Capitolul iv - Managementul incidentelor şi rezilienţa în spaţiul cibernetic - Legea 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative

M.Of. 214

În vigoare
Versiune de la: 15 Martie 2023
CAPITOLUL IV:Managementul incidentelor şi rezilienţa în spaţiul cibernetic
SECŢIUNEA 1:Managementul incidentelor de securitate cibernetică
Art. 20
(1)DNSC dezvoltă şi asigură managementul Platformei naţionale pentru raportarea incidentelor de securitate cibernetică, denumită în continuare PNRISC.
(2)Autorităţile prevăzute la art. 10 au acces la PNRISC, pentru îndeplinirea responsabilităţilor care le revin.
(3)Procesarea informaţiilor din PNRISC se realizează cu respectarea politicilor de confidenţialitate şi transparenţă stabilite şi implementate de DNSC.
Art. 21
(1)Persoanele prevăzute la art. 3 alin. (1) lit. b) şi c) au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul PNRISC de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului.
(2)Dacă incidentele de securitate cibernetică nu pot fi comunicate complet în termenul prevăzut la alin. (1), acestea se transmit în cel mult 5 zile calendaristice de la notificarea iniţială, informaţiile putând fi completate şi ulterior cu cele care reies din investigaţiile realizate pe baza evenimentului.
(3)Fără a aduce atingere normelor aplicabile în materie de raportare, confidenţialitate, secret profesional şi protecţia informaţiilor clasificate, autorităţile care au în responsabilitate reţele şi sisteme informatice prevăzute la art. 3 alin. (1) lit. a) notifică incidentele de securitate cibernetică prin intermediul PNRISC.
Art. 22
Incidentele de securitate cibernetică sunt notificate în PNRISC în condiţiile capitolului IV secţiunea a 2-a din Legea nr. 362/2018, cu modificările şi completările ulterioare.
Art. 23
În domeniul managementului incidentelor de securitate cibernetică, autorităţile prevăzute la art. 10 alin. (1) lit. c) şi d) au următoarele responsabilităţi:
a)să colecteze notificările cu privire la incidente de securitate cibernetică din cadrul reţelelor şi sistemelor informatice aflate în domeniul lor de competenţă, activitate sau responsabilitate;
b)să evalueze datele şi informaţiile cu privire la incidentele şi atacurile cibernetice la adresa reţelelor şi sistemelor informatice aflate în domeniul lor de competenţă, activitate sau responsabilitate;
c)să coordoneze managementul incidentelor de securitate cibernetică identificate în cadrul reţelelor şi sistemelor informatice aflate în domeniul lor de competenţă, activitate sau responsabilitate;
d)să acorde sprijin, la cerere, proprietarilor, administratorilor, posesorilor şi/sau utilizatorilor de reţele şi sisteme informatice aflate în domeniul lor de competenţă, activitate sau responsabilitate, pentru adoptarea de măsuri reactive de primă urgenţă pentru remedierea efectelor incidentelor de securitate cibernetică;
e)să păstreze pe o perioadă de 5 ani datele referitoare la incidentele de securitate cibernetică şi rezultatele măsurilor de contracarare a acestora, fără a colecta date de conţinut.
SECŢIUNEA 2:Rezilienţa în spaţiul cibernetic
Art. 24
(1)Asigurarea rezilienţei în spaţiul cibernetic se realizează prin implementarea de măsuri proactive şi reactive de către instituţiile şi persoanele prevăzute la art. 3.
