementările Uniunii Europene în materie de securitate informatică, o parte dintre aceste reglementări se aplică la nivel:
- Național – statele li se solicită să aibă instituții ce pot gestiona evenimentele de securitate cibernetică, să facă exerciții periodice, etc.
- Interstatal – să colaboreze cu statele membre din rețeaua EU CSIRT (Computer Security Incident Response Services), grupul strategic de cooperare NIS, etc.
- Supraveghere a sectoarelor critice naționale – Furnizarea și distribuirea de apă potabilă, energie, transport, sănătate și sectorul bancar.
În România, implementarea NIS a început odată cu promulgarea legii 362/2018 însă această lege nu a fost de ajuns, iar în 2020 prin Ordonanța de Urgență nr. 119 din 22.07.2020 au fost lămurite încă o parte din aspectele implementării directivei NIS în țară.
Echipa RedElite a dorește să obțină atestatul auditor de securitate a rețelelor și sistemelor informatice și am încercat să obținem mai multe informații de la cei ce se ocupă direct de implementarea NIS, CERT-RO. Răspunsul acestora a fost următorul:
Urmare la email-urile dvs. … / 11.10.2020 14:28 // înregistrat la CERT-RO/ACNNISS: A13-153 din 12.10.2020
Direcția Reglementare, Evidență, Autorizare și Monitorizare, în calitate de Autoritatea competentă la nivel național pentru securitatea rețelelor și sistemelor informatice (ACNNISS), vă comunică următoarele:
I/ În ceea ce privește atestarea auditorilor de securitate a rețelelor și sistemelor informatice.
Procesul de atestare este unul complex, iar la acest moment ne aflăm în etapa de elaborare a actelor subsecvente (regulamente, metodologii, normative etc.). Modalitatea de autorizare și înscriere în Registrul auditorilor de securitate NIS (RASI) va fi precizată în Regulamentul pentru atestarea și verificarea auditorilor de securitate informatică pentru auditarea rețelelor și sistemelor informatice aparținând operatorilor de servicii esențiale sau furnizorilor de servicii digitale și pentru stabilirea condițiilor de valabilitate pentru atestatele acordate (REGANIS) – document aflat în faza de elaborare și aprobare.
II/ În ceea ce privește pașii necesari de urmat.
Procesul de atestare a auditorilor de securitate NIS este unul complex care presupune:
- identificarea operatorilor de servicii esențiale și a furnizorilor de servicii digitale;
- elaborarea actelor subsecvente specifice (norme, regulamente, dispoziții etc.)
- atestarea auditorilor de securitate NIS.
- înscrierea auditorilor de securitate NIS în registrul RASI.
Pași necesari de urmat vor fi precizați pe parcursul acestui proces, în funcție de aprobarea actelor subsecvente.
Precizare. La acest moment, la nivelul ACNNISS este în plin proces etapa de elaborare a actelor subsecvente. După aprobare, actele vor fi publicate atât pe site-ul instituției (www.CERT.RO) – la secțiunea: ACNNISS (https://cert.ro/pagini/ansrsi) / subsecțiunea: ACTE SUBSECVENTE (https://cert.ro/pagini/nis-acte-subsecvente) – , cât și în Monitorul Oficial, Partea I. De asemenea, procedurile/ghidurile specifice vor fi publicate, după apariție, la subsecțiunea PROCEDURI/GHIDURI (https://cert.ro/pagini/nis-proceduri-ghiduri).
Totodată, precizăm faptul că mai multe informații puteți accesa pe pagina web a CERT-RO (www.cert.ro), secțiunea Autoritatea Națională NIS/IMPLEMENTAREA DIRECTIVEI NIS (https://cert.ro/pagini/ansrsi), unde vor fi postate etapele procesului de aprobare a actelor subsecvente specifice auditorilor de securitate NIS, modalitățile de atestare a acestora, procedurile de lucru etc.
Se pare că ne îndreptăm cu pași repezi către implementarea NIS în țară, ținem să mulțumim colegilor de la CERT-RO pentru promptitudinea cu care ne-au răspuns solicitării.