Guvernul Romniei Hotrrea nr.

271/2013 pentru aprobarea Strategiei de securitate cibernetic a Romniei i a Planului de aciune la nivel naional privind implementarea Sistemului naional de securitate cibernetic
Publicat n Monitorul Oficial, Partea I nr. 296 din 23.05.2013. Hotrre pentru aprobarea Strategiei de securitate cibernetic a Romniei i a Planului de aciune la nivel naional privind implementarea Sistemului naional de securitate cibernetic

n temeiul art. 108 din Constituia Romniei, republicat, i al art. 11 lit. f) din Legea nr. 90/2001 privind organizarea i funcionarea Guvernului Romniei i a ministerelor, cu modificrile i completrile ulterioare, Guvernul Romniei adopt prezenta hotrre. Art. 1. - Se aprob Strategia de securitate cibernetic a Romniei, prevzut n anexa nr. 1. Art. 2. - Se aprob Planul de aciune la nivel naional privind implementarea Sistemului naional de securitate cibernetic prevzut n anexa nr. 2 1*). Art. 3. - Ministerul pentru Societatea Informaional i celelalte autoriti publice responsabile au obligaia de a duce la ndeplinire obiectivele i direciile de aciune prevzute n Strategia de securitate cibernetic a Romniei i n Planul de aciune la nivel naional privind implementarea Sistemului naional de securitate cibernetic, cu respectarea prevederilor legale n vigoare. Art. 4. - Anexele nr. 1 i 2 fac parte integrant din prezenta hotrre.

PRIM-MINISTRU VICTOR-VIOREL PONTA Contrasemneaz: Viceprim-ministru, Gabriel Oprea Ministrul pentru societatea informaional,
1

*) Anexa nr. 2 se comunic instituiilor interesate, fiind clasificat potrivit legii.

1 / 17

Dan Nica Viceprim-ministru, ministrul finanelor publice, Daniel Chioiu Ministrul delegat pentru buget, Liviu Voinea Ministrul aprrii naionale, Mircea Dua Ministrul afacerilor interne, Radu Stroe Ministrul educaiei naionale, Remus Pricopie Ministrul afacerilor externe, Titus Corlean Ministrul delegat pentru nvmnt superior, cercetare tiinific i dezvoltare tehnologic, Mihnea Cosmin Costoiu Directorul Serviciului Romn de Informaii, George-Cristian Maior Directorul Serviciului de Informaii Externe, Teodor Viorel Melecanu Directorul Serviciului de Protecie i Paz, Lucian-Silvan Pahonu Directorul Serviciului de Telecomunicaii Speciale, Marcel Opri
2 / 17

Directorul Oficiului Registrului Naional al Informaiilor Secrete de Stat, Marius Petrescu

Bucureti, 15 mai 2013. Nr. 271.

