Propuneri manuscrise: info@editurauniversitara.ro: 0745 204 115
Urmarire comenzi Persoane fizice / Vanzari: 0745 200 718 / 0745 200 357 / Comenzi Persoane juridice: 0721 722 783
RO 
Engleza
6359.png "Editura Universitara")
Securitatea retelelor si a sistemelor informatice. Implementarea directivei NIS in Romania, Volumul 1 - Marius Dumitrescu, Daniela Simionovici
![Securitatea retelelor si a sistemelor informatice. Implementarea directivei NIS in Romania, Volumul 1 - Marius Dumitrescu, Daniela Simionovici [1]](https://gomagcdn.ro/domains/editurauniversitara.ro/files/product/original/064162.jpg "Securitatea retelelor si a sistemelor informatice. Implementarea directivei NIS in Romania, Volumul 1 - Marius Dumitrescu, Daniela Simionovici [1]")
ISBN: 978-606-28-1431-1
DOI: https://doi.org/10.5682/9786062814311
Anul publicării: 2022
Editia: I
Pagini: 452
Editura: Editura Universitara
Autor: Marius Dumitrescu, Daniela Simionovici
Cod Produs:
9786062814311
Ai nevoie de ajutor?
0745 200 718
/
0745 200 357
- Descriere
- Download (1)
- Autori
- Cuprins
- Cuvant inainte
- Review-uri (0)
Scrisa sub forma unui ghid detaliat si pragmatic, acest superb material de implementare a Directivei NIS elaboreaza pe cuprinsul a sute de pagini foarte bine scrise experienta concreta in domeniu a celor doi autori.
Intr-o forma clara si foarte bine prezentata, lucrarea pune la dispozitie o varietate de explicatii, indrumari, recomandari, dar si materiale de suport fiind una din publicatiile extrem de necesare azi tuturor celor implicati in implementarea Directivei NIS.
Consider ca ”Securitatatea retelelor si a sistemelor informatice - Implementarea Directivei NIS” este unul din instrumentele esentiale pentru specialistii in domeniu, pe care il recomand cu caldura a fi utilizat incepand chiar de azi.
Dan Cimpean
Director General al Directoratului National de Securitate Cibernetica - DNSC
Intr-o forma clara si foarte bine prezentata, lucrarea pune la dispozitie o varietate de explicatii, indrumari, recomandari, dar si materiale de suport fiind una din publicatiile extrem de necesare azi tuturor celor implicati in implementarea Directivei NIS.
Consider ca ”Securitatatea retelelor si a sistemelor informatice - Implementarea Directivei NIS” este unul din instrumentele esentiale pentru specialistii in domeniu, pe care il recomand cu caldura a fi utilizat incepand chiar de azi.
Dan Cimpean
Director General al Directoratului National de Securitate Cibernetica - DNSC
-
Securitatea retelelor si a sistemelor informatice. Implementarea directivei NIS in Romania, Volumul 1
Descarca
MARIUS DUMITRESCU este licentiat in Stiinte Politice, are un master in Marketing si peste 18 ani de experienta in implementarea si gestionarea solutiilor software medicale si farmaceutice. Din 2018, este fondator si Presedinte al Asociatiei Specialistilor in Confidentialitate si Protectia Datelor din Romania (ASCPD), Membru IAPP si IAPP Romania Knowledgge Chapter Co-Chiar 2022/2023.
A absolvit in 2018 studiile postuniversitare de lunga durata privind protectia datelor la Facultatea de Stiinte Economice, Drept si Administratie - Centrul pentru Protectia Datelor din Targu-Mures, Romania. Din 2018 este Managing Partner si Data Management and Compliance Solutions Specialist la NeoPrivacy Romania cu o Certificare PECB DPO. Este director editorial la doua publicatii online, una pentru profesionistii din domeniul protectiei si securitatii datelor cu caracter personal (www.dpo-net.ro) si alta adresata comunitatii medicale si farmaceutice din Romania (www.health.ro). Este autor si coautor a numeroase articole publicate in Revista Romana pentru Securitatea si Protectia Datelor cu Caracter Personal (Universul Juridic), Curierul Judiciar si juridice.ro. Este formator si PECB Certified Trainer, participand la mai multe sesiuni educationale cu subiecte despre protectia datelor, securitatea datelor, standardele ISO si managementul organizational. Este implicat activ in organizarea de conferinte nationale si internationale privind protectia datelor, farmacoeconomie si managementul sanatatii.
DANIELA SIMIONOVICI a absolvit cursurile Universitatii Stefan cel Mare din Suceava, specializarea Asistenta sociala si un master in consiliere si administrare resurse umane la aceeasi universitate. A absolvit cursul postuniversitar de “Protectia datelor cu caracter personal” organizat de Facultatea de Drept si Stiinte Administrative ale aceleiasi universitati sucevene. Este vicepresedinte al Asociatiei Specialistilor in Confidentialitate si Protectia Datelor din Romania - ASCPD, este inregistrata ca PECB Certified DPO si a obtinut titlul de „Cel mai bun DPO din Romania” impreuna cu Echipa Nord Est DPO Romania la Targu Mures, in iunie 2019. Ofera consultanta in domeniul implementarii Regulamentului general privind protectia datelor (GDPR) si ofera si servicii de Responsabil cu protectia datelor personale in regim externalizat (DPO). Este Senior Partner Neoprivacy Romania si membru al echipei de consultanta si implementare GDPR, ISO, SCIM si NIS. Participa constant la seminare, dezbateri si conferinte dedicate protectiei datelor personale si a Directivei NIS si impartaseste din experienta sa scriind articole si carti dedicate domeniului protectiei datelor si NIS din perspectiva practicianului.
