Aprobarea actului normativ privind Directorat Naţional de Securitate Cibernetică (DNSC) este unul dintre proiectele prioritare ale Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), spune Dan Cîmpean, directorul general al Centrului. Munca de pregătire din partea experţilor este finalizată din decembrie iar înfiinţarea şi operaţionalizarea depinde acum de decizia de înfiinţare din partea Guvernului României.
Prin propunerea de OUG pentru înfiinţarea Directoratului, s-au anticipat majoritatea evoluţiilor recente la nivel european din domeniul securităţii cibernetice şi s-au definit în mod transparent, obiectiv şi pragmatic schimbările instituţionale necesare la nivel naţional, a afirmat Dan Cîmpean, directorul CERT-RO, cu ocazia publicării pe site-ul instituţiei a retrospectivei activităţii pe anul 2020.
„Vom relua imediat procesul de aprobare a actului normativ privind Directoratul şi vom prezenta noului Guvern spre aprobare acest proiect, pe care îl consider o prioritate naţională pentru domeniul securităţii cibernetice. Vrem ca România să fie unul din liderii recunoscuţi ai implementării noii strategii de securitate cibernetică a UE”, a spus Câmpean.
Conform datelor CERT-RO, anul 2020 a fost unul cu evoluţii rapide şi notabile în domeniul securităţii cibernetice atât în România, cât şi la nivelul Uniunii Europene (UE).
Astfel, Comisia Europeană (CE) a prezentat noua strategie de securitate cibernetică a Uniunii Europene ce are numeroase implicaţii semnificative pentru toate statele membre, iar CERT-RO a prezentat Guvernului României proiectul de Ordonanţă de Urgenţă privind înfiinţarea Directoratului Naţional de Securitate Cibernetică. Acest proiect de act normativ va fi actualizat în ianuarie 2021 pentru a reflecta schimbările politice şi instituţionale recente.
Totodată, în cursul anului trecut, Comisia Europeană a publicat Propunerea de Directivă NIS 2.0 cu obiectivul de a întări rezilienţa cibernetică a sectoarelor publice şi private critice: spitale, reţele energetice, căi ferate, dar şi centre de date, administraţia publică, laboratoare de cercetare şi centre care fabrică dispozitive medicale şi medicamente etc.
De asemenea, în România, s-a deblocat implementarea Legii nr. 362/2018 (legea NIS) prin adoptarea unor acte subsecvente principale: lista serviciilor esenţiale (HG 963/2020), valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul reţelelor şi sistemelor informatice ale operatorilor de servicii esenţiale (HG 976/2020) şi norme tehnice de stabilire a impactului incidentelor pentru categoriile de operatori de servicii esenţiale şi furnizori de servicii digitale (HG 1003/2020).
Unul dintre evenimentele importante ale anului trecut, pe zona de securitate informatică, a fost desemnarea Bucureştiului de a găzdui Centrul European de Competenţe Industriale, Tehnologice şi de Cercetare în Domeniul Securităţii Cibernetice (Centrul Cyber al UE – ECCC). Astfel, investiţiile viitoare ale UE în domeniul cyber vor fi derulate prin Centrul Cyber al UE, dar şi al unei reţele de Centre Naţionale de Coordonare, ce vor fi create ulterior în fiecare stat membru.
Guvernul României va trebui să îşi creeze sau să desemneze propriul Centru Naţional de Coordonare pentru a derula programele de investiţii cyber, în cooperare cu ECCC, şi care va trebui să aibă capacitatea de a se implica şi de a se coordona în mod eficace cu industria, cu sectorul public, cu comunitatea de cercetare, scrie CERT-RO.
În acelaşi timp, s-a lansat procesul de actualizare a strategiei de securitate cibernetică a României, care ia în considerare evoluţiile la nivel european, inclusiv adaptarea cadrului normativ naţional pentru a răspunde la nivel instituţional noilor cerinţe cyber ale UE şi responsabilităţilor pe care ţara noastră trebuie să şi le asume.
Potrivit CERT-RO, un alt punct de interes al anului 2020 a vizat publicarea de către Comisia Europeană a Data Governance Act (Regulamentul privind guvernanţa datelor la nivel european), ce va fi în vigoare în 2021, cu putere de lege în toate ţările UE.
În plus, CERT-RO a finalizat acte normative importante pentru implementarea cerinţelor minime de securitate cibernetică şi pentru asigurarea desfăşurării activităţii de audit de securitate a reţelelor şi sistemelor informatice aparţinând operatorilor de servicii esenţiale sau furnizorilor de servicii digitale.
În luna august a anului trecut, instituţia a participat la 16 propuneri de proiecte elaborate în cadrul unor consorţii europene, ca răspuns la apelurile de proiecte din programul Orizont 2020. În acest sens, CERT-RO a participat la cinci propuneri de proiecte elaborate în cadrul unor consorţii europene în noiembrie 2020, ca răspuns la apelul de proiecte CEF Telecom Cybersecurity
La nivel naţional, Grupul de lucru inter-instituţional pentru securitatea reţelelor mobile 5G a pregătit proiectul de Lege privind adoptarea unor măsuri referitoare la infrastructuri informatice şi de comunicaţii de interes naţional şi condiţiile implementării reţelelor de nouă generaţie, iar CERT-RO a participat la exerciţiul cibernetic naţional Cydex20 şi la a doua ediţie a Blue OLEx 2020.