3 / 17

ANEXA Nr. 1 STRATEGIA de securitate cibernetic a Romniei

I. Introducere

1. Context Dezvoltarea rapid a tehnologiilor moderne de informaii i comunicaii - condiie sine qua non a edificrii societii informaionale - a avut un impact major asupra ansamblului social, marcnd adevrate mutaii n filozofia de funcionare a economicului, politicului i culturalului, dar i asupra vieii de zi cu zi a individului. Practic, n prezent, accesul facil la tehnologia informaiei i comunicaiilor reprezint una dintre premisele bunei funcionri a societii moderne. Spaiul cibernetic se caracterizeaz prin lipsa frontierelor, dinamism i anonimat, genernd deopotriv oportuniti de dezvoltare a societii informaionale bazate pe cunoatere, dar i riscuri la adresa funcionrii acesteia (la nivel individual, statal i chiar cu manifestare transfrontalier). Alturi de beneficiile incontestabile pe care informatizarea le induce la nivelul societii moderne, aceasta introduce i vulnerabiliti, astfel c asigurarea securitii spaiului cibernetic trebuie s constituie o preocupare major a tuturor actorilor implicai, mai ales la nivel instituional, unde se concentreaz responsabilitatea elaborrii i aplicrii de politici coerente n domeniu. Romnia urmrete att dezvoltarea unui mediu informaional dinamic bazat pe interoperabilitate i servicii specifice societii informaionale, ct i asigurarea respectrii drepturilor i libertilor fundamentale ale cetenilor i a intereselor de securitate naional, ntr-un cadru legal adecvat. Din aceast perspectiv se resimte necesitatea dezvoltrii culturii de securitate cibernetic a utilizatorilor sistemelor informatice i de comunicaii, adesea insuficient informai n legtur cu potenialele riscuri, dar i cu soluiile de contracarare a acestora. Cunoaterea pe scar larg a riscurilor i ameninrilor derivate din activitile desfurate n spaiul cibernetic, precum i a modului de prevenire i contracarare a acestora necesit o comunicare i cooperare eficiente ntre actorii specifici n acest domeniu. Statul romn i asum rolul de coordonator al activitilor desfurate la nivel naional pentru asigurarea securitii cibernetice, n concordan cu demersurile iniiate la nivelul UE i NATO. Problematica securitii cibernetice a devenit prioritar pentru aceste organisme, care deruleaz demersuri reglementare necesare dezvoltrii mecanismelor de aprare cibernetic.
4 / 17

Incidentele de securitate cibernetic i atacurile cibernetice majore cu care s-au confruntat n ultimii ani unele state i organizaii internaionale au determinat contientizarea, la nivel internaional, a necesitii adoptrii unor strategii i politici n domeniul securitii cibernetice. Astfel, exist n prezent strategii naionale de securitate cibernetic, precum cele ale Estoniei, Statelor Unite ale Americii, Marii Britanii, Germaniei i Franei, care fundamenteaz necesitatea demersurilor pentru dezvoltarea capabilitilor proprii de contracarare a atacurilor cibernetice i stabilesc cadrul de aciune i cooperare ntre diverse entiti guvernamentale i nonguvernamentale pentru limitarea consecinelor. Conform acestor strategii, eforturile naiunilor vizeaz implementarea unor msuri de securitate care s conduc la creterea nivelului de protecie a infrastructurilor cibernetice, n special a celor care susin infrastructurile critice naionale. Evoluia rapid a naturii ameninrilor cibernetice a necesitat adoptarea, i de ctre Organizaia Nord-Atlantic, a unui nou concept i a unei noi politici n domeniul aprrii cibernetice. n acest sens, NATO i-a redefinit rolul i perimetrul de aciune n domeniu i a elaborat un plan de aciune pentru dezvoltarea unor capabiliti necesare protejrii infrastructurilor cibernetice proprii, precum i a unor mecanisme de consultare a statelor membre i de asigurare a asistenei n cazul unor atacuri cibernetice majore. La nivelul UE sunt ntreprinse demersuri n privina adoptrii unei strategii europene pentru securitatea cibernetic, care s armonizeze eforturile statelor membre n abordarea provocrilor de securitate din spaiul cibernetic i protecia infrastructurilor informatice critice. Totodat, la nivelul UE, s-a conturat necesitatea adoptrii unei politici privind lupta mpotriva criminalitii informatice. Iniiativele subsecvente au pornit de la constatarea creterii numrului de infraciuni informatice, a tot mai amplei implicri a grupurilor de criminalitate organizat n criminalitatea informatic, precum i a necesitii unei coordonri a eforturilor europene n direcia combaterii acestor acte. Avnd n vedere c atacurile cibernetice pe scar larg, bine coordonate i direcionate ctre infrastructurile cibernetice critice ale statelor membre, constituie o preocupare crescnd a UE, ntreprinderea de aciuni pentru combaterea tuturor formelor de criminalitate informatic, att la nivel european, ct i la nivel naional, a devenit o necesitate stringent. Creterea capacitii de lupt mpotriva criminalitii informatice la nivel naional, european i internaional implic, printre altele: - creterea gradului de cooperare i coordonare ntre unitile responsabile cu combaterea criminalitii informatice, alte autoriti i experi din cadrul Uniunii Europene; - dezvoltarea unui cadru de reglementare coerent, la nivelul UE, privind lupta mpotriva criminalitii informatice, n coordonare cu statele membre, precum i cu autoritile europene i internaionale cu relevan n domeniu;
5 / 17

