Guvernul României a emis Ordonanța de Urgență nr. 119 din 22.07.2020 pentru modificarea și completarea Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.

Emiterea actului normativ s-a impus cu necesitate în urma constatării unor impedimente majore în aplicarea Legii nr. 362/2018, fapt care a generat întârzieri în implementarea în țara noastră a prevederilor Directivei Uniunii Europene nr. 1148/2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (i.e. Directiva NIS) și declanșarea procedurii de infringement de către Comisia Europeană.

Principala modificare adusă Legii nr. 362/2018 prin OUG nr. 119/2020 se referă la flexibilizarea constituirii Grupului de lucru interinstituțional (i.e. GdLINIS) pentru determinarea valorilor de prag necesare pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale astfel încât în cel mai scurt timp să poată fi declanșată procedura de identificare și înscriere de către CERT-RO în Registrul Operatorilor de Servicii Esențiale, a acestor operatori.

De asemenea, au mai fost introduse o serie de ajustări în privința unor denumiri, astfel încât Legea 362/2018 să fie armonizată cu modificările survenite prin intermediul Ordonanțelor de Urgență nr. 90/2019 și 4/2020.

Adoptarea OUG nr. 119/2020 reprezintă un pas esențial în deblocarea procesului de implementare a prevederilor Directivei NIS în țara noastră, contribuind astfel la întărirea securității cibernetice atât la nivel național cat și la nivelul celor șapte sectoare de activitate avute în vedere de actul normativ european: energie (electricitate, petrol, gaze naturale), transport (aerian, feroviar, pe apă, rutier), sectorul bancar, infrastructuri ale pieței financiare, sectorul sănătății, furnizarea și distribuirea de apă potabilă și infrastructură digitală.

CERT-RO urmează sa lanseze în perioada imediat următoare o serie de acțiuni de reglementare, monitorizare, management al incidentelor cibernetice, etc. în vederea asigurarea securității rețelelor și sistemelor informatice ale operatorilor de servicii esențiale din România.

Articolul Deblocarea procesului de implementare a prevederilor Directivei NIS în România apare prima dată în Asociația Română pentru Asigurarea Securității Informației.

În ultimii ani, U.E a sesizat o creștere semnificativă a numărului de atacuri îndreptate împotriva sistemelor informatice. Totodată, au fost sesizate numeroase atacuri cu grad de risc ridicat, la scară largă, împotriva sistemelor informatice ale unor organizații publice sau private, cum ar fi bănci, instituții publice și chiar structuri militare. Mai mult, au apărut preocupări noi, cum ar fi răspândirea masivă de software malițios ce duce la crearea rețelelor de tip botnet – rețele de calculatoare infectate care pot fi controlate de la distanță și, dispunând de un număr considerabil de unități , pot genera atacuri la scară largă.

În aceste condiții, Parlamentul European a adoptat pe data de 4 iulie 2013 la Strasbourg o nouă directivă privind atacurile împotriva sistemelor informatice, ce înlocuiește decizia-cadru 2005/222/JAI a Consiliului. Astfel, pentru o luptă eficientă împotriva criminalității informatice la nivel european era necesară armonizarea legislației statelor membre în materie de drept penal prin stabilirea unor norme minime privind definirea interacțiunilor și a sancțiunilor dar și în ceea ce privește cooperarea dintre autoritățile competente.

Noua directivă include sancționarea accesului ilegal, a interferențelor cu sistemul și a colectării ilegale a datelor și introduce alte noi elemente:

• Sancționarea utilizării de instrumente (software malițios, botnet) pentru săvârșirea infracțiunilor;
• Introducerea ca infracțiune a ‘’interceptării ilegale’’ a sistemelor informatice;
• Îmbunătățirea cooperării dintre instituțiile judiciare și poliție în astfel de cazuri;
• Consolidarea cooperării structurilor competente, incluzând la acest capitol obligația de a răspunde în termen de 8 ore la o solicitare urgentă, dar și obligația de a colecta date statistice de bază cu privire la criminalitatea informatică.

Mai mult, directiva ridică nivelul sancțiunilor penale la cel puțin doi ani. Instigarea, complicitatea și tentativa de a săvârși astfel de acțiuni va fi penalizat, de asemenea.

Directiva ridică, de asemenea, nivelul sancțiunilor penale pentru infracțiunile comise în cadrul unor organizații criminale – crimă organizată – (pedeapsă maximă de cel puțin cinci ani) și adaugă noi circumstanțe agravante:

• La un număr semnificativ de sisteme informatice afectate prin utilizarea unui instrument („ex botnet-uri”) pedeapsa este de cel puțin 3 ani;
• Când sunt provocate daune grave (pedeapsă maximă de cel puțin 5 ani);
• Atunci când sunt comise împotriva unui sistem informatic ce deservește infrastructuri critice, pedeapsa maximă este de cel puțin cinci ani.

Articolul Directiva UE referitoare la atacurile împotriva sistemelor informatice apare prima dată în Asociația Română pentru Asigurarea Securității Informației.