Printeaza Pagina

Securitate

Ordonanţa de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, aprobată cu modificări şi completări prin Legea nr. 140/2012, cu modificările şi completările ulterioare, include un capitol special dedicat securității rețelelor și serviciilor de comunicații electronice (”OUG nr. 111/2011”) și are ca scop stabilirea unui cadru general pentru asigurarea utilizarii în siguranță a rețelelor și serviciilor de comunicatii electronice, în special prin informarea utilizatorilor în legătură cu incidentele care afectează securitatea rețelelor și serviciilor, precum și prin stabilirea responsabilităților furnizorilor și a atribuțiilor autorității de reglementare în acest domeniu. În cele ce urmează prezentăm o scurtă sinteză a principalelor elemente reglementate de legislația primară.

În conformitate cu Capitolul IV din actul normativ menționat mai sus, furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului au obligația de a lua toate măsurile tehnice și organizatorice adecvate, obiective și proporționale pentru a gestiona în mod corespunzător riscurile la adresa securității rețelelor și serviciilor de comunicații electronice. Măsurile luate, includ criptarea, după caz și trebuie să asigure un nivel de securitate corespunzător riscului identificat ținând seama de stadiul actual al tehnologiei. Ele trebie să prevină sau să minimizeze impactul incidentelor de securitate asupra utilizatorilor și asupra altor rețele și servicii. Măsurile vor avea în vedere, în mod corespunzător, recomandările și ghidurile de bune practici elaborate de ANCOM și pe cele elaborate de Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA).

OUG nr. 111/2011 stabilește că măsurile luate vor viza următoarele domenii:

  • politica de securitate și managementul riscului;
  • securitatea resurselor umane;
  • securitatea rețelelor și serviciilor, a facilităților asociate și a informațiilor;
  • managementul operațiunilor;
  • managementul incidentelor;
  • managementul continuității activității;
  • monitorizarea, testarea și auditarea;
  • conștientizarea amenințărilor.

Furnizorii trebuie să notifice ANCOM cu privire la orice incident de securitate cu impact semnificativ asupra rețelelor sau serviciilor. Determinarea amplorii impactului unui incident ține cont de parametri precum numărul de utilizatori afectați, durata incidentului, extinderea geografică, impactul asupra funcționării rețelei/serviciului și influența asupra activităților economice și societale. Mai multe detalii despre acest subiect se pot consulta aici.

Totodată, furnizorii au și responsabilitatea de a informa gratuit utilizatorii potențial afectați de amenințări semnificative de securitate și de a prezenta măsuri de protecție sau corective.

În aplicarea prevederilor capitolului privind securitatea rețelelor și serviciilor de comunicații electronice din OUG nr. 111/2011, ANCOM poate solicita furnizorilor să transmită informații necesare pentru evaluarea securității rețelelor și serviciilor, inclusiv măsurile de securitate implementate și documentația aferentă. Totodată, ANCOM poate solicita acestora să se supună, pe cheltuiala proprie, unui audit de securitate realizat de un organism independent sau de o altă autoritate competentă.

Autoritatea are dreptul să verifice și să evalueze măsurile implementate de furnizori pentru asigurarea securității, putând impune măsuri corective.

ANCOM beneficiază de asistență din partea echipelor de intervenție în caz de incidente de securitate informatică și a echipei de răspuns la incidente de securitate informatică la nivel național. Autoritatea se poate consulta și poate solicita cooperarea cu:

  • Directoratul Național de Securitate Cibernetică,
  • Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal,
  • alte autorități naționale, după caz.

Decizia ANCOM nr. 70/2024 privind securitatea rețelelor publice de comunicații electronice și a serviciilor de comunicații electronice destinate publicului a fost publicată în Monitorul Oficial al României nr. 117/09.02.2024, Partea I.

Prin această decizie au fost detaliate obligațiile stabilite în Capitolul IV din OUG nr. 111/2011. Decizia are ca obiect stabilirea:

  • măsurilor tehnice și organizatorice care trebuie luate de furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului pentru a gestiona în mod corespunzător riscurile la adresa securității rețelelor și serviciilor de comunicații electronice;
  • circumstanțelor, formatului și procedurilor aplicabile notificării ANCOM, de către furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului, a unui incident de securitate care are un impact semnificativ asupra rețelelor sau serviciilor de comunicații electronice.

Printre principalele prevederi stabilite în Decizie se numără:

  • obligația furnizorilor de a implementa măsurile de securitate tehnice și organizatorice adecvate pentru a gestiona riscurile la adresa securității rețelelor și serviciilor de comunicații electronice; măsurile de securitate impuse vizează cel puțin domeniile și obiectivele identificate în anexa nr. 1
  • posibilitatea pentru furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere, precum și furnizorii de servicii de comunicații interpersonale bazate pe numere care nu exercită un control efectiv asupra transmiterii semnalului de a exclude anumite obiective de securitate în funcție de evaluarea efectivă a riscurilor;
  • obligația furnizorilor cu cel puțin 100.000 de conexiuni de a transmite anual către ANCOM, până la data de 10 februarie, măsurile de securitate existente la data de 31 decembrie a anului anterior raportării, respectând structura domeniilor și obiectivelor de securitate din anexa nr. 1 la Decizie;
  • obligația furnizorilor de a evalua și actualiza constant măsurile, dar cel puțin o dată la 12 luni.
  • obligația furnizorilor care au un număr de cel puțin 100.000 de conexiuni sau care au rețele amplasate pe teritoriul a cel puțin 100 de unități administrativ-teritoriale de bază, din cel puțin 20 de județe, de a respecta anumite valori minime ale duratelor de backup electric fix (având în vedere modalitatea de calcul al capacității de backup electric descrisă în Decizie).
  • obligația de a notifica ANCOM privind existența unui incident de securitate cu impact semnificativ; mai multe detalii privind raportarea incidentelor se consulta aici
  • posibilitatea ANCOM de a informa publicul cu privire la existența unui incident de securitate cu impact semnificativ, atunci când consideră că este în interesul public.
  • crearea Grupului consultativ pentru securitatea comunicațiilor electronice și stabilirea funcțiilor și componenței acestuia.

Rapoarte şi studii privind securitatea şi integritatea reţelelor şi serviciilor de comunicaţii electronice
Grupul consultativ pentru securitatea comunicațiilor electronice
Măsuri de securitate
Backup electric fix
Raportarea incidentelor cu impact semnificativ