- creterea nivelului de contientizare a costurilor i pericolelor pe care le implic criminalitatea informatic. n acest context, Romnia recunoate existena unor astfel de ameninri i susine o abordare comun, integrat i coordonat, att la nivelul NATO, ct i la nivelul UE, pentru a putea oferi un rspuns oportun la atacurile cibernetice. 2. Scop i obiective Scopul Strategiei de securitate cibernetic a Romniei este de a defini i de a menine un mediu virtual sigur, cu un nalt grad de rezilien i de ncredere, bazat pe infrastructurile cibernetice naionale, care s constituie un important suport pentru securitatea naional i buna guvernare, pentru maximizarea beneficiilor cetenilor, mediului de afaceri i ale societii romneti, n ansamblul ei. Strategia de securitate cibernetic a Romniei prezint obiectivele, principiile i direciile majore de aciune pentru cunoaterea, prevenirea i contracararea ameninrilor, vulnerabilitilor i riscurilor la adresa securitii cibernetice a Romniei i pentru promovarea intereselor, valorilor i obiectivelor naionale n spaiul cibernetic. n scopul asigurrii coerenei i eficienei acionale, Strategia de securitate cibernetic a Romniei, denumit n continuare strategie, urmrete ndeplinirea obiectivului naional de securitate privind "asigurarea securitii cibernetice", cu respectarea principiilor i caracteristicilor Strategiei naionale de aprare i Strategiei naionale de protecie a infrastructurilor critice. Pentru asigurarea securitii cibernetice a Romniei, strategia stabilete urmtoarele obiective: a) adaptarea cadrului normativ i instituional la dinamica ameninrilor specifice spaiului cibernetic; b) stabilirea i aplicarea unor profile i cerine minime de securitate pentru infrastructurile cibernetice naionale, relevante din punct de vedere al funcionrii corecte a infrastructurilor critice; c) asigurarea rezilienei infrastructurilor cibernetice; d) asigurarea strii de securitate prin cunoaterea, prevenirea i contracararea vulnerabilitilor, riscurilor i ameninrilor la adresa securitii cibernetice a Romniei; e) valorificarea oportunitilor spaiului cibernetic pentru promovarea intereselor, valorilor i obiectivelor naionale n spaiul cibernetic; f) promovarea i dezvoltarea cooperrii ntre sectorul public i cel privat n plan naional, precum i a cooperrii internaionale n domeniul securitii cibernetice;
6 / 17

