Art. 2. - Art. 2: Principii ale partajării datelor - Actul din 2024 Politici de confidenţialitate şi transparenţă ale Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică

M.Of. 120

În vigoare
Versiune de la: 12 Februarie 2024
Art. 2: Principii ale partajării datelor
(1)Partajarea datelor prin intermediul PNRISC se face în conformitate cu prevederile art. 23 din Legea nr. 58/2023 privind responsabilităţile autorităţilor competente de a asigura coordonarea managementului incidentelor de securitate cibernetică, respectiv de a acorda sprijin, la cerere, proprietarilor, administratorilor, posesorilor şi/sau utilizatorilor de reţele şi sisteme informatice aflate în domeniul lor de competenţă, activitate sau responsabilitate, în scopul adoptării de măsuri reactive de primă urgenţă pentru remedierea efectelor incidentelor de securitate cibernetică.
(2)Partajarea datelor prin intermediul PNRISC respectă principiul colaborării, cooperării şi coordonării, constând în realizarea, în mod conjugat, de către persoanele fizice sau juridice responsabile, a tuturor activităţilor care să asigure securitatea şi/sau apărarea sistemelor, reţelelor şi serviciilor informatice care fac obiectul Legii nr. 58/2023.
(3)Partajarea datelor şi informaţiilor prin intermediul PNRISC respectă principiul necesităţii şi proporţionalităţii, respectiv se vor partaja numai datele necesar a fi cunoscute de autorităţile competente, în conformitate cu atribuţiile şi domeniile de competenţă ale acestora, conform legii.
(4)Partajarea datelor şi informaţiilor prin intermediul PNRISC respectă nevoia de asigurare a confidenţialităţii, în vederea protejării intereselor persoanelor prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, care au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul PNRISC.
(5)Autorităţile competente stabilite prin art. 10 din Legea nr. 58/2023 au acces, în temeiul art. 20 alin. (2) din aceeaşi lege, în vederea asigurării managementului incidentelor, rezilienţei în spaţiul cibernetic şi îndeplinirii responsabilităţilor care le revin, la următoarele categorii de date din PNRISC:
a)Directoratul Naţional de Securitate Cibernetică (DNSC), la toate raportările de incidente de securitate cibernetică care privesc spaţiul cibernetic civil;
b)Ministerul Cercetării, Inovării şi Digitalizării (MCID), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii;
c)Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii (ANCOM), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii şi pe cele prevăzute la art. 3 alin. (1) lit. b) din Legea nr. 58/2023;
d)Ministerul Afacerilor Externe (MAE), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice din responsabilitate;
e)Ministerul Apărării Naţionale (MApN), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice care susţin capabilităţile militare de apărare;
f)Ministerul Afacerilor Interne (MAI), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice din domeniul său de competenţă;
g)Serviciul Român de Informaţii (SRI), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii, precum şi la raportările privind orice alte incidente asociate unor ameninţări, riscuri şi vulnerabilităţi la adresa securităţii naţionale a României care pot sprijini îndeplinirea atribuţiilor de autoritate competentă la nivel naţional în domeniul cyberintelligence;
h)Serviciul de Informaţii Externe (SIE), la raportările de incidente de securitate cibernetică care reprezintă ameninţări, riscuri şi vulnerabilităţi cibernetice la adresa reţelelor şi sistemelor informatice din responsabilitate;
i)Serviciul de Telecomunicaţii Speciale (STS), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta infrastructurile, reţelele, sistemele, serviciile proprii şi spectrul de frecvenţe radio proprii, precum şi pe cele reglementate prin legi speciale;
j)Serviciul de Protecţie şi Pază (SPP), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta infrastructurile, reţelele, sistemele şi serviciile proprii, precum şi la cele care pot afecta securitatea demnitarilor;
k)Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii, precum şi cele care afectează sau pot afecta securitatea informaţiilor clasificate.
(6)Autorităţile competente menţionate la alin. (5) pot avea acces suplimentar, individual sau în comun, la:
a)informaţii cu caracter general sau statistic în format anonimizat (tendinţe, tipuri de atacuri, tehnici, tactici şi proceduri identificate, vulnerabilităţi frecvent exploatate, sectoare afectate, indicatori de compromitere), provenite din PNRISC, în vederea prevenirii, informării şi fundamentării luării deciziilor, conform competenţelor proprii;
b)seturile de date care vizează în mod direct autorităţile sau care pot afecta starea de securitate a acestora.
Noi folosim fisiere de tip cookie. Daca apasati "Închide" sau continuati utilizarea site-ului, sunteti de acord cu Wolters Kluwer Politica de confidentialitate si cookie. Obțineți mai multe informații sau modificați-vă setările .