Comunica experienta
MonitorulJuridic.ro
────────── Aprobate prin HOTĂRÂREA nr. 1.003 din 23 noiembrie 2020, publicat în Monitorul Oficial, nr. 1223 din 14 decembrie 2020.────────── CAP. I Date generale ART. 1 Prezentele Norme tehnice de stabilire a impactului incidentelor pentru categoriile de operatori de servicii esenţiale şi furnizori de servicii digitale, denumite în continuare norme, au ca obiect evaluarea preliminară, stabilirea impactului unui incident care afectează securitatea cibernetică a reţelelor şi sistemelor informatice care susţin serviciile furnizate de către un operator de servicii esenţiale, denumit în continuare OSE, sau de un furnizor de servicii digitale, denumit în continuare FSD, şi dispunerea măsurilor de limitare a incidentului. ART. 2 (1) În conformitate cu art. 27 din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare, denumită în continuare Legea NIS, după primirea unei notificări privind un incident de securitate CERT-RO, în calitate de echipă de răspuns la incidente de securitate informatică la nivel naţional, denumită în continuare echipă CSIRT naţională sau CSIRT naţional, trece la derularea procesului de stabilire a impactului incidentului (PSII). (2) În cadrul PSII, CERT-RO, în calitate de CSIRT naţional, evaluează preliminar, stabileşte impactul incidentului la nivel naţional şi/sau transnaţional şi dispune măsuri specifice de limitare a acestuia, respectiv alertează, sesizează ori notifică atât entitatea afectată, cât şi autorităţile prevăzute la art. 15 alin. (2) şi, după caz, la art. 16 din Legea NIS. (3) În cadrul PSII, CERT-RO colaborează, după caz, cu operatorul de servicii esenţiale sau furnizorul de servicii digitale afectat, CSIRT-uri individuale, sectoriale şi/sau naţionale, organizaţii internaţionale sau alte entităţi din domeniul securităţii cibernetice pentru identificarea cauzelor şi efectelor incidentului, precum şi pentru dispunerea măsurilor de limitare a acestuia în vederea asigurării unui nivel ridicat de securitate a reţelelor şi sistemelor informatice. ART. 3 (1) PSII presupune o evaluare şi analizare permanentă a datelor şi informaţiilor primite/identificate de CSIRT naţional, indiferent de mediul de comunicaţie, de forma sau conţinutul acestora. (2) Etapele procesului de stabilire a impactului incidentelor sunt: a) etapa 1 - evaluarea preliminară a incidentului; b) etapa a 2-a - stabilirea impactului incidentului; c) etapa a 3-a - măsuri de limitare a incidentului. (3) Impactul incidentelor (II) se stabileşte pe baza parametrilor de evaluare comparativă (PEC), aşa cum sunt stabiliţi în anexele nr. 1 şi 2, în funcţie de categoria entităţii afectate, respectiv OSE sau FSD. (4) Acronimele utilizate în prezentele norme tehnice se regăsesc în anexa nr. 3 „Glosar - Termeni şi abrevieri“. ART. 4 (1) În urma PSII se stabileşte impactul incidentului asupra furnizării serviciului esenţial (II_FE) sau a serviciului digital (II_FD) şi în funcţie de nivelul acestuia se dispun măsuri cu caracter naţional şi/sau internaţional, după caz. (2) Dacă impactul incidentului rezultat este semnificativ, respectiv mediu sau ridicat, CSIRT naţional va dispune măsuri de reducere/limitare a efectului incidentului şi va informa naţional şi/sau internaţional, dacă este cazul, despre incidentul care afectează securitatea reţelelor şi sistemelor informatice, denumit în continuare ISC. ART. 5 (1) În procesul de stabilire a impactului incidentelor se va avea în vedere următoarea scală*): *) Tabelele I.1 şi II.2 sunt reproduse în facsimil. (a se vedea imaginea asociată) (2) Valoarea medie a parametrilor de evaluare se stabileşte pe baza următoarei formule: (a se vedea imaginea asociată) unde V(PE) reprezintă media aritmetică a valorilor parametrilor de evaluare comparativă V_PEC, iar n reprezintă numărul parametrilor comparaţi. (3) Pe baza valorii