Comunica experienta
MonitorulJuridic.ro
În temeiul prevederilor art. 3 lit. d), art. 10 alin. (1) pct. 1 şi art. 12 alin. (3) din Ordonanţa de urgenţă a Guvernului nr. 22/2009 privind înfiinţarea Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii, aprobată prin Legea nr. 113/2010, cu modificările şi completările ulterioare, precum şi ale art. 46, art. 47 alin. (1), (2) şi (4), art. 49 alin. (1) lit. a) şi art. 49^1 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, aprobată cu modificări şi completări prin Legea nr. 140/2012, cu modificările şi completările ulterioare, Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii emite prezenta decizie. ART. 1 Prezenta decizie are ca obiect stabilirea: a) măsurilor tehnice şi organizatorice care trebuie luate de furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului pentru a gestiona în mod corespunzător riscurile la adresa securităţii reţelelor şi serviciilor de comunicaţii electronice; b) circumstanţelor, formatului şi procedurilor aplicabile notificării Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii, denumită în continuare ANCOM, de către furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului, a unui incident de securitate care are un impact semnificativ asupra reţelelor sau serviciilor de comunicaţii electronice. ART. 2 (1) În înţelesul prezentei decizii, următorii termeni se definesc astfel: 1. disponibilitate - proprietatea de a fi accesibil şi utilizabil la cerere de către o entitate autorizată; 2. autenticitate - proprietatea potrivit căreia o entitate este ceea ce pretinde a fi; 3. integritate - proprietatea de a fi exact şi complet; 4. confidenţialitate - proprietatea ca informaţia să nu fie disponibilă sau divulgată persoanelor, entităţilor sau proceselor neautorizate; 5. incident de securitate care are un impact semnificativ - acel incident care atinge cel puţin unul dintre următoarele praguri cantitative sau calitative: a) praguri cantitative: (i) disponibilitate - afectarea, din perspectiva disponibilităţii reţelelor publice de comunicaţii electronice, a serviciilor de comunicaţii electronice destinate publicului, inclusiv a datelor stocate, transmise ori prelucrate sau a serviciilor aferente oferite de reţelele ori serviciile de comunicaţii electronice respective sau accesibile prin intermediul acestora, în cazul a 5.000 de utilizatori, timp de cel puţin 60 de minute, sau în cazul în care se depăşeşte pragul de 500.000 de „ore-utilizator“; (ii) autenticitate, integritate sau confidenţialitate - sunt afectaţi cel puţin 5.000 de utilizatori, indiferent de durata incidentului; b) praguri calitative: (i) incidente care afectează, direct sau indirect, pe o perioadă de cel puţin 15 minute, rutarea comunicaţiilor de urgenţă către Serviciul de urgenţă 112; (ii) incidente cu impact transfrontalier; (iii) incidente care afectează securitatea reţelelor şi serviciilor altui furnizor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului şi îi cauzează acestuia un incident care are un impact semnificativ, în măsura în care această situaţie era cunoscută; 6. măsuri de securitate - mijloace adecvate, obiective şi proporţionale (de natură administrativă, managerială, tehnică sau juridică) de management al riscurilor, incluzând politici, acţiuni, planuri, echipamente, facilităţi, proceduri, procese, practici, tehnici etc., menite să gestioneze în mod corespunzător, să elimine ori să reducă riscurile privind securitatea reţelelor sau a serviciilor de comunicaţii electronice; 7. backup electric fix - o soluţie sau o combinaţie de soluţii tehnice de alimentare cu energie electrică, staţionare, instalate într-o locaţie care găzduieşte echipamente de reţea de comunicaţii electronice, având rolul de asigurare a continuităţii în funcţionare a echipamentelor de reţea, respectiv a serviciilor oferite utilizatorilor prin intermediul echipamentelor respective, în caz de întrerupere a alimentării cu energie electrică din reţeaua de distribuţie; 8. hub de transmisiuni - un element de reţea care concentrează traficul generat de cel puţin alte 8 elemente de reţea (de exemplu, site-uri radio); 9. ore-utilizator - se determină utilizând următoarea formulă: (a se vedea imaginea asociată) (2) În cuprinsul prezentei decizii sunt, de asemenea, aplicabile definiţiile relevante prevăzute la art. 4 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, aprobată cu modificări şi completări prin Legea nr. 140/2012, cu modificările şi completările ulterioare, precum şi la art. 3 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 34/2008 privind organizarea şi funcţionarea Sistemului naţional unic pentru apeluri de urgenţă, aprobată cu modificări şi completări prin Legea nr. 160/2008, cu modificările şi completările ulterioare. ART. 3 (1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a lua toate măsurile de securitate tehnice, inclusiv criptarea, după caz, şi organizatorice adecvate, obiective şi proporţionale pentru a gestiona în mod corespunzător riscurile la adresa securităţii reţelelor şi serviciilor de comunicaţii electronice, astfel încât să asigure un nivel de securitate corespunzător riscului identificat, ţinând seama de stadiul actual al tehnologiei, şi să prevină sau să minimizeze impactul incidentelor de securitate asupra utilizatorilor şi asupra altor reţele şi servicii, precum şi, acolo unde este cazul, de a colabora cu alţi furnizori pentru implementarea acestor măsuri. (2) Măsurile de securitate pe care trebuie să le stabilească şi să le implementeze furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului, astfel încât să îndeplinească obligaţia prevăzută la alin. (1), vor viza cel puţin domeniile şi obiectivele identificate în anexa nr. 1. (3) Atunci când este justificat pe baza evaluării efective a riscurilor, măsurile luate de furnizorii de servicii de comunicaţii interpersonale care nu se bazează pe numere, precum şi de furnizorii de servicii de comunicaţii interpersonale bazate pe numere care nu exercită un control efectiv asupra transmiterii semnalului pot exclude anumite obiective de securitate aferente domeniilor identificate în anexa nr. 1. (4) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului care au un număr de cel puţin 100.000 de conexiuni vor transmite anual către ANCOM, până la data de 10 februarie a fiecărui an, măsurile de securitate existente la data de 31 decembrie a anului anterior raportării, pe structura domeniilor şi obiectivelor de