Securitate cibernetică

Reglementarea domeniului securității cibernetice la nivel național

 

   Strategia de securitate cibernetică a României

Prin Hotărârea CSAT nr. 16/2013 şi HG nr. 271/2013 a fost aprobată Strategia de Securitate Cibernetică a României, care stabileşte cadrul conceptual, organizatoric şi de acţiune necesar asigurării securităţii cibernetice şi care vizează protecţia infrastructurilor cibernetice în concordanţă cu noile concepte şi politici din domeniul apărării cibernetice elaborate şi adaptate la nivelul NATO şi al Uniunii Europene.

Strategia de Securitate Cibernetică a României prezintă obiectivele, principiile şi direcţiile majore de acţiune pentru cunoaşterea, prevenirea şi contracararea ameninţărilor, vulnerabilităţilor şi riscurilor la adresa securităţii cibernetice a României şi pentru promovarea intereselor, valorilor şi obiectivelor naţionale în spaţiul cibernetic.

Principalul obiectiv al Strategiei de Securitate Cibernetică a României îl reprezintă crearea unui sistem naţional integrat - Sistemul Naţional de Securitate Cibernetică (SNSC) reprezintă cadrul general de cooperare care reuneşte autorităţi şi instituţii publice, cu responsabilităţi şi capabilităţi în domeniul asigurării securității cibernetice și răspunsului la incidente, funcționând ca un mecanism unitar de relaţionare şi cooperare interinstituţională care are rolul de a superviza implementarea coerentă a tuturor măsurilor de prevenire şi reacţie la atacurile cibernetice împotriva instituţiilor publice sau a companiilor private şi care reuneşte autorităţile şi instituţiile publice cu responsabilităţi şi capabilităţi în domeniu.Scopul SNSC este de a asigura elementele de cunoaştere, prevenire şi contracarare a ameninţărilor, vulnerabilităţilor şi riscurilor specifice spaţiului cibernetic care pot afecta securitatea infrastructurilor cibernetice naţionale, inclusiv managementul consecinţelor.
 

Organisme la nivel naţional cu atribuţii în domeniul securităţii cibernetice

Consiliul Suprem de Apărare a Ţării este autoritatea care coordonează la nivel strategic activitatea SNSC. Guvernul României, prin Ministerul Comunicaţiilor şi Societăţii Informaţionale asigură coordonarea celorlalte autorităţi publice în vederea realizării coerenţei politicilor şi implementarea strategiilor guvernamentale în domeniu.

SNSC include, pe lângă autorităţile publice cu competenţe în materie (Serviciul Român de Informaţii, Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Ministerul Afacerilor Externe, Ministerul comunicațiilor și Societății Informaționale, Serviciul de Telecomunicaţii Speciale, Serviciul de Informaţii Externe, Serviciul de Protecţie şi Pază, Oficiul Registrului Naţional pentru Informaţii Secrete de Stat precum şi Secretarul Consiliului Suprem de Apărare a Ţării), actori din mediul asociativ neguvernamental, profesional şi de afaceri.

Mecanismul de implementare a strategiei de securitate cibernetică la nivel naţional, în plan proactiv/reactiv, este asigurat prin:

  • Consiliul Operativ de Securitate Cibernetică (COSC), al cărui Regulament de Organizare şi Funcţionare a fost aprobat prin Hotărârea CSAT nr. 17/2013; COSC este format din reprezentanţi la nivel de secretar de stat din cadrul instituţiilor sistemului de securitate naţională, inclusiv ai MAE şi care realizează coordonarea unitară a SNSC. Funcţia de coordonator tehnic al COSC este asigurată de către Centrul Naţional Cyberint (CNC);
  • Grupul de Suport Tehnic (GST) – format din reprezentanţi la nivel de expert din cadrul instituţiilor sistemului de securitate naţională reprezentate în cadrul COSC.

COSC raportează CSAT, anual sau ori de câte ori situaţia o impune, acţiunile întreprinse, precum şi la evoluţiile înregistrate în spaţiul cibernetic, în special cu referire la incidente sau atacuri cibernetice.