V(PE), calculate în conformitate cu prevederile alin. (2), se stabileşte impactul incidentului asupra furnizării serviciului esenţial, respectiv digital. Matricea impactului incidentului se prezintă astfel: (a se vedea imaginea asociată) CAP. II Stabilirea impactului incidentului pentru operatorii de servicii esenţiale SECŢIUNEA 1 Evaluarea preliminară a incidentului ART. 6 (1) În această primă etapă a PSII, CSIRT naţional evaluează permanent toate informaţiile primite, respectiv din notificări şi/sau diferite surse externe sau senzori proprii, denumite în continuare alerte securitate cibernetică (ASC), în funcţie de anumiţi parametri de evaluare, în vederea asigurării unui nivel ridicat al securităţii reţelelor şi sistemelor informatice şi implicit a unui spaţiu cibernetic naţional cât mai sigur. (2) Parametrii de evaluare preliminară (PEP) a unui posibil incident sunt: a) întreruperea furnizării serviciului (PEP_1), dacă timpul aferent este mai mare sau egal cu valoarea minimă a duratei incidentului, corespunzător sectorului/subsectorului afectat, conform anexei nr. 1; b) afectarea furnizării serviciului (PEP_2), întreruperi repetate şi de scurtă durată (mai mică decât valoarea minimă a duratei incidentului, corespunzător sectorului/subsectorului afectat, conform anexei nr. 1), limitări ale accesului la bazele de date aferente, întârzieri în asigurarea răspunsului etc.; c) întreruperea conexiunilor primare (PEP_3), pierderea legăturilor în nodurile de comunicaţii, întreruperea conexiunilor între reţele şi sisteme informatice diferite etc. ART. 7 (1) Dacă în urma evaluării informaţiilor primare sunt identificate anomalii la cel puţin unul dintre cei trei PEP_1-3, alerta de securitate cibernetică este clasificată ca incident (I_SC), iar CSIRT naţional trece la aplicarea etapei a 2-a a PSII. (2) Dacă în urma primei etape nu sunt identificate anomalii cu privire la niciunul dintre PEP_(1+3), alerta de securitate cibernetică rămâne o simplă informaţie primară, iar CERT-RO continuă activităţile de monitorizare a alertelor primite, prin compartimentele funcţionale de specialitate. ART. 8 În etapa de evaluare preliminară, CSIRT naţional, prin compartimentele funcţionale de specialitate: a) monitorizează situaţia alertelor la nivel naţional şi colaborează cu CSIRT-urile individuale, sectoriale şi internaţionale; b) actualizează permanent bazele de date specifice, respectiv datele şi informaţiile cu privire la alertele procesate şi rezultatele evaluării primare, astfel încât, la orice moment, să poată stabili cele mai bune măsuri de limitare a unor posibile incidente de securitate cibernetică; c) elaborează analize şi emite alerte, informări sau notificări în vederea menţinerii unui nivel ridicat al securităţii reţelelor şi sistemelor informatice pentru protejarea spaţiului cibernetic naţional. SECŢIUNEA a 2-a Stabilirea impactului incidentului ART. 9 (1) În a doua etapă a PSII, CSIRT naţional evaluează incidentele de securitate cibernetică, respectiv ASC pentru care după evaluarea primară s-a stabilit că cel puţin un PEP a prezentat anomalii, prin aplicarea analizei comparative între valorile parametrilor de evaluare comparativă stabilite în anexa nr. 1 şi datele/informaţiile cu privire la I_SC, şi stabileşte impactul incidentului. (2) Analiza comparativă se efectuează pe categorii de furnizori de servicii, inclusiv pe sectoarele şi subsectoarele stabilite în baza Legii NIS. (3) Parametrii de evaluare comparativă (PEC) care stau la baza stabilirii impactului unui incident de securitate cibernetică sunt cei stabiliţi la art. 28 alin. (1) pct. (i) din Legea NIS, respectiv: a) numărul de utilizatori afectaţi de perturbarea serviciului esenţial (PEC_e1); b) durata incidentului (PEC_e2); c) distribuţia geografică în ceea ce priveşte zona afectată de incident (PEC_e3). ART. 10 (1) Pentru analiza