Descriere - Securitatea retelelor si a sistemelor informatice. Implementarea directivei NIS in Romania
Autor: Marius Dumitrescu, Daniela Simionovici
Despre autori / 5
Cuvant inainte / 15
Multumiri / 19
Introducere / 23
Capitolul I. Consideratii generale / 27
I.1. Ce este Directiva NIS si de ce este importanta? / 29
I.1.1. Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora / 30
I.1.1.1. Studiu de evaluare a Directivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora / 32
I.2. De ce este importanta Legea nr. 362/2018 de transpunere a Directivei NIS in Romania? / 41
I.2.1. Transpunerea Directivei in Romania / 42
I.3. Cine este vizat de Legea nr. 362/2018 de transpunere in Romania a Directivei NIS? / 46
Capitolul II. Directoratul National de Securitate Cibernetica - DNSC / 49
II.1. Responsabilitati si principii ale Directoratului National de Securitate Cibernetica / 52
II.1.1. Responsabilitatile DNSC / ... 52
II.1.2. Principiile DNSC / 53
II.2. Obiectivele Directoratului National de Securitate Cibernetica / 54
II.3. Functiile si atributiile Directoratului National de Securitate Cibernetic / 55
II.3.a. Strategie si planificare / 55
II.3.b. Functia de autoritate competenta la nivel national de reglementare, supraveghere si control / 56
II.3.c. Functia de CSIRT national / 56
II.3.d. Functia de CSIRT guvernamental / 57
II.3.e. Functia de coordonare, implementare, indrumare si sprijin a CSIRT-urilor sectoriale / ..... 58
II.3.f. Functia de echipa de raspuns la incidente de securitate cibernetica pentru produse si servicii informatice utilizate in cadrul sectorului guvernamental / 58
II.3.g. Functia de alertare, prevenire, constientizare si instruire / 58
II.3.h. Functia de cooperare si colaborare / 59
II.3.i. Functia de autoritate nationala de certificare privind securitatea cibernetica / 60
II.3.j. Functia de asigurare a conformitatii si abordarii unitare a securitatii cibernetice in cadrul infrastructurilor cibernetice / 60
II.3.k. Functia de reprezentare / 61
II.3.l. Functia de cercetare-dezvoltare / 61
II.3.m. Functia de analiza si prognoza / 61
II.3.n. Functia de identificare, evaluare, monitorizare si atenuare a riscurilor cibernetice la nivel national / 61
II.3.o. Functia de centru national de gestionare a crizelor de natura cibernetica pe timp de pace / .. 62
II.3.p. Functia de evaluare a securitatii cibernetice a noilor tehnologii / 62
II.3.q. Functia de evaluare si certificare / 62
II.3.r. Functia de educatie si pregatire in domeniul securitatii cibernetice / 63
II.3.s. Functia de management al proiectelor si serviciilor / 63
II.4. Atributiile conducerii Directoratului National de Securitate Cibernetic / 63
II.4.1. Atributii ale conducerii DNSC / 64
II.4.1.1. Atributiile directorului DNSC / 64
II.4.2. Comitetul director al DNSC / 64
II.4.2.1. Atributiile si competentele Comitetului director al DNSC / 65
II.4.3. Comitetul de reglementare / 65
II.4.4. Finantare / 66
II.4.5. Autorizarea laboratoarelor civile / 67
II.4.5.1. Activitatea de verificare a laboratoarelor civile / 67
II.5. Organizarea Registrului operatorilor de servicii esentiale / 69
II.5.1. Constituirea registrului / 69
II.5.2. Utilizarea registrului / 69
II.5.2.1. Reguli generale privind inscrierea in ROSE, modificarea, radierea si protectia informatiilor inscrise / 70
Capitolul III. Operatorii de servicii esentiale si furnizorii de servicii digitale / 71
III.1. Operatorii de servicii esentiale / 73
III.1.1. Inscrierea in Registrul operatorilor de servicii esentiale / 74
III.1.2. Radierea din Registrul operatorilor de servicii esentiale / 75
III.1.3. Atributiile Responsabilului NIS - OSE / 75
