Comunica experienta
MonitorulJuridic.ro
──────────
Aprobate prin ORDINUL nr. 203 din 7 decembrie 2021, publicat în Monitorul Oficial, Partea I, nr. 1217 din 22 decembrie 2021.
──────────
CAP. I
Domeniu, scop, definiţii
SECŢIUNEA 1
Domeniu şi scop
ART. 1
(1) Prezentele norme sunt emise în conformitate cu prevederile Legii nr. 111/1996 privind desfăşurarea în siguranţă, reglementarea, autorizarea şi controlul activităţilor nucleare, republicată, cu modificările şi completările ulterioare.
(2) Prin prezentele norme se stabilesc cerinţele generale privind protecţia sistemelor, componentelor şi echipamentelor instalaţiilor nucleare, inclusiv software-ul pentru instrumentaţie şi control şi reţelele informatice, denumite în continuare SCE, împotriva ameninţărilor cibernetice.
ART. 2
(1) Îndeplinirea prevederilor prezentelor norme constituie o condiţie necesară pentru autorizarea de către Comisia Naţională pentru Controlul Activităţilor Nucleare, denumită în continuare CNCAN, a activităţilor de punere în funcţiune, exploatare şi dezafectare a unei instalaţii nucleare.
(2) Prevederile prezentelor norme se aplică atât solicitanţilor, cât şi titularilor de autorizaţie pentru fazele de punere în funcţiune, exploatare, respectiv dezafectare a unei instalaţii nucleare. În cadrul procesului de autorizare, precum şi pe durata de valabilitate a unei autorizaţii, CNCAN poate impune cerinţe suplimentare, după caz, pentru a ţine cont de experienţa de exploatare şi cele mai noi standarde şi bune practici recunoscute la nivel internaţional.
(3) În afara cazurilor în care se precizează altfel, cerinţele prezentelor norme sunt aplicabile tuturor organizaţiilor responsabile pentru punerea în funcţiune, exploatarea şi dezafectarea instalaţiilor nucleare.
(4) Orice derogare de la aplicarea prevederilor prezentelor norme trebuie aprobată de CNCAN, în baza unei justificări scrise, formulate de solicitantul sau titularul de autorizaţie, dacă acesta demonstrează că asigură măsuri de protecţie echivalente cu cele cerute prin prezentele norme.
SECŢIUNEA a 2-a
Definiţii
ART. 3
Termenii utilizaţi în prezentele norme sunt definiţi în anexa nr. 1, cu excepţia acelora ale căror definiţii se regăsesc în textul prezentelor norme şi în Legea nr. 111/1996, republicată, cu modificările şi completările ulterioare.
CAP. II
Cerinţe generale
ART. 4
Titularul de autorizaţie trebuie să asigure protecţia împotriva ameninţărilor cibernetice pentru următoarele categorii de sisteme, componente şi echipamente, inclusiv pentru programele software aferente acestora, denumite în continuare prin abrevierea SCE:
a) SCE cu funcţii de securitate nucleară, inclusiv SCE cu funcţii de securitate radiologică;
b) SCE care fac parte din sistemul de protecţie fizică;
c) SCE care fac parte din sistemul propriu de control de garanţii nucleare;
d) SCE cu funcţii în răspunsul la situaţii de urgenţă, inclusiv sistemele de comunicaţii utilizate în situaţii de urgenţă;
e) SCE cu funcţii în exploatarea fiabilă a instalaţiei nucleare;
f) alte sisteme-suport care, dacă ar fi compromise, ar putea afecta funcţionarea SCE din categoriile menţionate la lit. a)-e) sau sănătatea şi securitatea lucrătorilor; acestea pot include, de exemplu, sisteme de alimentare cu energie electrică, încălzire, ventilaţie şi aer condiţionat, comunicaţii, stingerea incendiilor etc.
ART. 5
Titularul de autorizaţie trebuie să asigure protecţia SCE care fac parte din categoriile stabilite la art. 4 împotriva ameninţărilor cibernetice care ar putea avea drept consecinţe:
a) un impact advers asupra funcţionării SCE;
b) un impact advers asupra integrităţii sau confidenţialităţii datelor şi/sau a programelor software;
c) indisponibilitatea şi/sau limitarea accesului la sisteme, servicii şi/sau date.
