NORME TEHNICE din 23 noiembrie 2020de stabilire a impactului incidentelor pentru categoriile de operatori de servicii esențiale și furnizori de servicii digitale
EMITENT
  • GUVERNUL ROMÂNIEI
  • Publicat în  MONITORUL OFICIAL nr. 1223 din 14 decembrie 2020



    Notă
    Aprobate prin HOTĂRÂREA nr. 1.003 din 23 noiembrie 2020, publicat în Monitorul Oficial, nr. 1223 din 14 decembrie 2020.
     +  Capitolul I Date generale  +  Articolul 1Prezentele Norme tehnice de stabilire a impactului incidentelor pentru categoriile de operatori de servicii esențiale și furnizori de servicii digitale, denumite în continuare norme, au ca obiect evaluarea preliminară, stabilirea impactului unui incident care afectează securitatea cibernetică a rețelelor și sistemelor informatice care susțin serviciile furnizate de către un operator de servicii esențiale, denumit în continuare OSE, sau de un furnizor de servicii digitale, denumit în continuare FSD, și dispunerea măsurilor de limitare a incidentului.  +  Articolul 2(1) În conformitate cu art. 27 din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, denumită în continuare Legea NIS, după primirea unei notificări privind un incident de securitate CERT-RO, în calitate de echipă de răspuns la incidente de securitate informatică la nivel național, denumită în continuare echipă CSIRT națională sau CSIRT național, trece la derularea procesului de stabilire a impactului incidentului (PSII).(2) În cadrul PSII, CERT-RO, în calitate de CSIRT național, evaluează preliminar, stabilește impactul incidentului la nivel național și/sau transnațional și dispune măsuri specifice de limitare a acestuia, respectiv alertează, sesizează ori notifică atât entitatea afectată, cât și autoritățile prevăzute la art. 15 alin. (2) și, după caz, la art. 16 din Legea NIS.(3) În cadrul PSII, CERT-RO colaborează, după caz, cu operatorul de servicii esențiale sau furnizorul de servicii digitale afectat, CSIRT-uri individuale, sectoriale și/sau naționale, organizații internaționale sau alte entități din domeniul securității cibernetice pentru identificarea cauzelor și efectelor incidentului, precum și pentru dispunerea măsurilor de limitare a acestuia în vederea asigurării unui nivel ridicat de securitate a rețelelor și sistemelor informatice.  +  Articolul 3(1) PSII presupune o evaluare și analizare permanentă a datelor și informațiilor primite/identificate de CSIRT național, indiferent de mediul de comunicație, de forma sau conținutul acestora.(2) Etapele procesului de stabilire a impactului incidentelor sunt:a) etapa 1 - evaluarea preliminară a incidentului;b) etapa a 2-a - stabilirea impactului incidentului;c) etapa a 3-a - măsuri de limitare a incidentului.(3) Impactul incidentelor (II) se stabilește pe baza parametrilor de evaluare comparativă (PEC), așa cum sunt stabiliți în anexele nr. 1 și 2, în funcție de categoria entității afectate, respectiv OSE sau FSD.(4) Acronimele utilizate în prezentele norme tehnice se regăsesc în anexa nr. 3 „Glosar - Termeni și abrevieri“.  +  Articolul 4(1) În urma PSII se stabilește impactul incidentului asupra furnizării serviciului esențial (II_FE) sau a serviciului digital (II_FD) și în funcție de nivelul acestuia se dispun măsuri cu caracter național și/sau internațional, după caz.(2) Dacă impactul incidentului rezultat este semnificativ, respectiv mediu sau ridicat, CSIRT național va dispune măsuri de reducere/limitare a efectului incidentului și va informa național și/sau internațional, dacă este cazul, despre incidentul care afectează securitatea rețelelor și sistemelor informatice, denumit în continuare ISC.  +  Articolul 5(1) În procesul de stabilire a impactului incidentelor se va avea în vedere următoarea scală*):*) Tabelele I.1 și II.2 sunt reproduse în facsimil.(2) Valoarea medie a parametrilor de evaluare se stabilește pe baza următoarei formule: unde V(PE) reprezintă media aritmetică a valorilor parametrilor de evaluare comparativă V_PEC, iar n reprezintă numărul parametrilor comparați.(3) Pe baza valorii V(PE), calculate în conformitate cu prevederile alin. (2), se stabilește impactul incidentului asupra furnizării serviciului esențial, respectiv digital. Matricea impactului incidentului se prezintă astfel:  +  Capitolul II Stabilirea impactului incidentului pentru operatorii de servicii esențiale  +  Secţiunea 1 Evaluarea preliminară a incidentului  +  Articolul 6(1) În această primă etapă a PSII, CSIRT național evaluează permanent toate informațiile primite, respectiv din notificări și/sau diferite surse externe sau senzori proprii, denumite în continuare alerte securitate cibernetică (ASC), în funcție de anumiți parametri de evaluare, în vederea asigurării unui nivel ridicat al securității rețelelor și sistemelor informatice și implicit a unui spațiu cibernetic național cât mai sigur.