Actul din 2024 Politici de confidenţialitate şi transparenţă ale Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică

M.Of. 120

În vigoare
Versiune de la: 12 Februarie 2024
Actul din 2024 Politici de confidenţialitate şi transparenţă ale Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică
Dată act: 31-ian-2024
Emitent: Directoratul National de Securitate Cibernetica
Art. 1: Aplicabilitate
Prezentele politici de confidenţialitate şi transparenţă ale Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică, denumită în continuare PNRISC sau platforma, stabilesc cadrul legal pentru exercitarea activităţilor de colectare şi procesare a datelor şi informaţiilor privind incidentele de securitate cibernetică ce fac obiectul raportării în platformă, precum şi liniile directoare menite a asigura confidenţialitatea şi transparenţa atunci când se partajează date şi informaţii care fac obiectul raportării către autorităţile competente, prevăzute la art. 10 alin. (1) din Legea nr. 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative.
Art. 2: Principii ale partajării datelor
(1)Partajarea datelor prin intermediul PNRISC se face în conformitate cu prevederile art. 23 din Legea nr. 58/2023 privind responsabilităţile autorităţilor competente de a asigura coordonarea managementului incidentelor de securitate cibernetică, respectiv de a acorda sprijin, la cerere, proprietarilor, administratorilor, posesorilor şi/sau utilizatorilor de reţele şi sisteme informatice aflate în domeniul lor de competenţă, activitate sau responsabilitate, în scopul adoptării de măsuri reactive de primă urgenţă pentru remedierea efectelor incidentelor de securitate cibernetică.
(2)Partajarea datelor prin intermediul PNRISC respectă principiul colaborării, cooperării şi coordonării, constând în realizarea, în mod conjugat, de către persoanele fizice sau juridice responsabile, a tuturor activităţilor care să asigure securitatea şi/sau apărarea sistemelor, reţelelor şi serviciilor informatice care fac obiectul Legii nr. 58/2023.
(3)Partajarea datelor şi informaţiilor prin intermediul PNRISC respectă principiul necesităţii şi proporţionalităţii, respectiv se vor partaja numai datele necesar a fi cunoscute de autorităţile competente, în conformitate cu atribuţiile şi domeniile de competenţă ale acestora, conform legii.
(4)Partajarea datelor şi informaţiilor prin intermediul PNRISC respectă nevoia de asigurare a confidenţialităţii, în vederea protejării intereselor persoanelor prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, care au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul PNRISC.
(5)Autorităţile competente stabilite prin art. 10 din Legea nr. 58/2023 au acces, în temeiul art. 20 alin. (2) din aceeaşi lege, în vederea asigurării managementului incidentelor, rezilienţei în spaţiul cibernetic şi îndeplinirii responsabilităţilor care le revin, la următoarele categorii de date din PNRISC:
a)Directoratul Naţional de Securitate Cibernetică (DNSC), la toate raportările de incidente de securitate cibernetică care privesc spaţiul cibernetic civil;
b)Ministerul Cercetării, Inovării şi Digitalizării (MCID), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii;
c)Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii (ANCOM), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii şi pe cele prevăzute la art. 3 alin. (1) lit. b) din Legea nr. 58/2023;
d)Ministerul Afacerilor Externe (MAE), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice din responsabilitate;
e)Ministerul Apărării Naţionale (MApN), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice care susţin capabilităţile militare de apărare;
f)Ministerul Afacerilor Interne (MAI), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice din domeniul său de competenţă;
g)Serviciul Român de Informaţii (SRI), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii, precum şi la raportările privind orice alte incidente asociate unor ameninţări, riscuri şi vulnerabilităţi la adresa securităţii naţionale a României care pot sprijini îndeplinirea atribuţiilor de autoritate competentă la nivel naţional în domeniul cyberintelligence;
h)Serviciul de Informaţii Externe (SIE), la raportările de incidente de securitate cibernetică care reprezintă ameninţări, riscuri şi vulnerabilităţi cibernetice la adresa reţelelor şi sistemelor informatice din responsabilitate;
i)Serviciul de Telecomunicaţii Speciale (STS), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta infrastructurile, reţelele, sistemele, serviciile proprii şi spectrul de frecvenţe radio proprii, precum şi pe cele reglementate prin legi speciale;
j)Serviciul de Protecţie şi Pază (SPP), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta infrastructurile, reţelele, sistemele şi serviciile proprii, precum şi la cele care pot afecta securitatea demnitarilor;
k)Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii, precum şi cele care afectează sau pot afecta securitatea informaţiilor clasificate.