securitate identificate în anexa nr. 1, evidenţiind totodată evoluţiile faţă de raportarea anterioară. (5) Prima raportare în conformitate cu alin. (4) se va realiza până la data de 10 februarie 2025 şi nu va conţine informaţiile referitoare la evoluţia în timp a măsurilor de securitate. (6) Prevederile alin. (4) nu se aplică furnizorilor de servicii de comunicaţii interpersonale care nu se bazează pe numere şi furnizorilor de servicii de comunicaţii interpersonale bazate pe numere care nu exercită un control efectiv asupra transmiterii semnalului. (7) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a evalua şi, dacă este cazul, de a actualiza măsurile prevăzute la alin. (2) ori de câte ori este necesar, însă cel puţin o dată la 12 luni. (8) Atunci când consideră necesar, ANCOM solicită furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului transmiterea, într-un termen stabilit de aceasta, dar care nu poate depăşi 30 de zile de la primirea solicitării, a tuturor informaţiilor necesare evaluării securităţii reţelelor şi serviciilor, inclusiv a documentaţiei ce a stat la baza implementării măsurilor de securitate, precum şi a deciziei de excludere a anumitor obiective de securitate, în cazul furnizorilor prevăzuţi la alin. (3). ART. 4 (1) În vederea creşterii nivelului de securitate a reţelelor şi serviciilor de comunicaţii electronice, furnizorii de reţele publice de comunicaţii electronice care au un număr de cel puţin 100.000 de conexiuni sau care au reţele amplasate pe teritoriul a cel puţin 100 de unităţi administrativ-teritoriale de bază, din cel puţin 20 de judeţe, au obligaţia de a respecta următoarele valori minime ale duratelor de backup electric fix: a) o oră - timp de backup electric fix standard, durată aplicabilă oricărui element de reţea situat în localităţile urbane; b) 3 ore - timp de backup electric fix standard, durată aplicabilă oricărui element de reţea situat în afara localităţilor urbane; c) 6 ore - timp de backup electric fix extins, durată aplicabilă următoarelor elemente de reţea: unităţi centrale de comutaţie/ control, huburi de transmisiuni, elemente de reţea din locaţii cu acces fizic dificil şi locaţii identificate statistic ca având incidenţă sau frecvenţă de apariţie a avariilor electrice ridicată. (2) Capacitatea de backup electric necesară în vederea respectării valorilor de la alin. (1) se va calcula avându-se în vedere puterea maximă absorbită de echipamentul de securizat, aşa cum este aceasta marcată pe echipament sau declarată de producătorul acestuia. (3) În calculul capacităţii de backup electric necesare în vederea respectării valorilor de la alin. (1) se va avea în vedere şi puterea maximă absorbită de sistemele de climatizare, sistemele de supraveghere alarme externe şi sistemele de control-acces. (4) Prin excepţie de la prevederile alin. (3), în calculul capacităţii de backup electric necesare în vederea respectării valorilor de la alin. (1) lit. a) şi b) nu se va avea în vedere puterea maximă absorbită de sistemele de climatizare. (5) Sunt exceptate de la prevederile alin. (1) lit. a) şi b) echipamentele de acces radio din categoriile repetoarelor instalate în interiorul clădirilor, microcelulelor, precum şi echipamentele de reţea fixă instalate în locaţiile utilizatorilor finali sau în proximitatea locaţiilor utilizatorilor finali. (6) Dispoziţiile alin. (5) nu se aplică echipamentelor care oferă servicii specifice tehnologiei mobile aferente reţelelor definite potrivit dispoziţiilor art. 2 lit. f) din Legea nr. 163/2021 privind adoptarea unor măsuri referitoare la infrastructuri informatice şi de comunicaţii de interes naţional şi condiţiile implementării reţelelor 5G, respectiv URLLC şi mMTC. (7) Furnizorii de reţele publice de comunicaţii electronice prevăzuţi la alin. (1) vor transmite în format electronic către ANCOM, până la data de 10 februarie a fiecărui an, lista privind locaţiile încadrabile la data de 31 decembrie a anului anterior în categoria specificată la alin. (1) lit. c). (8) Prima raportare în conformitate cu alin. (7) se va realiza până la data de 10 februarie 2025. ART. 5 (1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a transmite ANCOM o notificare privind existenţa unui incident de securitate care are un impact semnificativ. (2) În aplicarea alin. (1), furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a transmite ANCOM o notificare iniţială, până cel târziu la ora 13.00 a zilei lucrătoare următoare celei în care a fost detectat incidentul de securitate care are un impact semnificativ, cu excepţia incidentelor care afectează mai mult de 100.000 de utilizatori, care vor fi notificate până cel târziu la ora 13.00 a zilei calendaristice următoare celei în care a fost detectat incidentul. (3) Notificarea iniţială prevăzută la alin. (2) se transmite ca înscris în formă electronică la adresa de poştă electronică incidente@ancom.ro şi va cuprinde cel puţin următoarele elemente: a) data şi ora detectării incidentului; b) serviciile şi/sau reţelele de comunicaţii electronice care sunt afectate de incident; c) estimarea ariei geografice afectate, a numărului de utilizatori afectaţi, precum şi a efectelor incidentului asupra reţelelor şi serviciilor altor furnizori, pe piaţa naţională de comunicaţii electronice sau pe cea din alt stat membru al Uniunii Europene; d) estimarea efectelor în ceea ce priveşte rutarea comunicaţiilor de urgenţă către Serviciul de urgenţă 112; e) o descriere sumară a cauzei/cauzelor care a/au provocat incidentul; f) estimarea graficului şi a măsurilor de restabilire a furnizării reţelelor şi serviciilor de comunicaţii electronice în parametri normali de funcţionare; g) informaţiile oferite de furnizor utilizatorilor, inclusiv îndrumări în vederea minimizării efectelor incidentului, dacă este cazul. (4) Notificarea iniţială prevăzută la alin. (2) se transmite de către una dintre persoanele responsabile prevăzute la art. 7, iar, în cazul furnizorilor care au sub 5.000 de utilizatori, aceasta se va realiza de către reprezentantul legal sau de către un împuternicit al acestuia, care transmite în acelaşi timp şi dovada calităţii de împuternicit al furnizorului. (5) Este considerată dată a transmiterii înscrisului în formă electronică data confirmării primirii de către ANCOM a acestui înscris. ANCOM asigură fără întârziere şi în mod automat confirmarea primirii înscrisului în formă electronică transmis la adresa de poştă electronică prevăzută la