Aprobarea Normelor metodologice privind solicitarea şi comunicarea datelor din art. 25 alin. (1) din Legea nr. 58/2023 privind securitatea şi apărarea cibernetică a României (H.G. nr. 62/2024)

În M. Of. nr. 97 din data de 1 februarie 2024 s-a publicat Hotărârea Guvernului (H.G.) nr. 62/2024 pentru aprobarea Normelor metodologice privind solicitarea și comunicarea datelor și informațiilor prevăzute la art. 25 alin. (1) din Legea nr. 58/2023 privind securitatea și apărarea cibernetică a României, precum și pentru modificarea și completarea unor acte normative.

Redăm, în continuare, principalele prevederi ale hotărârii:

Articol unic

Se aprobă Normele metodologice privind solicitarea și comunicarea datelor și informațiilor prevăzute la art. 25 alin. (1) din Legea nr. 58/2023 privind securitatea și apărarea cibernetică a României, precum și pentru modificarea și completarea unor acte normative, prevăzute în anexa care face parte integrantă din prezenta hotărâre.

Anexă

NORME METODOLOGICE privind solicitarea și comunicarea datelor și informațiilor prevăzute la art. 25 alin. (1) din Legea nr. 58/2023 privind securitatea și apărarea cibernetică a României, precum și pentru modificarea și completarea unor acte normative

Art. 1

Prezentele norme metodologice au ca obiect stabilirea modului de îndeplinire a obligațiilor ce le revin autorităților competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023 privind securitatea și apărarea cibernetică a României, precum și pentru modificarea și completarea unor acte normative și furnizorilor de servicii tehnice de securitate cibernetică în procesul de solicitare și comunicare de date și informații privind incidentele de securitate cibernetică, respectiv privind amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta o rețea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, precum și interconectarea acestora cu terții și cu utilizatorii finali.

Art. 2

(1) În vederea asigurării rezilienței și protecției rețelelor și sistemelor informatice ce susțin funcțiile de apărare, securitate națională, ordine publică și guvernare, precum și pentru asigurarea unei reacții rapide și eficiente la amenințările provenite din spațiul cibernetic național, autoritățile competente stabilite la art. 10 alin. (1) din Legea nr. 58/2023, în îndeplinirea responsabilităților acestora în domeniile securității și apărării cibernetice, pot solicita furnizorilor de servicii tehnice de securitate cibernetică, prin cerere motivată, date și informații privind incidente de securitate cibernetică, respectiv amenințări cibernetice ori riscuri sau vulnerabilități de securitate cibernetică, a căror manifestare poate afecta cel puțin o rețea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, precum și interconectarea acestora cu terții și cu utilizatorii finali.

(2) Cererea prevăzută la alin. (1) este transmisă prin oricare dintre următoarele mijloace de comunicare la distanță, dacă asigură primirea acesteia de către destinatar, astfel:

a) prin poștă, cu scrisoare recomandată, cu confirmare de primire, în plic închis, la care se atașează dovada de primire/procesul-verbal;

b) prin afișare la domiciliul sau la sediul furnizorului de servicii tehnice de securitate cibernetică, activitate care se consemnează într-un proces-verbal semnat de cel puțin un martor;

c) prin telefon mobil, telefax, fax, poștă electronică sau prin alte mijloace ce asigură transmiterea textului cererii și confirmarea primirii acestuia, dacă furnizorul de servicii tehnice de securitate cibernetică a indicat, în prealabil, autorității competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023, care formulează cererea, datele corespunzătoare în acest scop;

d) prin Platforma națională pentru raportarea incidentelor de securitate cibernetică, denumită în continuare PNRISC, dacă furnizorul de servicii tehnice de securitate cibernetică este în prealabil interconectat la aceasta;

e) prin platforma de contact pusă la dispoziție de către autoritatea competentă prevăzută la art. 10 alin. (1) din Legea nr. 58/2023 care formulează cererea și la care furnizorul de servicii tehnice de securitate cibernetică este în prealabil interconectat.

(3) Cererile formulate prin mijloacele prevăzute la alin. (2) lit. a) și b) se consideră comunicate la data prevăzută în dovada de primire, respectiv în procesul-verbal.

(4) Cererile formulate prin mijloacele prevăzute la alin. (2) lit. c)-e) se consideră comunicate la momentul primirii mesajului transmis de sistemul folosit că acestea au ajuns la destinatar, potrivit datelor furnizate de acesta.

(5) În cazul în care comunicarea prin mijloacele prevăzute la alin. (2) lit. c)-e) nu este posibilă din cauza lipsei datelor în acest sens sau sistemul folosit indică eroare în transmitere, cererea se va comunica potrivit prevederilor alin. (2) lit. a) sau b).