(6)Autorităţile competente menţionate la alin. (5) pot avea acces suplimentar, individual sau în comun, la:
a)informaţii cu caracter general sau statistic în format anonimizat (tendinţe, tipuri de atacuri, tehnici, tactici şi proceduri identificate, vulnerabilităţi frecvent exploatate, sectoare afectate, indicatori de compromitere), provenite din PNRISC, în vederea prevenirii, informării şi fundamentării luării deciziilor, conform competenţelor proprii;
b)seturile de date care vizează în mod direct autorităţile sau care pot afecta starea de securitate a acestora.
Art. 3: Confidenţialitatea, integritatea şi disponibilitatea datelor
(1)Pentru îndeplinirea responsabilităţilor care le revin, autorităţile care au acces la PNRISC asigură confidenţialitatea, integritatea şi disponibilitatea datelor partajate.
(2)Autorităţile care au acces la PNRISC tratează toate datele primite ca fiind confidenţiale şi acordă accesul la date doar personalului desemnat în acest sens, pentru a-şi îndeplini îndatoririle de serviciu.
(3)În cazul unei încălcări a confidenţialităţii sau al unei afectări a integrităţii ori disponibilităţii datelor, autoritatea competentă care a detectat încălcarea notifică imediat Directoratul Naţional de Securitate Cibernetică şi aplică toate măsurile necesare pentru a atenua sau a remedia situaţia.
Art. 4: Transparenţă
(1)DNSC păstrează un jurnal al tuturor activităţilor de partajare a datelor efectuate prin intermediul PNRISC, incluzând data începerii partajării, tipul de date partajate, precum şi identitatea autorităţii competente ce are acces la date.
(2)DNSC revizuieşte periodic activităţile de partajare a datelor prin PNRISC pentru a asigura conformitatea cu aceste politici.
(3)DNSC publică un raport anual de transparenţă privind activităţile de raportare şi partajare a datelor şi informaţiilor prin intermediul PNRISC, fără a dezvălui informaţii sensibile sau confidenţiale.
Art. 5: Măsuri minimale de asigurare a confidenţialităţii, integrităţii şi disponibilităţii datelor partajate prin PNRISC
(1)Datele şi informaţiile raportate şi partajate prin intermediul PNRISC sunt protejate din punctul de vedere al confidenţialităţii, integrităţii şi disponibilităţii cel puţin prin aplicarea următoarelor măsuri:
a)separarea logică a informaţiilor introduse în PNRISC;
b)jurnalizarea accesului, a activităţilor utilizatorilor şi a activităţilor de administrare a PNRISC;
c)efectuarea accesului utilizatorilor pe bază de roluri;
d)folosirea autentificării multifactor;
e)salvarea fişierelor jurnal incremental într-o zonă "read-only", în vederea realizării analizei lor periodice în scopul identificării unor eventuale riscuri;
f)implementarea unei politici de backup şi rezilienţă;
g)auditare de securitate anuală a platformei;
h)verificarea şi validarea periodică a politicii de "cookies" a platformei;
i)testare de securitate după fiecare actualizare majoră sau în funcţie de necesităţi.
(2)DNSC are obligaţia de a implementa şi de a verifica măsurile de protecţie prevăzute la alin. (1).
Art. 6: Scop şi păstrare
(1)Datele şi informaţiile raportate şi partajate prin intermediul PNRISC se vor utiliza exclusiv în scopul consolidării securităţii cibernetice, în condiţiile Legii nr. 58/2023.
(2)Datele şi informaţiile din PNRISC nu se păstrează mai mult decât este necesar pentru a atinge scopul pentru care au fost partajate. După atingerea scopului, datele se şterg.
Art. 7: Supraveghere şi responsabilitate
(1)Supravegherea, monitorizarea şi revizuirea practicilor de gestionare şi partajare a datelor şi informaţiilor prin intermediul PNRISC şi asigurarea conformităţii cu aceste politici sunt realizate de o echipă formată din doi experţi propuşi de către autorităţile competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023.
(2)Desemnarea experţilor prevăzuţi la alin. (1) se realizează cu avizul Consiliului Operativ de Securitate Cibernetică (COSC), anual.
(3)Experţii sunt desemnaţi de două autorităţi diferite şi nu pot efectua niciun fel de alte activităţi de serviciu legate de PNRISC, cu excepţia celor prevăzute la alin. (1).
(4)Echipa de experţi desemnată întocmeşte şi înaintează către COSC un raport anual privind transparenţa şi confidenţialitatea PNRISC. Raportul va include, după caz, recomandări şi propuneri de îmbunătăţire a măsurilor privind transparenţa şi confidenţialitatea PNRISC.
(5)Autorităţile competente au obligaţia să implementeze în cel mai scurt timp recomandările şi propunerile de îmbunătăţire transmise prin intermediul raportului anual şi să înştiinţeze COSC cu privire la măsurile adoptate.
Publicat în Monitorul Oficial cu numărul 120 din data de 12 februarie 2024

Documente corelate

Acte numărul de obiecte din listă: (2)
Modificat de numărul de obiecte din listă: (1)
Acte influenţate numărul de obiecte din listă: (1)
Noi folosim fisiere de tip cookie. Daca apasati "Închide" sau continuati utilizarea site-ului, sunteti de acord cu Wolters Kluwer Politica de confidentialitate si cookie. Obțineți mai multe informații sau modificați-vă setările .