(2) Parametrii de evaluare preliminară (PEP) a unui posibil incident sunt: a) întreruperea furnizării serviciului (PEP_1), dacă timpul aferent este mai mare sau egal cu valoarea minimă a duratei incidentului, corespunzător sectorului/subsectorului afectat, conform anexei nr. 1;b) afectarea furnizării serviciului (PEP_2), întreruperi repetate și de scurtă durată (mai mică decât valoarea minimă a duratei incidentului, corespunzător sectorului/subsectorului afectat, conform anexei nr. 1), limitări ale accesului la bazele de date aferente, întârzieri în asigurarea răspunsului etc.;c) întreruperea conexiunilor primare (PEP_3), pierderea legăturilor în nodurile de comunicații, întreruperea conexiunilor între rețele și sisteme informatice diferite etc.  +  Articolul 7(1) Dacă în urma evaluării informațiilor primare sunt identificate anomalii la cel puțin unul dintre cei trei PEP_1-3, alerta de securitate cibernetică este clasificată ca incident (I_SC), iar CSIRT național trece la aplicarea etapei a 2-a a PSII.(2) Dacă în urma primei etape nu sunt identificate anomalii cu privire la niciunul dintre PEP_(1+3), alerta de securitate cibernetică rămâne o simplă informație primară, iar CERT-RO continuă activitățile de monitorizare a alertelor primite, prin compartimentele funcționale de specialitate.  +  Articolul 8În etapa de evaluare preliminară, CSIRT național, prin compartimentele funcționale de specialitate: a) monitorizează situația alertelor la nivel național și colaborează cu CSIRT-urile individuale, sectoriale și internaționale;b) actualizează permanent bazele de date specifice, respectiv datele și informațiile cu privire la alertele procesate și rezultatele evaluării primare, astfel încât, la orice moment, să poată stabili cele mai bune măsuri de limitare a unor posibile incidente de securitate cibernetică;c) elaborează analize și emite alerte, informări sau notificări în vederea menținerii unui nivel ridicat al securității rețelelor și sistemelor informatice pentru protejarea spațiului cibernetic național.  +  Secţiunea a 2-a Stabilirea impactului incidentului  +  Articolul 9(1) În a doua etapă a PSII, CSIRT național evaluează incidentele de securitate cibernetică, respectiv ASC pentru care după evaluarea primară s-a stabilit că cel puțin un PEP a prezentat anomalii, prin aplicarea analizei comparative între valorile parametrilor de evaluare comparativă stabilite în anexa nr. 1 și datele/informațiile cu privire la I_SC, și stabilește impactul incidentului.(2) Analiza comparativă se efectuează pe categorii de furnizori de servicii, inclusiv pe sectoarele și subsectoarele stabilite în baza Legii NIS.(3) Parametrii de evaluare comparativă (PEC) care stau la baza stabilirii impactului unui incident de securitate cibernetică sunt cei stabiliți la art. 28 alin. (1) pct. (i) din Legea NIS, respectiv:a) numărul de utilizatori afectați de perturbarea serviciului esențial (PEC_e1);b) durata incidentului (PEC_e2);c) distribuția geografică în ceea ce privește zona afectată de incident (PEC_e3).  +  Articolul 10(1) Pentru analiza comparativă, CSIRT național folosește grilele de stabilire a impactului incidentelor pentru operatorii de servicii esențiale și pentru fiecare I_SC stabilește V(PE) ca medie aritmetică a valorilor parametrilor de evaluare comparativă (V(PEC)).(2) În cazul în care impactul incidentului asupra furnizării serviciului este unul semnificativ, respectiv mediu sau ridicat, CSIRT național trece la aplicarea măsurilor de limitare a incidentului.(3) Dacă în urma analizei comparative rezultă un impact nesemnificativ, CSIRT național finalizează PSII și continuă activitățile de monitorizare a alertelor primite, prin compartimentele funcționale de specialitate.  +  Secţiunea a 3-a Măsuri de limitare a incidentului  +  Articolul 11(1) În această etapă a PSII, CSIRT național stabilește măsurile necesare pentru limitarea I_SC, alertează, sesizează ori notifică, după caz, OSE și autoritățile cu responsabilități în prevenirea, limitarea și combaterea efectelor incidentului, precum și autoritățile prevăzute la art. 15 alin. (2) și, după caz, la art. 16 din Legea NIS.(2) Pentru limitarea I_SC, CSIRT național oferă sprijin și informații de specialitate OSE.  +  Articolul 12(1) CERT-RO, în calitate de PNUC, informează statele membre sau partenere afectate dacă incidentul are un impact semnificativ.(2) CERT-RO poate declanșa, după caz, acțiuni de control pentru verificarea respectării cerințelor stabilite prin Legea NIS și/sau dispune orice măsură necesară pentru remedierea situației conform art. 41 din Legea NIS.  +  Capitolul III Stabilirea impactului incidentului pentru furnizorii de servicii digitale  +  Secţiunea 1 Evaluarea preliminară a incidentului  +  Articolul 13(1) În această primă etapă a PSII, CSIRT național aplică aceeași procedură ca și în cazul stabilirii impactului incidentului pentru operatorii de servicii esențiale, prevăzută în cadrul cap. II secțiunea 1.