ART. 6
(1) Titularul de autorizaţie trebuie să analizeze toate SCE care fac parte din categoriile stabilite la art. 4 şi să identifice acele SCE care necesită protecţie împotriva ameninţărilor cibernetice, astfel încât să satisfacă cerinţele din art. 5.
(2) În vederea stabilirii unei abordări gradate privind aplicarea cerinţelor de securitate cibernetică, SCE identificate în conformitate cu cerinţele de la alin. (1) se vor clasifica în funcţie de consecinţele potenţiale ale materializării ameninţărilor cibernetice.
(3) Lista SCE identificate în conformitate cu cerinţele de la alin. (1), inclusiv clasificarea acestora, stabilită conform prevederilor alin. (2), trebuie transmisă pentru evaluare şi aprobare la CNCAN.
(4) Lista SCE trebuie revizuită şi actualizată, cel puţin o dată la 5 ani, precum şi ori de câte ori este necesar, ţinând cont de experienţa de exploatare, evaluările, inspecţiile şi auditurile de securitate periodice. Reviziile listei SCE sunt supuse aprobării CNCAN.
ART. 7
(1) Ameninţările cibernetice care trebuie luate în considerare de titularul de autorizaţie se stabilesc de către CNCAN în cooperare cu autorităţile naţionale responsabile pentru securitatea cibernetică şi se comunică în scris solicitantului/titularului de autorizaţie, prin transmiterea documentului care descrie ameninţările cibernetice generice care privesc instalaţiile nucleare.
(2) Ameninţările cibernetice trebuie tratate atât independent, cât şi în combinaţie cu tipurile de ameninţări specificate în Normele de protecţie fizică în domeniul nuclear, respectiv în documentele care stabilesc ameninţările bază de proiect pentru sistemele de protecţie fizică ale instalaţiilor nucleare.
(3) Reevaluarea ameninţărilor cibernetice pentru SCE ale instalaţiilor nucleare trebuie efectuată anual, precum şi ori de câte ori este necesar, la iniţiativa CNCAN, a autorităţilor naţionale responsabile pentru securitatea cibernetică sau a solicitantului/titularului de autorizaţie.
CAP. III
Cerinţe privind planul şi procedurile de securitate cibernetică
ART. 8
(1) Titularul de autorizaţie trebuie să stabilească, să implementeze şi să menţină un plan pentru protecţia SCE identificate în conformitate cu cerinţele art. 6 împotriva ameninţărilor cibernetice, denumit în continuare planul de securitate cibernetică.
(2) Planul de securitate cibernetică trebuie să aibă la bază o analiză de risc, ţinând cont de ameninţările cibernetice stabilite conform prevederilor art. 7.
ART. 9
Prin implementarea planului de securitate cibernetică trebuie să se asigure:
a) implementarea controalelor necesare pentru protecţia SCE identificate în conformitate cu cerinţele art. 6;
b) implementarea şi menţinerea unei strategii de protecţie în adâncime pentru detecţia, răspunsul şi recuperarea SCE în urma materializării ameninţărilor cibernetice;
c) limitarea consecinţelor materializării ameninţărilor cibernetice şi menţinerea funcţiilor importante pentru securitatea nucleară, protecţia fizică, controlul de garanţii nucleare şi răspunsul la situaţii de urgenţă.
ART. 10
(1) Planul de securitate cibernetică trebuie să ţină cont de caracteristicile relevante ale amplasamentului şi ale proiectului instalaţiei sau instalaţiilor nucleare aflate în responsabilitatea titularului de autorizaţie.
(2) Planul de securitate cibernetică trebuie să includă măsuri de răspuns la incidente şi de recuperare în urma materializării ameninţărilor cibernetice.
(3) Planul de securitate cibernetică trebuie să fie bazat pe conceptul protecţiei în adâncime, utilizând măsuri tehnice şi administrative structurate pe mai multe niveluri, pentru protecţia SCE împotriva ameninţărilor cibernetice, pentru detecţia incidentelor cibernetice şi pentru răspunsul la astfel de evenimente.