III.1.4. Obligatiile operatorilor de servicii esentiale / 76
III.2. Furnizorii de servicii digitale / 77
III.2.1. Obligatiile furnizorilor de servicii digitale / 77
III.2.2. Atributiile Responsabilului NIS - FSD / 79
III.3. Echipele de interventie in caz de incidente de securitate informatica 79
III.3.1. Obligatiile echipelor de interventie in caz de incidente de securitate informatica / 79
Capitolul IV. Etapele implementarii prevederilor Legii nr. 362/2018 / 81
IV.1. Principiile Legii nr. 362/2018 / 83
IV.2. Procesul de identificare a operatorilor de servicii esentiale (OSE) / 83
IV.2.1. Etapa 1. Identificarea serviciilor esentiale / 85
IV.2.1.1. Pasul 1 - Catalogarea importantei serviciului / 86
IV.2.1.2. Pasul 2 - Identificarea modului de furnizare a serviciului / 87
IV.2.1.3. Pasul 3 - Stabilirea efectului de perturbare a serviciului in cazul producerii unui incident / 88
Faza 1. Evaluarea in functie de criteriile intersectoriale / 90
Concluzii privind evaluarea gradului de perturbare in functie de criteriile intersectoriale / 96
Faza a 2-a. Evaluarea in functie de criteriile sectoriale si valorile de prag / 96
Concluzii privind evaluarea gradului de perturbare in functie de criteriile sectoriale specifice / 107
IV.2.2. Etapa 2. Notificarea DNSC de catre operatorii de servicii esentiale / 107
IV.2.3. Etapa 3. Evaluarea si inscrierea operatorilor de servicii esentiale / 108
IV.3. Procesul de identificare a furnizorilor de servicii digitale (FSD) / 109
IV.3.1. Etapa 1. Identificarea serviciilor digitale furnizate / 111
IV.3.1.1. Pasul 1 - Stabilirea categoriei organizationale / 111
IV.3.1.2. Pasul 2 - Identificarea serviciului digital furnizat / 112
IV.3.1.3. Pasul 3 - Stabilirea categoriei serviciului digital furnizat / 113
IV.3.2. Etapa 2. Comunicarea datelor furnizorului de servicii digitale la DNSC / 114
IV.3.3. Etapa 3. Evidenta furnizorilor de servicii digitale / 114
IV.3.3.1. Modificari si completari privind evidenta furnizori de servicii digitale/ 115
IV.3.3.2. Radierea furnizorilor de servicii digitale din evidenta / 115
Capitolul V. Masuri tehnice si organizatoricce de securitate / 117
V.1. Cerintele minime de securitate pentru asigurarea securitatii retelelor si sistemelor informatice / 199
V.1.1. Notificarea incidentelor de securitate / 119
V.1.1.1. Termenele de notificare / 120
V.1.2. Managementul incidentelor de securitate / 120
V.1.3. Auditul de securitate a retelelor si sistemelor informatice apartinand operatorilor de servicii esentiale sau furnizorilor de servicii digitale / 121
V.1.4. Autorizarea echipelor CSIRT ce deservesc retele si sisteme informatice din categoria serviciilor esentiale si serviciilor digitale / 122
V.2. Intocmirea si gestionarea procedurilor documentate / 123
V.2.1. Gestionarea procedurilor documentate / 123
V.2.2. De ce avem nevoie de proceduri documentate? / 126
V.2.3. Cum se realizeaza o procedura documentata? / 126
V.2.4. Stabilirea activitatilor procedurale / 127
V.2.5. Elaborarea procedurilor documentate / 128
V.2.5.1. Continutul propriu-zis al procedurii / 128
V.2.5.2. Descrierea procedurii / 129
V.2.5.2.1. Recomandari privind descrierea corecta a procedurii / 129
Capitolul VI. Controlul indeplinirii obligatiilor de securitate si aplicarea sanctiunilor / 133
VI.1. Cerintele minime de asigurare a securitatii retelelor si sistemelor informatice / 135
VI.1.1. Guvernanta / 135
VI.1.2. Protectie / 139
VI.1.3. Aparare cibernetica / 143
VI.1.4. Rezilienta / 145
VI.2. Aplicarea sanctiunilor / 148
Capitolul VII. Propunerea de Directiva NIS 2.0 si implicatiile ei majore / 169
VII.1. Obligatia de independenta institutionala a DNSC fata de entitatile stabilite prin Directiva NIS 2.0 / 171