g) dezvoltarea culturii de securitate a populaiei prin contientizarea fa de vulnerabilitile, riscurile i ameninrile provenite din spaiul cibernetic i necesitatea asigurrii proteciei sistemelor informatice proprii; h) participarea activ la iniiativele organizaiilor internaionale din care Romnia face parte n domeniul definirii i stabilirii unui set de msuri destinate creterii ncrederii la nivel internaional privind utilizarea spaiului cibernetic. 3. Concepte, definiii i termeni n nelesul prezentei strategii, termenii i expresiile de mai jos au urmtoarea semnificaie: infrastructuri cibernetice - infrastructuri de tehnologia informaiei i comunicaii, constnd n sisteme informatice, aplicaii aferente, reele i servicii de comunicaii electronice; spaiul cibernetic - mediul virtual, generat de infrastructurile cibernetice, incluznd coninutul informaional procesat, stocat sau transmis, precum i aciunile derulate de utilizatori n acesta; securitate cibernetic - starea de normalitate rezultat n urma aplicrii unui ansamblu de msuri proactive i reactive prin care se asigur confidenialitatea, integritatea, disponibilitatea, autenticitatea i nonrepudierea informaiilor n format electronic, a resurselor i serviciilor publice sau private, din spaiul cibernetic. Msurile proactive i reactive pot include politici, concepte, standarde i ghiduri de securitate, managementul riscului, activiti de instruire i contientizare, implementarea de soluii tehnice de protejare a infrastructurilor cibernetice, managementul identitii, managementul consecinelor; aprare cibernetic - aciuni desfurate n spaiul cibernetic n scopul protejrii, monitorizrii, analizrii, detectrii, contracarrii agresiunilor i asigurrii rspunsului oportun mpotriva ameninrilor asupra infrastructurilor cibernetice specifice aprrii naionale; operaii n reele de calculatoare - procesul complex de planificare, coordonare, sincronizare, armonizare i desfurare a aciunilor n spaiul cibernetic pentru protecia, controlul i utilizarea reelelor de calculatore n scopul obinerii superioritii informaionale, concomitent cu neutralizarea capabilitilor adversarului; ameninare cibernetic - circumstan sau eveniment care constituie un pericol potenial la adresa securitii cibernetice; atac cibernetic - aciune ostil desfurat n spaiul cibernetic de natur s afecteze securitatea cibernetic; incident cibernetic - eveniment survenit n spaiul cibernetic ale crui consecine afecteaz securitatea cibernetic;

7 / 17

terorism cibernetic - activitile premeditate desfurate n spaiul cibernetic de ctre persoane, grupri sau organizaii motivate politic, ideologic ori religios ce pot determina distrugeri materiale sau victime, de natur s determine panic ori teroare; spionaj cibernetic - aciuni desfurate n spaiul cibernetic, cu scopul de a obine neautorizat informaii confideniale n interesul unei entiti statale sau nonstatale; criminalitatea informatic - totalitatea faptelor prevzute de legea penal sau de alte legi speciale care prezint pericol social i sunt svrite cu vinovie, prin intermediul ori asupra infrastructurilor cibernetice; vulnerabilitatea n spaiul cibernetic - slbiciune n proiectarea i implementarea infrastructurilor cibernetice sau a msurilor de securitate aferente care poate fi exploatat de ctre o ameninare; riscul de securitate n spaiul cibernetic - probabilitatea ca o ameninare s se materializeze, exploatnd o anumit vulnerabilitate specific infrastructurilor cibernetice; managementul riscului - un proces complex, continuu i flexibil de identificare, evaluare i contracarare a riscurilor la adresa securitii cibernetice, bazat pe utilizarea unor tehnici i instrumente complexe, pentru prevenirea pierderilor de orice natur; managementul identitii - metode de validare a identitii persoanelor cnd acestea acceseaz anumite infrastructuri cibernetice; reziliena infrastructurilor cibernetice - capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic i de a reveni la starea de normalitate; entiti de tip CERT - structuri specializate n nelesul art. 2 lit. a) din Hotrrea Guvernului nr. 494/2011 privind nfiinarea Centrului Naional de Rspuns la Incidente de Securitate Cibernetic - CERT-RO. 4. Principii Asigurarea securitii cibernetice trebuie s constituie rezultatul unor abordri bazate pe evaluarea riscurilor, prioritizarea resurselor, implementarea i monitorizarea eficienei msurilor de securitate identificate prin aplicarea managementului de risc i respectarea urmtoarelor principii: - coordonarea - activitile se realizeaz ntr-o concepie unitar, pe baza unor planuri de aciune convergente destinate asigurrii securitii cibernetice, n conformitate cu atribuiile i responsabilitile fiecrei entiti;

