Consultarea publică pe tema directivei NIS2 și răspunsul ApTI

  • Posted on: 22 May 2024
  • By: Redacția ApTI

Directoratul Național de Securitate Cibernetică a deschis o consultare publică pe tema directivei NIS2, pe care această instituție o va transpune în legislația română. Am trimis un set de propuneri către Directorat și redăm aici, în întregime, conținutul poziției noastre. Consultarea consta într-un set de întrebări concrete, pe care le includem pentru context, alături de răspunsurile noastre (vom marca cu bold începutul fiecărui răspuns în parte).

1. Având în vedere prevederile Directivei NIS 2, art. 12:

Statele membre se asigură că persoanele fizice sau juridice pot raporta, în mod anonim atunci când solicită acest lucru, o vulnerabilitate echipei CSIRT desemnate drept coordonator. Echipa CSIRT desemnată drept coordonator se asigură că au loc acțiuni subsecvente susținute în ceea ce privește vulnerabilitatea raportată și asigură anonimatul persoanei fizice sau juridice care raportează vulnerabilitatea

  • Care sunt condițiile care ar trebui avute în vedere pentru a clasifica o raportare a unei vulnerabilități drept un act de bună credință, menit să ajute la creșterea siguranței cibernetice și care să se diferențieze de un act injust, comis cu rea credință și în scop ilicit, având în vedere prevederile Legii 286/2009, actualizat (Codul Penal)?
  • Ce criterii ar trebui aplicate pentru păstrarea proporționalității între obligația de protejare a identității raportorului și nevoia de a proteja interesul public, pe de o parte, respectiv cel al entităților vizate de vulnerabilitate?
  • Care sunt criteriile ce ar trebui luate în considerare pentru stabilirea atribuirii responsabilităților de remediere a vulnerabilităților de securitate cibernetică?
  • Ce termene ar trebuie să fie prevăzute de lege pentru remedierea vulnerabilităților de către entitățile responsabile?
  • Care sunt circumstanțele care fac necesară publicarea vulnerabilităților?

Răspunsul ApTI: În opinia ApTI, raportarea anonimă a vulnerabilităților către o instituția națională competentă este crucială pentru a putea depista probleme inerente de securitate informatică și de a le rezolva înainte ca ele să fie exploatate.

Iar posibilitatea de raportare anonimă este un element esențial pentru a încuraja informarea de buna credința cu privire la aceste vulnerabilități.

In condiții în care textul de la art 12 vorbește de “asigurarea anonimității” persoanei fizice sau juridice, considerăm că este de esența acestui articol nu “protejarea identității” care NU înseamna “asigurarea anonimității”, ci crearea unui sistem tehnic care sa nu permită în niciun mod identificarea persoanei care a făcut raportarea (similar cu cele existente deja in legislația privind avertizorii de integritate), ca și protecția datelor care pot fi transmite prin acest sistem. Aceasta ar fi și singura modalitate de implementarea a acestei obligații care ar respecta Regulamentul GDPR (679/2016) în special cu privire la principiile din art 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit).

Pentru a răspunde punctual la întrebări:

- Orice raportare a unei vulnerabilități prin canelele si procedura legală este de bună credința, iar asigurarea anonimității este esențiala pentru a nu face legătura - exclusiv prin aceste informații primite pe aceste canal - cu posibile fapte penale ale celui care le-a raportat. Problema conflictului între normele penale în vigoare în conflict cu raportarea faptelor ilegale există si în alte domenii (de ex. Deținerea de conținut ilegal - pornografie infantilă cu minori), iar singura modalitate reală de a primi raportarea de astfel de conținut este asigurarea unui sistem anonim de primire a acestor raportări

- Există obligația legală a CSIRT conform legii de asigurare a anonimității. Aceasta trebuie văzute din cel puțin 3 perspective

1. Crearea sau implementarea unui sistem tehnic care sa nu colecteze nicio informație (inclusiv date de trafic informațional sau alte meta-date) care are putea duce la identificarea persoanei care face raportarea.

2. Implementarea unui sistem de revizuire a informațiilor primite care sa includă anonimizarea datelor pe care cel care le-a raportat nu le-a ascuns (dacă ele nu sunt esențiale pentru vulnerabilitatea raportată). În acest context CSIRT este un operator de date personale conform GDPR si trebuie sa tina cont de obligația legala si de îndrumările autorităților în domeniu (vezi Opinia 5/2014 a Grupului de lucru art. 29)

3. Ca o consecința a punctului anterior, CSIRT este obligat sa analizeze si posibilitatea de re-identificare a persoanelor vizate, ca urmare a unei anonimizari incorecte sau ca urmare a dezvoltărilor tehnologice. Vezi în acest sens documente publicate de EDPS si AEPD.

- Obligatia legala a CSIRT cf NIS 2 este fără echivoc - asigurarea anonimitatii, deci in acest context nu se poate discuta de o alta colectare de date personale sau o proportionalitate a acestei colectari in raport cu orice alt scop (inclusiv protectia interesului public (care?) sau a entitatilor vulnerabile.