VII.2. Modificarile aduse de Directiva NIS 2.0 / 172
VII.2.1. Directiva NIS 2.0 si Legea nr. 362/2018 se vor aplica si administratiei publice / 173
Capitolul VIII. Planul de raspuns la incidente de securitate / 177
VIII.1. Consideratii generale / 179
VIII.2. Etapele unui plan de raspuns la incidente de securitate / 179
VIII.2.1. Cum recunoastem un incident de securitate? / 180
VIII.2.2. Echipa de management a incidentelor de securitate / 180
VIII.2.3. Cronologia evenimentelor in cazul unui incident de securitate / 181
VIII.2.4. Descoperirea si raportarea unui incident de securitate / 182
VII.2.4.1. Cand se considera ca operatorul "a luat la cunostinta” despre producerea unui incident de securitate? / 182
VIII.2.5. Tipuri de incidente care ar trebui raportate / 183
VIII.2.6. Identificarea incidentelor de securitate / 185
VIII.2.7. Implicarea departamentelor de management si IT / conformitate / 185
VIII.2.8. Notificarile in regim de urgenta / 188
VIII.2.9. Activitati initiale / 188
VIII.2.9.1. Izolarea incidentului de securitate / 189
VIII.2.9.2. Cyber Asigurari si externalizarea serviciilor de raspuns la incidente de securitate / 190
VIII.2.9.3. Documentarea si deschiderea rapoartelor de incident de securitate / 190
VIII.2.9.4. Infiintarea echipei de management a incidentului si analiza planurilor alternative / 190
VIII.2.10. Activitatile post incident / 191
VIII.2.10.1. Analiza si planificarea / 191
VIII.2.10.2. Investigatia / 192
VIII.2.10.3. Reducerea riscurilor si adoptarea masurilor corective / 193
VIII.2.10.4. Notificarea / 194
VIII.2.10.5. Inchiderea dosarului deschis pentru incidentul de securitate / 194
VIII.2.10.6. Raportarea / 195
Capitolul IX Studiu de caz - Identificarea ca OSE si SE conform Legii NIS / 197
IX.1. Consideratii generale / 199
IX.1.1. Entitatea activeaza intr-unul sau mai multe dintre sectoarele/subsectoarele prevazute in Anexa la Legea NIS? / 199
Lista sectoarelor si subsectoarelor care intra sub incidenta Legii NIS / 199
Fisa de evaluare primara / 200
Lista tipurilor de entitati care intra sub incidenta Legii NIS / 200
IX.1.2. Este aplicabila o lege speciala (lex specialis)? / 207
Inventar legislativ / 207
Inventar legislativ special / 207
IX.1.3. Furnizeaza operatorul un "serviciu esential” in sensul Directivei NIS? / 208
Analiza interna a importantei serviciului oferit / 210
IX.1.4. Depinde serviciul de o retea si de sisteme informatice? / 212
Analiza interna a dependentei serviciilor de o retea si de sisteme informatice / 212
IX.1.5. Un incident de securitate ar avea un efect perturbator semnificativ? / 214
IX.1.5.1. Evaluarea gradului de perturbare a furnizarii SENIS in functie de criteriile intersectoriale / 214
Numarul de utilizatori care se bazeaza pe servicii / 215
Dependenta altor sectoare de serviciul furnizat / 217
Impactul pe care l-ar putea avea incidentele asupra activitatilor economice si societale sau a sigurantei publice / 222
Cota de piata / 224
Distributia geografica in ceea ce priveste zona care ar putea fi afectata de un incident / 226
Importanta entitatii pentru mentinerea unui nivel suficient al serviciului, tinand cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului / 228
IX.1.5.2. Evaluarea gradului de perturbare a furnizarii SENIS in functie de criteriile sectoriale si valorile de prag / 229
Sectorul Energie – A÷C / 230
In tabelul de mai jos am inclus doar codurile sectoriale pentru care sunt prevazute valori de prag explicite: / 230
Sectorul Transport – D÷G / 232
Sectorul Bancar – H / 236
Sectorul Infrastructuri ale pietei financiare – I / 237
Sectorul Sanatatii – J / 238
