Norme privind protecția instalațiilor nucleare împotriva amenințărilor cibernetice

Președintele Comisiei Naționale pentru Controlul Activităților Nucleare a emis Ordinul nr. 203 din 7 decembrie 2021 pentru aprobarea Normelor privind protecția instalațiilor nucleare împotriva amenințărilor cibernetice. Actul normativ a fost publicat în Monitorul Oficial al României, Partea I, nr. 1217 din 22 decembrie 2021.

Prin aceste norme se stabilesc cerințele generale privind protecția sistemelor, componentelor și echipamentelor instalațiilor nucleare, inclusiv software-ul pentru instrumentație și control și rețelele informatice, denumite în continuare SCE, împotriva amenințărilor cibernetice.

Normele se aplică atât solicitanților, cât și titularilor de autorizație pentru fazele de punere în funcțiune, exploatare, respectiv dezafectare a unei instalații nucleare.

În cadrul procesului de autorizare, precum și pe durata de valabilitate a unei autorizații, Comisia Națională pentru Controlul Activităților Nucleare poate impune cerințe suplimentare, după caz, pentru a ține cont de experiența de exploatare și cele mai noi standarde și bune practici recunoscute la nivel internațional.

Titularul de autorizație trebuie să asigure protecția împotriva amenințărilor cibernetice pentru următoarele categorii de sisteme, componente și echipamente, inclusiv pentru programele software aferente acestora, denumite în continuare prin abrevierea SCE:

1. SCE cu funcții de securitate nucleară, inclusiv SCE cu funcții de securitate radiologică;
2. SCE care fac parte din sistemul de protecție fizică;
3. SCE care fac parte din sistemul propriu de control de garanții nucleare;
4. SCE cu funcții în răspunsul la situații de urgență, inclusiv sistemele de comunicații utilizate în situații de urgență;
5. SCE cu funcții în exploatarea fiabilă a instalației nucleare;
6. alte sisteme-suport care, dacă ar fi compromise, ar putea afecta funcționarea SCE din categoriile menționate la lit. a)-e) sau sănătatea și securitatea lucrătorilor; acestea pot include, de exemplu, sisteme de alimentare cu energie electrică, încălzire, ventilație și aer condiționat, comunicații, stingerea incendiilor etc.

   Titularul de autorizație trebuie să asigure, ca parte a planului de securitate cibernetică, următoarele:

1. pregătirea personalului propriu și a contractorilor cu privire la cunoașterea, aplicarea și respectarea cerințelor de securitate cibernetică, pentru toate etapele ciclului de viață al SCE, începând cu etapa de proiectare, în funcție de sarcinile și responsabilitățile stabilite;
2. evaluarea și gestionarea riscurilor asociate cu amenințările cibernetice;
3. evaluarea modificărilor care afectează SCE identificate, în scopul menținerii unei protecții adecvate împotriva amenințărilor cibernetice.

   Pentru implementarea eficientă a planului de securitate cibernetică, titularul de autorizație trebuie să realizeze următoarele acțiuni:

• să stabilească și să implementeze obiectivele și politica de securitate cibernetică la nivelul întregii organizații;
• să dezvolte și să mențină măsurile tehnice și administrative necesare pentru punerea în aplicare a planului de securitate cibernetică, inclusiv un set de proceduri scrise;
• să dezvolte și să implementeze o cultură de securitate cibernetică pentru a asigura conștientizarea la nivel de organizație a amenințărilor cibernetice și a riscurilor asociate, precum și cunoașterea și aplicarea măsurilor de prevenție, detecție și răspuns la condiții anormale și evenimente de securitate cibernetică.

   Mai mult, titularul de autorizație trebuie să asigure evaluarea periodică a eficacității planului de securitate cibernetică. În acest scop, trebuie constituită și desemnată o echipă de specialiști în securitate cibernetică, cu pregătire, experiență și calificări adecvate pentru specificul instalației nucleare și a SCE aferente acesteia.

   Așadar, evaluarea eficacității planului de securitate cibernetică trebuie efectuată:

• cel puțin o dată pe an;
• după fiecare eveniment relevant pentru securitatea cibernetică, din experiența de exploatare internă sau externă.

   Pentru detalii referitoare la Conținutul minim al planului de securitate cibernetică pentru o instalație nucleară, accesați Normele din  7 decembrie 2021!