comparativă, CSIRT naţional foloseşte grilele de stabilire a impactului incidentelor pentru operatorii de servicii esenţiale şi pentru fiecare I_SC stabileşte V(PE) ca medie aritmetică a valorilor parametrilor de evaluare comparativă (V(PEC)). (2) În cazul în care impactul incidentului asupra furnizării serviciului este unul semnificativ, respectiv mediu sau ridicat, CSIRT naţional trece la aplicarea măsurilor de limitare a incidentului. (3) Dacă în urma analizei comparative rezultă un impact nesemnificativ, CSIRT naţional finalizează PSII şi continuă activităţile de monitorizare a alertelor primite, prin compartimentele funcţionale de specialitate. SECŢIUNEA a 3-a Măsuri de limitare a incidentului ART. 11 (1) În această etapă a PSII, CSIRT naţional stabileşte măsurile necesare pentru limitarea I_SC, alertează, sesizează ori notifică, după caz, OSE şi autorităţile cu responsabilităţi în prevenirea, limitarea şi combaterea efectelor incidentului, precum şi autorităţile prevăzute la art. 15 alin. (2) şi, după caz, la art. 16 din Legea NIS. (2) Pentru limitarea I_SC, CSIRT naţional oferă sprijin şi informaţii de specialitate OSE. ART. 12 (1) CERT-RO, în calitate de PNUC, informează statele membre sau partenere afectate dacă incidentul are un impact semnificativ. (2) CERT-RO poate declanşa, după caz, acţiuni de control pentru verificarea respectării cerinţelor stabilite prin Legea NIS şi/sau dispune orice măsură necesară pentru remedierea situaţiei conform art. 41 din Legea NIS. CAP. III Stabilirea impactului incidentului pentru furnizorii de servicii digitale SECŢIUNEA 1 Evaluarea preliminară a incidentului ART. 13 (1) În această primă etapă a PSII, CSIRT naţional aplică aceeaşi procedură ca şi în cazul stabilirii impactului incidentului pentru operatorii de servicii esenţiale, prevăzută în cadrul cap. II secţiunea 1. (2) Parametrii de evaluare preliminară (PEP) a unui posibil incident sunt aceiaşi ca cei prevăzuţi la art. 6 alin. (2). (3) În evaluarea întreruperii sau afectării furnizării serviciului, timpul aferent este comparat cu valoarea minimă a duratei incidentului, corespunzător serviciului digital, conform anexei nr. 2. SECŢIUNEA a 2-a Stabilirea impactului incidentului ART. 14 (1) În această a doua etapă a PSII, CSIRT naţional evaluează incidentele de securitate cibernetică, respectiv alerta de securitate cibernetică pentru care după evaluarea primară s-a stabilit că cel puţin un parametru de evaluare primară a prezentat anomalii, prin aplicarea analizei comparative între valorile parametrilor de evaluare comparativă stabilite în anexa nr. 2 şi datele/informaţiile cu privire la I_SC, şi stabileşte impactul incidentului. (2) Analiza comparativă se efectuează pe categorii de furnizori de servicii digitale stabilite în Legea NIS. (3) Parametrii de evaluare comparativă care stau la baza stabilirii impactului unui incident de securitate cibernetică sunt cei stabiliţi la art. 28 alin. (1) pct. (ii) din Legea NIS, respectiv: a) numărul de utilizatori afectaţi de incident, în special utilizatori care se bazează pe serviciul pentru furnizarea propriilor servicii (PECd_1); b) durata incidentului (PEC_d2); c) distribuţia geografică în ceea ce priveşte zona afectată de incident (PEC_d3); d) amploarea perturbării funcţionării serviciului (PEC_d4); e) amploarea impactului asupra activităţilor economice şi societale (PEC_d5). (4) Procedura aplicată în această etapă a PSII este aceeaşi ca şi în cazul stabilirii impactului incidentului pentru operatorii de servicii esenţiale, prevăzută în cadrul cap. II secţiunea a 2-a. SECŢIUNEA a 3-a Măsuri de limitare a incidentului ART. 15 În această a treia etapă a PSII, CSIRT naţional aplică aceeaşi procedură ca şi în cazul stabilirii impactului incidentului pentru operatorii de servicii esenţiale, prevăzută în cadrul cap. II secţiunea a 3-a. CAP. IV Dispoziţii