Directiva NIS a fost transpusă cu adăugiri tipic mioritice
Miercuri, 16 mai 2018, a fost adoptat de către Parlamentul României proiectul de lege privind implementarea Directivei NIS, proiect de lege despre care am mai scris recent.
De la forma inițială până la cea adoptată de Parlament, textul proiectului de lege a suferit o serie de modificări, marea lor majoritate în bine, eliminând diverse neclarități care ar fi putut lăsa loc de interpretări ce ar s-ar fi putut transforma, la un moment dat, în abuzuri.
În această categorie se află una dintre problemele semnalate în articolul precedent: Capitolul VII – Supraveghere, Control, Sancționare, Secțiunea 1, Art. 36. - (1) „[…] personalul de control poate să efectueze acțiuni de control, în cadrul cărora poate să solicite, menționând temeiul legal și scopul solicitării, documentele necesare pentru efectuarea controlului, să ridice copii de pe registre, acte financiar-contabile și comerciale ori alte acte sau documente, în condițiile legii, inclusiv a prevederilor referitoare la păstrarea confidențialității tuturor documentelor și informațiilor primite.” devine „În urma sesizărilor primite, din oficiu, sau în urma autosesizării în temeiul art. 27 lit. e), precum și în situația existentei unor indicii temeinice privind sustragerea unui operator sau furnizor de la obligațiile ce îi revin în temeiul prezentei legi, ori încălcarea de către un auditor, echipă CSIRT sau furnizor de formare autorizat, a obligațiilor ce le revin în temeiul prezentei legi, personalul de control poate să efectueze acțiuni de control, în cadrul cărora poate să solicite, menționând temeiul legal şi scopul solicitării, documentele necesare pentru efectuarea controlului, să ridice copii de pe registre ori alte acte sau documente, în condițiile legii, inclusiv a prevederilor referitoare la păstrarea confidențialității tuturor documentelor și informațiilor primite.”, eliminând o mare parte din neclaritatea formei precedente și diminuând astfel potențialul pentru abuzuri.
Din păcate, problema cea mai mare a proiectului de implementare a Directivei NIS nu are de a face cu Directiva NIS în sine ci cu sistemul propus pentru implementarea acesteia. Mai exact, este vorba de cealaltă problemă menționată în articolul nostru precedent, cea legată de obligativitatea înregistrării și autorizării de către CERT-RO a auditorilor și echipelor de răspuns la incidentele de securitate informatică, a rămas neatinsă pe parcursul întregului proces legislativ. Comentariul din articolul precedent rămâne de actualitate: „[...]ce se întâmplă cu auditorii și experții/echipele de experți în securitate informatică din restul UE? Că aceștia nu vor fi autorizați de CERT-RO dar se prea poate să fie mai buni decât cei români. Sau mai ieftini. Sau să aibă cine știe ce alt avantaj competitiv asupra celor din România. Și dacă, poate că cineva ar putea pretinde că auditorii/experții din afara UE nu sunt eligibili (deși s-ar putea ca cei mai buni specialiști în domeniul securității informatice să nu se afle în UE întotdeauna), care ar fi motivația pentru a interzice accesul auditorilor/experților din alte țări UE la această piață de servicii, și pe ce baze?”.
Nu în ultimul rând, în forma adoptată de Parlament a fost introdus și un articol care e simptomatic pentru felul în care merg lucrurile în România, care e, ca să-l cităm pe Ion Cristoiu, o „țară cu puține secrete dar umplută cu secretomanie”. Despre ce e vorba? Simplu: a fost introdus un mic articol care transformă registrul furnizorilor de servicii esențiale în document clasificat. „Art. 7. (3) Registrul prevăzut la alin.(1) face parte din categoria documentelor clasificate.”
Așadar, se știe lista domeniilor de activitate acoperite (pentru că este specificată în mod explicit în anexă) și se va ști și procedura după care se va face face selecția (procedură ce va fi creată ulterior adoptării legii) dar nu vom putea ști exact care vor fi firmele care vor fi subiecții legii.
Add new comment