Art. 32. - CSIRT-urile trebuie să îndeplinească următoarele cerinţe: - Ordonanță de urgență 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil

M.Of. 1332

În vigoare

Versiune de la: 10 Iulie 2025

Art. 32

(1)CSIRT-urile trebuie să îndeplinească următoarele cerinţe:

a)să asigure o disponibilitate ridicată a canalelor de comunicare proprii, evitând punctele unice de defecţiune, dispunând de mai multe mijloace pentru a fi conectate şi pentru a contacta alte entităţi în orice moment;

b)să specifice canalele de comunicare prevăzute la lit. a) şi să le aducă la cunoştinţă bazei de utilizatori şi parteneri de cooperare;

c)să menţină sediile şi sistemele informatice de suport în amplasamente securizate;

d)să dispună de un sistem adecvat de gestionare şi rutare a cererilor;

e)să asigure confidenţialitatea şi credibilitatea operaţiunilor lor;

f)să dispună de personal adecvat pentru a asigura disponibilitatea permanentă a serviciilor lor;

g)să fie echipate cu sisteme redundante şi spaţiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor, chiar şi după un incident;

h)să protejeze datele confidenţiale şi sensibile ale beneficiarilor serviciilor lor de accesul neautorizat, sustragerea, alterarea sau distrugerea lor, prin măsuri tehnice şi procedurale suficiente, adecvate şi proporţionale.

(2)CSIRT-urile pot acorda prioritate unor cereri de sprijin în temeiul unei abordări bazate pe riscuri.

(3)CSIRT-urile stabilesc relaţii de cooperare cu părţile interesate relevante în vederea îndeplinirii atribuţiilor acestora.

(4)Pentru a facilita cooperarea prevăzută la alin. (3), CSIRT-urile promovează adoptarea şi utilizarea unor practici, sisteme de clasificare şi taxonomii comune sau standardizate în legătură cu:

a)procedurile de gestionare a incidentelor;

b)gestionarea crizelor;

c)divulgarea coordonată a vulnerabilităţilor, în temeiul art. 36.

(5)Pachetul minim de servicii de tip CSIRT trebuie să acopere cel puţin funcţiile şi controalele sau elementele aferente funcţiilor, de prioritate medie şi înaltă, aşa cum sunt definite de standardele şi cadrele sau platformele recunoscute la nivel internaţional în domeniul răspunsului la incidente şi al managementului riscului de securitate cibernetică, ce vor fi precizate şi actualizate periodic prin ordin al directorului DNSC.