A absolvit in 2018 studiile postuniversitare de lunga durata privind protectia datelor la Facultatea de Stiinte Economice, Drept si Administratie - Centrul pentru Protectia Datelor din Targu-Mures, Romania. Din 2018 este Managing Partner si Data Management and Compliance Solutions Specialist la NeoPrivacy Romania cu o Certificare PECB DPO. Este director editorial la doua publicatii online, una pentru profesionistii din domeniul protectiei si securitatii datelor cu caracter personal (www.dpo-net.ro) si alta adresata comunitatii medicale si farmaceutice din Romania (www.health.ro). Este autor si coautor a numeroase articole publicate in Revista Romana pentru Securitatea si Protectia Datelor cu Caracter Personal (Universul Juridic), Curierul Judiciar si juridice.ro. Este formator si PECB Certified Trainer, participand la mai multe sesiuni educationale cu subiecte despre protectia datelor, securitatea datelor, standardele ISO si managementul organizational. Este implicat activ in organizarea de conferinte nationale si internationale privind protectia datelor, farmacoeconomie si managementul sanatatii.
DANIELA SIMIONOVICI a absolvit cursurile Universitatii Stefan cel Mare din Suceava, specializarea Asistenta sociala si un master in consiliere si administrare resurse umane la aceeasi universitate. A absolvit cursul postuniversitar de “Protectia datelor cu caracter personal” organizat de Facultatea de Drept si Stiinte Administrative ale aceleiasi universitati sucevene. Este vicepresedinte al Asociatiei Specialistilor in Confidentialitate si Protectia Datelor din Romania - ASCPD, este inregistrata ca PECB Certified DPO si a obtinut titlul de „Cel mai bun DPO din Romania” impreuna cu Echipa Nord Est DPO Romania la Targu Mures, in iunie 2019. Ofera consultanta in domeniul implementarii Regulamentului general privind protectia datelor (GDPR) si ofera si servicii de Responsabil cu protectia datelor personale in regim externalizat (DPO). Este Senior Partner Neoprivacy Romania si membru al echipei de consultanta si implementare GDPR, ISO, SCIM si NIS. Participa constant la seminare, dezbateri si conferinte dedicate protectiei datelor personale si a Directivei NIS si impartaseste din experienta sa scriind articole si carti dedicate domeniului protectiei datelor si NIS din perspectiva practicianului.
Despre autori / 5
Cuvant inainte / 15
Multumiri / 19
Introducere / 23
Capitolul I. Consideratii generale / 27
I.1. Ce este Directiva NIS si de ce este importanta? / 29
I.1.1. Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora / 30
I.1.1.1. Studiu de evaluare a Directivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora / 32
I.2. De ce este importanta Legea nr. 362/2018 de transpunere a Directivei NIS in Romania? / 41
I.2.1. Transpunerea Directivei in Romania / 42
I.3. Cine este vizat de Legea nr. 362/2018 de transpunere in Romania a Directivei NIS? / 46
Capitolul II. Directoratul National de Securitate Cibernetica - DNSC / 49
II.1. Responsabilitati si principii ale Directoratului National de Securitate Cibernetica / 52
II.1.1. Responsabilitatile DNSC / ... 52
II.1.2. Principiile DNSC / 53
II.2. Obiectivele Directoratului National de Securitate Cibernetica / 54
II.3. Functiile si atributiile Directoratului National de Securitate Cibernetic / 55
II.3.a. Strategie si planificare / 55
II.3.b. Functia de autoritate competenta la nivel national de reglementare, supraveghere si control / 56
II.3.c. Functia de CSIRT national / 56
II.3.d. Functia de CSIRT guvernamental / 57
II.3.e. Functia de coordonare, implementare, indrumare si sprijin a CSIRT-urilor sectoriale / ..... 58
II.3.f. Functia de echipa de raspuns la incidente de securitate cibernetica pentru produse si servicii informatice utilizate in cadrul sectorului guvernamental / 58
II.3.g. Functia de alertare, prevenire, constientizare si instruire / 58
II.3.h. Functia de cooperare si colaborare / 59
II.3.i. Functia de autoritate nationala de certificare privind securitatea cibernetica / 60
II.3.j. Functia de asigurare a conformitatii si abordarii unitare a securitatii cibernetice in cadrul infrastructurilor cibernetice / 60
II.3.k. Functia de reprezentare / 61
II.3.l. Functia de cercetare-dezvoltare / 61
II.3.m. Functia de analiza si prognoza / 61
II.3.n. Functia de identificare, evaluare, monitorizare si atenuare a riscurilor cibernetice la nivel national / 61
II.3.o. Functia de centru national de gestionare a crizelor de natura cibernetica pe timp de pace / .. 62
II.3.p. Functia de evaluare a securitatii cibernetice a noilor tehnologii / 62
II.3.q. Functia de evaluare si certificare / 62
II.3.r. Functia de educatie si pregatire in domeniul securitatii cibernetice / 63
II.3.s. Functia de management al proiectelor si serviciilor / 63
II.4. Atributiile conducerii Directoratului National de Securitate Cibernetic / 63
II.4.1. Atributii ale conducerii DNSC / 64
II.4.1.1. Atributiile directorului DNSC / 64
II.4.2. Comitetul director al DNSC / 64
II.4.2.1. Atributiile si competentele Comitetului director al DNSC / 65
II.4.3. Comitetul de reglementare / 65
II.4.4. Finantare / 66
II.4.5. Autorizarea laboratoarelor civile / 67
II.4.5.1. Activitatea de verificare a laboratoarelor civile / 67
