CERT-RO poate să dea amenzi drastice companiilor pentru nerespectarea securității cibernetice

Este vorba de Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Acest act normativ se aplică de la mijlocul lunii ianuarie 2019 și conține noi obligații de securitate cibernetică pentru companiile care oferă servicii esențiale pentru societate.

Concret, amenzile se aplică gradual, în funcție de dimensiunea companiei vizate, dar și în funcție de cât de des sunt încălcate prevederile referitoare la nivelul comun de securitate a rețelelor și sistemelor informatice. De asemenea, amenzile sunt individualizate în funcție de gradul de pericol social, perioada pe care s-a întins o încălcare și, acolo unde este cazul, consecințele încălcării. Sancțiunile pot fi aplicate, conform noii legi, de către personalul de control al CERT-RO.

Concret, firmele cu o cifră de afaceri de maximum două milioane de lei (aproximativ 420.000 de euro) riscă, la prima abatere, amenzi cuprinse între 3.000 și 50.000 de lei. Iar dacă vorbim de încălcări repetate ale Legii nr. 362/2018, amenzile pot ajunge până la 100.000 de lei.

Apoi, în cazul companiilor cu o cifră de afaceri de peste două milioane de lei, amenzile inițiale sunt cuprinse între 0,5% și 2% din cifra de afaceri. Pentru încălcările repetate ale actului normativ amintit, amenzile pot ajunge până la 5% din cifra de afaceri.

Totodată, la aplicarea amenzilor de mai sus sunt avute în vedere inclusiv persoanele fizice autorizate, întreprinderile individuale și întreprinderile familiale. Cu precizarea că, acolo unde este vorba de cifra de afaceri, se ia în considerare totalitatea veniturilor brute realizate, conform Codului fiscal.

Cifra de afaceri luată în calcul la stabilirea amenzilor este cea prevăzută în cea mai recentă situație financiară anuală raportată de contribuabili. Cu alte cuvinte, chiar dacă în anul anterior sancționării nu s-a înregistrat cifră de afaceri, se merge în urmă până la cea mai recentă cifră de afaceri înregistrată.

În cazul contribuabililor nou-înființați, care în anul anterior sancționării n-au înregistrat cifră de afaceri, amenzile sunt stabilite prin raportare la salariul minim brut. Mai precis, acestea sunt între unu și 25 de salarii minime brute, adică, în 2019, între 2.080 și 52.000 de lei.

CERT-RO, ajutat și de Poliție pentru identificarea contravenienților

Așa cum scriam mai sus, amenzile pentru încălcarea Legii nr. 362/2018 pot fi aplicate de către personalul CERT-RO.

„În cazul constatării unei contravenții (...), CERT-RO dispune încetarea încălcării dispozițiilor respective fie imediat, fie într-un termen rezonabil, precum și orice măsuri necesare pentru a asigura încetarea încălcării și remedierea situației produse. Măsurile vor fi adecvate și proporționale cu încălcarea săvârșită și vor prevedea un termen în care operatorul de servicii esențiale ori furnizorul de servicii digitale trebuie să se conformeze acestora”, este explicat în actul normativ.

Foarte important de știut este că reprezentanții CERT-RO pot fi sprijiniți în teren, la cerere, de către alte autorități, inclusiv de către Poliție. Asta pentru a identifica și localiza persoanele fizice și juridice care riscă amendarea contravențională.

Lista contravențiilor din noua lege include nu mai puțin de 49 de fapte ce pot fi amendate. Printre altele, companiile riscă sancționarea dacă nu furnizează informații la cererea CERT-RO, dacă nu pun în aplicare măsurile dispuse la controalele acestei instituții, dacă nu asigură un nivel minim de securitate a rețelelor și sistemelor informatice sau dacă nu notifică incidentele de securitate.

Un serviciu este considerat esențial atunci când este fundamental în susținerea unor activități societale și/sau economice de cea mai mare importanță, când furnizarea sa depinde de o rețea sau de un sistem informatic și când furnizarea sa este tulburată serios la producerea unui incident ce afectează securitatea rețelei/sistemului informatic.

Prin urmare, noua lege vizează firmele de transport (indiferent că acesta e aerian, feroviar, rutier sau pe apă), spitalele și clinicile medicale (atât de stat, cât și private), furnizorii de energie (gaze naturale, curent, petrol) și apă potabilă sau băncile. În același timp, mai este vorba și de infrastructuri ale pieței financiare și de infrastructuri digitale.

Costurile implementării noilor cerințe de securitate

Noile reguli de securitate vin în contextul în care ne confruntăm din ce în ce mai des cu atacuri ce vizează sistemele informatice. Consecințele acestor atacuri informatice pot fi de-a dreptul dezastruoase pentru firme și pentru clienții serviciilor esențiale.

Costurile necesare implementării noilor reguli de securitate cibernetică sunt greu de estimat, pentru că acestea depind de dimensiunea unei companii și de măsurile de securitate deja existente. Conform specialiștilor de la certSIGN, vorbim de minimum câteva sute sau mii de euro pe an, dar poate fi vorba chiar și de câteva zeci sau sute de mii de euro pe an.

„Pentru companiile care sunt sub efectul legii, costul aferent implementării variază în funcție de nivelul existent al măsurilor de securitate implementate și de dimensiunea companiei, respectiv a infrastructurii digitale utilizate pentru prestarea serviciilor, astfel că un cost mediu nu poate fi estimat la acest moment. Ordinul de mărime al costurilor poate fi de câteva sute sau mii de euro anual pentru activități de audit și notificare, putând ajunge la zeci sau sute de mii de euro în cazul necesității implementării de măsuri de protecție adaptate companiei”, a explicat Dan Ionuț Grigore, Cybersecurity Business Unit Director la certSIGN.

Efectele unui atac informatic pot fi destul de grave pentru o companie. De exemplu, putem vorbi de pierderea datelor companiei, ale salariaților și ale clienților. Totodată, firmele pot avea pierderi financiare din cauza întreruperii serviciilor esențiale sau, poate mai rău, chiar pierderi de clienți.