alin. (3). (6) În situaţia în care confirmarea primirii unui înscris în formă electronică nu s-a realizat în condiţiile alin. (5), este considerată dată a transmiterii data la care înscrisul în formă electronică a fost primit, astfel cum este aceasta atestată de calculatorul de primire al ANCOM. (7) În aplicarea alin. (1), furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a transmite ANCOM o notificare finală privind existenţa unui incident de securitate care are un impact semnificativ, în termen de două săptămâni de la detectarea acestuia, completând informaţiile aferente prin aplicaţia informatică prevăzută de dispoziţiile art. 5 alin. (1) din Decizia preşedintelui Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii nr. 336/2013 privind mijloacele şi modalitatea de transmitere de către furnizori a unor documente, date sau informaţii către Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii, cu modificările şi completările ulterioare, prevederile acesteia fiind aplicabile în mod corespunzător. (8) În cazul în care, la momentul transmiterii notificării finale prevăzute la alin. (7), furnizorii nu au disponibile toate informaţiile prevăzute de câmpurile din aplicaţia informatică, aceştia au obligaţia de a transmite o notificare suplimentară cu informaţiile respective, completând câmpurile lipsă, imediat ce informaţiile sunt disponibile, dar nu mai târziu de 4 săptămâni de la detectarea incidentului de securitate care are un impact semnificativ. Dispoziţiile alin. (7) se aplică în mod corespunzător. (9) În situaţia în care un incident a fost finalizat şi se cunosc toate informaţiile cu privire la incident până la ora transmiterii notificării iniţiale, furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului pot raporta incidentul direct în aplicaţia informatică prevăzută la alin. (7), completând informaţiile aferente unei notificări finale. (10) Câmpurile din aplicaţia informatică prevăzută la alin. (7) au la bază formularul-tip de raportare prevăzut în anexa nr. 2, iar completarea se face cu respectarea instrucţiunilor specificate în anexa nr. 3. (11) Notificarea finală, precum şi notificarea suplimentară prevăzute la alin. (7), respectiv la alin. (8) se transmit ANCOM ca înscris în formă electronică căruia i s-a încorporat, ataşat ori asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat nesuspendat sau nerevocat la data transmiterii şi generată cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice. ART. 6 (1) Ca urmare a primirii notificării iniţiale prevăzute la art. 5 alin. (2) şi atunci când consideră că este în interesul public, ANCOM poate informa publicul cu privire la existenţa unui incident de securitate care are un impact semnificativ, prin intermediul paginii de internet a ANCOM şi/sau prin orice alte mijloace, sau poate solicita furnizorului să informeze publicul în acest sens. (2) La solicitarea ANCOM, furnizorul de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului are obligaţia de a asigura informarea publicului cu privire la existenţa situaţiei prevăzute la alin. (1) cel puţin prin una dintre următoarele modalităţi: a) prin intermediul unei secţiuni speciale pe pagina principală a propriei pagini de internet, cu menţinerea acestei informări în aceste condiţii cel puţin până la remedierea incidentului de securitate care are un impact semnificativ; b) prin canalul propriu de televiziune; c) prin intermediul poştei electronice; d) prin intermediul serviciului de mesagerie scurtă; e) prin mass-media. (3) În cazul în care ANCOM nu a stabilit prin solicitarea prevăzută la alin. (2) modalităţile şi condiţiile pentru a se asigura informarea publicului, furnizorul de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului va realiza informarea cel puţin prin una dintre modalităţile prevăzute la alin. (2). ART. 7 Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului care au un număr de cel puţin 5.000 de utilizatori au obligaţia de a transmite ANCOM datele de contact ale persoanelor responsabile de notificarea iniţială a incidentelor de securitate care au un impact semnificativ în conformitate cu dispoziţiile art. 5, în termen de 5 zile de la intrarea în vigoare a prezentei decizii, precum şi orice modificare a acestor date, în termen de 5 zile de la survenirea modificărilor. ART. 8 (1) În vederea creării unui cadru de cooperare în domeniul securităţii reţelelor şi serviciilor de comunicaţii electronice se înfiinţează Grupul consultativ pentru securitatea comunicaţiilor electronice. (2) Grupul prevăzut la alin. (1) are rol consultativ, va asigura o comunicare mai facilă şi rapidă între ANCOM şi furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului pe diverse teme ce ţin de domeniul securităţii reţelelor şi serviciilor de comunicaţii electronice, identificarea unor soluţii la probleme punctuale ce pot apărea, îmbunătăţirea şi promovarea continuă a securităţii reţelelor şi serviciilor de comunicaţii electronice, diseminarea diverselor aspecte de securitate, inclusiv cele referitoare la incidente. (3) Grupul prevăzut la alin. (1) este format din reprezentanţi ai ANCOM şi reprezentanţi ai furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului care au un număr de cel puţin 100.000 de conexiuni. Un furnizor va fi reprezentat de cel puţin un expert tehnic în domeniu. (4) Furnizorii menţionaţi la alin. (3) vor desemna şi vor comunica ANCOM datele de contact ale reprezentantului în grupul prevăzut la alin. (1) în termen de 30 de zile de la intrarea în vigoare a prezentei decizii, precum şi orice modificare a acestor date, în termen de 5 zile de la survenirea acesteia. (5) Prevederile prezentului articol nu se aplică furnizorilor de servicii de comunicaţii interpersonale care nu se bazează pe numere şi furnizorilor de servicii de comunicaţii interpersonale bazate pe numere care nu exercită un control efectiv asupra transmiterii semnalului. (6) La întâlnirile grupului prevăzut la alin. (1) vor putea fi invitaţi să participe şi reprezentanţi ai altor entităţi - autorităţi, instituţii publice, persoane juridice de drept public sau privat şi asociaţii de profil care reprezintă interesele furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului, care nu îndeplinesc criteriile de la alin. (3). ART. 9 (1) Documentele prevăzute la art. 3 alin. (4) şi (8), art. 4 alin. (7), art. 7, art. 8 alin. (4) transmise către ANCOM trebuie să fie semnate de reprezentantul legal al furnizorului, iar transmiterea