(4) Planul de securitate cibernetică trebuie să descrie modul în care titularul de autorizaţie va asigura următoarele:
a) protecţia SCE împotriva ameninţărilor cibernetice;
b) menţinerea capacităţii pentru detecţia rapidă şi răspunsul în timp util la incidente cibernetice;
c) limitarea consecinţelor materializării ameninţărilor cibernetice, astfel încât funcţiile sistemelor identificate conform cerinţelor art. 6 să nu fie afectate negativ;
d) corectarea vulnerabilităţilor exploatate în atacurile cibernetice;
e) recuperarea/repunerea în funcţiune a SCE afectate de incidentele cibernetice.
ART. 11
(1) Titularul de autorizaţie trebuie să asigure, ca parte a planului de securitate cibernetică, următoarele:
a) pregătirea personalului propriu şi a contractorilor cu privire la cunoaşterea, aplicarea şi respectarea cerinţelor de securitate cibernetică, pentru toate etapele ciclului de viaţă al SCE, începând cu etapa de proiectare, în funcţie de sarcinile şi responsabilităţile stabilite;
b) evaluarea şi gestionarea riscurilor asociate cu ameninţările cibernetice;
c) evaluarea modificărilor care afectează SCE identificate conform cerinţelor art. 6, în scopul menţinerii unei protecţii adecvate împotriva ameninţărilor cibernetice.
(2) Pentru implementarea eficientă a planului de securitate cibernetică, titularul de autorizaţie trebuie să realizeze următoarele acţiuni:
a) să stabilească şi să implementeze obiectivele şi politica de securitate cibernetică la nivelul întregii organizaţii;
b) să dezvolte şi să menţină măsurile tehnice şi administrative necesare pentru punerea în aplicare a planului de securitate cibernetică, inclusiv un set de proceduri scrise;
c) să dezvolte şi să implementeze o cultură de securitate cibernetică pentru a asigura conştientizarea la nivel de organizaţie a ameninţărilor cibernetice şi a riscurilor asociate, precum şi cunoaşterea şi aplicarea măsurilor de prevenţie, detecţie şi răspuns la condiţii anormale şi evenimente de securitate cibernetică.
ART. 12
(1) Titularul de autorizaţie trebuie să aibă în permanenţă o echipă proprie de specialişti care să asigure detecţia şi răspunsul rapid la un incident de securitate cibernetică, inclusiv protecţia SCE identificate în conformitate cu cerinţele art. 6 şi limitarea consecinţelor materializării ameninţărilor cibernetice.
(2) Titularul de autorizaţie trebuie să dezvolte şi să implementeze o procedură de detecţie şi răspuns la incidente cibernetice, care să specifice următoarele aspecte:
a) componenţa echipei de investigare şi răspuns; cerinţele de pregătire profesională iniţială şi continuă şi cerinţele de calificare pentru personalul desemnat să facă parte din această echipă;
b) condiţiile considerate incidente de securitate cibernetică;
c) analiza şi urmărirea condiţiilor anormale pentru a facilita detecţia în timp util a potenţialelor incidente de securitate cibernetică şi a precursorilor unor astfel de evenimente;
d) investigarea incidentelor de securitate cibernetică;
e) acţiunile de răspuns stabilite pentru a asigura protecţia SCE;
f) notificările către autorităţile naţionale şi obţinerea de suport tehnic extern atunci când este necesar.
ART. 13
(1) Titularul de autorizaţie trebuie să implementeze măsuri pentru colectarea, evaluarea şi utilizarea experienţei de exploatare interne şi externe, în vederea îmbunătăţirii continue a protecţiei împotriva ameninţărilor cibernetice, respectiv a planului de securitate cibernetică.
(2) În scopul implementării cerinţei de la alin. (1) trebuie stabilite, consultate şi analizate în mod continuu sursele de informaţii şi experienţă de exploatare disponibile, la nivel naţional şi internaţional, care prezintă cele mai recente vulnerabilităţi identificate în diferitele componente şi echipamente ale sistemelor de control industrial, relevante pentru SCE din cadrul instalaţiei nucleare, identificate în conformitate cu cerinţele art. 6, precum şi cele mai recente incidente şi atacuri cibernetice cunoscute. Titularul de autorizaţie trebuie să elaboreze şi să implementeze o procedură specifică în acest scop.