II.5. Organizarea Registrului operatorilor de servicii esentiale / 69
II.5.1. Constituirea registrului / 69
II.5.2. Utilizarea registrului / 69
II.5.2.1. Reguli generale privind inscrierea in ROSE, modificarea, radierea si protectia informatiilor inscrise / 70
Capitolul III. Operatorii de servicii esentiale si furnizorii de servicii digitale / 71
III.1. Operatorii de servicii esentiale / 73
III.1.1. Inscrierea in Registrul operatorilor de servicii esentiale / 74
III.1.2. Radierea din Registrul operatorilor de servicii esentiale / 75
III.1.3. Atributiile Responsabilului NIS - OSE / 75
III.1.4. Obligatiile operatorilor de servicii esentiale / 76
III.2. Furnizorii de servicii digitale / 77
III.2.1. Obligatiile furnizorilor de servicii digitale / 77
III.2.2. Atributiile Responsabilului NIS - FSD / 79
III.3. Echipele de interventie in caz de incidente de securitate informatica 79
III.3.1. Obligatiile echipelor de interventie in caz de incidente de securitate informatica / 79
Capitolul IV. Etapele implementarii prevederilor Legii nr. 362/2018 / 81
IV.1. Principiile Legii nr. 362/2018 / 83
IV.2. Procesul de identificare a operatorilor de servicii esentiale (OSE) / 83
IV.2.1. Etapa 1. Identificarea serviciilor esentiale / 85
IV.2.1.1. Pasul 1 - Catalogarea importantei serviciului / 86
IV.2.1.2. Pasul 2 - Identificarea modului de furnizare a serviciului / 87
IV.2.1.3. Pasul 3 - Stabilirea efectului de perturbare a serviciului in cazul producerii unui incident / 88
Faza 1. Evaluarea in functie de criteriile intersectoriale / 90
Concluzii privind evaluarea gradului de perturbare in functie de criteriile intersectoriale / 96
Faza a 2-a. Evaluarea in functie de criteriile sectoriale si valorile de prag / 96
Concluzii privind evaluarea gradului de perturbare in functie de criteriile sectoriale specifice / 107
IV.2.2. Etapa 2. Notificarea DNSC de catre operatorii de servicii esentiale / 107
IV.2.3. Etapa 3. Evaluarea si inscrierea operatorilor de servicii esentiale / 108
IV.3. Procesul de identificare a furnizorilor de servicii digitale (FSD) / 109
IV.3.1. Etapa 1. Identificarea serviciilor digitale furnizate / 111
IV.3.1.1. Pasul 1 - Stabilirea categoriei organizationale / 111
IV.3.1.2. Pasul 2 - Identificarea serviciului digital furnizat / 112
IV.3.1.3. Pasul 3 - Stabilirea categoriei serviciului digital furnizat / 113
IV.3.2. Etapa 2. Comunicarea datelor furnizorului de servicii digitale la DNSC / 114
IV.3.3. Etapa 3. Evidenta furnizorilor de servicii digitale / 114
IV.3.3.1. Modificari si completari privind evidenta furnizori de servicii digitale/ 115
IV.3.3.2. Radierea furnizorilor de servicii digitale din evidenta / 115
Capitolul V. Masuri tehnice si organizatoricce de securitate / 117
V.1. Cerintele minime de securitate pentru asigurarea securitatii retelelor si sistemelor informatice / 199
V.1.1. Notificarea incidentelor de securitate / 119
V.1.1.1. Termenele de notificare / 120
V.1.2. Managementul incidentelor de securitate / 120
V.1.3. Auditul de securitate a retelelor si sistemelor informatice apartinand operatorilor de servicii esentiale sau furnizorilor de servicii digitale / 121
V.1.4. Autorizarea echipelor CSIRT ce deservesc retele si sisteme informatice din categoria serviciilor esentiale si serviciilor digitale / 122
V.2. Intocmirea si gestionarea procedurilor documentate / 123
V.2.1. Gestionarea procedurilor documentate / 123
V.2.2. De ce avem nevoie de proceduri documentate? / 126
V.2.3. Cum se realizeaza o procedura documentata? / 126
V.2.4. Stabilirea activitatilor procedurale / 127
V.2.5. Elaborarea procedurilor documentate / 128
V.2.5.1. Continutul propriu-zis al procedurii / 128
V.2.5.2. Descrierea procedurii / 129
V.2.5.2.1. Recomandari privind descrierea corecta a procedurii / 129
Capitolul VI. Controlul indeplinirii obligatiilor de securitate si aplicarea sanctiunilor / 133
VI.1. Cerintele minime de asigurare a securitatii retelelor si sistemelor informatice / 135
VI.1.1. Guvernanta / 135
VI.1.2. Protectie / 139
VI.1.3. Aparare cibernetica / 143
VI.1.4. Rezilienta / 145
VI.2. Aplicarea sanctiunilor / 148
Capitolul VII. Propunerea de Directiva NIS 2.0 si implicatiile ei majore / 169
VII.1. Obligatia de independenta institutionala a DNSC fata de entitatile stabilite prin Directiva NIS 2.0 / 171
VII.2. Modificarile aduse de Directiva NIS 2.0 / 172
VII.2.1. Directiva NIS 2.0 si Legea nr. 362/2018 se vor aplica si administratiei publice / 173
Capitolul VIII. Planul de raspuns la incidente de securitate / 177
VIII.1. Consideratii generale / 179
VIII.2. Etapele unui plan de raspuns la incidente de securitate / 179
VIII.2.1. Cum recunoastem un incident de securitate? / 180
VIII.2.2. Echipa de management a incidentelor de securitate / 180
VIII.2.3. Cronologia evenimentelor in cazul unui incident de securitate / 181
VIII.2.4. Descoperirea si raportarea unui incident de securitate / 182
VII.2.4.1. Cand se considera ca operatorul „a luat la cunostinta” despre producerea unui incident de securitate? / 182
VIII.2.5. Tipuri de incidente care ar trebui raportate / 183
VIII.2.6. Identificarea incidentelor de securitate / 185
VIII.2.7. Implicarea departamentelor de management si IT / conformitate / 185
VIII.2.8. Notificarile in regim de urgenta / 188
