Valentin M. IONESCU
Abstract. This article briefly examines the extent to which the institutional framework for critical infrastructure that the Romanian Government built 10 years ago is appropriate to current risks and whether it is the right time to rethink it based on Business Continuity Management System – BCMS, targeting the governance model, the resource allocation criteria, a readjustment of the processes for the 12 sectors and sub-sectors of the national critical infrastructure, as well as the evaluation models.
In recent years, the potential sources of losses (hazards) have multiplied and therefore new risks have arisen for critical infrastructure, especially in government IT systems (cybersecurity), in the energy sector, in rail transport, water and forests, as well as in the health sector. However, the response of the authorities is unequal. There are critical infrastructures with high resilience, such as IT systems, but others have a low resilience, as the investments are not significant and are focused much more on maintenance. The intervention is limited, as the ownership of some systems that make up the critical infrastructure is divided between the public and private sectors. At other times, not only the financial constraints or the ownership of critical infrastructure systems are the source of the problems, but fiscal policy, such as the 90% profit tax on state-owned firms that affects their potential investment in critical infrastructure.
As risks multiply, the critical infrastructure approach needs to be adjusted, as the whole set of adverse effects of an event or any human action preceding an adverse event cannot be known. The risk will always be related to incomplete information and will be at the intersection between the vulnerability of a system that defines a critical infrastructure and an event that poses a threat to that system. Since not all events can be predicted, or predictions contain errors, it means that the government and private firms can focus not only on protection or security, but also on the ability of critical infrastructures to absorb an adverse effect and to it recovers quickly, to ensure the business continuity. Therefore, the institutional arrangement is essential in order not to be a barrier to the critical infrastructure’s performance, as well as to increase its resilience and security.
Public policies in Romania regarding critical infrastructure are configured according to the Council Directive 2008/114/EC on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection. However, the perspective offered by Directive 2008/114/EC is static and incomplete, as it focuses on critical infrastructure protection, cross-cutting criteria, risk assessment and security plans. It is largely a risk management system approach.
DE LA PROTECŢIE LA REZILIENŢĂ?
Directiva 2008/114/CE, transpusă la nivel naţional prin OUG nr. 98/2010, stabileşte o procedură pentru identificarea şi desemnarea infrastructurilor critice europene („ICE”) cu impact transfrontalier semnificativ, precum şi o metodologie pentru evaluarea nevoii de îmbunătăţire a protecţiei acestora, cu scopul asigurării securităţii lor. În Directiva 2008/114/CE nu se menţionează decât două sectoare ce ţin de infrastructura critică, şi anume: energie şi transporturi, cu subclasificări pentru
fiecare dintre acestea. Responsabilitatea protecţiei infrastructurii critice revine operatorilor din statele membre, care au obligaţia de a elabora planuri de securitate ce cuprind analiza de risc, „măsurile permanente de securitate”, în care sunt incluse procesele tehnice, organizatorice, de control şi verificare; comunicare; sensibilizare şi formare, la care se adaugă securitatea sistemelor de informaţii. Separat de măsurile permanente de securitate există şi „măsuri de securitate graduală”, care sunt puse în aplicare în funcţie de nivelurile de risc şi ameninţări.
Cadrul instituţional din România (în baza Directivei 2008/114/CE) se bazează pe un sistem de management al riscului care asigură protecţia infrastructurii critice europene, cu focalizare pe măsuri preventive. Prin „protecţie” se înţelege „orice activitate care are drept scop asigurarea funcţionalităţii, a continuităţii şi a integri-tăţii infrastructurilor critice pentru a descuraja, diminua şi neutraliza o ameninţare, un risc sau un punct vulnerabil”. Prin urmare, prin protecţie se urmăreşte o reducere a vulnerabilităţii infrastructurii critice pentru a atenua impactul unui eveniment / şoc exogen. Acest cadru instituţional este completat de Legea nr. 362/2018, care transpune Directiva 2016/1148/CE, ce priveşte securitatea reţelelor informatice şi care utilizează aceeaşi paradigmă precum Directiva 2008/114/CE.
În 2013, Comisia Europeană a adoptat un document de lucru privind o nouă abordare a infrastructurilor critice europene, care se focalizează pe trei mari procese ce definesc fluxurile de lucru: prevenire, pregătire şi răspuns. Noua abordare vizează elaborarea unor procese standard pentru statele membre şi o abordare comună în UE pentru protecţia şi rezilienţa infrastructurii critice, ţinând cont de interdepen-denţe. Cu toate acestea, reglementările încă nu au fost ajustate.
În SUA, abordarea riscurilor şi a vulnerabilităţilor infrastructurii critice a evoluat de la „protecţie” la „protecţie şi rezilienţă”, iar în prezent la „securitate şi rezilienţă” pentru 18 sectoare economice, conform politicii Departamentului de Securitate Internă / Department of Homeland Security – DHS.
Coments