8 / 17

- cooperarea - toate entitile implicate (din mediul public sau privat) colaboreaz, la nivel naional i internaional, pentru asigurarea unui rspuns adecvat la ameninrile din spaiul cibernetic; - eficiena - demersurile ntreprinse vizeaz managementul optim al resurselor disponibile; - prioritizarea - eforturile se vor concentra asupra securizrii infrastructurilor cibernetice ce susin infrastructurile critice naionale i europene; - diseminarea - asigurarea transferului de informaii, expertiz i bune practici n scopul protejrii infrastructurilor cibernetice; - protejarea valorilor - politicile de securitate cibernetic vor asigura echilibrul ntre nevoia de cretere a securitii n spaiul cibernetic i prezervarea dreptului la intimitate i alte valori i liberti fundamentale ale ceteanului; - asumarea responsabilitii - toi deintorii i utilizatorii de infrastructuri cibernetice trebuie s ntreprind msurile necesare pentru securizarea infrastructurilor proprii i s nu afecteze securitatea infrastructurilor celorlali deintori sau utilizatori; - separarea reelelor - reducerea probabilitii de manifestare a atacurilor cibernetice, specifice reelei internet, asupra infrastructurilor cibernetice care asigur funciile vitale ale statului, prin utilizarea unor reele dedicate, separate de internet.

II. Provocri i oportuniti 1. Ameninri, vulnerabiliti i riscuri Ameninrile specifice spaiului cibernetic se caracterizeaz prin asimetrie i dinamic accentuat i caracter global, ceea ce le face dificil de identificat i de contracarat prin msuri proporionale cu impactul materializrii riscurilor. Romnia se confrunt, n prezent, cu ameninri provenite din spaiul cibernetic, la adresa infrastructurilor critice, avnd n vedere interdependena din ce n ce mai ridicat ntre infrastructuri cibernetice i infrastructuri precum cele din sectoarele financiar-bancar, transport, energie i aprare naional. Globalitatea spaiului cibernetic este de natur s amplifice riscurile la adresa acestora, afectnd deopotriv cetenii, mediul de afaceri i cel guvernamental. n general, infrastructurile cibernetice pot fi afectate de ameninri de natur tehnic (de exemplu deficiene sau defeciuni tehnice), uman (de exemplu erori de operare, aciuni voluntare) ori naturale (de exemplu fenomene meteo extreme, catastrofe naturale).
9 / 17

Ameninrile la adresa spaiului cibernetic se pot clasifica n mai multe moduri, dar cele mai frecvent utilizate sunt cele bazate pe factorii motivaionali i impactul asupra societii. n acest sens, pot fi avute n vedere criminalitatea informatic, terorismul cibernetic i rzboiul cibernetic, avnd ca surs att actori statali, ct i actori nonstatali. Ameninrile din spaiul cibernetic se materializeaz - prin exploatarea vulnerabilitilor de natur uman, tehnic i procedural - cel mai adesea n: - atacurile cibernetice mpotriva infrastructurilor care susin funcii de utilitate public ori servicii ale societii informaionale a cror ntrerupere/afectare ar putea constitui un pericol la adresa securitii naionale; - accesarea neautorizat a infrastructurilor cibernetice; - modificarea, tergerea sau deteriorarea neautorizat de date informatice ori restricionarea ilegal a accesului la aceste date; - spionajul cibernetic; - cauzarea unui prejudiciu patrimonial, hruirea i antajul persoanelor fizice i juridice, de drept public i privat. Principalii actori care genereaz ameninri n spaiul cibernetic sunt: - persoane sau grupri de criminalitate organizat care exploateaz vulnerabilitile spaiului cibernetic n scopul obinerii de avantaje patrimoniale sau nepatrimoniale; - teroriti sau extremiti care utilizeaz spaiul cibernetic pentru desfurarea i coordonarea unor atacuri teroriste, activiti de comunicare, propagand, recrutare i instruire, colectare de fonduri etc., n scopuri teroriste; - state sau actori nonstatali care iniiaz sau deruleaz operaiuni n spaiul cibernetic, n scopul culegerii de informaii din domeniile guvernamental, militar, economic ori al materializrii altor ameninri la adresa securitii naionale. 2. Oportuniti n acelai timp, spaiul cibernetic, devenit un nou domeniu de interaciune n cadrul societii moderne, ofer o serie de oportuniti generate de nsi specificitatea acestuia. Astfel, au fost identificate urmtoarele oportuniti pe care Romnia le poate exploata prin intermediul spaiului cibernetic: - susinerea politicilor i promovarea intereselor naionale; - dezvoltarea i susinerea mediului de afaceri;
10 / 17