se efectuează către adresa de poştă electronică securitate@ancom.ro, numai ca înscris în formă electronică, căruia i s-a încorporat, ataşat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv şi generată cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice. (2) Documentele prevăzute la art. 3 alin. (4) şi (8) şi art. 4 alin. (7) se vor transmite şi în format editabil. (3) Este considerată dată a transmiterii înscrisului în formă electronică data confirmării primirii de către ANCOM a acestui înscris. ANCOM asigură fără întârziere şi în mod automat confirmarea primirii înscrisului în formă electronică transmis la adresa de poştă electronică prevăzută la alin. (1). (4) În situaţia în care confirmarea primirii unui înscris în formă electronică nu s-a realizat în condiţiile alin. (3), este considerată dată a transmiterii data la care înscrisul în formă electronică a fost primit, astfel cum este aceasta atestată de calculatorul de primire al ANCOM. ART. 10 Anexele nr. 1-3 fac parte integrantă din prezenta decizie. ART. 11 (1) Prezenta decizie se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data publicării, cu excepţia prevederilor art. 3, care intră în vigoare în termen de 3 luni de la data publicării prezentei decizii în Monitorul Oficial al României, Partea I, şi a prevederilor art. 4, care intră în vigoare în termen de 18 luni de la data publicării prezentei decizii în Monitorul Oficial al României, Partea I. (2) La data intrării în vigoare a prezentei decizii, Decizia preşedintelui Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii nr. 512/2013 privind stabilirea măsurilor minime de securitate ce trebuie luate de către furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului şi raportarea incidentelor cu impact semnificativ asupra furnizării reţelelor şi serviciilor de comunicaţii electronice, publicată în Monitorul Oficial al României, Partea I, nr. 517 din 19 august 2013, se abrogă, cu excepţia prevederilor art. 3 alin. (1), (3) şi (4) şi ale anexei nr. 1, care îşi vor înceta aplicabilitatea la data intrării în vigoare a prevederilor art. 3 din prezenta decizie. Preşedintele Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii, Valeriu Ştefan Zgonea Bucureşti, 1 februarie 2024. Nr. 70. ANEXA 1 DOMENIILE vizate de măsurile de securitate Domeniul I. Politica de securitate şi managementul riscului Obiective de securitate Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia: 1. să stabilească o politică de securitate adecvată; 2. să stabilească un management al riscului care: a) să stabilească domeniul de aplicare, precum şi criteriile de bază necesare procesului de management al riscului (criteriul de evaluare a riscului, criteriul de stabilire a impactului, criteriul de acceptare a riscului); b) să identifice riscurile, prin identificarea resurselor, ameninţărilor, vulnerabilităţilor, măsurilor existente şi a consecinţelor pe care incidentele de securitate le-ar putea avea asupra resurselor şi să se asigure că personalul de conducere este informat în mod corespunzător despre aceste riscuri, dar şi despre măsurile de reducere a lor; în cazul reţelelor definite la art. 2 lit. f) din Legea nr. 163/2021 privind adoptarea unor măsuri referitoare la infrastructuri informatice şi de comunicaţii de interes naţional şi condiţiile implementării reţelelor 5G, se vor avea în vedere, totodată, potenţiale riscuri cauzate de expunerea la terţe părţi considerate a prezenta un grad de risc ridicat ori dependenţa de un singur producător; c) să analizeze riscurile prin estimarea impactului pe care îl poate avea concretizarea unei ameninţări care exploatează o vulnerabilitate a unei resurse şi prin estimarea probabilităţii de apariţie a incidentelor; d) să evalueze riscul; e) să evalueze opţiunile de tratare a riscului, să selecteze măsuri pentru tratarea riscului cu fixarea obiectivelor acestor măsuri şi să justifice riscurile acceptate care nu îndeplinesc criteriul de acceptare a riscului; f) să se asigure că riscurile reziduale sunt acceptate de personalul de conducere; 3. să stabilească o structură adecvată a rolurilor şi responsabilităţilor în asigurarea securităţii reţelelor şi serviciilor, să informeze personalul despre rolurile şi responsabilităţile în asigurarea securităţii reţelelor şi serviciilor, precum şi despre cazurile şi modalităţile în care se pot contacta persoanele responsabile; 4. să stabilească o politică cu privire la cerinţele de securitate atât pentru achiziţionarea de produse şi servicii identificate ca fiind relevante din punctul de vedere al securităţii şi a căror afectare poate conduce la incidente de securitate (echipamente, servicii IT, software, interconectare, baze de date, facilităţi asociate etc.), cât şi pentru asigurarea întreţinerii sau gestiunii de către terţe părţi a acestor produse şi servicii; 5. să includă cerinţe de securitate în contractele pentru achiziţionarea de la terţe părţi de produse şi servicii identificate ca fiind relevante din punctul de vedere al securităţii şi a căror afectare poate conduce la incidente de securitate şi pentru asigurarea întreţinerii sau gestiunii de către terţe părţi a acestor produse şi servicii, inclusiv în ceea ce priveşte confidenţialitatea şi transferul securizat al informaţiei, să ţină evidenţa incidentelor de securitate cauzate de terţe părţi, să ia măsuri pentru a reduce riscurile reziduale care nu au fost adresate de terţele părţi sau sunt rezultate din interacţiunea cu acestea; 6. în ceea ce priveşte reţelele definite la art. 2 lit. f) din Legea nr. 163/2021, să includă în politica privind cerinţele de securitate pentru achiziţionarea de la terţe părţi de produse şi servicii identificate ca fiind relevante din punctul de vedere al securităţii şi a căror afectare poate conduce la incidente de securitate şi pentru asigurarea întreţinerii sau gestiunii de către terţe părţi a acestor produse şi servicii cel puţin următoarele elemente: a) referitor la echipamentele identificate ca fiind relevante din punctul de vedere al securităţii şi a căror afectare poate conduce la incidente de securitate, obligaţia achiziţionării unor echipamente puse la dispoziţie de terţele părţi, precum şi a proceselor şi serviciilor acestora [procese TIC, servicii TIC, produse TIC, echipamente din componenţa reţelelor definite la art. 2 lit. f) din Legea nr. 163/2021, servicii cloud etc.] certificate în conformitate cu sistemele europene de certificare aplicabile, în cazul în