ART. 14
(1) Titularul de autorizaţie trebuie să asigure evaluarea periodică a eficacităţii planului de securitate cibernetică. În acest scop, trebuie constituită şi desemnată o echipă de specialişti în securitate cibernetică, cu pregătire, experienţă şi calificări adecvate pentru specificul instalaţiei nucleare şi a SCE aferente acesteia.
(2) Evaluarea eficacităţii planului de securitate cibernetică trebuie efectuată:
a) cel puţin o dată pe an;
b) după fiecare eveniment relevant pentru securitatea cibernetică, din experienţa de exploatare internă sau externă.
(3) Evaluarea eficacităţii planului de securitate cibernetică trebuie să includă exerciţii periodice, de testare a măsurilor de protecţie împotriva ameninţărilor cibernetice, ţinând cont şi de specificul SCE.
(4) Titularul de autorizaţie trebuie să confirme, prin verificare şi validare, că măsurile şi procedurile specifice implementate îndeplinesc cerinţele de protecţie împotriva ameninţărilor cibernetice, ţinând cont şi de specificul SCE.
ART. 15
(1) Titularul de autorizaţie trebuie să demonstreze că a implementat toate măsurile necesare, la nivelul celor mai noi standarde şi bune practici recunoscute la nivel internaţional, pentru asigurarea protecţiei instalaţiilor nucleare împotriva ameninţărilor cibernetice.
(2) Documentele de referinţă menţionate în anexa nr. 2 reprezintă standarde şi ghiduri privind bune practici recunoscute pe plan naţional şi internaţional şi se recomandă ca acestea, precum şi orice nouă revizie a acestora să fie luate în considerare de către titularul de autorizaţie, în vederea îmbunătăţirii protecţiei instalaţiilor nucleare împotriva ameninţărilor cibernetice.
(3) Titularul de autorizaţie trebuie să utilizeze standardele şi ghidurile tehnice menţionate în anexa nr. 2, relevante pentru instalaţiile nucleare pentru care este responsabil, în procesul de autoevaluare. Rapoartele privind autoevaluarea faţă de cerinţele şi recomandările din aceste standarde şi ghiduri trebuie transmise la CNCAN pentru informare.
(4) Titularul de autorizaţie trebuie să utilizeze standardele şi ghidurile tehnice menţionate în anexa nr. 2, relevante pentru instalaţiile nucleare pentru care este responsabil, în pregătirea şi calificarea personalului de specialitate implicat în dezvoltarea, evaluarea, implementarea şi îmbunătăţirea continuă a planului, procedurilor şi măsurilor tehnice şi administrative de securitate cibernetică.
ART. 16
Măsurile de protecţie împotriva ameninţărilor cibernetice trebuie implementate astfel încât să nu producă efecte adverse asupra funcţionării SCE conform cerinţelor şi intenţiei de proiectare.
ART. 17
(1) Titularul de autorizaţie trebuie să stabilească şi să impună un set de cerinţe şi reguli de securitate cibernetică pentru furnizorii de produse şi servicii pentru instalaţiile nucleare, în scopul prevenirii incidentelor cibernetice. Titularul de autorizaţie trebuie să asigure, prin procedurile proprii, includerea cerinţelor de securitate cibernetică în documentaţia de procurare pentru furnizorii de produse şi servicii pentru instalaţiile nucleare.
(2) Cerinţele pentru SCE noi din categoria celor identificate conform cu cerinţele art. 6, precum şi pentru modernizările SCE existente trebuie să includă remedierea vulnerabilităţilor pentru toată durata de viaţă a SCE respective.
(3) Titularul de autorizaţie trebuie să asigure procurarea de componente şi piese de schimb pentru SCE identificate conform cu cerinţele art. 6 direct de la producătorii/fabricanţii originali ai acestora sau de la furnizorii agreaţi de aceştia, în măsura în care este practic posibil, pentru menţinerea proiectului aprobat/ autorizat în conformitate cu cerinţele privind controlul configuraţiei de proiectare, pentru evitarea modificărilor inadvertente, precum şi pentru evitarea produselor contrafăcute, frauduloase sau suspecte, inclusiv a celor care pot induce vulnerabilităţi de securitate cibernetică.