VIII.2.9. Activitati initiale / 188
VIII.2.9.1. Izolarea incidentului de securitate / 189
VIII.2.9.2. Cyber Asigurari si externalizarea serviciilor de raspuns la incidente de securitate / 190
VIII.2.9.3. Documentarea si deschiderea rapoartelor de incident de securitate / 190
VIII.2.9.4. Infiintarea echipei de management a incidentului si analiza planurilor alternative / 190
VIII.2.10. Activitatile post incident / 191
VIII.2.10.1. Analiza si planificarea / 191
VIII.2.10.2. Investigatia / 192
VIII.2.10.3. Reducerea riscurilor si adoptarea masurilor corective / 193
VIII.2.10.4. Notificarea / 194
VIII.2.10.5. Inchiderea dosarului deschis pentru incidentul de securitate / 194
VIII.2.10.6. Raportarea / 195
Capitolul IX Studiu de caz - Identificarea ca OSE si SE conform Legii NIS / 197
IX.1. Consideratii generale / 199
IX.1.1. Entitatea activeaza intr-unul sau mai multe dintre sectoarele/subsectoarele prevazute in Anexa la Legea NIS? / 199
Lista sectoarelor si subsectoarelor care intra sub incidenta Legii NIS / 199
Fisa de evaluare primara / 200
Lista tipurilor de entitati care intra sub incidenta Legii NIS / 200
IX.1.2. Este aplicabila o lege speciala (lex specialis)? / 207
Inventar legislativ / 207
Inventar legislativ special / 207
IX.1.3. Furnizeaza operatorul un „serviciu esential” in sensul Directivei NIS? / 208
Analiza interna a importantei serviciului oferit / 210
IX.1.4. Depinde serviciul de o retea si de sisteme informatice? / 212
Analiza interna a dependentei serviciilor de o retea si de sisteme informatice / 212
IX.1.5. Un incident de securitate ar avea un efect perturbator semnificativ? / 214
IX.1.5.1. Evaluarea gradului de perturbare a furnizarii SENIS in functie de criteriile intersectoriale / 214
Numarul de utilizatori care se bazeaza pe servicii / 215
Dependenta altor sectoare de serviciul furnizat / 217
Impactul pe care l-ar putea avea incidentele asupra activitatilor economice si societale sau a sigurantei publice / 222
Cota de piata / 224
Distributia geografica in ceea ce priveste zona care ar putea fi afectata de un incident / 226
Importanta entitatii pentru mentinerea unui nivel suficient al serviciului, tinand cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului / 228
IX.1.5.2. Evaluarea gradului de perturbare a furnizarii SENIS in functie de criteriile sectoriale si valorile de prag / 229
Sectorul Energie – A÷C / 230
In tabelul de mai jos am inclus doar codurile sectoriale pentru care sunt prevazute valori de prag explicite: / 230
Sectorul Transport – D÷G / 232
Sectorul Bancar – H / 236
Sectorul Infrastructuri ale pietei financiare – I / 237
Sectorul Sanatatii – J / 238
Sectorul furnizarea si distribuirea de apa potabila – K / 238
Sectorul Infrastructura digitala – L / 240
ANEXE / 243
Anexa 1. Sectoare de activitate si tipuri de entitati / 245
Anexa 2. Diagrama Procesului de identificare a operatorilor de servicii esentiale / 249
Anexa 3. Lista Serviciilor Esentiale aprobata prin Hotarare nr. 963 din 5 noiembrie 2020 / 251
Anexa 4. Criterii si valori de prag, intersectoriale si sectoriale . / 259
Valorile de prag corespunzatoare criteriilor intersectoriale / 260
Criterii si valori de prag sectoriale / 261
Sector: Energie. Subsector: Electricitate. Cod sectorial/subsectorial: A / 261
Sector: Energie. Subsector: Petrol. Cod sectorial/subsectorial: B / 262
Sector: Energie. Subsector: Gaze naturale. Cod sectorial/subsectorial: C / 263
Sector: Transport. Subsector: Transport aerian. Cod sectorial/subsectorial: D / 265
Sector: Transport. Subsector: Transport feroviar. Cod sectorial/subsectorial: E / 266
Sector: Transport. Subsector: Transport pe apa. Cod sectorial/subsectorial: F / 267
Sector: Transport. Subsector: Transport rutier. Cod sectorial/subsectorial: G / 269
Sector: Bancar. Subsector: -. Cod sectorial/subsectorial: H/ 270
Sector: Infrastructuri ale pietei financiare. Subsector: -. Cod sectorial/subsectorial: I / 271
Sector: Sanatate. Subsector: Institutii de asistenta medicala (inclusiv spitale si clinici private). Cod sectorial/subsectorial: J / 271
Sector: Furnizare si distribuire de apa potabila. Subsector: -. Cod sectorial/subsectorial: K / 272
Sector: Infrastructura digitala. Subsector: -. Cod sectorial/subsectorial: L / 273
Anexa 5. Lista orientativa OSE / SE pentru valori de prag “0” / 275
Anexa 6. Lista celor mai frecvente amenintari la securitatea cibernetica / 319
Anexa 7. Lista tipurilor de entitati care intra sub incidenta Legii NIS / 322
Anexa 8. Formulare utilizate in relatia cu DNSC / 329
ANEXA nr. 2 la norme: Formular de asistenta pentru identificarea operatorilor de servicii esentiale / 330
ANEXA nr. 3 la norme: Formular de asistenta pentru procesul de radiere a operatorului de servicii esentiale / 332
ANEXA nr. 4 la norme: Notificare privind inscrierea in Registrul operatorilor de servicii esentiale / 333
ANEXA nr. 5 la norme: Notificare privind modificarea/completarea datelor din Registrul operatorilor de servicii esentiale / 335
ANEXA nr. 6 la norme: Notificare privind radierea din Registrul operatorilor de servicii esentiale / 337
ANEXA nr. 7 la norme: Declaratie pe propria raspundere privind indeplinirea cerintelor minime de securitate pentru inscrierea in Registrul operatorilor de servicii esentiale / 339
