Administrația publică alături de alte sectoare urmează să intră sub incidența Directivei NIS 2.0

Propunerea de Directivă NIS 2.0 și implicațiile ei majore

Comisia Europeană a demarat procesul de revizuire a Directivei (UE) 2016/1148 privind securitatea rețelelor și a sistemelor informatice (Directiva NIS) începând cu iunie 2020. Pe 16 decembrie 2020, Comisia a lansat propunerea de Directivă NIS 2.0 care va fi supusă spre dezbatere și aprobare în Parlamentul European.

Una dintre schimbările majore pe care le aduce noua Directivă este aceea că Administrația Publică devine un sector care intră sub incidența noii Directive. În condițiile noilor reglementări din propunerea de Directivă NIS 2.0, sfera de activități acoperite de autoritatea competentă națională în domeniul securității cibernetice (CERT-RO cf. Legii 362/2018) se extinde și asupra acestui nou sector, care va include explicit ministere și agenții ale statului, extensiile în teritoriu ale administrației centrale, precum și structurile administrației publice locale.

Obligația de independență instituțională a CERT-RO față de entitățile stabilite prin Directiva NIS 2.0

Având în vedere că instituția CERT-RO este Autoritatea Competentă la nivel național de reglementare pentru Directiva NIS, se impune menținerea sa în coordonarea Prim-ministrului României astfel încât să fie evitată situația ca autoritatea de reglementare să fie subordonată entităților pe care le reglementează conform Directivei NIS 2.0 și implicit a Legii 362/2018, conform art.34 alin.1.

Cel mai important lucru care decurge de aici este ca CERT-RO, în calitate de autoritate competentă la nivel național responsabilă cu implementarea Directivei NIS și aplicarea Legii 362/2018, să își păstreze independenta instituțională conform Art. 3. din OUG 90/2019. Aceasta asigură echidistanța față de toate structurile administrației publice centrale, evitarea presiunilor unei autorități publice în cazul subordonării față de un anumit minister și menținerea independenței funcționale, precum și consolidarea poziției în procesul de aplicare a normelor europene în domeniul securității cibernetice în țara noastră.

În plus, coordonarea Prim-ministrului României aduce autoritatea necesară pentru îndeplinirea responsabilităților instituționale atât la nivel intern cât și la nivel european. Reamintim că subordonarea CERT-RO față de fostul MCSI a fost cauza principală pentru care România a întârziat cu trei ani adoptarea legii de transpunere a Directivei NIS, motiv pentru care s-a declanșat procedura de infringement împotriva României în cauza nr. 2019/2214.

Modificările aduse de Directiva NIS 2.0

Directiva NIS 2.0 aduce o serie de modificări majore, între care menționăm:

• Creșterea de la șapte la zece a sectoarelor reglementate pentru entitățile esențiale: energia, transporturile, domeniul financiar-bancar, infrastructurile pieței financiare, sănătatea, apa potabilă, apa reziduală, infrastructura digitală, administrația publică și spațiul.

• Introducerea unei serii de sectoare pentru entitățile importante: servicii poștale și de curierat, managementul deșeurilor, substanțe chimice, manufactura, furnizori de servicii digitale.

• Consolidarea cerințelor de securitate impuse întreprinderilor și abordarea securității lanțurilor de aprovizionare și relațiilor cu furnizorii.

• Simplificarea obligațiilor de raportare și introducerea unor măsuri de supraveghere mai stricte pentru autoritățile naționale; cerințe mai stricte de asigurare a respectării legii, urmărind totodată armonizarea regimurilor de sancțiuni în toate statele membre ale UE.

• Intensificarea schimbului de informații și a cooperării privind gestionarea crizelor cibernetice la nivel național și la nivelul UE. Extinderea prevederilor Directivei NIS 2.0 și la administrația publică este un important pas înainte pe linia asigurării securității și eficienței activităților în sfera administrației, cu efecte benefice asupra cetățeanului.

Directiva NIS 2.0 și Legea 362/2018 se vor aplica și administrației publice

O noutate cu impact major din punct de vedere al implicațiilor legislative, organizaționale și a responsabilităților pe domeniul securității cibernetice o constituie includerea instituțiilor din administrația publică în lista de entități esențiale asupra cărora își extinde aplicarea noua Directivă NIS 2.0 și implicit Legea 362/2018.

Conform Anexei I a propunerii de Directivă NIS 2.0, sectoarele asupra cărora se aplică prevederile acesteia s-au extins pe baza experienței acumulate și a observațiilor făcute în procesul de implementare a Directivei NIS originale, ca urmare a propunerilor venite din partea tuturor statelor membre, inclusiv România. Între sectoarele nou adăugate se numără și administrația publică, în cadrul căruia sunt incluse următoarele tipuri de entități:

• Entități ale administrației publice din guvernele centrale.

• Entități ale administrației publice din Regiunile NUTS de nivel 1.

• Entități ale administrației publice din Regiunile NUTS de nivel 2.