Sunt interesate Centrele de Date să devină operatori de servicii esențiale?
Iminența instaurării unei noi stări de urgență – măsură luată în calcul de autorități pentru a atenua evoluția alarmantă a pandemiei de COVID-19 – readuce în prim-plan subiectul registrului de operatori de servicii esențiale (OSE) activi în România. Motivul este evident: pe parcursul stării anterioare de urgență, entitățile din categoria OSE au beneficiat de o serie de derogări de la măsurile limitative luate de autorități (privind derularea activității, deplasarea angajaților etc.)
Însă, conform raportului Comisiei Europene de evaluare a coerenței abordărilor adoptate de statele membre în procesul de identificare a OSE (în conformitate cu Directiva UE 2016/1148 privind securitatea rețelelor și a sistemelor informatice – așa-numita Directiva NIS), România avea la nivelul anului trecut doar 86 de entități încadrate la categoria OSE (spre deosebire de media europeană, care este de 633 operatori per stat membru). Iar dintre aceștia nu fac parte, în mod explicit, centrele de date, care au un rol esențial în derularea activității economice, atât în condiții de normalitate, dar mai ales în cazul readoptarii la nivel național a lucrului la distanță, respectiv de acasă.
Limitările Anexei II
Faptul că Data Centerele nu se regăsesc în Registrul Operatorilor de Servicii Esențiale – întocmit și gestionat de CERT-RO, entitate care se ocupă de identificarea și verificarea OSE – nu este o situație specifică doar României, ci se regăsește la nivelul întregii Uniuni Europene.
„Scăparea“ se datorează în bună măsură faptului că Directiva NIS emisă de Parlamentul European în iulie 2016 stabilește în formula sa inițială că OSE provin, în principiu, din șapte sectoare de activitate , nominalizate în Anexa II. În versiunea CERT-RO (disponibilă aici), acestea sunt:
- Energie (electrică; petrol, gaze);
- Transporturi (aerian, feroviar, pe apă, rutier);
- Bancar;
- Infrastructuri ale pieței financiare;
- Sectorul sănătătii;
- Furnizarea și distribuirea de apă potabilă;
- Infrastructuri digitale (Servicii IXP pentru traficul internet; Servicii DNS; Gestionarea registrului de nume de domenii .ro).
Acestora li se adaugă Furnizorii de Servicii Digitale (FSD) din trei categorii: piețe online, motoare de căutare online și servicii de Cloud Computing (conform Art. 3, Lit o).
Şi totuși, se poate mai mult
Faptul că Anexa II a fost aplicată mot-à-mot de statele membre se pare însă că este o greșeală care le aparține acestora. Articolul 5 alineatul (2) al Directivei stipulează trei criterii principale care trebuie utilizate generic identificarea OSE. Însă la alineatul (3) se prevede că statele membre trebuie să stabilească o listă cu serviciile esențiale pe baza acestor criterii, dar și că pot să depăsească sfera de aplicare a Anexei II și să efectueze o identificare în alte sectoare și subsectoare. Lucru pe care Ministerul Comunicațiilor și Societății Informaționale a încercat să-l facă în 2017, când a lansat în consultare publică modul de transpunere a Directivei NIS, incluzând în chestionar întrebarea: „Considerati că alte sectoare de servicii esențiale/digitale ar trebui să aibă obligații în ceea ce privește securitatea rețelelor și sistemelor informatice decât cele incluse în Anexele Directivei NIS? Care?“
Răspunsurile primite, conform raportului citat, au depășit cu mult nominalizările Anexei II, România identificând 77 de categorii de servicii esențiale. Adică mai mult decât dublu față de media europeană, care este de 35. (Singurii care ne-au depășit au fost polonezii, care au stabilit 87 de servicii esențiale.)
Cu toate acestea, forma finală a Legii nr. 362/2018 (care transpune Directiva NIS în legislația națională) așa cum a intrat ea în vigoare din ianuarie 2019, precum și Normele metodologice de identificare a OSE și FSD aprobate în iulie trecut nu includ decât sectoarele și subsectoarele menționate anterior. (Ghidul practic de identificare al OSE întocmit de CERT-RO este disponibil aici.)
CE revizuieste, CERT-RO se grăbește
Raportul Comisiei Europene de evaluare a coerenței abordărilor adoptate de statele membre (disponibil aici PDF în versiunea română) a analizat și aplicarea directivei în alte sectoare decât cele incluse în Anexa II.
Rezultatele obținute arată că statele membre participante au identificat 157 de OSE care furnizează servicii esențiale neincluse în rândul entităților menționate anterior. Iar primele dintre acestea sunt centrele de date și fermele de servere, urmate de serviciile financiare furnizate de societăți de asigurare și reasigurare și serviciile guvernamentale (servicii electronice pentru cetăteni).
În raport se mai arată că o serie de state membre au decis să profite de oportunitatea de a cuprinde și alte sectoare decât cele enumerate în Anexa II, măsură pe care o au în vedere și oficialii CERT-RO. Dan Cimpean, director general al Centrului, a precizat cu ocazia evenimentului Ziua Comunicațiilor că oficialii CE prevăd o revizuire a Directivei NIS pentru extinderea ariei de incluziune a categoriei OSE, dar și că măsurile pot fi grăbite de autoritățile române: „Prin Legea 362/2018 au fost desemnați Operatorii de Servicii Esențiale la nivelul României. Dar, în mod surprinzător, operatorii de telecomunicații nu intră în categoria OSE. Nu este vina legiuitorului român – Legea 362 este doar o transpunere a Directivei NIS în legislația națională –, însă pandemia ne-a demonstrat în mod clar că operatorii telecom sunt esențiali. Din fericire, Comisia Europeană prevede o revizuire a Directivei, dar cred că ar fi oportună adoptarea modelului altor țări care nu au mai așteptat și au luat la nivel național decizia de a desemna operatorii de telecomunicații a operatori de servicii esențiale.“
Statutul vine însă cu obligații
Este o informație utilă și industriei centrelor de date din România care, beneficiind de sprijinul autorităților, ar putea accede la statutul OSE, cu benficiile care decurg de aici. Însă, așa cum a precizat și directorul CERT-RO, recunoașterea vine la pachet cu o serie de responsabilități importante: de a reduce riscurile la minim, de a coopera cu furnizorii de echipamente și tehnologii și cu autoritățile pentru a identifică și contracara aceste riscuri, de a fi foarte transparenți în cazul incidentelor sau al existenței riscului unui impact asupra societății și economiei etc.
Conditiille de asigurare a securități rețelelor și sistemelor informatice prevăzute în Capitolul IV din Legea 362 includ cerințe minime de securitate, de notificare a incidentelor și de management al acestora. În afara acestora un întreg capitol (V) este dedicat auditului și autorizării OSE, iar un altul (VII) acțiunilor de supraveghere, control, sancționare. (link util https://cert.ro/pagini/informatii-generale-despre-nis găsiți mai multe informații generale utile.)
E foarte posibil ca acest cumul de condiții și prevederi să fie prea restrictiv pentru centrele de date din România. Dovadă, nici operatorii telecom nu se înghesuie să obțină statutul de OSE.
Însă, fie că vor deveni sau nu operatori de servicii esențiale, centrele de date locale vor trebui să adopte strategii adaptate contextului pandemiei, cum sunt, de exemplu, cele pe care vi lle-am recomandat deja pentru a pute asigura continuitatea operațională și nivelurile de performanță și calitate a serviciilor agreate cu clienții, fără a periclita sănătatea angajaților.