(2)Măsurile proactive sunt destinate prevenirii incidentelor de securitate cibernetică şi descurajării autorilor atacurilor din spaţiul cibernetic şi includ:
a)constituirea şi antrenarea echipelor de răspuns la incidente de securitate cibernetică;
b)asigurarea de resurse umane specializate pentru dezvoltarea de strategii, norme, politici, proceduri, analize de risc, planuri şi măsuri de control tehnic privind apărarea şi securitatea cibernetică;
c)constituirea şi operarea centrelor operaţionale de securitate;
d)constituirea unei rezerve de resurse şi de capabilităţi întrunite de securitate cibernetică care să poată fi utilizate în caz de necesitate;
e)dezvoltarea unor capabilităţi proactive, care să permită cunoaşterea anticipativă a ameninţărilor din spaţiul cibernetic;
f)finanţarea pentru dezvoltarea capabilităţilor de securitate şi apărare cibernetică, inclusiv din perspectiva cercetării, dezvoltării, inovării şi digitalizării în domeniu şi asimilării tehnologiilor emergente;
g)cooperarea şi schimbul de informaţii între autorităţile competente şi sectorul privat pentru identificarea ameninţărilor cibernetice;
h)identificarea serviciilor, reţelelor şi sistemelor informatice, conform competenţelor fiecărei instituţii responsabile de administrare şi asigurarea managementului acestora;
i)implementarea de soluţii de securitate cibernetică, care să crească capacitatea de detecţie şi capabilităţile de prevenţie la atacuri cibernetice;
j)dezvoltarea de strategii, norme, politici, proceduri, analize de risc, planuri şi măsuri de control tehnic privind apărarea şi securitatea cibernetică;
k)demonstrarea nivelului de maturitate atins de capabilităţile de securitate cibernetică în cadrul exerciţiilor organizate la nivel naţional sau internaţional;
l)instruirea personalului din cadrul persoanelor prevăzute la art. 3 în domeniul securităţii cibernetice, prin realizarea periodică de campanii de informare, conştientizare şi igienă cibernetică la nivel organizaţional.
(3)Măsurile reactive sunt destinate reducerii efectelor atacurilor cibernetice şi includ:
a)punerea în aplicare a planurilor de răspuns la incidente şi de contingenţă în domeniul securităţii cibernetice;
b)utilizarea rezervei de resurse şi de capabilităţi de securitate cibernetică;
c)restabilirea funcţionalităţii reţelelor şi sistemelor informatice din cadrul instituţiilor afectate;
d)diseminarea informaţiilor despre evenimentele cibernetice prin alerte în mediul interinstituţional pentru evaluarea riscului şi diminuarea posibilităţilor de exploatare a vulnerabilităţilor;
e)descurajarea prin atribuirea publică a autorilor atacurilor cibernetice, conform atribuţiilor legale.
Art. 25
(1)Furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor prevăzute la art. 10, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, respectiv, în maximum 5 zile de la data primirii solicitării, cu privire la ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1), precum şi interconectarea acestora cu terţii şi cu utilizatorii finali.
(2)Datele şi informaţiile prevăzute la alin. (1) nu vizează, prin scopul solicitării, date cu caracter personal şi date de conţinut.
(3)Datele şi informaţiile prevăzute la alin. (1) se transmit în scris, prin mijloace electronice sau prin orice altă modalitate stabilită de comun acord, în formatul şi structura conforme raportării de incidente cibernetice în PNRISC, prevăzute la art. 22.
Art. 26
Pentru creşterea nivelului de rezilienţă cibernetică şi realizarea descurajării în spaţiul cibernetic la nivel naţional, DNSC şi instituţiile din domeniile apărării, ordinii publice şi securităţii naţionale iau măsuri pentru:
a)realizarea unui cadru interinstituţional de securitate cibernetică care să permită instruirea comună, transferul de cunoştinţe, schimbul de informaţii, sprijinul de specialitate şi federalizarea de resurse şi capabilităţi de securitate cibernetică;
b)îmbunătăţirea şi extinderea capabilităţilor de protecţie şi detecţie automată a atacurilor, prin implementarea de instrumente de analiză inteligentă a ameninţărilor şi distribuirea oportună a indicatorilor şi avertizărilor privind iminenţa unor atacuri cibernetice asupra reţelelor şi sistemelor informatice naţionale;
c)elaborarea de manuale cu tehnici, tactici şi proceduri, precum şi a planurilor de contingenţă şi exersarea lor în cadrul exerciţiilor de securitate cibernetică în scopul întăririi rezilienţei în spaţiul cibernetic;
d)constituirea de echipe de intervenţie la incidente de securitate cibernetică de tip computer security incident response team, denumit în continuare CSIRT, echipe de protecţie cibernetică şi/sau alte forţe specializate în desfăşurarea de acţiuni în spaţiul cibernetic.
Noi folosim fisiere de tip cookie. Daca apasati "Închide" sau continuati utilizarea site-ului, sunteti de acord cu Wolters Kluwer Politica de confidentialitate si cookie. Obțineți mai multe informații sau modificați-vă setările .