Comunica experienta
MonitorulJuridic.ro
NORME METODOLOGICE din 31 ianuarie 2024 privind solicitarea şi comunicarea datelor şi informaţiilor prevăzute la art. 25 alin. (1) din Legea nr. 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative
EMITENT: Guvernul PUBLICAT: Monitorul Oficial nr. 97 din 1 februarie 2024
──────────
Aprobate prin HOTĂRÂREA nr. 62 din 31 ianuarie 2024, publicată în Monitorul Oficial al României, Partea I, nr. 97 din 1 februarie 2024.
──────────
ART. 1
Prezentele norme metodologice au ca obiect stabilirea modului de îndeplinire a obligaţiilor ce le revin autorităţilor competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative şi furnizorilor de servicii tehnice de securitate cibernetică în procesul de solicitare şi comunicare de date şi informaţii privind incidentele de securitate cibernetică, respectiv privind ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali.
ART. 2
(1) În vederea asigurării rezilienţei şi protecţiei reţelelor şi sistemelor informatice ce susţin funcţiile de apărare, securitate naţională, ordine publică şi guvernare, precum şi pentru asigurarea unei reacţii rapide şi eficiente la ameninţările provenite din spaţiul cibernetic naţional, autorităţile competente stabilite la art. 10 alin. (1) din Legea nr. 58/2023, în îndeplinirea responsabilităţilor acestora în domeniile securităţii şi apărării cibernetice, pot solicita furnizorilor de servicii tehnice de securitate cibernetică, prin cerere motivată, date şi informaţii privind incidente de securitate cibernetică, respectiv ameninţări cibernetice ori riscuri sau vulnerabilităţi de securitate cibernetică, a căror manifestare poate afecta cel puţin o reţea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali.
(2) Cererea prevăzută la alin. (1) este transmisă prin oricare dintre următoarele mijloace de comunicare la distanţă, dacă asigură primirea acesteia de către destinatar, astfel:
a) prin poştă, cu scrisoare recomandată, cu confirmare de primire, în plic închis, la care se ataşează dovada de primire/procesul-verbal;
b) prin afişare la domiciliul sau la sediul furnizorului de servicii tehnice de securitate cibernetică, activitate care se consemnează într-un proces-verbal semnat de cel puţin un martor;
c) prin telefon mobil, telefax, fax, poştă electronică sau prin alte mijloace ce asigură transmiterea textului cererii şi confirmarea primirii acestuia, dacă furnizorul de servicii tehnice de securitate cibernetică a indicat, în prealabil, autorităţii competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023, care formulează cererea, datele corespunzătoare în acest scop;
d) prin Platforma naţională pentru raportarea incidentelor de securitate cibernetică, denumită în continuare PNRISC, dacă furnizorul de servicii tehnice de securitate cibernetică este în prealabil interconectat la aceasta;
e) prin platforma de contact pusă la dispoziţie de către autoritatea competentă prevăzută la art. 10 alin. (1) din Legea nr. 58/2023 care formulează cererea şi la care furnizorul de servicii tehnice de securitate cibernetică este în prealabil interconectat.
(3) Cererile formulate prin mijloacele prevăzute la alin. (2) lit. a) şi b) se consideră comunicate la data prevăzută în dovada de primire, respectiv în procesul-verbal.
(4) Cererile formulate prin mijloacele prevăzute la alin. (2) lit. c)-e) se consideră comunicate la momentul primirii mesajului transmis de sistemul folosit că acestea au ajuns la destinatar, potrivit datelor furnizate de acesta.
(5) În cazul în care comunicarea prin mijloacele prevăzute la alin. (2) lit. c)-e) nu este posibilă din cauza lipsei datelor în acest sens sau sistemul folosit indică eroare în transmitere, cererea se va comunica potrivit prevederilor alin. (2) lit. a) sau b).