(4) Titularul de autorizaţie trebuie să stabilească şi să implementeze proceduri de acces şi control pentru furnizorii de servicii cu impact asupra SCE din categoria celor identificate conform cu cerinţele art. 6, în vederea asigurării securităţii cibernetice.
ART. 18
(1) Titularul de autorizaţie trebuie să asigure analiza şi evaluarea modificărilor permanente şi temporare din punctul de vedere al impactului asupra protecţiei la ameninţări cibernetice. Această cerinţă se aplică atât modificărilor de proiect care privesc SCE din categoria celor identificate conform cerinţelor art. 6, cât şi modificărilor administrative şi procedurale relevante.
(2) Titularul de autorizaţie trebuie să stabilească, în procedurile proprii, cerinţele pentru implementarea uniformă a prevederilor din art. 16 şi art. 17 alin. (2), la evaluarea şi implementarea modificărilor de proiect permanente şi temporare.
ART. 19
Titularul de autorizaţie trebuie să stabilească şi să implementeze proceduri pentru identificarea şi controlul, din punctul de vedere al protecţiei la ameninţări cibernetice, precum şi din punctul de vedere al protecţiei fizice, al echipamentelor portabile, inclusiv al mediilor de stocare de date, care se conectează la SCE ale instalaţiei nucleare pentru activităţi de monitorizare, supraveghere, testare, diagnoză, actualizare software, inspecţie etc., în care să se prevadă cerinţele şi măsurile preventive de securitate cibernetică, inclusiv auditurile periodice pentru verificarea conformităţii cu aceste cerinţe şi măsuri.
CAP. IV
Cerinţe privind integrarea în sistemul de management, documentaţia, înregistrările şi raportarea
ART. 20
(1) Titularul de autorizaţie trebuie să definească şi să documenteze, ca proces-suport în cadrul sistemului de management, procesul pentru protecţia instalaţiilor nucleare împotriva ameninţărilor cibernetice, astfel încât să asigure sustenabilitatea pe termen lung a conformităţii cu cerinţele de reglementare naţionale şi standardele internaţionale în acest domeniu, precum şi îmbunătăţirea continuă a securităţii cibernetice.
(2) Titularul de autorizaţie trebuie să stabilească responsabilităţile pentru dezvoltarea, monitorizarea, implementarea, evaluarea şi îmbunătăţirea continuă a procesului şi măsurilor de securitate cibernetică.
(3) Titularul de autorizaţie trebuie să asigure coordonarea diferitelor departamente responsabile pentru implementarea procesului şi măsurilor de securitate cibernetică, precum şi integrarea acţiunilor implementate de acestea.
(4) Titularul de autorizaţie trebuie să asigure resursele materiale şi resursele umane, de personal tehnic pregătit şi calificat în domeniul securităţii cibernetice pentru SCE specifice instalaţiilor nucleare, inclusiv pentru sistemele de control industrial.
ART. 21
Titularul de autorizaţie trebuie să păstreze toate înregistrările şi documentaţia tehnică-suport pentru demonstrarea conformităţii cu cerinţele prezentelor norme pentru toată durata de viaţă a instalaţiei nucleare.
ART. 22
(1) Titularul de autorizaţie trebuie să raporteze imediat la CNCAN orice condiţie anormală cu impact real sau potenţial asupra securităţii cibernetice a SCE identificate în conformitate cu cerinţele art. 6, inclusiv incidentele cibernetice.
(2) De asemenea, titularul de autorizaţie trebuie să raporteze imediat la CNCAN orice incident de securitate cibernetică în care sunt accesate neautorizat sau afectate în orice alt mod bazele de date sau reţeaua de intranet în care sunt stocate informaţii privind SSCE ale instalaţiei nucleare, procedurile tehnice şi administrative şi date privind angajaţii titularului de autorizaţie.