ANEXA nr. 11 la norme: Comunicare privind datele furnizorului de servicii digitale si lista responsabili NIS / 340
ANEXA nr. 12 la norme: Comunicare privind modificarea/completarea datelor furnizorilor de servicii digitale / 342
ANEXA nr. 13 la norme: Comunicare privind radierea furnizorului de servicii digitale / 344
DAICMS (Documentatia de autoevaluare a indeplinirii cerintelor minime de securitate) / 346
Anexa 9. Lista orientativa a procedurilor privind securitatea informatica / 350
Anexa 10. Model de “Procedura de raspuns in cazul unui incident de securitate” / 354
Anexa 11. Cele mai frecvente riscuri privind securitatea cibernetica / 368
Anexa 12. Indicii privind o posibila infectare a calculatorului / laptopului / 374
Anexa 13. Model - Analiza de risc pentru autoevaluarea indeplinirii cerintelor minime de securitate /376
Anexa 14. Model - Decizie de numire Responsabil NIS / 384
Anexa 15. Check-list de autoevaluare initiala a entitatilor sub aspect NIS / 385
Glosar de termeni si abrevieri / 405
Bibliografie / 441
Cuvant inainte / 15
Multumiri / 19
Introducere / 23
Capitolul I. Consideratii generale / 27
I.1. Ce este Directiva NIS si de ce este importanta? / 29
I.1.1. Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora / 30
I.1.1.1. Studiu de evaluare a Directivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora / 32
I.2. De ce este importanta Legea nr. 362/2018 de transpunere a Directivei NIS in Romania? / 41
I.2.1. Transpunerea Directivei in Romania / 42
I.3. Cine este vizat de Legea nr. 362/2018 de transpunere in Romania a Directivei NIS? / 46
Capitolul II. Directoratul National de Securitate Cibernetica - DNSC / 49
II.1. Responsabilitati si principii ale Directoratului National de Securitate Cibernetica / 52
II.1.1. Responsabilitatile DNSC / ... 52
II.1.2. Principiile DNSC / 53
II.2. Obiectivele Directoratului National de Securitate Cibernetica / 54
II.3. Functiile si atributiile Directoratului National de Securitate Cibernetic / 55
II.3.a. Strategie si planificare / 55
II.3.b. Functia de autoritate competenta la nivel national de reglementare, supraveghere si control / 56
II.3.c. Functia de CSIRT national / 56
II.3.d. Functia de CSIRT guvernamental / 57
II.3.e. Functia de coordonare, implementare, indrumare si sprijin a CSIRT-urilor sectoriale / ..... 58
II.3.f. Functia de echipa de raspuns la incidente de securitate cibernetica pentru produse si servicii informatice utilizate in cadrul sectorului guvernamental / 58
II.3.g. Functia de alertare, prevenire, constientizare si instruire / 58
II.3.h. Functia de cooperare si colaborare / 59
II.3.i. Functia de autoritate nationala de certificare privind securitatea cibernetica / 60
II.3.j. Functia de asigurare a conformitatii si abordarii unitare a securitatii cibernetice in cadrul infrastructurilor cibernetice / 60
II.3.k. Functia de reprezentare / 61
II.3.l. Functia de cercetare-dezvoltare / 61
II.3.m. Functia de analiza si prognoza / 61
II.3.n. Functia de identificare, evaluare, monitorizare si atenuare a riscurilor cibernetice la nivel national / 61
II.3.o. Functia de centru national de gestionare a crizelor de natura cibernetica pe timp de pace / .. 62
II.3.p. Functia de evaluare a securitatii cibernetice a noilor tehnologii / 62
II.3.q. Functia de evaluare si certificare / 62
II.3.r. Functia de educatie si pregatire in domeniul securitatii cibernetice / 63
II.3.s. Functia de management al proiectelor si serviciilor / 63
II.4. Atributiile conducerii Directoratului National de Securitate Cibernetic / 63
II.4.1. Atributii ale conducerii DNSC / 64
II.4.1.1. Atributiile directorului DNSC / 64
II.4.2. Comitetul director al DNSC / 64
II.4.2.1. Atributiile si competentele Comitetului director al DNSC / 65
II.4.3. Comitetul de reglementare / 65
II.4.4. Finantare / 66
II.4.5. Autorizarea laboratoarelor civile / 67
II.4.5.1. Activitatea de verificare a laboratoarelor civile / 67
II.5. Organizarea Registrului operatorilor de servicii esentiale / 69
II.5.1. Constituirea registrului / 69
II.5.2. Utilizarea registrului / 69
II.5.2.1. Reguli generale privind inscrierea in ROSE, modificarea, radierea si protectia informatiilor inscrise / 70
Capitolul III. Operatorii de servicii esentiale si furnizorii de servicii digitale / 71
III.1. Operatorii de servicii esentiale / 73
III.1.1. Inscrierea in Registrul operatorilor de servicii esentiale / 74
III.1.2. Radierea din Registrul operatorilor de servicii esentiale / 75
III.1.3. Atributiile Responsabilului NIS - OSE / 75
III.1.4. Obligatiile operatorilor de servicii esentiale / 76
III.2. Furnizorii de servicii digitale / 77
III.2.1. Obligatiile furnizorilor de servicii digitale / 77
III.2.2. Atributiile Responsabilului NIS - FSD / 79
III.3. Echipele de interventie in caz de incidente de securitate informatica 79
III.3.1. Obligatiile echipelor de interventie in caz de incidente de securitate informatica / 79
Capitolul IV. Etapele implementarii prevederilor Legii nr. 362/2018 / 81
IV.1. Principiile Legii nr. 362/2018 / 83
IV.2. Procesul de identificare a operatorilor de servicii esentiale (OSE) / 83
IV.2.1. Etapa 1. Identificarea serviciilor esentiale / 85
IV.2.1.1. Pasul 1 - Catalogarea importantei serviciului / 86
