Analiză

Unde raportam incidentele informatice si cum facem acest lucru? Recomandari

Incidentele informatice au aparut inca din anul 1988 cand a aparut primul worm, denumit Morris, care se replica de sute de ori pe orice sistem intalnea in mediul online. Infectase atunci peste 6000 de calculatoare.

Atunci a luat nastere CERT, prima organizatie care se va ocupa de prevenirea de astfel de incidente in viitor. De atunci si pana in prezent, precum si ultimele evenimente aparute, precum pandemia si razboiul, au dus la o accelerare a nevoii de securitate cibernetica, existand chiar sanctiuni foarte mari pentru companii daca nu raporteaza bresele de securitate.

[mai mult...]

Cooperarea intre CSIRT-urile nationale si CERT-EU – beneficii si roluri in coordonarea incidentelor transfrontaliere

DIRECTIVA NIS

Directiva NIS este prima lege la nivel european privind securitatea cibernetică. Legea include măsuri concrete pentru creșterea nivelului general de securitate cibernetică în Uniunea Europeană. Directiva este transpusă în România prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.

[mai mult...]

Ce trebuie sa stim despre Directiva NIS si Legea nr. 362/2018 privind securitatea retelelor si sistemelor informatice?

Informații generale despre NIS ( Legea 362/2018)

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019. Legea transpune așa-numita Directivă NIS (Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune) și:

  • are drept scop creșterea nivelului de pregătire a statelor UE pentru a face față la incidentele de securitate informatică și respectiv creșterea gradului de încredere a cetățenilor în Piața Digitală Unică
  • se adresează specific
    • Operatorilor de Servicii Esențiale (OSE) din 7 sectoare de activitate economică (a se vedea Anexa la lege pentru detalii) astfel:
      • Energie
      • Transport
      • Sectorul bancar
      • Infrastructuri ale pieței financiare
      • Sectorul sănătății
      • Furnizarea și distribuirea de apă potabilă
      • Infrastructură digitală
    • Furnizorilor de Servicii Digitale (FSD) din trei categorii, respectiv: piețe online, motoare de căutare online, servicii de cloud computing (conform art. 3 lit o)
  • stabilirea de măsuri și cerințe pentru asigurarea efectivă a securității (art. 25)
  • notificarea incidentelor survenite
    • legea stabilește cerințe de notificare a incidentelor către autoritatea națională (art. 26) pentru categoriile sus-menționate
    • pentru stabilirea încrederii și conform practicilor privind confidențialitatea în asigurarea securității informatice, legea conține prevederi referitoare la protejarea secretului comercial și a altor informații comunicate CERT-RO în cursul notificărilor și managementului incidentelor.
    • totodată legea instituie un mecanism de primire de notificări și de la alte categorii/alți operatori economici (notificare voluntară)
  • cadrul instituțional și de cooperare: legea stabilește cadrul instituțional la nivel național și cadrul național de cooperare în asigurarea securității rețelelor și sistemelor informatice prin:
    • desemnarea CERT-RO – Centrul Național de Răspuns la Incidente de Securitate Cibernetică ca autoritate națională cu atribuții de reglementare, supraveghere și control și care va îndeplini și:
      • Funcția de Punct Unic de Contact la nivel național
      • Funcția de echipă CSIRT națională (echipă de răspuns la incidente de securitate informatică la nivel național și de participare la răspunsul comun la nivel european)
  • Inițiază un proces de identificare a operatorilor de servicii esențiale și înscriere a acestora în registrul operatorilor de servicii esențiale
  • legea prevede totodată reguli privind auditarea rețelelor și sistemelor OSE și FSD, înființarea de echipe CSIRT/CERT publice, private sau sectoriale precum și reguli privind formarea în domeniu.
[mai mult...]