CAP. V
Dispoziţii tranzitorii şi finale
ART. 23
(1) În termen de un an de la intrarea în vigoare a prezentelor norme, titularii de autorizaţie pentru instalaţiile nucleare aflate în faza de exploatare trebuie să transmită la CNCAN spre evaluare un raport care să prezinte analiza conformităţii cu cerinţele prezentelor norme şi acţiunile întreprinse pentru asigurarea implementării integrale a cerinţelor.
(2) În termen de un an de la intrarea în vigoare a prezentelor norme, titularii de autorizaţie pentru instalaţiile nucleare aflate în faza de exploatare trebuie să transmită la CNCAN, spre evaluare şi avizare, actualizarea planului de securitate cibernetică pentru instalaţiile nucleare de care răspund, prin care să demonstreze:
a) conformitatea cu cerinţele prezentelor norme;
b) alinierea la recomandările din documentele de referinţă menţionate în anexa nr. 2;
c) implementarea măsurilor de protecţie împotriva ameninţărilor cibernetice comunicate de CNCAN în cooperare cu autorităţile naţionale în domeniul securităţii cibernetice, în conformitate cu prevederile de la art. 7.
(3) Actualizarea planului de securitate cibernetică trebuie să includă măsurile de implementare şi termenele aferente.
(4) Conţinutul minim recomandat al planului de securitate cibernetică este cel din anexa nr. 3.
ART. 24
Anexele nr. 1-3 fac parte integrantă din prezentele norme.
ANEXA 1
la norme
DEFINIŢII
Ameninţare cibernetică - circumstanţă sau eveniment care constituie un pericol potenţial la adresa securităţii cibernetice
Atac cibernetic - acţiune ostilă desfăşurată în spaţiul cibernetic de natură să afecteze securitatea cibernetică
Funcţie de securitate nucleară - un scop specific care trebuie îndeplinit pentru asigurarea securităţii nucleare; funcţiile generale de securitate nucleară sunt următoarele:
a) controlul reactivităţii; pentru un reactor nuclear, această funcţie include atât reducerea puterii, oprirea reactorului şi menţinerea acestuia într-o stare de oprire sigură pentru o perioadă de timp nedeterminată, cât şi prevenirea criticităţii în instalaţiile de depozitare a combustibilului nuclear uzat;
b) răcirea combustibilului nuclear; pentru un reactor nuclear, această funcţie se referă atât la răcirea combustibilului din reactor, cât şi la răcirea combustibilului uzat din instalaţiile de depozitare aferente;
c) reţinerea materialelor radioactive, inclusiv menţinerea barierelor fizice în calea eliberării acestora în mediul înconjurător;
d) monitorizarea stării instalaţiei nucleare şi furnizarea serviciilor-suport necesare pentru menţinerea funcţiilor prevăzute la lit. a)-c); serviciile-suport menţionate includ furnizarea de energie electrică, agent de răcire, aer instrumental, gaze şi alte fluide tehnice, după cum este necesar, pentru buna funcţionare a sistemelor, structurilor, componentelor şi echipamentelor cu funcţii de securitate nucleară
Incident cibernetic - eveniment survenit în spaţiul cibernetic ale cărui consecinţe afectează securitatea cibernetică
Infrastructuri cibernetice - infrastructuri de tehnologia informaţiei şi comunicaţii, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice
Securitate cibernetică - starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, a resurselor şi serviciilor publice sau private, din spaţiul cibernetic. Măsurile proactive şi reactive pot include politici, concepte, standarde şi ghiduri de securitate, managementul riscului, activităţi de instruire şi conştientizare, implementarea de soluţii tehnice de protejare a infrastructurilor cibernetice, managementul identităţii, managementul consecinţelor
SCE - sistemele, componentele şi echipamentele instalaţiei nucleare
SCE cu funcţii de securitate nucleară - sunt acele SCE care contribuie, direct sau indirect, în condiţii de operare normală, în cazul evenimentelor anticipate în exploatare şi/sau în condiţii de accident, la îndeplinirea funcţiilor generale de securitate nucleară; acestea includ SCE a căror defectare poate avea un impact advers asupra îndeplinirii unei funcţii de securitate nucleară; de asemenea, sunt incluse SCE utilizate pentru răspunsul la condiţii de extindere a bazelor de proiectare