IV.2.1.2. Pasul 2 - Identificarea modului de furnizare a serviciului / 87
IV.2.1.3. Pasul 3 - Stabilirea efectului de perturbare a serviciului in cazul producerii unui incident / 88
Faza 1. Evaluarea in functie de criteriile intersectoriale / 90
Concluzii privind evaluarea gradului de perturbare in functie de criteriile intersectoriale / 96
Faza a 2-a. Evaluarea in functie de criteriile sectoriale si valorile de prag / 96
Concluzii privind evaluarea gradului de perturbare in functie de criteriile sectoriale specifice / 107
IV.2.2. Etapa 2. Notificarea DNSC de catre operatorii de servicii esentiale / 107
IV.2.3. Etapa 3. Evaluarea si inscrierea operatorilor de servicii esentiale / 108
IV.3. Procesul de identificare a furnizorilor de servicii digitale (FSD) / 109
IV.3.1. Etapa 1. Identificarea serviciilor digitale furnizate / 111
IV.3.1.1. Pasul 1 - Stabilirea categoriei organizationale / 111
IV.3.1.2. Pasul 2 - Identificarea serviciului digital furnizat / 112
IV.3.1.3. Pasul 3 - Stabilirea categoriei serviciului digital furnizat / 113
IV.3.2. Etapa 2. Comunicarea datelor furnizorului de servicii digitale la DNSC / 114
IV.3.3. Etapa 3. Evidenta furnizorilor de servicii digitale / 114
IV.3.3.1. Modificari si completari privind evidenta furnizori de servicii digitale/ 115
IV.3.3.2. Radierea furnizorilor de servicii digitale din evidenta / 115
Capitolul V. Masuri tehnice si organizatoricce de securitate / 117
V.1. Cerintele minime de securitate pentru asigurarea securitatii retelelor si sistemelor informatice / 199
V.1.1. Notificarea incidentelor de securitate / 119
V.1.1.1. Termenele de notificare / 120
V.1.2. Managementul incidentelor de securitate / 120
V.1.3. Auditul de securitate a retelelor si sistemelor informatice apartinand operatorilor de servicii esentiale sau furnizorilor de servicii digitale / 121
V.1.4. Autorizarea echipelor CSIRT ce deservesc retele si sisteme informatice din categoria serviciilor esentiale si serviciilor digitale / 122
V.2. Intocmirea si gestionarea procedurilor documentate / 123
V.2.1. Gestionarea procedurilor documentate / 123
V.2.2. De ce avem nevoie de proceduri documentate? / 126
V.2.3. Cum se realizeaza o procedura documentata? / 126
V.2.4. Stabilirea activitatilor procedurale / 127
V.2.5. Elaborarea procedurilor documentate / 128
V.2.5.1. Continutul propriu-zis al procedurii / 128
V.2.5.2. Descrierea procedurii / 129
V.2.5.2.1. Recomandari privind descrierea corecta a procedurii / 129
Capitolul VI. Controlul indeplinirii obligatiilor de securitate si aplicarea sanctiunilor / 133
VI.1. Cerintele minime de asigurare a securitatii retelelor si sistemelor informatice / 135
VI.1.1. Guvernanta / 135
VI.1.2. Protectie / 139
VI.1.3. Aparare cibernetica / 143
VI.1.4. Rezilienta / 145
VI.2. Aplicarea sanctiunilor / 148
Capitolul VII. Propunerea de Directiva NIS 2.0 si implicatiile ei majore / 169
VII.1. Obligatia de independenta institutionala a DNSC fata de entitatile stabilite prin Directiva NIS 2.0 / 171
VII.2. Modificarile aduse de Directiva NIS 2.0 / 172
VII.2.1. Directiva NIS 2.0 si Legea nr. 362/2018 se vor aplica si administratiei publice / 173
Capitolul VIII. Planul de raspuns la incidente de securitate / 177
VIII.1. Consideratii generale / 179
VIII.2. Etapele unui plan de raspuns la incidente de securitate / 179
VIII.2.1. Cum recunoastem un incident de securitate? / 180
VIII.2.2. Echipa de management a incidentelor de securitate / 180
VIII.2.3. Cronologia evenimentelor in cazul unui incident de securitate / 181
VIII.2.4. Descoperirea si raportarea unui incident de securitate / 182
VII.2.4.1. Cand se considera ca operatorul „a luat la cunostinta” despre producerea unui incident de securitate? / 182
VIII.2.5. Tipuri de incidente care ar trebui raportate / 183
VIII.2.6. Identificarea incidentelor de securitate / 185
VIII.2.7. Implicarea departamentelor de management si IT / conformitate / 185
VIII.2.8. Notificarile in regim de urgenta / 188
VIII.2.9. Activitati initiale / 188
VIII.2.9.1. Izolarea incidentului de securitate / 189
VIII.2.9.2. Cyber Asigurari si externalizarea serviciilor de raspuns la incidente de securitate / 190
VIII.2.9.3. Documentarea si deschiderea rapoartelor de incident de securitate / 190
VIII.2.9.4. Infiintarea echipei de management a incidentului si analiza planurilor alternative / 190
VIII.2.10. Activitatile post incident / 191
VIII.2.10.1. Analiza si planificarea / 191
VIII.2.10.2. Investigatia / 192
VIII.2.10.3. Reducerea riscurilor si adoptarea masurilor corective / 193
VIII.2.10.4. Notificarea / 194
VIII.2.10.5. Inchiderea dosarului deschis pentru incidentul de securitate / 194
VIII.2.10.6. Raportarea / 195
Capitolul IX Studiu de caz - Identificarea ca OSE si SE conform Legii NIS / 197
IX.1. Consideratii generale / 199
IX.1.1. Entitatea activeaza intr-unul sau mai multe dintre sectoarele/subsectoarele prevazute in Anexa la Legea NIS? / 199
Lista sectoarelor si subsectoarelor care intra sub incidenta Legii NIS / 199
Fisa de evaluare primara / 200
Lista tipurilor de entitati care intra sub incidenta Legii NIS / 200
IX.1.2. Este aplicabila o lege speciala (lex specialis)? / 207
Inventar legislativ / 207
Inventar legislativ special / 207
IX.1.3. Furnizeaza operatorul un „serviciu esential” in sensul Directivei NIS? / 208