- Atribuirea responsabilităților de remediere a vulnerabilităților de securitate cibernetică va depinde de la caz la caz în funcție de răspunderea legală (inclusiv OUG 140 si 141/2021 sau GDPR) și/sau contractuală pentru vulnerablitatea respectivă. Ea trebuie decisă punctual in functie de obliectul vulernabilitatii raportate.

- Termenul ar trebui sa fie “în cel mai scurt timp posibil” pentru entitatile responsabile, iar procesarea informatiei de catre CSIRT ar trebui facuta in functie de nivelul de risc al raportarii.

- Publicarea vulnerabilitatilor are trebui făcuta doar daca acestea au fost rezolvate de cei în cauza (sau exista un patch) si ele pot sa fie de interes pentru un public larg, atata vreme cat ele nu pot folosite pentru identificarea celui ce a raportate

- De asemenea, ar trebui ca CSIRT sa publice un raport anual cu date statistice cu privire la aceste raportari primite si actiunile luate - pentru a dovedi publica ca acest canal este functional si eficient (atat pentru primirea raportarilor, cat si pentru actiunile subsecvente)

 

2. Având în vedere prevederile Directivei NIS 2, art. 32 alin. 2 lit. d:

Statele membre se asigură că autoritățile competente, atunci când își exercită sarcinile de supraveghere în ceea ce privește entitățile esențiale, au competența de a supune entitățile respective cel puțin:

[...]

  1. d) unor scanări de securitate bazate pe criterii obiective, nediscriminatorii, echitabile și transparente de evaluare a riscurilor, după caz cu cooperarea entității în cauză;”
  • Care sunt circumstanțele care ar determina necesitatea măsurii de scanare de securitate?
  • Ce condiții ar trebui îndeplinite pentru realizarea scanării de securitate de către DNSC?

Răspunsul ApTI: Circumstanțele ar trebui să fie legate de informații cu privire la o încălcare a securității sau suspiciuni rezonabile cu privire la astfel de încălcări (de ex. Vulnerabilități raportate sau cunoscute), mai ales in condițiile in care entitatea nu a efectual ea însăși scanări sau audituri de securitate care sa include astfel de scanări, urmare a acestor informații.

Scanarea ar trebui făcută in primul rand de entitatea respectiva, eventual pe baza cerințelor autorității competente, si doar in subsidiar - si in condițiile in care entitatea este de acord, sa se facă de către DNSC, însă doar în directa coordonare cu entitatea respectiva.

 

3. Având în vedere prevederile Directivei NIS 2, art. 32 alin. 5 lit. a și b:

În cazul în care măsurile de asigurare a respectării legii adoptate în temeiul alineatului (4) literele (a)-(d) și (f) sunt ineficiente, statele membre se asigură că autoritățile lor competente au competența de a stabili un termen în care entității esențiale i se solicită să ia măsurile necesare pentru remedierea deficiențelor sau să respecte cerințele autorităților respective. În cazul în care acțiunea solicitată nu este întreprinsă în termenul stabilit, statele membre se asigură că autoritățile lor competente au competența:

(a) de a suspenda temporar sau de a solicita unui organism de certificare sau de autorizare sau unei instanțe, în conformitate cu dreptul intern, suspendarea temporară a unei certificări sau a unei autorizații privind o parte sau toate serviciile relevante furnizate sau activitățile relevante desfășurate de entitatea esențială;

(b) de a solicita impunerea de către organismele sau instanțele relevante, în conformitate cu dreptul intern, a unei interdicții temporare de a exercita funcții de conducere în cadrul entității respective împotriva oricărei persoane fizice care exercită responsabilități de conducere la nivel de director executiv sau de reprezentant legal în entitatea esențială.

Suspendările sau interdicțiile temporare impuse în temeiul prezentului alineat se aplică numai până în momentul în care entitatea în cauză ia măsurile necesare în vederea remedierii deficiențelor sau a respectării cerințelor impuse de autoritatea competentă pentru care au fost aplicate aceste măsuri de asigurare a respectării legii. Impunerea unor astfel de suspendări sau interdicții temporare face obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu carta, inclusiv dreptul la o cale de atac eficace și la un proces echitabil, prezumția de nevinovăție și dreptul la apărare.”

  • Care sunt circumstanțele care justifică aplicarea acestor măsuri?
  • Ce condiții trebuie îndeplinite de DNSC pentru a se asigura proporționalitatea măsurii în raport cu nevoia de asigurare a continuității serviciului, pentru art. 32 alin. 5 lit. (a)?
  • Ce responsabilități concrete ale managementului ar trebui să facă obiectul sancțiunii prevăzute la art. 32 alin. 5 lit. (b)?

