Acasa Articole si analize Ediţii tiparite Autori
PUNCT DE VEDERE Retrospectiva 2020, priorități și evoluții de urmărit în 2021 pentru domeniul securității cibernetice
Anul 2020 a fost unul cu evoluții rapide și notabile în domeniul securității cibernetice atât în România cât și la nivelul Uniunii Europene (UE). Mult mai multe și mai rapid se vor derula în 2021.

Comisia Europeană a prezentat noua Strategie de Securitate Cibernetică a Uniunii Europene (https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade) cu numeroase implicații semnificative pentru toate Statele Membre ale UE.

CERT-RO a prezentat Guvernului României proiectul de Ordonanță de Urgență (OUG) (https://sgg.gov.ro/new/proiectele-de-acte-normative-care-ar-putea-fi-incluse-in-sedinta-guvernului-romaniei-din-03-12-2020/) privind înființarea Directoratului Național de Securitate Cibernetică. Proiectul de act normativ va fi actualizat în ianuarie 2021 pentru a reflecta schimbările politice și instituționale recente. Documentul este disponibil online:
• Versiunea în RO (draft v.7.12.2020) - https://cert.ro/vezi/document/proiect-oug-infiintare-dnsc-2020-12-07-ro
• Versiunea în EN (draft v.7.12.2020) - https://cert.ro/vezi/document/proiect-oug-infiintare-dnsc-2020-12-07-en

Comisia Europeană a publicat Propunerea de Directivă NIS 2.0 (https://ec.europa.eu/digital-single-market/en/news/proposal-directive-measures-high-common-level-cybersecurity-across-union) cu obiectivul de a întări reziliența cibernetică a sectoarelor publice și private critice: spitale, rețele energetice, căi ferate, dar și centre de date, administrația publică, laboratoare de cercetare și centre care fabrică dispozitive medicale și medicamente, etc.

S-a deblocat implementarea Legii 362/2018 (legea NIS) prin adoptarea unor acte subsecvente principale:
• Lista serviciilor esențiale HG 963/2020 (http://legislatie.just.ro/Public/DetaliiDocument/233193)
• Valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale HG 976/2020 (http://legislatie.just.ro/Public/DetaliiDocument/233298)
• Norme tehnice de stabilire a impactului incidentelor pentru categoriile de operatori de servicii esențiale și furnizori de servicii digitale HG 1003/2020 (http://legislatie.just.ro/Public/DetaliiDocument/235108)

Bucureștiul va găzdui Centrul European de Competențe Industriale, Tehnologice și de Cercetare în Domeniul Securității Cibernetice (Centrul Cyber al UE - ECCC - https://www.consilium.europa.eu/ro/policies/seat-selection-cybersecurity-centre/) - România a surclasat alte șase țări europene in aceasta competiție. ECCC va fi condus de un Board la care participă toate statele membre UE, dar numai cele care participă și financiar vor avea drept de vot. Managementul și personalul ECCC vor fi selectate de către Comisia Europeană.

S-a lansat procesul de actualizare a Strategiei de Securitate Cibernetică a României (https://lege5.ro/Gratuit/gm3demzrgq/strategia-de-securitate-cibernetica-a-romaniei-hotarare-271-2013?dp=gy2dsnjugu4ts) care ia în considerare evoluțiile la nivel european, inclusiv adaptarea cadrul normativ național pentru a răspunde la nivel instituțional noilor cerințe cyber ale UE și responsabilităților pe care țara noastră trebuie să și le asume

Comisia Europeană a publicat Data Governance Act (Regulamentul privind guvernanța datelor la nivel european - https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:52020PC0767&from=EN) ce va fi în vigoare în 2021, cu putere de lege în toate țările UE. Acesta reglementează:
• reutilizarea anumitor categorii de date deținute de organismele din sectorul public,
• cadrul de notificare și supraveghere pentru furnizarea de servicii de partajare de date;
• utilizarea datelor cu caracter personal cu ajutorul unui intermediar;
• schimbul de date între întreprinderi, în schimbul unei remunerații sub orice formă;
• un cadru pentru înregistrarea voluntară a entităților care colectează și prelucrează date puse la dispoziție în scopuri altruiste

CERT-RO a finalizat acte normative importante pentru implementarea cerințelor minime de securitate cibernetică și pentru asigurarea desfășurării activității de audit de securitate a rețelelor și sistemelor informatice aparținând operatorilor de servicii esențiale sau furnizorilor de servicii digitale:
• OSGG 1323/2020 (http://legislatie.just.ro/Public/DetaliiDocument/233775) privind Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale
• Decizia 88/2020 (https://lege5.ro/gratuit/gm3teobwha4a/decizia-nr-88-2020-privind-aprobarea-listei-standardelor-si-specificatiilor-europene-si-internationale) privind Lista standardelor și specificațiilor europene și internaționale