Analiza interna a importantei serviciului oferit / 210
IX.1.4. Depinde serviciul de o retea si de sisteme informatice? / 212
Analiza interna a dependentei serviciilor de o retea si de sisteme informatice / 212
IX.1.5. Un incident de securitate ar avea un efect perturbator semnificativ? / 214
IX.1.5.1. Evaluarea gradului de perturbare a furnizarii SENIS in functie de criteriile intersectoriale / 214
Numarul de utilizatori care se bazeaza pe servicii / 215
Dependenta altor sectoare de serviciul furnizat / 217
Impactul pe care l-ar putea avea incidentele asupra activitatilor economice si societale sau a sigurantei publice / 222
Cota de piata / 224
Distributia geografica in ceea ce priveste zona care ar putea fi afectata de un incident / 226
Importanta entitatii pentru mentinerea unui nivel suficient al serviciului, tinand cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului / 228
IX.1.5.2. Evaluarea gradului de perturbare a furnizarii SENIS in functie de criteriile sectoriale si valorile de prag / 229
Sectorul Energie – A÷C / 230
In tabelul de mai jos am inclus doar codurile sectoriale pentru care sunt prevazute valori de prag explicite: / 230
Sectorul Transport – D÷G / 232
Sectorul Bancar – H / 236
Sectorul Infrastructuri ale pietei financiare – I / 237
Sectorul Sanatatii – J / 238
Sectorul furnizarea si distribuirea de apa potabila – K / 238
Sectorul Infrastructura digitala – L / 240
ANEXE / 243
Anexa 1. Sectoare de activitate si tipuri de entitati / 245
Anexa 2. Diagrama Procesului de identificare a operatorilor de servicii esentiale / 249
Anexa 3. Lista Serviciilor Esentiale aprobata prin Hotarare nr. 963 din 5 noiembrie 2020 / 251
Anexa 4. Criterii si valori de prag, intersectoriale si sectoriale . / 259
Valorile de prag corespunzatoare criteriilor intersectoriale / 260
Criterii si valori de prag sectoriale / 261
Sector: Energie. Subsector: Electricitate. Cod sectorial/subsectorial: A / 261
Sector: Energie. Subsector: Petrol. Cod sectorial/subsectorial: B / 262
Sector: Energie. Subsector: Gaze naturale. Cod sectorial/subsectorial: C / 263
Sector: Transport. Subsector: Transport aerian. Cod sectorial/subsectorial: D / 265
Sector: Transport. Subsector: Transport feroviar. Cod sectorial/subsectorial: E / 266
Sector: Transport. Subsector: Transport pe apa. Cod sectorial/subsectorial: F / 267
Sector: Transport. Subsector: Transport rutier. Cod sectorial/subsectorial: G / 269
Sector: Bancar. Subsector: -. Cod sectorial/subsectorial: H/ 270
Sector: Infrastructuri ale pietei financiare. Subsector: -. Cod sectorial/subsectorial: I / 271
Sector: Sanatate. Subsector: Institutii de asistenta medicala (inclusiv spitale si clinici private). Cod sectorial/subsectorial: J / 271
Sector: Furnizare si distribuire de apa potabila. Subsector: -. Cod sectorial/subsectorial: K / 272
Sector: Infrastructura digitala. Subsector: -. Cod sectorial/subsectorial: L / 273
Anexa 5. Lista orientativa OSE / SE pentru valori de prag “0” / 275
Anexa 6. Lista celor mai frecvente amenintari la securitatea cibernetica / 319
Anexa 7. Lista tipurilor de entitati care intra sub incidenta Legii NIS / 322
Anexa 8. Formulare utilizate in relatia cu DNSC / 329
ANEXA nr. 2 la norme: Formular de asistenta pentru identificarea operatorilor de servicii esentiale / 330
ANEXA nr. 3 la norme: Formular de asistenta pentru procesul de radiere a operatorului de servicii esentiale / 332
ANEXA nr. 4 la norme: Notificare privind inscrierea in Registrul operatorilor de servicii esentiale / 333
ANEXA nr. 5 la norme: Notificare privind modificarea/completarea datelor din Registrul operatorilor de servicii esentiale / 335
ANEXA nr. 6 la norme: Notificare privind radierea din Registrul operatorilor de servicii esentiale / 337
ANEXA nr. 7 la norme: Declaratie pe propria raspundere privind indeplinirea cerintelor minime de securitate pentru inscrierea in Registrul operatorilor de servicii esentiale / 339
ANEXA nr. 11 la norme: Comunicare privind datele furnizorului de servicii digitale si lista responsabili NIS / 340
ANEXA nr. 12 la norme: Comunicare privind modificarea/completarea datelor furnizorilor de servicii digitale / 342
ANEXA nr. 13 la norme: Comunicare privind radierea furnizorului de servicii digitale / 344
DAICMS (Documentatia de autoevaluare a indeplinirii cerintelor minime de securitate) / 346
Anexa 9. Lista orientativa a procedurilor privind securitatea informatica / 350
Anexa 10. Model de “Procedura de raspuns in cazul unui incident de securitate” / 354
Anexa 11. Cele mai frecvente riscuri privind securitatea cibernetica / 368
Anexa 12. Indicii privind o posibila infectare a calculatorului / laptopului / 374
Anexa 13. Model - Analiza de risc pentru autoevaluarea indeplinirii cerintelor minime de securitate /376
Anexa 14. Model - Decizie de numire Responsabil NIS / 384
Anexa 15. Check-list de autoevaluare initiala a entitatilor sub aspect NIS / 385
Glosar de termeni si abrevieri / 405
Bibliografie / 441
La mai mult de patru ani de la intrarea in vigoare a Directivei UE nr. 2016/1148 (Directiva NIS) si la peste trei ani de la transpunerea acesteia prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, Romania a facut progrese tangibile in procesul de implementare.
