marți, 13 februarie 2024

Noi obligații pentru furnizorii de servicii de comunicații: backup electric, notificarea incidentelor de securitate și altele

Securitatea datelor și a comunicațiilor a devenit un pilon fundamental al societății. Răspunzând nevoilor crescânde de protecție în fața amenințărilor cibernetice, ANCOM a adoptat Decizia nr. 70/2024. Această nouă reglementare vizează consolidarea securității rețelelor publice de comunicații electronice și a serviciilor asociate, punând accent pe prevenirea, gestionarea și raportarea eficientă a incidentelor de securitate.

Telefon mobil - Imagine decorativă realizată de HD Satelit România

"Decizia nr. 70/2024 privind securitatea rețelelor publice de comunicații electronice și a serviciilor de comunicații electronice destinate publicului" este fundamentată pe o serie de acte normative preexistente și introduce o serie de cerințe și proceduri detaliate pentru furnizorii de rețele și servicii de comunicații electronice. Obiectivul principal este asigurarea unui nivel adecvat de securitate pentru utilizatori și protejarea infrastructurii critice de comunicații.

Principalele modificări introduse


Obligații de securitate mai stricte

Furnizorii sunt obligați să adopte măsuri tehnice și organizatorice avansate pentru a preveni și a gestiona riscurile la adresa securității rețelelor și serviciilor. Conform noilor reglementări, furnizorii sunt necesari să implementeze măsuri tehnice și organizatorice care depășesc abordările standard de securitate. 

Aceasta implică adoptarea de soluții avansate de criptare pentru a proteja datele utilizatorilor în timpul transmiterii și stocării, precum și asigurarea integrității și autenticității informațiilor. În plus, trebuie să se asigure că sistemele și rețelele sunt rezistente la diverse tipuri de atacuri, inclusiv cele de tip Denial of Service (DoS) sau Distributed Denial of Service (DDoS).

Furnizorii trebuie să adopte o abordare proactivă în identificarea și gestionarea riscurilor la adresa securității. Aceasta include efectuarea de evaluări periodice de risc pentru a identifica vulnerabilitățile potențiale în infrastructura lor de rețea și servicii. Pe baza acestor evaluări, trebuie să elaboreze și să implementeze planuri de securitate corespunzătoare, care să cuprindă măsuri de prevenire, detectare timpurie a incidentelor de securitate, răspuns și recuperare.

Notificarea incidentelor de securitate

S-a introdus un cadru clar pentru raportarea incidentelor de securitate către ANCOM, cu definirea precisă a pragurilor cantitative și calitative pentru incidentele semnificative.

Pragurile cantitative: Incidentele de securitate trebuie raportate când acestea afectează un număr semnificativ de utilizatori sau când durata impactului depășește praguri prestabilite. De exemplu, un incident trebuie notificat dacă afectează disponibilitatea serviciilor pentru 5.000 de utilizatori timp de cel puțin 60 de minute sau dacă pragul de 500.000 "ore-utilizator" este depășit. Pragul "ore-utilizator" reprezintă numărul de utilizatori afectați înmulțit cu durata incidentului, exprimată în minute, și împărțită la 60. În cazul afectării autenticității, integrității sau confidențialității, incidentul trebuie raportat dacă sunt afectați cel puțin 5.000 de utilizatori, indiferent de durata incidentului.

Pragurile calitative: Decizia subliniază importanța raportării incidentelor care au un impact calitativ semnificativ, indiferent de numărul utilizatorilor afectați. Astfel, incidentele care perturbă comunicațiile de urgență către serviciul 112 pentru cel puțin 15 minute, cele cu impact transfrontalier, sau incidentele care afectează securitatea rețelelor și serviciilor altor furnizori, determinând un incident semnificativ, trebuie raportate. Acest aspect subliniază recunoașterea faptului că anumite incidente, chiar dacă afectează un număr mic de utilizatori, pot avea consecințe grave asupra securității publice sau a infrastructurii critice.

Procedura de notificare: Furnizorii sunt obligați să trimită o notificare inițială către ANCOM până la ora 13:00 a zilei lucrătoare următoare detectării incidentului, oferind detalii precum data și ora detectării, serviciile și rețelele afectate, estimarea ariei geografice și numărului de utilizatori afectați, o descriere sumară a cauzei incidentului și măsurile de restabilire planificate. O notificare finală, oferind detalii complete despre incident și măsurile luate, trebuie trimisă în termen de două săptămâni de la detectare.

Backup electric

Se impune existența unui sistem de backup electric pentru a asigura continuitatea serviciilor în caz de pană de curent, cu durate diferite stabilite în funcție de tipul și locația echipamentelor.

Această măsură este esențială pentru menținerea funcționării serviciilor în cazul unei întreruperi neașteptate a alimentării cu energie electrică. Legislația specifică necesitatea unor soluții de alimentare cu energie electrică, staționare, instalate în locații care găzduiesc echipamente de rețea esențiale, cu scopul de a preveni orice întrerupere în funcționarea acestora și, implicit, a serviciilor oferite utilizatorilor prin intermediul echipamentelor respective.

Mai mult, decizia detaliază duratele minime pentru aceste sisteme de backup electric, care variază în funcție de tipul și locația infrastructurii de rețea. Pentru elementele de rețea situate în localitățile urbane, timpul standard de backup electric fix este stabilit la o oră. În afara localităților urbane, durata standard este extinsă la 3 ore, în timp ce pentru unitățile esențiale, cum ar fi unitățile centrale de comutație/control și huburile de transmisiuni, precum și pentru elementele de rețea din locații cu acces dificil sau cu o frecvență ridicată a avariilor electrice, timpul de backup electric fix extins este de 6 ore.

Crearea grupului consultativ: Pentru a facilita schimbul de informații și bune practici între ANCOM și furnizorii de servicii, se înființează un grup consultativ dedicat securității comunicațiilor electronice.

Grupul consultativ va fi format din reprezentanți ai ANCOM și reprezentanți ai furnizorilor de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului, care au un număr de cel puțin 100.000 de conexiuni. Acest cadru permite membrilor să discute despre provocările actuale în materie de securitate, să evalueze riscurile emergente și să identifice soluții eficiente pentru gestionarea acestora. În plus, grupul va facilita schimbul de informații privind incidentele de securitate și bunele practici în vederea prevenirii și atenuării impactului acestora. Prin intermediul acestui grup, ANCOM își propune să armonizeze măsurile de securitate la nivel național, să promoveze cooperarea între diferiți actori din industrie și să sprijine evaluarea și implementarea celor mai eficiente strategii de securitate.


Un comentariu despre subiectul „Noi obligații pentru furnizorii de servicii de comunicații: backup electric, notificarea incidentelor de securitate și altele”:
Corneliu

Este un bun pas înainte.

Trimiteți un comentariu

☑ Comentariile conforme cu regulile comunității vor fi aprobate în maxim 10 ore.

Top 5 articole în ultimele 7 zile