care astfel de sisteme de certificare prevăzute de Regulamentul (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) sunt obligatorii în temeiul dreptului naţional sau european; b) obligaţia de a depune diligenţele necesare pentru a se asigura că terţii respectă standardele relevante în proiectarea şi fabricarea echipamentelor, precum şi în gestionarea ciclului de viaţă al acestora; c) prezentarea documentelor justificative de către terţi care să ateste că aceştia au depus diligenţele necesare în vederea asigurării nivelului de calitate al proceselor interne de securitate aplicabile, inclusiv asigurarea securităţii prin proiectare (security by design), integrată în procesul de dezvoltare a produsului; d) furnizarea de către terţi a garanţiilor şi documentelor justificative care să ateste că aceştia au depus diligenţele necesare în ceea ce priveşte implementarea tuturor funcţionalităţilor de securitate conform standardelor relevante şi că în produsele pe care le pun la dispoziţie nu există vulnerabilităţi introduse şi/sau omise voit; aceştia vor informa imediat despre vulnerabilităţi de îndată ce acestea devin cunoscute; e) obligaţia de a depune diligenţele necesare pentru a se asigura că terţii asigură protecţia adecvată şi nedivulgarea oricăror informaţii confidenţiale despre beneficiarii echipamentelor, serviciilor, lucrărilor sau a altor informaţii confidenţiale către alte entităţi; f) obligaţia de a depune diligenţele necesare pentru a se asigura că terţii vor oferi asistenţă în investigarea şi remedierea incidentelor de securitate şi posibilitatea de a colabora în vederea efectuării unor eventuale teste periodice de securitate şi de penetrare ale produselor pe care le pun la dispoziţie. Domeniul II. Securitatea resurselor umane Obiective de securitate Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia: 1. să stabilească un proces privind verificarea de fond a candidaţilor pentru angajare, a contractorilor şi a terţilor în conformitate cu legile aplicabile, reglementări şi etică, proporţionale cu riscurile percepute, şi să efectueze, în baza procesului menţionat, controale de verificare de fond a candidaţilor pentru angajare, a contractorilor şi a terţilor; 2. să se asigure că personalul are cunoştinţe suficiente de securitate şi este instruit permanent cu privire la securitatea reţelelor şi serviciilor, inclusiv prin implementarea unor programe de instruire regulată în domeniul securităţii reţelelor şi serviciilor de comunicaţii electronice, precum şi să pună la dispoziţia personalului materiale şi documentaţii suport actualizate; 3. să stabilească un proces corespunzător de gestionare a schimbărilor de personal sau a modificărilor de roluri şi responsabilităţi, care să cuprindă inclusiv aspecte privind revocarea drepturilor de acces, predarea echipamentelor dacă nu mai sunt necesare, precum şi instruirea personalului în cazul schimbărilor responsabilităţilor în cadrul organizaţiei; 4. să stabilească un proces disciplinar pentru angajaţii care produc o încălcare a securităţii reţelelor sau serviciilor de comunicaţii electronice. Domeniul III. Securitatea reţelelor şi serviciilor, a facilităţilor asociate şi a informaţiilor Obiective de securitate Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia: 1. să stabilească o securitate fizică şi de mediu adecvată a reţelei şi a facilităţilor asociate, care să includă: stabilirea şi menţinerea unor măsuri de securitate care să protejeze în mod corespunzător împotriva accesului fizic neautorizat, a distrugerilor provocate de incendii, inundaţii, cutremure, explozii, tulburări publice şi alte forme de dezastre naturale sau provocate de oameni; 2. în ceea ce priveşte reţelele definite la art. 2 lit. f) din Legea nr. 163/2021, să stabilească măsuri de securitate suplimentare pentru accesul fizic la reţea şi la facilităţile asociate, în conformitate cu importanţa obiectivului protejat; măsurile de securitate vor ţine cont de riscurile specifice acestor reţele, inclusiv de cele generate de accesul părţilor terţe; 3. să stabilească o securitate adecvată a utilităţilor suport, cum ar fi furnizarea de energie electrică, combustibil sau răcirea echipamentelor, cel puţin prin: implementarea unor măsuri prin care să se asigure securitatea adecvată a utilităţilor suport, dar şi a facilităţilor conexe, proiectarea şi dimensionarea acestora, astfel încât să fie în acord cu cerinţele şi specificaţiile producătorilor de echipamente; 4. să stabilească măsuri de securitate adecvate pentru accesul logic la reţea şi la sistemele informatice, care să prevadă cel puţin: a) implementarea unor mecanisme de control al accesului logic pe baza unor identificatori unici; b) managementul drepturilor de acces, definirea rolurilor, a drepturilor de acces şi a responsabilităţilor, mecanismele de autentificare adecvate tipului de acces solicitat, precum şi monitorizarea accesului, procesele privind aprobarea excepţiilor şi înregistrarea fraudelor; c) măsurile de securitate privind accesul logic al terţilor, de la distanţă, la resurse, aplicarea principiului „privilegiilor minime“, a principiului „separării sarcinilor“, monitorizarea continuă a accesului, aplicarea autentificării bazate pe tehnologii de ultimă generaţie; 5. în ceea ce priveşte reţelele definite la art. 2 lit. f) din Legea nr. 163/2021, se vor implementa măsuri de securitate suplimentare pentru accesul logic care vor ţine cont de riscurile specifice ale acestor reţele. Controlul strict al accesului şi/sau restricţionarea accesului vor fi avute în vedere în cazul terţilor sau furnizorilor de servicii gestionate (entităţile care furnizează servicii legate de instalarea, gestionarea, funcţionarea sau întreţinerea produselor, reţelelor, infrastructurii, aplicaţiilor TIC sau a oricăror alte reţele şi sisteme informatice, prin intermediul asistenţei sau al administrării active efectuate fie la sediul clienţilor, fie la distanţă) care sunt consideraţi de risc ridicat sau care accesează din ţări din afara Uniunii Europene reţelele şi sistemele informatice; 6. să stabilească măsuri de securitate adecvate, pentru a asigura protecţia reţelelor şi serviciilor de comunicaţii electronice împotriva codurilor cu potenţial dăunător, a codurilor mobile neautorizate şi a atacurilor informatice, inclusiv DoS/DDoS, malware; 7. să aplice măsuri de securitate adecvate în cazul managementului actualizărilor, corecţiilor software, dar şi în cazul traficului de management şi