Directoratul Naţional de Securitate Cibernetică (DNSC) pe 20 august a publicat primele două ordine în aplicarea OUG nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil.
Cui se aplică aceste obligații? OUG nr. 155/2024 are în anexă două tabele
care arată cui se adresează. Un prim tabel „Sectoare cu importanță critică
ridicată” se referă la sectoarele electricitate, petrol, gaze, sisteme de
încălzire centralizată, hidrogen, transport aerian,operatori, aeroporturi,
control trafic, servicii de întreținere, operatorii infrastructurii feroviare și transportatorii feroviari, operatori
din transportul pe apă, porturi, servicii de trafic maritim, autorități
rutiere, operatori de sisteme de transport rutier inteligente, sectorul bancar,
piața financiară, operatori de servicii de apă canalizare, operatori ai infrastructurii
digitale, administrația publică centrală, operatori de servicii spațiale.
A doua listă, ”Alte sectoare de importanță critică” se
referă la servicii poştale şi de curierat, gestionare deșeuri, fabricare și
distribuție substanțe chimice, producția și distribuția de alimente,
dispozitive medicale, fabricarea de computere și electronice, echipamente
electrice, fabricarea de mașini autovehicule, alte echipamente de transport,
furnizori de piețe online, furnizori de motoare de căutare, platforme digitale
de socializare, cercetare.
Dacă prima listă e din categoria „big
business”, în a doua listă intră și multe afaceri mici și mijlocii. Consultați cu atenție lista, să nu aveți surpriza de a avea obligații pe linie
de securitate cibernetică.
Primul ordin, nr. 1, se referă la obligația tuturor
entităților din acest domeniu să se înregistreze pe lângă DNSC. Termen 30 de
zile. Înregistrarea ar trebui să se facă online, dar, cât platforma de înregistrare
nu este disponibilă, sunt prevăzute mijloace alternative.
Al doilea ordin, nr. 2, stabilește o procedură și
criterii de autoevaluare a entităților din cele două anexe pentru a se vedea
dacă sunt considerate esențiale sau importante.
Atenție, o serie de entități, prevăzute de art. 5 alin. (1)
lit. a) şi c) -f) şi alin. (2) - (4), art. 6 alin. (1) şi alin. (2) lit. b) şi
c) din OUG sunt, fără nicio altă evaluare, considerate esențiale sau
importante! Dar dacă sunteți o întreprindere mică din Tabelul 2 din OUG, ar
fi șanse să scapați de această calificare (care vine la rândul ei cu obligații).
Dar trebuie să vă autoevaluați pentru a reieși dacă nu cumva sunteți important
pentru securitatea cibernetică, chiar dacă sunteți o afecere micuță.
De reținut, dacă din evaluare reiese că sunteți sigurul
furnizor național pentru un anumit serviciu, sunteți calificat automat ca fiind
esențial sau important.
Autoevaluarea trebuie depusă la DNSC împreună cu
înregistrarea făcută conform ordinului cu nr.1.
Photo by Maximalfocus on Unsplash
Comentarii