ART. 3
În termen de maximum 48 de ore de la primirea cererii cu privire la incidente de securitate cibernetică, potrivit prevederilor art. 2, furnizorii de servicii tehnice de securitate cibernetică transmit autorităţii solicitante, în scris, prin mijloace electronice sau prin orice altă modalitate stabilită în prealabil, de comun acord, în formatul şi structura conforme raportării în PNRISC, un răspuns care să cuprindă cel puţin următoarele elemente:
a) data, ora, minutul descoperirii incidentului de securitate cibernetică;
b) serviciile şi/sau reţelele care sunt afectate de incidentul de securitate cibernetică;
c) estimarea ariei geografice afectate, precum şi a efectelor incidentului de securitate cibernetică asupra furnizării oricărei reţele sau oricărui sistem informatic dintre cele prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, precum şi asupra interconectării acestora cu terţii şi cu utilizatorii finali;
d) datele şi informaţiile privind cauza/cauzele care a/au provocat incidentul de securitate cibernetică;
e) estimarea graficului de restabilire a funcţionării reţelelor şi sistemelor informatice care fac parte dintre cele prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, precum şi a interconectării acestora cu terţii şi cu utilizatorii finali, respectiv estimarea revenirii furnizării serviciilor în parametrii normali de funcţionare;
f) îndrumările oferite utilizatorilor şi acţiunile întreprinse de furnizorii de servicii tehnice de securitate cibernetică în vederea minimizării efectelor incidentului de securitate cibernetică, dacă este cazul;
g) informaţiile oferite publicului cu privire la existenţa unui incident de securitate cibernetică, modalitatea de comunicare a acestora, precum şi data şi ora la care au fost comunicate informaţiile, dacă acest lucru s-a întâmplat;
h) datele de contact - nume, prenume, număr de telefon, număr de fax, adresă de poştă electronică - ale persoanei/persoanelor care poate/pot da mai multe informaţii privind incidentul de securitate cibernetică.
ART. 4
(1) În termen de maximum 5 zile de la primirea unei cereri cu privire la ameninţări cibernetice ori riscuri sau vulnerabilităţi de securitate cibernetică, potrivit prevederilor art. 2, furnizorii de servicii tehnice de securitate cibernetică transmit autorităţii solicitante, în scris, prin mijloace electronice sau prin orice altă modalitate stabilită în prealabil, de comun acord, un răspuns care să cuprindă cel puţin următoarele elemente:
a) date ce pot ajuta la identificarea vectorului de ameninţare cibernetică sau atac cibernetic;
b) scopul şi/sau motivaţia vectorului de ameninţare cibernetică sau atac cibernetic;
c) date care pot ajuta la contextualizarea şi descrierea incidentului de securitate cibernetică vizat de vectorul de ameninţare cibernetică sau atac;
d) tehnici, tactici şi proceduri utilizate pentru activităţi nelegitime;
e) indicatori tehnici ai activităţilor nelegitime derulate de vectori de ameninţare cibernetică sau atac cibernetic sau ai celor aferente derulării incidentului de securitate cibernetică, identificaţi în reţelele şi sistemele informatice;
f) date şi informaţii ce pot ajuta în evaluarea şi cuantificarea impactului incidentului de securitate cibernetică vizat sau a potenţialului impact al riscului de securitate cibernetică;
g) soluţii hardware şi software ce pot fi afectate;
h) vulnerabilităţi de securitate cibernetică identificate, date şi informaţii cu privire la categorii de victime şi entităţi vizate sau potenţial afectate.
(2) Datele şi informaţiile prevăzute la alin. (1) sunt folosite exclusiv în vederea şi în scopul asigurării securităţii şi apărării cibernetice la nivel naţional, în conformitate cu atribuţiile specifice ale autorităţilor competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023.
ART. 5
(1) În vederea transmiterii datelor şi informaţiilor prevăzute la art. 3 şi 4, furnizorii de servicii tehnice de securitate cibernetică şi autorităţile competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023 vor utiliza unul dintre mijloacele de comunicare prevăzute la art. 2 alin. (2).
(2) În cazul imposibilităţii stabilirii de comun acord şi prealabile, independent de culpa vreuneia dintre părţi, a unuia/uneia dintre mijloacele şi metodele de comunicare prevăzute la art. 2 alin. (2), furnizorii de servicii tehnice de securitate cibernetică au obligaţia transmiterii datelor şi informaţiilor prin orice mijloc de comunicare care permite transmiterea, precum şi confirmarea primirii acestora de către autorităţile solicitante, în termenele prevăzute la art. 3 şi 4.
(3) În procesul de transmitere a datelor şi informaţiilor solicitate se vor utiliza modalităţi tehnice adecvate, care să asigure confidenţialitatea, integritatea, autenticitatea şi nonrepudierea datelor şi informaţiilor transmise.
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