Sectorul furnizarea si distribuirea de apa potabila – K / 238
Sectorul Infrastructura digitala – L / 240
ANEXE / 243
Anexa 1. Sectoare de activitate si tipuri de entitati / 245
Anexa 2. Diagrama Procesului de identificare a operatorilor de servicii esentiale / 249
Anexa 3. Lista Serviciilor Esentiale aprobata prin Hotarare nr. 963 din 5 noiembrie 2020 / 251
Anexa 4. Criterii si valori de prag, intersectoriale si sectoriale . / 259
Valorile de prag corespunzatoare criteriilor intersectoriale / 260
Criterii si valori de prag sectoriale / 261
Sector: Energie. Subsector: Electricitate. Cod sectorial/subsectorial: A / 261
Sector: Energie. Subsector: Petrol. Cod sectorial/subsectorial: B / 262
Sector: Energie. Subsector: Gaze naturale. Cod sectorial/subsectorial: C / 263
Sector: Transport. Subsector: Transport aerian. Cod sectorial/subsectorial: D / 265
Sector: Transport. Subsector: Transport feroviar. Cod sectorial/subsectorial: E / 266
Sector: Transport. Subsector: Transport pe apa. Cod sectorial/subsectorial: F / 267
Sector: Transport. Subsector: Transport rutier. Cod sectorial/subsectorial: G / 269
Sector: Bancar. Subsector: -. Cod sectorial/subsectorial: H/ 270
Sector: Infrastructuri ale pietei financiare. Subsector: -. Cod sectorial/subsectorial: I / 271
Sector: Sanatate. Subsector: Institutii de asistenta medicala (inclusiv spitale si clinici private). Cod sectorial/subsectorial: J / 271
Sector: Furnizare si distribuire de apa potabila. Subsector: -. Cod sectorial/subsectorial: K / 272
Sector: Infrastructura digitala. Subsector: -. Cod sectorial/subsectorial: L / 273
Anexa 5. Lista orientativa OSE / SE pentru valori de prag "0” / 275
Anexa 6. Lista celor mai frecvente amenintari la securitatea cibernetica / 319
Anexa 7. Lista tipurilor de entitati care intra sub incidenta Legii NIS / 322
Anexa 8. Formulare utilizate in relatia cu DNSC / 329
ANEXA nr. 2 la norme: Formular de asistenta pentru identificarea operatorilor de servicii esentiale / 330
ANEXA nr. 3 la norme: Formular de asistenta pentru procesul de radiere a operatorului de servicii esentiale / 332
ANEXA nr. 4 la norme: Notificare privind inscrierea in Registrul operatorilor de servicii esentiale / 333
ANEXA nr. 5 la norme: Notificare privind modificarea/completarea datelor din Registrul operatorilor de servicii esentiale / 335
ANEXA nr. 6 la norme: Notificare privind radierea din Registrul operatorilor de servicii esentiale / 337
ANEXA nr. 7 la norme: Declaratie pe propria raspundere privind indeplinirea cerintelor minime de securitate pentru inscrierea in Registrul operatorilor de servicii esentiale / 339
ANEXA nr. 11 la norme: Comunicare privind datele furnizorului de servicii digitale si lista responsabili NIS / 340
ANEXA nr. 12 la norme: Comunicare privind modificarea/completarea datelor furnizorilor de servicii digitale / 342
ANEXA nr. 13 la norme: Comunicare privind radierea furnizorului de servicii digitale / 344
DAICMS (Documentatia de autoevaluare a indeplinirii cerintelor minime de securitate) / 346
Anexa 9. Lista orientativa a procedurilor privind securitatea informatica / 350
Anexa 10. Model de "Procedura de raspuns in cazul unui incident de securitate” / 354
Anexa 11. Cele mai frecvente riscuri privind securitatea cibernetica / 368
Anexa 12. Indicii privind o posibila infectare a calculatorului / laptopului / 374
Anexa 13. Model - Analiza de risc pentru autoevaluarea indeplinirii cerintelor minime de securitate /376
Anexa 14. Model - Decizie de numire Responsabil NIS / 384
Anexa 15. Check-list de autoevaluare initiala a entitatilor sub aspect NIS / 385
Glosar de termeni si abrevieri / 405
Bibliografie / 441