Art. 3

În termen de maximum 48 de ore de la primirea cererii cu privire la incidente de securitate cibernetică, potrivit prevederilor art. 2, furnizorii de servicii tehnice de securitate cibernetică transmit autorității solicitante, în scris, prin mijloace electronice sau prin orice altă modalitate stabilită în prealabil, de comun acord, în formatul și structura conforme raportării în PNRISC, un răspuns care să cuprindă cel puțin următoarele elemente:

a) data, ora, minutul descoperirii incidentului de securitate cibernetică;

b) serviciile și/sau rețelele care sunt afectate de incidentul de securitate cibernetică;

c) estimarea ariei geografice afectate, precum și a efectelor incidentului de securitate cibernetică asupra furnizării oricărei rețele sau oricărui sistem informatic dintre cele prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, precum și asupra interconectării acestora cu terții și cu utilizatorii finali;

d) datele și informațiile privind cauza/cauzele care a/au provocat incidentul de securitate cibernetică;

e) estimarea graficului de restabilire a funcționării rețelelor și sistemelor informatice care fac parte dintre cele prevăzute la art. 3 alin. (1) din Legea nr. 58/2023, precum și a interconectării acestora cu terții și cu utilizatorii finali, respectiv estimarea revenirii furnizării serviciilor în parametrii normali de funcționare;

f) îndrumările oferite utilizatorilor și acțiunile întreprinse de furnizorii de servicii tehnice de securitate cibernetică în vederea minimizării efectelor incidentului de securitate cibernetică, dacă este cazul;

g) informațiile oferite publicului cu privire la existența unui incident de securitate cibernetică, modalitatea de comunicare a acestora, precum și data și ora la care au fost comunicate informațiile, dacă acest lucru s-a întâmplat;

h) datele de contact – nume, prenume, număr de telefon, număr de fax, adresă de poștă electronică – ale persoanei/persoanelor care poate/pot da mai multe informații privind incidentul de securitate cibernetică.

Art. 4

(1) În termen de maximum 5 zile de la primirea unei cereri cu privire la amenințări cibernetice ori riscuri sau vulnerabilități de securitate cibernetică, potrivit prevederilor art. 2, furnizorii de servicii tehnice de securitate cibernetică transmit autorității solicitante, în scris, prin mijloace electronice sau prin orice altă modalitate stabilită în prealabil, de comun acord, un răspuns care să cuprindă cel puțin următoarele elemente:

a) date ce pot ajuta la identificarea vectorului de amenințare cibernetică sau atac cibernetic;

b) scopul și/sau motivația vectorului de amenințare cibernetică sau atac cibernetic;

c) date care pot ajuta la contextualizarea și descrierea incidentului de securitate cibernetică vizat de vectorul de amenințare cibernetică sau atac;

d) tehnici, tactici și proceduri utilizate pentru activități nelegitime;

e) indicatori tehnici ai activităților nelegitime derulate de vectori de amenințare cibernetică sau atac cibernetic sau ai celor aferente derulării incidentului de securitate cibernetică, identificați în rețelele și sistemele informatice;

f) date și informații ce pot ajuta în evaluarea și cuantificarea impactului incidentului de securitate cibernetică vizat sau a potențialului impact al riscului de securitate cibernetică;

g) soluții hardware și software ce pot fi afectate;

h) vulnerabilități de securitate cibernetică identificate, date și informații cu privire la categorii de victime și entități vizate sau potențial afectate.

(2) Datele și informațiile prevăzute la alin. (1) sunt folosite exclusiv în vederea și în scopul asigurării securității și apărării cibernetice la nivel național, în conformitate cu atribuțiile specifice ale autorităților competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023.

Art. 5

(1) În vederea transmiterii datelor și informațiilor prevăzute la art. 3 și 4, furnizorii de servicii tehnice de securitate cibernetică și autoritățile competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023 vor utiliza unul dintre mijloacele de comunicare prevăzute la art. 2 alin. (2).

(2) În cazul imposibilității stabilirii de comun acord și prealabile, independent de culpa vreuneia dintre părți, a unuia/uneia dintre mijloacele și metodele de comunicare prevăzute la art. 2 alin. (2), furnizorii de servicii tehnice de securitate cibernetică au obligația transmiterii datelor și informațiilor prin orice mijloc de comunicare care permite transmiterea, precum și confirmarea primirii acestora de către autoritățile solicitante, în termenele prevăzute la art. 3 și 4.

(3) În procesul de transmitere a datelor și informațiilor solicitate se vor utiliza modalități tehnice adecvate, care să asigure confidențialitatea, integritatea, autenticitatea și nonrepudierea datelor și informațiilor transmise.