Insa, succesul implementarii nu depinde doar de noile reglementari legislative ci si de abilitatea efectiva a operatorilor de servicii esentiale, a furnizorilor de servicii digitale si a responsabililor cu implementarea NIS la nivelul entitatilor vizate de a intelege, interpreta si a aplica prevederile legale, normele tehnice si metodologice aferente. Mai mult, este important ca specialistii sa poata aprecia corect si implicatiile aplicarii acestor prevederi, prin prisma altor acte normative relevante.
Pentru aceasta, este nevoie de o analiza aprofundata, de obtinerea unor noi competente si cunostinte specifice privind modalitatea de implementare a Directivei NIS in Romania si de o schimbare culturala profunda din partea fiecaruia. Practic, este nevoie sa studiem din nou, sa avem acces la studii de caz detaliate si la cunostintele aprofundate ale unor experti recunoscuti in domeniu.
Scrisa sub forma unui ghid detaliat si pragmatic, acest superb material de implementare a Directivei NIS elaboreaza pe cuprinsul a sute de pagini foarte bine scrise experienta concreta in domeniu a celor doi autori.
Intr-o forma clara si foarte bine prezentata, lucrarea pune la dispozitie o varietate de explicatii, indrumari, recomandari, dar si materiale de suport fiind una din publicatiile extrem de necesare azi tuturor celor implicati in implementarea Directivei NIS.
Sunt surprins in mod placut de nivelul tehnic, pragmatismul ideilor si recomandarilor exprimate in materialul publicat. Materialul ne explica in detaliu si cu exemple practice elemente cheie ale responsabilitatilor ce revin operatorilor de servicii esentiale si furnizorilor de servicii digitale, dar si detalii privind etapele implementarii Legii nr. 362/2018 de catre acestia sau masurile tehnice si organizatorice de securitate ce trebuie aplicate. Efectiv, fiecare capitol ne ofera posibilitatea de a aplica si implementa in practica prevederile directivei.
Mai mult, lucrarea acopera si o serie de elemente privind Directiva NIS 2.0, cu obiectivul de a anticipa si pregati cititorul pentru noile obligatii ce deriva din evolutia naturala a directivei.
Consider ca ” Securitatea retelelor si a sistemelor informatice - Implementarea Directivei NIS in Romania” este unul din instrumentele esentiale pentru specialistii in domeniu, pe care il recomand cu caldura a fi utilizat incepand chiar de azi.
Dan Cimpean
Director General al
Directoratului National de Securitate Cibernetica - DNSC
Bucuresti, 2021
Insa, succesul implementarii nu depinde doar de noile reglementari legislative ci si de abilitatea efectiva a operatorilor de servicii esentiale, a furnizorilor de servicii digitale si a responsabililor cu implementarea NIS la nivelul entitatilor vizate de a intelege, interpreta si a aplica prevederile legale, normele tehnice si metodologice aferente. Mai mult, este important ca specialistii sa poata aprecia corect si implicatiile aplicarii acestor prevederi, prin prisma altor acte normative relevante.
Pentru aceasta, este nevoie de o analiza aprofundata, de obtinerea unor noi competente si cunostinte specifice privind modalitatea de implementare a Directivei NIS in Romania si de o schimbare culturala profunda din partea fiecaruia. Practic, este nevoie sa studiem din nou, sa avem acces la studii de caz detaliate si la cunostintele aprofundate ale unor experti recunoscuti in domeniu.
Scrisa sub forma unui ghid detaliat si pragmatic, acest superb material de implementare a Directivei NIS elaboreaza pe cuprinsul a sute de pagini foarte bine scrise experienta concreta in domeniu a celor doi autori.
Intr-o forma clara si foarte bine prezentata, lucrarea pune la dispozitie o varietate de explicatii, indrumari, recomandari, dar si materiale de suport fiind una din publicatiile extrem de necesare azi tuturor celor implicati in implementarea Directivei NIS.
Sunt surprins in mod placut de nivelul tehnic, pragmatismul ideilor si recomandarilor exprimate in materialul publicat. Materialul ne explica in detaliu si cu exemple practice elemente cheie ale responsabilitatilor ce revin operatorilor de servicii esentiale si furnizorilor de servicii digitale, dar si detalii privind etapele implementarii Legii nr. 362/2018 de catre acestia sau masurile tehnice si organizatorice de securitate ce trebuie aplicate. Efectiv, fiecare capitol ne ofera posibilitatea de a aplica si implementa in practica prevederile directivei.
Mai mult, lucrarea acopera si o serie de elemente privind Directiva NIS 2.0, cu obiectivul de a anticipa si pregati cititorul pentru noile obligatii ce deriva din evolutia naturala a directivei.
Consider ca ” Securitatea retelelor si a sistemelor informatice - Implementarea Directivei NIS in Romania” este unul din instrumentele esentiale pentru specialistii in domeniu, pe care il recomand cu caldura a fi utilizat incepand chiar de azi.
Dan Cimpean
Director General al
Directoratului National de Securitate Cibernetica - DNSC
Bucuresti, 2021
Daca doresti sa iti exprimi parerea despre acest produs poti adauga un review.
Scrie un review
Produse similare
Codul penal si Codul de procedura penala. Actualizat la 1.02.2024
Introducere in studiul dreptului si statului. Curs universitar
Codul civil. Ianuarie 2024 - Ed. ingrijita de: Prof. univ. dr. Dan Lupascu
Noua Lege a pensiilor si Normele de aplicare. Martie 2024
Conditiile esentiale pentru validitatea contractului
Suport clienti Luni - Vineri intre 8.00 - 16.00
0745 200 718 0745 200 357 comenzi@editurauniversitara.ro