Directiva UE 2016/1148 sau CyberSecurity la nivel european

a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informaționale în Uniune

Dacă Brexit-ul a creat ceva emoții legate de utilizarea limbii engleze, valurile acestor emoții nu au ajuns până la breasla auditorilor care rămân la versiunile în limba engleză a oricărui document cu caracter de reglementare pe motiv de traducere care nu exprimă sensul formulării ori acuratețea tehnică astfel încât interpretarea să fie exclusă.

Așadar la baza discuției avem documentul nostru în limba engleză aici, în limba română aici și în limba italiană aici, dar vă puteți alege oricare dintre cele 28 de limbi oficiale chiar aici.

După parcurgerea de mai multe ori a documentului în mai multe limbi, doar pentru conformitate, dar cu atenția focalizată pe implicațiile profesionale din perspectiva unui prestator de servicii de audit, am tras concluzia că în ce privește implementarea și punerea în aplicare va avea loc după modelul binecunoscut românesc. Adică, indiferent de ce prevede directiva se interpretează în sensul satisfacerii unor interese.

Astfel, o primă interpretare va trebui atribuită formulării “information systems” care deși este tradusă în toate cazurile cu “sisteme informatice” nu ne conduce la identificarea corectă a subiectului unei eventuale discuții cu caracter general. Cât despre o discuție în termeni tehnici nici nu poate fi vorba.

A doua interpretare importantă este asupra formulării “autoritate competentă” care în conținutul documentului se referă la mai multe instanțe sau situații, chiar complet diferite ca substanță. De unde și problema definirii a ce presupune o autoritate competentă în contextul în care se presupune că autoritatea competentă trebuie populată cu competențe, fapt care nu s-a întamplat până acum în alte domenii dar mai ales într-un domeniu în care se folosesc doar cuvinte cheie ca CyberSecurity pentru a acoperi un concept în care s-ar putea susține un milion de doctorate.

Cea de a treia interpretare se referă la formularea “audit” care în document apare doar în câteva propoziții, și care într-o opinie strict personală nu avea ce căuta într-un asemenea document. Dar dacă forul tutelar a dorit să dea o indicație asupra folosirii unui asemenea instrument/serviciu precum auditul atunci lucrurile se complica și mai mult.

Spiritul Directivei este foarte clar pentru mine deși litera ei pare a fi tipărită de o autoritate care îmi amplifică suspiciunea asupra competenței. Propunerea legislativă românească este departe de formularea “compliance” cu Directiva, dar din punct de vedere teoretic dacă ești pus în situația de a efectua angajamente de audit trebuie să alegi care document va direcționa misiunea pentru că în acest moment Directiva și legislația națională indică direcții total diferite.

Mai este ceva timp până la implementare și punere în aplicare motiv pentru care aleg Directiva în limba engleză ca document relevant pentru studiul tuturor implicațiilor asupra activității profesionale pe care o desfășor ca auditor, mai mult sau mai puțin calificat, inclusiv asupra unui concept cum este CyberSecurity.

Autorități relevante:

  • European Union Agency for Network and Information Security = ENISA

https://www.enisa.europa.eu/

  • Computer Emergency Response Team = CERT

https://www.cert-ro.eu/

  • Computer Security Incident Response Teams = CSIRT
  • European Cybercrime Centre = EC3

https://www.europol.europa.eu/ec3