Printre obligațiile care decurg din legislația NIS2-OUG155/2024 este și cea de a furniza informații și de a notifica incidentele. Această obligație are ca scop acordarea de asistență entităților în cauză, informarea corespunzătoare a diferitelor autorități competente, diseminarea de mesaje de avertizare cu privire la anumite amenințări la adresa altor entități și colaborarea la nivel național sau european.

INCIDENTE CARE TREBUIE NOTIFICATE CONFORM OUG155

Notificarea unui incident este obligatorie atunci cînd acesta constituie un ”incident semnificativ”. Avem două elemente:

• incident înseamnă un eveniment care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise sau prelucrate ori a serviciilor oferite de rețele și sisteme informatice sau accesibile prin intermediul acestora (Art. 4(m))
• un incident este considerat semnificativ sau impactul unui incident este considerat semnificativ dacă: a) a provocat sau poate provoca perturbări operaționale grave ale serviciilor sau pierderi financiare pentru entitatea în cauză b) a afectat sau poate afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau nonmateriale considerabile (Art. 15 (6))

CUM DETERMINI DACA INCIDENTUL ESTE SEMNIFICATIV

Din definițiile de mai sus eu înțeleg că notificarea obligatorie se referă doar la rețelele și sistemele informatice de care depinde furnizarea serviciului/serviciilor enumerate în anexa la OUG. Prin urmare, un incident care afectează doar un sistem IT izolat, fără legătură cu furnizarea serviciilor menționate în Anexă, nu ar trebuie notificat.

În al doilea rând, impactul trebuie să fie semnificativ, adică să provoace sau să fie susceptibil de a provoca cel puțin una dintre aceste trei situații (le-am separat pe cele două din definiții):

•  întrerupere operațională gravă a unuia dintre serviciile furnizate (în sectoarele sau subsectoarele enumerate în Anexe
• pierderi financiare pentru entitatea în cauză;
• daune materiale, fizice sau morale considerabile aduse altor persoane fizice sau juridice.

REGLEMENTĂRI SPECIALE

În cazul  incidentelor semnificative cu care se confruntă furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere se aplică cerințele din REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2024/2690 . Explicații și suport în implementarea acelor cerințe vin de la ENISA printr-un Ghid dedicat.

CUM, CÎND ȘI PE CINE NOTIFICI

Notificare se desfășoară în mai multe etape :

1. Raportarea se face prin intermediul Platformei naționale pentru raportarea incidentelor de securitate cibernetică (PNRISC)
2. fără întârzieri nejustificate, dar nu mai târziu de 24 de ore de la data la care enitatea a luat cunoștință de incidentul semnificativ se transmite o avertizare timpurie care, după caz, indică dacă există suspiciuni că incidentul este cauzat de acțiuni ilicite sau răuvoitoare sau că ar putea avea un impact transfrontalier (Art. 15 (7)(a))
3. fără întârzieri nejustificate, dar nu mai târziu de 72 de ore din momentul în care enitatea a luat cunoștință de incidentu semnificativ, o raportare a incidentului, care, după caz, actualizează informațiile menționate anterior și prezintă o evaluare inițială a incidentului semnificativ, inclusiv a gravității și a impactului acestuia, precum și a indicatorilor de compromitere, dacă sunt disponibili (Art. 15 (7)(b))
4. la cererea chipei de răspuns la incidente de securitate cibernetică naționale (DNSC), entitatea prezintă un raport intermediar ((Art. 15 (7)(c))
5. în termen de cel mult o lună de la notificarea incidentului menționat la punctul 2, entitatea trebuie a prezenta un raport final care include cel puțin: o descriere detaliată a incidentului, inclusiv a gravității și a impactulu acestuia; tipul de amenințare sau de cauză principală care probabil că a declanșat incidentul; măsurile de atenuare aplicate și în curs; dacă este cazul, impactul transfrontalier al incidentului; ((Art. 15 (7)(d))
6. în cazul în care incidentul este încă în curs de desfășurare la momentul depunerii raportului final, entitatea în cauză depune un raport de progres și apoi, în termen de o lună de la soluționarea incidentului, un raport final.

Termenul „fără întârzieri nejustificate” înseamnă că entitatea trebuie să notifice incidentul cît mai curînd posibil, fără a aștepta termenele maxime de 24 de ore/72 de ore. Așteptarea pînă la sfârșitul acestor termene trebuie justificată.

CE AR TREBUI SĂ FACI

Ținînd cont de toate cele scrise mai sus firesc urmează actualizarea politicii și procesului prin care se realizează managementul incidentelor de securitate. Procedurilor interne ale organizației nu trebuie să ducă la o întârziere nejustificată în notificarea incidentului.

Pentru identificarea valorilor/pragurilor cu privire la impact se va folosi ordinul DNSC (acum este doar în consultare publică, dar va deveni operațional)