de semnalizare, în vederea prevenirii intervenţiilor neautorizate în cadrul reţelei sau componentelor acesteia; 8. să asigure utilizarea adecvată a criptării datelor în timpul stocării sau a transmiterii lor prin reţea pentru a preveni incidentele de securitate şi/sau pentru a minimiza impactul acestora asupra utilizatorilor finali sau a altor reţele sau servicii de comunicaţii electronice; 9. să asigure protecţia adecvată a cheilor criptografice şi a oricăror alte informaţii de autentificare pentru a nu fi divulgate sau alterate, iar accesul la cheile private să fie monitorizat şi controlat. Domeniul IV. Managementul operaţiunilor Obiective de securitate Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia: 1. să stabilească proceduri operaţionale şi responsabilităţi adecvate şi să se asigure că toate sistemele necesare furnizării reţelelor şi serviciilor de comunicaţii electronice sunt gestionate conform acestor proceduri operaţionale; 2. să stabilească proceduri privind managementul schimbărilor efectuate în reţeaua de comunicaţii electronice, inclusiv schimbările software, şi să se asigure că acestea sunt realizate conform procedurilor adoptate; 3. să întocmească şi să păstreze cel puţin un an jurnale care să conţină informaţiile relevante referitoare la schimbările de la pct. 2, inclusiv în cazul schimbărilor software (evidenţa schimbărilor, a corecţiilor, a actualizărilor etc.); 4. să efectueze evaluări prealabile ale impactului potenţial al unei schimbări de sistem; 5. să stabilească proceduri de gestionare a resurselor identificate ca fiind relevante din punctul de vedere al securităţii şi a căror afectare poate conduce la incidente de securitate şi controlul configurării astfel încât disponibilitatea şi starea acestora să fie verificată, care să includă: a) identificarea şi inventarierea resurselor identificate ca fiind relevante din punctul de vedere al securităţii şi a căror afectare poate conduce la incidente de securitate, inclusiv cele ale unor terţe părţi, întocmirea de registre actualizate care să conţină detalii despre tehnologiile şi componentele puse în funcţiune, dependenţa între aceste resurse, precum şi identificarea configurărilor sistemelor; b) stabilirea proprietarilor resurselor identificate ca fiind relevante din punctul de vedere al securităţii şi a căror afectare poate conduce la incidente de securitate, definirea rolurilor, responsabilităţilor; c) evaluarea de criticitate a resurselor identificate ca fiind relevante din punctul de vedere al securităţii şi a căror afectare poate conduce la incidente de securitate bazată pe evaluarea de risc. Domeniul V. Managementul incidentelor Obiective de securitate Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia: 1. să stabilească procese şi proceduri pentru managementul incidentelor care afectează securitatea reţelelor şi serviciilor de comunicaţii electronice care să vizeze raportarea internă, evaluarea, răspunsul la incidente şi escaladarea acestora, inclusiv prin definirea rolurilor şi responsabilităţilor; 2. să se asigure de pregătirea adecvată, existenţa şi disponibilitatea personalului pentru managementul incidentelor care afectează securitatea reţelelor şi serviciilor de comunicaţii electronice; 3. să stabilească şi să implementeze procese şi sisteme de detectare a incidentelor de securitate şi a evenimentelor care pot conduce la incidente; 4. în ceea ce priveşte reţelele definite la art. 2 lit. f) din Legea nr. 163/2021, centrele de operaţiuni de reţea şi/sau centrele de operaţiuni de securitate vor funcţiona pe teritoriul naţional şi/sau pe teritoriul Uniunii Europene; acestea ar trebui să asigure vizibilitatea şi monitorizarea componentelor reţelei respective pentru a detecta evenimente de securitate şi pentru a identifica şi preveni ameninţări; 5. să stabilească o procedură adecvată de raportare a incidentelor către Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii (ANCOM), precum şi către alte autorităţi responsabile şi să stabilească planuri de comunicare a incidentelor către alte părţi externe (furnizori de reţele şi servicii de comunicaţii electronice afectaţi, media, clienţi, parteneri de afaceri etc.); 6. să stabilească procese şi proceduri pentru restabilirea prioritară a serviciilor ce contribuie la realizarea comunicaţiilor de urgenţă. Domeniul VI. Managementul continuităţii afacerii Obiective de securitate Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia: 1. să stabilească o strategie pentru asigurarea continuităţii furnizării reţelelor şi serviciilor de comunicaţii electronice în situaţiile generate de perturbări grave ale funcţionării reţelei sau serviciului; aceasta va include şi măsuri privind asigurarea rezilienţei lanţului de aprovizionare cu echipamente şi software necesare furnizării reţelelor şi serviciilor de comunicaţii; 2. să deţină capabilităţi de implementare a strategiei de continuitate şi să stabilească planuri de continuitate şi de recuperare; 3. în ceea ce priveşte reţelele definite la art. 2 lit. f) din Legea nr. 163/2021, planurile de continuitate şi de recuperare să aibă în vedere suplimentar: - dependenţa de alte sectoare şi servicii critice a căror afectare poate impacta direct sau indirect securitatea reţelelor şi serviciilor; – afectarea altor sectoare şi servicii critice dependente de continuitatea furnizării reţelelor şi serviciilor de comunicaţii electronice; 4. să stabilească o strategie pentru asigurarea accesului neîntrerupt la comunicaţiile de urgenţă. Domeniul VII. Monitorizare, testare şi audit Obiective de securitate Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia: 1. să stabilească politici de monitorizare a sistemelor, precum şi politici privind jurnalele de sistem care să asigure vizibilitate adecvată, să detecteze anomalii, să identifice şi să prevină ameninţări, inclusiv în ceea ce priveşte asigurarea comunicaţiilor de urgenţă; 2. să stabilească politici pentru testarea, inclusiv prin exerciţii, a planurilor de continuitate şi de recuperare în cazul perturbărilor grave ale funcţionării reţelei sau serviciului, având în vedere scenarii realiste care să acopere cât mai multe situaţii posibile; în urma analizei rezultatelor vor fi luate măsurile corespunzătoare; 3. să stabilească politici pentru testarea echipamentelor, sistemelor, software-lor şi corecţiilor software înainte de conectarea/punerea lor în funcţiune/implementarea lor; 4. să stabilească o politică adecvată pentru evaluarea