finale ART. 16 (1) Pe baza prevederilor prezentelor norme, atât furnizorii de servicii digitale şi operatorii de servicii esenţiale din sectoarele şi subsectoarele stabilite în baza Legii NIS, cât şi entităţile care nu au fost identificate drept operatori de servicii esenţiale şi nu sunt furnizori de servicii digitale şi care notifică voluntar au obligaţia de a furniza informaţii suplimentare la solicitarea expresă a CERT-RO în calitate de CSIRT naţional. (2) La solicitarea CSIRT naţional, operatorii de servicii esenţiale şi furnizorii de servicii digitale afectaţi de un incident cibernetic au obligaţia de a lua toate măsurile necesare limitării atacurilor cibernetice pentru care a fost stabilit un impact al incidentelor semnificativ şi diminuării consecinţelor. (3) Anexele nr. 1-3 fac parte integrantă din prezentele norme. ANEXA 1 *) Anexa nr. 1 este reprodusă în facsimil. la norme GRILELE DE STABILIRE a impactului incidentelor pentru operatorii de servicii esenţiale (a se vedea imaginea asociată) (a se vedea imaginea asociată) (a se vedea imaginea asociată) ANEXA 2 *) Anexa nr. 2 este reprodusă în facsimil. la norme GRILELE DE STABILIRE a impactului incidentelor pentru furnizorii de servicii digitale (a se vedea imaginea asociată) ANEXA 3 la norme GLOSAR Termeni şi abrevieri
┌─────┬────────────────────────────────┐
│ │- alertă de securitate │
│ │cibernetică - reprezintă │
│ │informaţiile primite de către │
│ASC │CSIRT-ul naţional prin │
│ │notificări, din alte surse │
│ │externe sau de la senzorii │
│ │proprii. │
├─────┼────────────────────────────────┤
│CSIRT│- echipă de răspuns la incidente│
│ │de securitate informatică │
├─────┼────────────────────────────────┤
│FSD │- furnizor de servicii digitale │
├─────┼────────────────────────────────┤
│ │- impactul incidentului asupra │
│ │furnizării serviciului digital. │
│ │Impactul poate fi semnificativ │
│ │sau nesemnificativ şi este │
│II_FD│stabilit în cazul unui incident │
│ │identificat la nivelul reţelelor│
│ │şi sistemelor informatice ale │
│ │unui operator de servicii │
│ │esenţiale. │
├─────┼────────────────────────────────┤
│ │- impactul incidentului asupra │
│ │furnizării serviciului esenţial.│
│ │Impactul poate fi semnificativ │
│ │sau nesemnificativ şi este │
│II_FE│stabilit în cazul unui incident │
│ │identificat la nivelul reţelelor│
│ │şi sistemelor informatice ale │
│ │unui furnizor de servicii │
│ │digitale. │
├─────┼────────────────────────────────┤
│ │- incident de securitate │
│ │cibernetică - reprezintă orice │
│I_SC │eveniment care are un impact │
│ │real negativ asupra securităţii │
│ │reţelelor şi a sistemelor │
│ │informatice. │
├─────┼────────────────────────────────┤
│ │- Legea nr. 362/2018 privind │
│ │asigurarea unui nivel comun │
│Legea│ridicat de securitate a │
│NIS │reţelelor şi sistemelor │
│ │informatice, cu modificările şi │
│ │completările ulterioare │
├─────┼────────────────────────────────┤
│OSE │- operator de servicii esenţiale│
├─────┼────────────────────────────────┤
│PEC │- parametru de evaluare │
│ │comparativă │
├─────┼────────────────────────────────┤
│PEP │- parametru de evaluare │
│ │preliminară │
├─────┼────────────────────────────────┤
│PNUC │- punctul naţional unic de │
│ │contact │
├─────┼────────────────────────────────┤
│PSII │- procesul de stabilire a │
│ │impactului incidentelor │
├─────┼────────────────────────────────┤
│ │- valoarea parametrului de │
│V │evaluare comparativă. Valoarea │
│(PEC)│este stabilită prin aceste norme│
│ │(anexa nr. 1 şi 2 la norme). │
├─────┼────────────────────────────────┤
│ │- valoarea medie a parametrilor │
│ │de evaluare. Valoarea este │
│V(PE)│stabilită pe paliere de risc, de│
│ │la 1 la 5, unde 1 reprezintă │
│ │riscul minim, iar 5 riscul │
│ │maxim. │
└─────┴────────────────────────────────┘
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