(2) Parametrii de evaluare preliminară (PEP) a unui posibil incident sunt aceiași ca cei prevăzuți la art. 6 alin. (2).(3) În evaluarea întreruperii sau afectării furnizării serviciului, timpul aferent este comparat cu valoarea minimă a duratei incidentului, corespunzător serviciului digital, conform anexei nr. 2.  +  Secţiunea a 2-a Stabilirea impactului incidentului  +  Articolul 14(1) În această a doua etapă a PSII, CSIRT național evaluează incidentele de securitate cibernetică, respectiv alerta de securitate cibernetică pentru care după evaluarea primară s-a stabilit că cel puțin un parametru de evaluare primară a prezentat anomalii, prin aplicarea analizei comparative între valorile parametrilor de evaluare comparativă stabilite în anexa nr. 2 și datele/informațiile cu privire la I_SC, și stabilește impactul incidentului.(2) Analiza comparativă se efectuează pe categorii de furnizori de servicii digitale stabilite în Legea NIS.(3) Parametrii de evaluare comparativă care stau la baza stabilirii impactului unui incident de securitate cibernetică sunt cei stabiliți la art. 28 alin. (1) pct. (ii) din Legea NIS, respectiv:a) numărul de utilizatori afectați de incident, în special utilizatori care se bazează pe serviciul pentru furnizarea propriilor servicii (PECd_1);b) durata incidentului (PEC_d2);c) distribuția geografică în ceea ce privește zona afectată de incident (PEC_d3);d) amploarea perturbării funcționării serviciului (PEC_d4);e) amploarea impactului asupra activităților economice și societale (PEC_d5).(4) Procedura aplicată în această etapă a PSII este aceeași ca și în cazul stabilirii impactului incidentului pentru operatorii de servicii esențiale, prevăzută în cadrul cap. II secțiunea a 2-a.  +  Secţiunea a 3-a Măsuri de limitare a incidentului  +  Articolul 15În această a treia etapă a PSII, CSIRT național aplică aceeași procedură ca și în cazul stabilirii impactului incidentului pentru operatorii de servicii esențiale, prevăzută în cadrul cap. II secțiunea a 3-a.  +  Capitolul IV Dispoziții finale  +  Articolul 16(1) Pe baza prevederilor prezentelor norme, atât furnizorii de servicii digitale și operatorii de servicii esențiale din sectoarele și subsectoarele stabilite în baza Legii NIS, cât și entitățile care nu au fost identificate drept operatori de servicii esențiale și nu sunt furnizori de servicii digitale și care notifică voluntar au obligația de a furniza informații suplimentare la solicitarea expresă a CERT-RO în calitate de CSIRT național.(2) La solicitarea CSIRT național, operatorii de servicii esențiale și furnizorii de servicii digitale afectați de un incident cibernetic au obligația de a lua toate măsurile necesare limitării atacurilor cibernetice pentru care a fost stabilit un impact al incidentelor semnificativ și diminuării consecințelor.(3) Anexele nr. 1-3 fac parte integrantă din prezentele norme.  +  Anexa nr. 1*)*) Anexa nr. 1 este reprodusă în facsimil.la norme
    GRILELE DE STABILIRE
    a impactului incidentelor pentru operatorii de servicii esențiale
     +  Anexa nr. 2*)*) Anexa nr. 2 este reprodusă în facsimil.la norme
    GRILELE DE STABILIRE
    a impactului incidentelor pentru furnizorii de servicii digitale
     +  Anexa nr. 3la norme
    GLOSAR
    Termeni și abrevieri
    ASC- alertă de securitate cibernetică - reprezintă informațiile primite de către CSIRT-ul național prin notificări, din alte surse externe sau de la senzorii proprii.
    CSIRT- echipă de răspuns la incidente de securitate informatică
    FSD- furnizor de servicii digitale
    II_FD- impactul incidentului asupra furnizării serviciului digital. Impactul poate fi semnificativ sau nesemnificativ și este stabilit în cazul unui incident identificat la nivelul rețelelor și sistemelor informatice ale unui operator de servicii esențiale.
    II_FE- impactul incidentului asupra furnizării serviciului esențial. Impactul poate fi semnificativ sau nesemnificativ și este stabilit în cazul unui incident identificat la nivelul rețelelor și sistemelor informatice ale unui furnizor de servicii digitale.
    I_SC- incident de securitate cibernetică - reprezintă orice eveniment care are un impact real negativ asupra securității rețelelor și a sistemelor informatice.
    Legea NIS- Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare
    OSE- operator de servicii esențiale
    PEC- parametru de evaluare comparativă
    PEP- parametru de evaluare preliminară
    PNUC- punctul național unic de contact
    PSII- procesul de stabilire a impactului incidentelor
    V(PEC)- valoarea parametrului de evaluare comparativă. Valoarea este stabilită prin aceste norme (anexa nr. 1 și 2 la norme).
    V(PE)- valoarea medie a parametrilor de evaluare. Valoarea este stabilită pe paliere de risc, de la 1 la 5, unde 1 reprezintă riscul minim, iar 5 riscul maxim.
    -----