Platforma Naţională pentru Raportarea Incidentelor de Securitate Cibernetică

  • Created
    Luni, 19 Februarie 2024
  • Created by
    Andreea CTCE
  • Last modified
    Luni, 19 Februarie 2024
  • Revised by
    Andreea CTCE
  • Voting
    Average rating
  • Favourites
  • Categories
    Actualitate

      Ordinul Directoratului de Securitate Cibernetică nr. 100 din 31 ianuarie 2024 privind aprobarea politicilor de confidenţialitate şi transparenţă ale Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică a fost publicat în Monitorul Oficial al României nr. 120 din 12 februarie 2024.

     Politicile de confidenţialitate şi transparenţă ale Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică, denumită în continuare PNRISC sau platforma, stabilesc cadrul legal pentru exercitarea activităţilor de colectare şi procesare a datelor şi informaţiilor privind incidentele de securitate cibernetică ce fac obiectul raportării în platformă, precum şi liniile directoare menite a asigura confidenţialitatea şi transparenţa atunci când se partajează date şi informaţii care fac obiectul raportării către autorităţile competente, prevăzute la art. 10 alin. (1) din Legea nr. 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative.

     Partajarea datelor prin intermediul PNRISC se face în conformitate cu prevederile art. 23 din Legea nr. 58/2023 privind responsabilităţile autorităţilor competente de a asigura coordonarea managementului incidentelor de securitate cibernetică, respectiv de a acorda sprijin, la cerere, proprietarilor, administratorilor, posesorilor şi/sau utilizatorilor de reţele şi sisteme informatice aflate în domeniul lor de competenţă, activitate sau responsabilitate, în scopul adoptării de măsuri reactive de primă urgenţă pentru remedierea efectelor incidentelor de securitate cibernetică.

     Partajarea datelor prin intermediul PNRISC respectă principiul colaborării, cooperării şi coordonării, constând în realizarea, în mod conjugat, de către persoanele fizice sau juridice responsabile, a tuturor activităţilor care să asigure securitatea şi/sau apărarea sistemelor, reţelelor şi serviciilor informatice care fac obiectul Legii nr. 58/2023. Partajarea datelor şi informaţiilor prin intermediul PNRISC respectă principiul necesităţii şi proporţionalităţii, respectiv se vor partaja numai datele necesar a fi cunoscute de autorităţile competente, în conformitate cu atribuţiile şi domeniile de competenţă ale acestora, conform legii. Partajarea datelor şi informaţiilor prin intermediul PNRISC respectă nevoia de asigurare a confidenţialităţii, în vederea protejării intereselor persoanelor prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, care au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul PNRISC.

     Autorităţile competente stabilite prin art. 10 din Legea nr. 58/2023 au acces, în temeiul art. 20 alin. (2) din aceeaşi lege, în vederea asigurării managementului incidentelor, rezilienţei în spaţiul cibernetic şi îndeplinirii responsabilităţilor care le revin, la următoarele categorii de date din PNRISC:

  1. Directoratul Naţional de Securitate Cibernetică (DNSC), la toate raportările de incidente de securitate cibernetică care privesc spaţiul cibernetic civil;
  2. Ministerul Cercetării, Inovării şi Digitalizării (MCID), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii;
  3. Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii (ANCOM), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii şi pe cele prevăzute la art. 3 alin. (1) lit. b) din Legea nr. 58/2023;
  4. Ministerul Afacerilor Externe (MAE), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice din responsabilitate;
  5. Ministerul Apărării Naţionale (MApN), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice care susţin capabilităţile militare de apărare;
  6. Ministerul Afacerilor Interne (MAI), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice din domeniul său de competenţă;
  7. Serviciul Român de Informaţii (SRI), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii, precum şi la raportările privind orice alte incidente asociate unor ameninţări, riscuri şi vulnerabilităţi la adresa securităţii naţionale a României care pot sprijini îndeplinirea atribuţiilor de autoritate competentă la nivel naţional în domeniul cyberintelligence;
  8. Serviciul de Informaţii Externe (SIE), la raportările de incidente de securitate cibernetică care reprezintă ameninţări, riscuri şi vulnerabilităţi cibernetice la adresa reţelelor şi sistemelor informatice din responsabilitate;
  9. Serviciul de Telecomunicaţii Speciale (STS), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta infrastructurile, reţelele, sistemele, serviciile proprii şi spectrul de frecvenţe radio proprii, precum şi pe cele reglementate prin legi speciale;
  10. Serviciul de Protecţie şi Pază (SPP), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta infrastructurile, reţelele, sistemele şi serviciile proprii, precum şi la cele care pot afecta securitatea demnitarilor;
  11. Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), la raportările de incidente de securitate cibernetică ce afectează sau pot afecta reţelele şi sistemele informatice proprii, precum şi cele care afectează sau pot afecta securitatea informaţiilor clasificate.

     Autorităţile competente menţionate anterior pot avea acces suplimentar, individual sau în comun, la:

  1. informaţii cu caracter general sau statistic în format anonimizat (tendinţe, tipuri de atacuri, tehnici, tactici şi proceduri identificate, vulnerabilităţi frecvent exploatate, sectoare afectate, indicatori de compromitere), provenite din PNRISC, în vederea prevenirii, informării şi fundamentării luării deciziilor, conform competenţelor proprii;
  2. seturile de date care vizează în mod direct autorităţile sau care pot afecta starea de securitate a acestora.

Dispoziții ce vizează măsurile minimale de asigurare a confidenţialităţii, integrităţii şi disponibilităţii datelor partajate prin PNRISC - AICI