şi testarea securităţii tuturor resurselor (echipamente, sisteme şi software etc.); 5. să stabilească o politică pentru monitorizarea conformităţii şi pentru audit, cu un proces de raportare a conformităţii şi de rezolvare a deficienţelor constatate în timpul auditului; în cazul reţelelor definite la art. 2 lit. f) din Legea nr. 163/2021, politica pentru monitorizarea conformităţii va cuprinde aplicarea măsurilor de securitate din standardele relevante. Domeniul VIII. Conştientizarea ameninţărilor Obiective de securitate Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia: 1. să stabilească şi să implementeze procese de monitorizare, colectare şi analiză continuă a informaţiilor despre ameninţările relevante la adresa securităţii reţelelor şi serviciilor de comunicaţii electronice; 2. să ia măsuri adecvate de atenuare şi prevenire a ameninţărilor relevante la adresa securităţii reţelelor şi serviciilor de comunicaţii electronice. ANEXA 2 FORMULAR DE RAPORTARE a incidentelor cu impact semnificativ asupra reţelelor şi serviciilor de comunicaţii electronice (disponibilitate, confidenţialitate, integritate sau autenticitate) 1. Furnizor: ............................... 2. Data şi ora: – Data şi ora la care s-a produs incidentul - data: .................... ora: ..................; – Data şi ora la care s-a descoperit incidentul - data: .................... ora: ..................; 3. Dimensiunea afectată a securităţii: [ ] disponibilitate; [ ] autenticitate; [ ] integritate; [ ] confidenţialitate. 4. Incidentul este repetitiv: [ ] Da (Specificaţi data ultimei apariţii.): ....................; [ ] Nu. 5. Pragurile depăşite: [ ] Incidentul a afectat mai mult de 5.000 de utilizatori timp de cel puţin 60 de minute sau a fost depăşit pragul de 500.000 de ore-utilizator. [ ] Incidentul a afectat direct sau indirect, pe o perioadă de cel puţin 15 minute, rutarea comunicaţiilor de urgenţă către Serviciul de urgenţă 112. [ ] Incidentul a avut impact transfrontalier. [ ] Incidentul a afectat securitatea reţelelor şi serviciilor altui furnizor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului şi i-a cauzat acestuia un incident care are un impact semnificativ, în măsura în care această situaţie este cunoscută. 6. Impactul incidentului: - numărul de utilizatori afectaţi pentru fiecare serviciu: ....................; – durata incidentului (minute): ....................; – aria/răspândirea geografică: – numărul judeţelor afectate: ....................; – denumirea judeţelor afectate: .................... . 7. Descrierea incidentului: ........................................ 8. Acţiunile de răspuns: ........................................ 9. Măsurile luate sau planificate pentru a împiedica producerea unui incident similar, inclusiv momentul când acestea au fost/vor fi luate, precum şi lecţiile învăţate: .......................................................... 10. Alţi furnizori de reţele şi servicii de comunicaţii electronice afectaţi: [ ] Da (Specificaţi numele furnizorului/furnizorilor.): ....................; [ ] Nu. 11. Persoana de contact: ...................................... ANEXA 3 INSTRUCŢIUNI DE COMPLETARE a formularului de raportare a incidentelor cu impact semnificativ asupra reţelelor şi serviciilor de comunicaţii electronice
┌──────────────────────────────────────────────┐
│1. Furnizor │
├──────────────────────────────────────────────┤
│Se va completa cu denumirea furnizorului care │
│trimite raportul către Autoritatea Naţională │
│pentru Administrare şi Reglementare în │
│Comunicaţii (ANCOM). │
├──────────────────────────────────────────────┤
│2. Data şi ora │
├────────────┬─────────────────────────────────┤
│Data şi ora │ │
│la care s-a │Se vor completa data şi ora la │
│produs │care s-a produs incidentul, │
│incidentul. │respectiv la care s-a descoperit │
├────────────┤incidentul. Formatul de │
│Data şi ora │introducere a datei va fi de │
│la care s-a │tipul zz.ll.aaaa. │
│descoperit │ │
│incidentul. │ │
├────────────┴─────────────────────────────────┤
│3. Dimensiunea afectată a securităţii │
├──────────────────────────────────────────────┤
│Se va bifa dimensiunea securităţii care a fost│
│afectată de incident (disponibilitatea, │
│autenticitatea, integritatea sau │
│confidenţialitatea). │
│Cele patru opţiuni au în vedere noua definiţie│
│a securităţii reţelelor şi serviciilor - │
│„capacitatea reţelelor şi serviciilor de │
│comunicaţii electronice de a rezista, la un │
│anumit nivel de încredere, oricărei acţiuni │
│care afectează disponibilitatea, │
│autenticitatea, integritatea sau │
│confidenţialitatea acestor reţele şi servicii,│
│a datelor stocate, transmise ori prelucrate │
│sau a serviciilor aferente oferite de reţelele│
│ori serviciile de comunicaţii electronice │
│respective sau accesibile prin intermediul │
│acestora.“ │
├──────────────────────────────────────────────┤
│4. Incidentul este repetitiv │
├──────────────────────────────────────────────┤
│Se va bifa dacă un incident este repetitiv sau│
│nu. În cazul în care este repetitiv se va/vor │
│specifica data/datele (de tipul zz.ll.aaaa) │
│precedentelor apariţii. │
│Un incident repetitiv se defineşte ca acel │
│incident de securitate care are un impact │
│semnificativ şi care cumulează următoarele 3 │
│caracteristici: │
│a) afectează aceleaşi resurse; │
│b) are aceeaşi cauză; │
│c) a mai fost raportat în precedentele 12 │
│luni. │
├──────────────────────────────────────────────┤
│5. Pragurile depăşite │
├──────────────────────────────────────────────┤
│Conform obligaţiilor de raportare a │
│incidentelor, acestea vor fi notificate în │
│situaţia depăşirii unuia dintre pragurile │
│următoare, indiferent dacă acesta este │
│cantitativ sau calitativ. Se vor bifa una sau │
│mai multe dintre opţiunile următoare: │
│[ ] Incidentul a afectat mai mult de 5.000 de │
│utilizatori timp de cel puţin 60 de minute sau│
│a fost depăşit pragul de 500.000 de │
│ore-utilizator. │
│Incidentele care afectează disponibilitatea │
│sunt raportabile folosind pragurile de număr │
│de utilizatori şi timp (mai mult de 5.000 de │
│utilizatori timp de cel puţin 60 de minute sau│
│500.000 de ore-utilizator), pe când cele care │
│afectează autenticitatea, integritatea sau │
│confidenţialitatea sunt raportabile folosind │
│doar pragul de număr de utilizatori (mai mult │
│de 5.000 de utilizatori), indiferent de durata│
│incidentului. │
│Pragul ore-utilizator se calculează folosind │
│formula: │