SCE cu funcţii în exploatarea fiabilă a instalaţiei nucleare - acele SCE care asigură funcţionarea instalaţiei nucleare în bune condiţii, la parametrii nominali şi a căror defectare poate cauza condiţii de operare anormală, tranzienţi, opriri neplanificate şi/sau acţionarea intempestivă a sistemelor cu funcţii de securitate nucleară; aceste SCE contribuie la implementarea primului nivel de protecţie în adâncime pentru asigurarea securităţii nucleare, respectiv la prevenirea defectărilor şi a condiţiilor de operare anormală
ANEXA 2
la norme
DOCUMENTE DE REFERINŢĂ
1. Computer Security Techniques for Nuclear Facilities, IAEA Nuclear Security Series No. 17-T (Rev. 1), International Atomic Energy Agency, Vienna, 2021
2. Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities, INFCIRC/225/Revision 5, IAEA Nuclear Security Series 13, International Atomic Energy Agency, Vienna, 2011
3. Computer Security of Instrumentation and Control Systems at Nuclear Facilities, IAEA Nuclear Security Series No. 33-T, International Atomic Energy Agency, Vienna, 2018
4. Computer Security Aspects of Design for Instrumentation and Control Systems at Nuclear Power Plants, IAEA Nuclear Energy Series NR-T-3.30, International Atomic Energy Agency, Vienna, 2020
5. Conducting Computer Security Assessments at Nuclear Facilities, IAEA-TDL-006, International Atomic Energy Agency, Vienna, 2016
6. Computer Security for Nuclear Security, IAEA Nuclear Security Series No. 42-G, International Atomic Energy Agency, Vienna, 2021
7. Computer Security Incident Response Planning at Nuclear Facilities, IAEA-TDL-005, International Atomic Energy Agency, Vienna, 2016
8. IEEE Standard Criteria for Programmable Digital Devices in Safety Systems of Nuclear Power Generating Stations, IEEE Std 7-4.3.2-2016, Institute of Electrical and Electronics Engineers, 2016
9. IEC 62645:2019 Nuclear power plants - Instrumentation, control and electrical power systems - Cybersecurity requirements, International Electrotechnical Commission, 2019
10. CSA N290.7-14 (R2021), Cyber Security for Nuclear Power Plants and Small Reactor Facilities, Canadian Standards Association, 2014
11. ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements, International Organization for Standardization, 2013
12. ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice for information security controls, International Organization for Standardization, 2013
13. NEI 08-09 [Rev. 6] Cyber Security Plan for Nuclear Power Reactors, Nuclear Energy Institute, SUA, 2010
14. NEI 10-04 [Revision 2] Identifying Systems and Assets Subject to the Cyber Security Rule, Nuclear Energy Institute, SUA, 2012
15. Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, National Institute of Standards and Technology, SUA, 2018
16. Nuclear Sector Cybersecurity Framework Implementation Guidance, U.S. Department of Homeland Security, Cybersecurity and Infrastructure Security Agency, SUA, 2020
17. Cybersecurity Capability Maturity Model (C2M2 Version 2.0), United States Department of Energy, Office of Cybersecurity, Energy Security and Emergency Response, SUA, 2021
ANEXA 3
la norme
CONŢINUTUL MINIM
al planului de securitate cibernetică pentru o instalaţie nucleară
SECŢIUNEA 1
Organizare şi responsabilităţi
1.1. Scheme organizatorice, inclusiv organigrama organizaţiei titularului de autorizaţie şi a departamentului sau departamentelor cu responsabilităţi pentru securitatea cibernetică a instalaţiilor nucleare;
1.2. Persoanele cu responsabilităţi şi autoritate pentru securitatea cibernetică a instalaţiilor nucleare; responsabilităţi pentru elaborare, raportare, avizare şi aprobare a procedurilor şi documentelor aferente;