Sistemul Naţional de Alertă Cibernetică (SNAC) reprezintă principalul mijloc al SNSC destinat prevenirii şi contracarării activităţilor de natură să afecteze securitatea cibernetică. SNAC instituie Nivelurile de Alertă Cibernetică (NAC), pe baza evaluării procesului de Management al Riscurilor la adresa securităţii cibernetice a României.

Centrul Naţional Cyberint (CNC) din cadrul Serviciului Român de Informaţii informează operativ COSC cu privire la apariţia incidentelor cibernetice care pot aduce atingere securităţii naţionale şi este punct de contact pentru relaţionarea cu organismele similare din străinătate, în caz de atac cibernetic asupra securităţii cibernetice a României.

CNC asigură coordonarea tehnică a activităţii SNAC şi controlul măsurilor specifice fiecărui nivel de alertă, propuse în cadrul COSC şi aprobate de CSAT.

Strategia de Securitate Cibernetică a României prevede, de asemenea, dezvoltarea entităţilor de tip CERT (structuri specializate în înţelesul art. 2 lit. a. din Hotărârea Guvernului nr. 494/2011).

 Prin Hotărârea Guvernului nr. 494/2011 s-a înfiinţat Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO, cu atribuţii atât în cadrul sectorului public, cât şi în sectorul privat, instituţie care poate emite alerte şi atenţionări cu privire la activităţi premergătoare atacurilor cibernetice.

CERT- RO este o structură independentă de expertiză şi cercetare-dezvoltare în domeniul protecţiei infrastructurilor cibernetice, care dispune de capacitatea necesară pentru prevenirea, analiza, identificarea şi reacţia la incidentele de securitate cibernetică ale sistemelor informatice ce asigură funcţionalităţi de utilitate publică sau asigură servicii ale societăţii informaţionale. CERT-RO se află în coordonarea Ministerului pentru Societatea Informaţională.

Prin intrarea în vigoare la 1 ianuarie 2019 a legii nr. 362/2018 prin care este transpusă,în totalitate, Directiva (UE) 2016/1148 a Parlamentului European şi Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune, CERT-RO a primit noi atribuții, devenind  Autoritate Competentă la Nivel Naţional pentru Securitatea Reţelelor şi Sistemelor Informatice, Punct Naţional de Contact şi CSIRT Naţional în domeniul de aplicare a Directivei NIS.

 

Cadrul normativ intern privind Securitatea Cibernetică

Conform angajamentelor asumate, România a întreprins măsuri pentru a elabora cadrul normativ naţional în domeniul securităţii cibernetice armonizat cu prevederile legislaţiei internaţionale, care să răspundă cerinţelor internaţionale şi care să faciliteze, pe baze voluntare, cooperarea bilaterală şi schimbul prompt şi eficient de informaţii între autorităţile competente pentru combaterea utilizării infrastructurilor critice ICT în scopuri teroriste sau criminale.

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, stabilește cadrul juridic și instituțional, măsurile și mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice și a stimulării cooperării în domeniu, fiind (în linie cu scopul de creștere a încrederii în Piața Digitală Unică pe care Directiva 1148/2016 îl are) adresată în mod exclusiv operatorilor economici (publici sau privați) din două categorii mari:

  • Operatorii de servicii esențiale din 7 categorii economice importante (Energie, Transporturi, Medical, Bancar, Piețe financiare, Furnizare de apă potabilă, Infrastructuri Digitale);
  • Furnizorii de servicii digitale din 3 categorii: Motoare de căutare, Piețe online, Servicii cloud.

Legea creează un ecosistem național de prevenire și răspuns la incidente, prin stabilirea de cerințe de asigurare a securității  informatice a serviciilor furnizate, cerințe de notificare a incidentelor survenite, mecanisme de răspuns la nivel național și de participare la răspunsul comun în cadrul ecosistemului european creat de Directiva NIS. Legea utilizează terminologia de ”securitate informatică” pentru a nu aduce atingere și a permite dezvoltarea cadrului legal național de ”securitate cibernetică” (care implică și aspectele de securitate națională și apărare).

România urmărește actualizarea cadrului normativ în domeniul securității cibernetice, prin revizuirea, în perioada următoare, Strategiei pentru Securitate Cibernetică a României din 2013 și adoptarea unei legi care să reglementeze securitatea şi apărarea cibernetică a României/LSACR.

iulie 2019