│Ore-utilizator = (număr de utilizatori │
│afectaţi x durată incident, exprimată în │
│minute)/60 │
│[ ] Incidentul a afectat direct sau indirect, │
│pe o perioadă de cel puţin 15 minute, rutarea │
│comunicaţiilor de urgenţă către Serviciul de │
│urgenţă 112 - în situaţia în care un incident │
│împiedică rutarea traficului către 112, acesta│
│se va notifica. Pentru clarificare, │
│incidentele care afectează serviciul de │
│comunicaţii de voce şi, implicit, apelarea │
│către numărul unic pentru apeluri de urgenţă │
│112 nu vor fi raportate conform acestui prag, │
│ci conform pragului cantitativ. │
│[ ] Incidentul a avut impact transfrontalier -│
│în situaţia în care un incident afectează │
│utilizatori ai unor furnizori de reţele │
│publice de comunicaţii electronice sau de │
│servicii de comunicaţii electronice destinate │
│publicului din afara graniţelor României, │
│acesta va fi notificat. │
│[ ] Incidentul a afectat securitatea reţelelor│
│şi serviciilor altui furnizor de reţele │
│publice de comunicaţii electronice sau de │
│servicii de comunicaţii electronice destinate │
│publicului şi i-a cauzat acestuia un incident │
│care are un impact semnificativ, în măsura în │
│care această situaţie este cunoscută - în │
│situaţia în care un incident din reţeaua │
│proprie afectează un furnizor partener şi îi │
│provoacă acestuia un incident care are un │
│impact semnificativ, acest incident va fi │
│notificat, indiferent dacă este atins sau nu │
│un prag cantitativ în reţeaua proprie. │
├──────────────────────────────────────────────┤
│6. Impactul incidentului │
├────────────┬─────────────────────────────────┤
│ │Se va specifica numărul de │
│ │utilizatori afectaţi de incident │
│ │pe fiecare tip de serviciu │
│ │afectat în parte. │
│Numărul de │NOTĂ: │
│utilizatori │În cazul în care incidentul │
│afectaţi de │afectează alte dimensiuni ale │
│incident │securităţii, în afară de │
│ │disponibilitate, este necesară │
│ │specificarea numărului de │
│ │utilizatori, precum şi o │
│ │descriere a ce anume a fost │
│ │afectat. │
├────────────┼─────────────────────────────────┤
│ │Se va specifica intervalul de │
│ │timp dintre momentul în care │
│ │serviciul începe să se degradeze │
│ │sau s-a întrerupt şi momentul în │
│ │care acesta este restabilit la │
│ │parametrii iniţiali. Timpul va fi│
│ │exprimat în minute. │
│Durata │În situaţia unui incident ce │
│incidentului│afectează autenticitatea, │
│ │integritatea sau │
│ │confidenţialitatea, durata va fi │
│ │măsurată ca intervalul de timp │
│ │dintre ora (estimată) a │
│ │producerii breşei de securitate │
│ │şi ora rezolvării sau încheierii │
│ │acesteia. │
├────────────┼─────────────────────────────────┤
│ │Se vor specifica informaţiile │
│Aria/ │aferente celor două elemente: │
│Răspândirea │- numărul judeţelor afectate: │
│geografică │............................. │
│ │- denumirea judeţelor afectate: │
│ │.................................│
├────────────┴─────────────────────────────────┤
│7. Descrierea incidentului │
├──────────────────────────────────────────────┤
│Se va completa cu orice informaţii şi detalii │
│relevante disponibile. Descrierea va fi sub │
│formă de text şi va cuprinde în mod │
│obligatoriu cel puţin următoarele elemente: │
│succesiunea evenimentelor care au dus la │
│incident, tehnologia/protocolul afectată/ │
│afectat de incident, cauza incidentului (atât │
│cauza principală, cât şi cea subsecventă, │
│incluzând şi cauzele tehnice), resursele │
│afectate de incident, localizarea │
│echipamentelor afectate în cadrul reţelei şi │
│nivelul la care componentele au fost afectate.│
├──────────────────────────────────────────────┤
│8. Acţiunile de răspuns │
├──────────────────────────────────────────────┤
│Câmpul va cuprinde măsurile de securitate │
│implementate până la momentul producerii │
│incidentului şi descrierea detaliată a │
│acţiunilor de răspuns, inclusiv momentele în │
│care au fost acestea realizate. Spre exemplu, │
│se vor detalia acţiunile întreprinse pentru a │
│aduce serviciul la un nivel acceptabil, precum│
│şi pentru a restabili serviciul la parametrii │
│iniţiali, în cazul afectării disponibilităţii,│
│acţiunile întreprinse în ceea ce priveşte │
│limitarea pierderii suplimentare a datelor, │
│evaluarea pierderilor survenite prin │
│colectarea faptelor şi evaluarea riscurilor, │
│inclusiv a potenţialelor prejudicii aduse │
│persoanelor afectate, în cazul afectării │
│autenticităţii, integrităţii sau │
│confidenţialităţii. Se vor menţiona alte │
│autorităţi care au fost contactate şi │
│acţiunile de informare a persoanelor implicate│
│în incident, dacă este cazul. │
├──────────────────────────────────────────────┤
│9. Măsurile luate sau planificate pentru a │
│împiedica producerea unui incident similar, │
│inclusiv momentul când acestea au fost/vor fi │
│luate, precum şi lecţiile învăţate │
├──────────────────────────────────────────────┤
│Câmpul va cuprinde descrierea detaliată a │
│acţiunilor realizate pentru a minimiza nivelul│
│de risc şi pentru a preîntâmpina reapariţia │
│incidentului (de exemplu, revizuire măsuri de │
│securitate şi proceduri, renegociere SLA-uri, │
│instruiri de personal, achiziţie de │
│echipamente sau sisteme de backup etc.), │
│precum şi momentul când au fost luate sau când│
│vor fi luate aceste măsuri. │
│Acest câmp va conţine şi informaţii despre │
│lecţiile învăţate - aceasta presupune │
│realizarea unui bilanţ al incidentului, │
│ajungerea la sursa problemei (root cause), cum│
│şi de ce s-a întâmplat, evaluarea a cât de │
│bine a funcţionat planul de răspuns la │
│incident pentru a rezolva problema şi │
│identificarea îmbunătăţirilor care trebuie │
│făcute. │
├──────────────────────────────────────────────┤
│10. Alţi furnizori de reţele şi servicii de │
│comunicaţii electronice afectaţi │
├──────────────────────────────────────────────┤
│Se va bifa una dintre cele 2 opţiuni. În │
│situaţia în care sunt afectaţi şi alţi │
│furnizori, se vor specifica denumirile │
│furnizorilor afectaţi de incidentul în cauză. │
├──────────────────────────────────────────────┤
│11. Persoana de contact │
├──────────────────────────────────────────────┤
│Se vor indica datele de contact ale persoanei │
│responsabile (nume, prenume, număr telefon de │
│contact, e-mail) cu furnizarea clarificărilor │
│de natură tehnică, în cazul în care va fi │
│nevoie. │
└──────────────────────────────────────────────┘
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.