Furnizorii de comunicatii electronice vor fi obligati sa raporteze incidentele semnificative de securitate din retele/Cazurile de interes public vor fi afisate pe pagina de internet a ANCOM – proiect de reglementare
Autoritatea de reglementare in comunicatii (ANCOM) a supus miercuri dezbaterii publice un proiect de decizie care vizeaza stabilirea unei proceduri nationale de raportare a incidentelor de securitate cu impact semnificativ, incidentele reprezentand acele evenimente care pot afecta sau ameninta, direct sau indirect, securitatea si integritatea retelelor si serviciilor de comunicatii electronice la nivel national sau european. ANCOM va informa publicul prin intermediul paginii proprii de internet www.ancom.org.ro despre existenta unor astfel de incidente, raportate de furnizori, in cazurile in care acestea sunt in interesul public. De asemenea, la solicitarea ANCOM, si furnizorii vor informa publicul cu privire la producerea acestui tip de incident.
- „(…) furnizorii de retele publice de comunicatii electronice sau de servicii de comunicatii electronice destinate publicului vor avea obligatia de a transmite ANCOM o notificare initiala privind aparitia unui incident cu impact semnificativ (care afecteaza un numar mai mare de 5.000 de conexiuni, timp de cel putin 60 de minute), in termen de 6 ore de la detectarea acestuia, precum si o notificare finala privind existenta acestui incident in termen de doua saptamani de la detectarea acestuia”, precizeaza autoritatea de reglementare.
Pentru a stabili domeniile in care este nevoie de impunerea unor masuri de securitate si pentru a determina procedura de raportare a incidentelor de securitate cu impact semnificativ cuprinse in proiectul de decizie supus consultarii publice, ANCOM a desfasurat in cursul anului 2012 doua studiireferitoare la securitatea si integritatea retelelor si serviciilor de comunicatii electronice.
Primul dintre acestea a vizat incidentele care au afectat continuitatea furnizarii retelelor si serviciilor de comunicatii electronice in anul 2011, in timp ce al doilea s-a referit la masurile de securitate implementate de furnizori. Ultimul studiu a indicat faptul ca cei mai multi furnizori nu au proceduri adecvate de tratare a incidentelor, de cele mai multe ori actiunile fiind decise pe loc, in momentul aparitiei incidentului. De asemenea, cei mai multi furnizori isi informeaza utilizatorii despre incidentele semnificative doar atunci cand acestia solicita acest lucru sau cand apar reclamatii, iar notiunea de ‘incident semnificativ’ este perceputa in mod diferit in randul respondentilor.
Proiectul vizeaza si stabilirea masurilor minime de securitate ce trebuie luate de catre furnizorii de retele publice sau de servicii de comunicatii electronice destinate publicului.
Potrivit proiectului de decizie, furnizorii vor trebui sa stabileasca masuri tehnice si organizatorice in vederea asigurarii unui nivel adecvat al securitatii si integritatii retelelor si serviciilor de comunicatii electronice. Printre obligatiile ce vor fi impuse in sarcina furnizorilor se afla atat stabilirea unui management al riscului, a unui sistem de detectare a incidentelor, cat si a unei strategii proprii pentru asigurarea continuitatii furnizarii retelelor si serviciilor de comunicatii electronice in situatiile generate de perturbari grave ale functionarii acestora, precum si asigurarea protectiei retelelor si serviciilor impotriva atacurilor informatice.
Prin impunerea unor masuri minime de securitate in sarcina furnizorilor, Autoritatea urmareste sa reduca semnificativ numarul de incidente, intreruperi operationale si fraude, sa previna pierderea, distrugerea, furtul sau compromiterea diverselor resurse ale furnizorilor, dar si sa optimizeze calitatea serviciilor de comunicatii oferite utilizatorilor si sa creasca increderea acestora in serviciile de comunicatii electronice.
Proiectul de decizie stabileste cadrul legal pentru implementarea prevederilor Ordonantei de Urgenta a Guvernului nr. 111/2011 privind comunicatiile electronice, aprobata, cu modificari si completari, prin Legea nr. 140/2012, referitoare la securitatea si integritatea retelelor si serviciilor de comunicatii electronice.
Proiectul de decizie privind stabilirea masurilor minime de securitate ce trebuie luate de catre furnizorii de retele publice de comunicatii electronice sau de servicii de comunicatii electronice destinate publicului si raportarea incidentelor cu impact semnificativ asupra furnizarii retelelor si serviciilor de comunicatii electronice poate fi consultat aici, persoanele interesate fiind invitate sa formuleze si sa transmita observatii si propuneri catre ANCOM pana la data de 27.05.2013.