Răspunsul ApTI: Având în vedere gravitatea sancțiunilor de la art 35 a și b) ele ar trebuie avute în vedere doar în situații excepționale, atunci când acțiunea cerută nu este întreprinsă in termenul stabilit și când nu este posibilă identificarea de către entitate a unui termen rezonabil de implementare, iar consecințele pentru beneficiarii acelor servicii și activității ar fi grave sau foarte grave. Sugerăm ca DNSC sa aibă si obligația a încerca o rezolvare amiabila -în special în situația în care entitatea este supusa certificării sau autorizării din partea unei autorități publice sau entități private - înainte de cererea sau aplicarea suspendării temporare

Având in vedere garanțiile procedurale adecvate necesare, consideram ca in conformitate cu legislația romana aplicabila DNSC ar avea doar competenta de a solicita suspendarea serviciului, cerere adresată unui organism de certificare sau de autorizare sau unei instanțe, după caz - in funcție de domeniul de activitate al serviciului esențial respectiv (ca și a obligațiile directe ca urmare a autorizării) urmând ca aceasta actiune sa se desfasoare după regulile procedurale ale fiecărui organism de certificare sau de autorizare, ori dupa regulle generale procedurale in cazul unei instanțe

 

4. Având în vedere prevederile Directivei NIS 2, art. 2 alin. 1 și alin. 2 lit. e și f:

”(1) Prezenta directivă se aplică entităților publice sau private de tipul celor menționate în anexa I sau II, care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau care depășesc plafoanele pentru întreprinderile mijlocii prevăzute la alineatul (1) in respectivul articol și care prestează servicii sau își desfășoară activitățile în cadrul Uniunii.

(2)Indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităților de tipul celor menționate în anexa I sau II, în cazul în care:

e)entitatea este critică din cauza importanței sale specifice la nivel național sau regional pentru sectorul sau tipul de servicii în cauză sau pentru alte sectoare interdependente din statul membru;

f)entitatea este o entitate a administrației publice:

            (i) la nivel central, astfel cum este definită de un stat membru în conformitate cu dreptul intern;

            (ii) a nivel regional, astfel cum este definită de un stat membru în conformitate cu dreptul intern, care, în urma unei evaluări bazate pe riscuri, furnizează servicii a căror întrerupere ar putea avea un impact semnificativ asupra activităților societale sau economice critice.”

precum și recitalul 7:

”... Statele membre ar trebui, de asemenea, să prevadă ca anumite întreprinderi mici și microîntreprinderi, astfel cum sunt definite la articolul 2 alineatele (2) și (3) din respectiva anexă, care îndeplinesc criterii specifice ce indică un rol esențial pentru societate, pentru economie sau pentru anumite sectoare sau tipuri de servicii, să intre în domeniul de aplicare al prezentei directive”

  • Ce alte entități sau instituții publice din afara sectoarelor de aplicare al Directivei NIS 2 sau care nu depășesc pragurile impuse de aceasta, ar trebui avute în vedere pentru a fi desemnate ca entități esențiale sau importante având în vedere rolul și importanța lor?
  • Ce aspecte ar trebui avute în vedere cu ocazia transpunerii acestor prevederi?

Răspunsul ApTI: Orice entitate - publică sau privată - care ar prelucra un număr semnificativ de date cu caracter personal din cetățeni UE sau de date personale cu caracter special ar trebui desemnata ca entități esențiale. Numărul de date ar trebui stabilit si actualizat împreună cu ANSPDPC.

De asemenea, o analiză similara ar trebui făcută in cazul furnizorilor ce fac obiectul Regulamentului DSA (Digital Services Act) in cooperarea cu ANCOM in calitate de Coordonator al Serviciilor Digitale.

 

5.Având în vedere prevederile Directivei NIS 2, art. 32 alin. 2 lit. b:

”Statele membre se asigură că autoritățile competente, atunci când își exercită sarcinile de supraveghere în ceea ce privește entitățile esențiale, au competența de a supune entitățile respective cel puțin:

[…]

  1. b) unor audituri de securitate periodice și specifice efectuate de un organism independent sau de o autoritate competentă;”
  • La ce interval de timp ar trebui efectuate auditurile periodice pentru entitățile esențiale? Dar pentru entitățile importante?

Răspunsul ApTI: Bazat pe cerințele GDPR si pe bunele practici in domeniu, si avand in vedere dezvoltările tehnice rapide, consideram un termen minim de 1 an pentru orice audit de securitate periodic

 

6. Ce alte prevederi din NIS 2 considerați că sunt relevante din perspectiva protejării drepturilor cetățenilor și intereselor entităților vizate de directivă și ar necesita o consultare a societății civile și care sunt motivele pentru care ați ajuns la această concluzie?

Toate prevederile din NIS2 sunt relevante din perspectiva protejării drepturilor cetățenilor, pentru că scopul final este o îmbunătațire a securității informatice, care cuprinde în cele mai multe cazuri protecția datelor personale sau a altor servicii ce impactează cetățenii. În orice caz, o consultare publica adecvată cu privire la întregul text de lege propus pentru implementarea directivei NIS2 si respectând termenul legal de 30 de zile de consultare este esențial pentru a putea primi opinii de la un spectru larg al societății civile

Add new comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.