S-a publicat propunerea de Regulament privind reziliența operațională digitală a sectorului financiar (Digital Operational Resilience Act – DORA - https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0595) cu implicații majore asupra modului în care incidentele vor trebui raportate și gestionate

CERT-RO a organizat cu sprijinul grupului de voluntari CV19.RO (https://cv19.ro/) mai multe sesiuni de avertizare (https://cert.ro/citeste/sesiune-online-de-avertizare-spitale-clinici-22-12-2020) adresate atât conducerii cât și responsabililor IT din spitale și clinici, pentru a le sprijini pe perioada pandemiei SARS-CoV-2

Comisia Europeană propune lansarea și operaționalizarea la nivelul întregii UE a unei rețele de centre de operațiuni de securitate (SOC) bazată pe inteligență artificială. SOC-urile vor fi ajutate în detectarea incidentelor, analiză și activitățile de răspuns de capabilități de Artificial Intelligence (AI), Machine Learning (ML) și EU High-Performance Computing Joint Undertaking (https://ec.europa.eu/digital-single-market/en/eurohpc-joint-undertaking)

CERT-RO participă la 16 propuneri de proiecte elaborate în cadrul unor consorții europene în august 2020, ca răspuns la apelurile de proiecte din cadrul programului Orizont 2020. CERT-RO participă la 5 propuneri de proiecte elaborate în cadrul unor consorții europene în noiembrie 2020, ca răspuns la apelul de proiecte CEF Telecom Cybersecurity (https://ec.europa.eu/inea/en/connecting-europe-facility/cef-telecom/apply-funding/2020-cybersecurity)

Joint Cyber Unit (JCU): până în februarie 2021 Comisia Europeană va prezenta procesul, etapele de referință și calendarul pentru definirea, pregătirea, desfășurarea și extinderea JCU. Aceasta nu necesită înființarea unei noi agenții a UE, ci se bazează pe instituțiile și mecanismele existente

Grupul de lucru inter-instituțional pentru securitatea rețelelor mobile 5G a pregătit Proiectul de Lege (http://www.mt.gov.ro/web14/transparenta-decizionala/consultare-publica/acte-normative-in-avizare/3059-l04082020dcom) privind adoptarea unor măsuri referitoare la infrastructuri informatice și de comunicații de interes național și condițiile implementării rețelelor 5G

S-a lansat revizuirea propunerii unei noi Directive a UE (https://ec.europa.eu/home-affairs/sites/homeaffairs/files/pdf/15122020_proposal_directive_resilience_critical_entities_com-2020-829_en.pdf) privind reziliența infrastructurilor critice prin care fiecare stat membru al UE este solicitat să adopte o strategie pentru consolidarea rezilienței entităților critice

CERT-RO a participat la exercițiul cibernetic național Cydex20, în echipa României care în cadrul exercițiului CyberCoalition și la cea de-a 2-a ediție a Blue OLEx 2020 (https://english.nctv.nl/latest/news/2020/09/30/cyclone-launched-during-blue-olex-2020)

Investițiile viitoare ale UE în domeniul cyber vor fi derulate prin Centrul Cyber al UE dar și al unei rețele de Centre Naționale de Coordonare, ce vor fi create ulterior în fiecare Stat Membru. Guvernul României va trebui să își creeze sau să desemneze propriul Centru Național de Coordonare pentru a derula programele de investiții cyber, în cooperare cu ECCC, și care va trebui să aibă capacitatea de a se implica și de a se coordona în mod eficace cu industria, cu sectorul public, cu comunitatea de cercetare. Centrul Național de Coordonare din România va colabora și cu autoritatea desemnată prin Directiva NIS (CERT-RO) care însă va trebui să se mențină independentă față de alte instituții, prin prisma obligațiilor din Directiva NIS (NIS 2.0) și a Legii 362/2018.

Ediția aniversară online a Conferinței Anuale a CERT-RO „The New Global Challenges in Cyber Security” #certcon10 (https://cybersecuritymonth.eu/countries/romania/201cthe-new-global-challenges-in-cyber-security201d-certcon10)

Comisia Europeană a publicat Digital Services Act (DSA) (https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_en) și Digital Markets Act (DMA) (https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-markets-act-ensuring-fair-and-open-digital-markets_en) propuneri de regulamente europene cu implicații majore asupra domeniului digitalizării si implicit al securității cibernetice.