1.3. Procesul de elaborare, revizie periodică şi aprobare a procedurilor şi documentelor aferente;
1.4. Politica de securitate cibernetică la nivelul organizaţiei.
SECŢIUNEA a 2-a
Inventarul SCE relevante pentru securitatea cibernetică a instalaţiilor nucleare
2.1. Lista SCE identificate în conformitate cu cerinţele art. 6 din norme, a căror funcţionare depinde de computere şi programe software;
2.2. Lista tuturor aplicaţiilor şi programelor software legate de SCE identificate în conformitate cu cerinţele art. 6 din norme;
2.3. Diagramele reţelelor informatice asociate SCE identificate în conformitate cu cerinţele art. 6 din norme, inclusiv toate conexiunile către sisteme informatice externe care nu sunt sub controlul titularului de autorizaţie;
2.4. Lista echipamentelor portabile, inclusiv a mediilor de stocare de date, care se conectează la SCE importante pentru securitatea cibernetică;
2.5. Analiza, pentru fiecare SCE sau categorie de SCE importante pentru securitatea cibernetică, a mecanismelor şi modurilor de defectare relevante din punctul de vedere al securităţii cibernetice, a efectelor acestora şi a măsurilor tehnice şi administrative specifice de prevenire, detecţie şi răspuns la incidente cibernetice;
2.6. Metodologia folosită pentru identificarea şi clasificarea SCE relevante pentru securitatea cibernetică a instalaţiilor nucleare.
SECŢIUNEA a 3-a
Analiza riscurilor, vulnerabilităţilor şi a conformităţii cu cerinţele aplicabile
3.1. Periodicitatea reevaluării şi revizuirii planului de securitate cibernetică;
3.2. Autoevaluarea eficacităţii planului şi măsurilor de securitate cibernetică, inclusiv testele de penetrare;
3.3. Procedurile de audit şi de identificare, urmărire şi corectare a neconformităţilor;
3.4. Conformitatea cu cerinţele din legislaţia naţională şi din standardele internaţionale aplicabile;
3.5. Echipa desemnată pentru evaluarea securităţii cibernetice.
SECŢIUNEA a 4-a
Proiectarea sistemului de securitate cibernetică şi controlul configuraţiei
4.1. Principiile de proiectare şi arhitectura de bază a sistemului de securitate cibernetică; nivelurile de securitate cibernetică; descrierea modului în care s-a implementat conceptul de protecţie în adâncime;
4.2. Cerinţele pentru fiecare nivel de securitate cibernetică;
4.3. Stabilirea cerinţelor de securitate cibernetică pentru furnizorii de produse şi servicii destinate instalaţiilor nucleare;
4.4. Asigurarea securităţii cibernetice pentru tot ciclul de viaţă a SCE;
4.5. Infrastructura sistemului de protecţie antivirus şi criteriile de acces pentru personalul responsabil;
4.6. Măsurile de verificare a integrităţii SCE, inclusiv a programelor software, pentru asigurarea controlului configuraţiei.
SECŢIUNEA a 5-a
Procedurile operaţionale de securitate cibernetică
5.1. Controlul accesului la SCE; controlul echipamentelor portabile şi al mediilor de stocare de date;
5.2. Protecţia datelor;
5.3. Protecţia comunicaţiilor;
5.4. Protecţia platformelor şi aplicaţiilor informatice;
5.5. Supravegherea/Monitorizarea sistemelor; controlul configuraţiei; identificarea şi detecţia condiţiilor anormale, vulnerabilităţilor şi incidentelor cibernetice;
5.6. Activităţile de întreţinere necesare pentru SCE a căror funcţionare depinde de computere şi programe software;
5.7. Managementul incidentelor/Răspunsul la incidente cibernetice; echipa desemnată pentru răspunsul la incidente cibernetice;
5.8. Asigurarea continuităţii funcţiilor de securitate şi siguranţă nucleară;
5.9. Măsuri pentru salvarea datelor - system backup - în caz de incident cibernetic;
5.10. Achiziţia şi transferul de SCE;
5.11. Eliminarea din sistem a SCE.
SECŢIUNEA a 6-a
Managementul personalului
6.1. Verificarea/Avizarea personalului;
6.2. Pregătirea personalului;
6.3. Calificarea personalului;
6.4. Terminarea accesului şi transferul personalului.
----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