- creterea calitii vieii prin dezvoltarea serviciilor oferite de societatea informaional; - mbuntirea cunoaterii i susinerea deciziilor strategice naionale n era informaional prin asigurarea capacitilor i instrumentelor cibernetice adecvate; - creterea nivelului de cunoatere i a capacitii de predicie n scopul avertizrii timpurii privind riscurile i ameninrile la adresa securitii naionale; - creterea capacitilor tehnice i a competenelor resursei umane pentru realizarea obiectivelor de securitate naional.

III. Direcii de aciune Romnia i propune asigurarea strii de normalitate n spaiul cibernetic reducnd riscurile i valorificnd oportunitile, prin mbuntirea cunotinelor, a capabilitilor i a mecanismelor de decizie. n acest sens, eforturile se vor focaliza pe urmtoarele direcii de aciune: 1. Stabilirea cadrului conceptual, organizatoric i acional necesar asigurrii securitii cibernetice - constituirea i operaionalizarea unui sistem naional de securitate cibernetic; - completarea i armonizarea cadrului legislativ naional n domeniu, inclusiv stabilirea i aplicarea unor cerine minimale de securitate pentru infrastructurile cibernetice naionale; - dezvoltarea cooperrii ntre sectorul public i cel privat, inclusiv prin stimularea schimbului reciproc de informaii, privind ameninri, vulnerabiliti, riscuri, precum i cele referitoare la incidente i atacuri cibernetice. 2. Dezvoltarea capacitilor naionale de management al riscului n domeniul securitii cibernetice i de reacie la incidente cibernetice n baza unui program naional, viznd: - consolidarea, la nivelul autoritilor competente potrivit legii, a potenialului de cunoatere, prevenire i contracarare a ameninrilor i minimizarea riscurilor asociate utilizrii spaiului cibernetic; - asigurarea unor instrumente de dezvoltare a cooperrii dintre sectorul public i cel privat, n domeniul securitii cibernetice, inclusiv pentru crearea unui mecanism eficient de avertizare i alert, respectiv de reacie la incidentele cibernetice; - stimularea capabilitilor naionale de cercetaredezvoltare i inovare n domeniul securitii cibernetice; - creterea nivelului de rezilien a infrastructurilor cibernetice;
11 / 17

- dezvoltarea entitilor de tip CERT, att n cadrul sectorului public, ct i n sectorul privat. 3. Promovarea i consolidarea culturii de securitate n domeniul cibernetic - derularea unor programe de contientizare a populaiei, a administraiei publice i a sectorului privat, cu privire la ameninrile, vulnerabilitile i riscurile specifice utilizrii spaiului cibernetic; - dezvoltarea de programe educaionale, n cadrul formelor obligatorii de nvmnt, privind utilizarea sigur a internetului i a echipamentelor de calcul; - formarea profesional adecvat a persoanelor care i desfoar activitatea n domeniul securitii cibernetice i promovarea pe scar larg a certificrilor profesionale n domeniu; - includerea unor elemente referitoare la securitatea cibernetic n programele de formare i perfecionare profesional a managerilor din domeniul public i privat. 4. Dezvoltarea cooperrii internaionale n domeniul securitii cibernetice - ncheierea unor acorduri de cooperare la nivel internaional pentru mbuntirea capacitii de rspuns n cazul unor atacuri cibernetice majore; - participarea la programe internaionale care vizeaz domeniul securitii cibernetice; - promovarea intereselor naionale de securitate cibernetic n formatele de cooperare internaional la care Romnia este parte.

IV. Sistemul naional de securitate cibernetic Sistemul naional de securitate cibernetic (SNSC) reprezint cadrul general de cooperare care reunete autoriti i instituii publice, cu responsabiliti i capabiliti n domeniu, n vederea coordonrii aciunilor la nivel naional pentru asigurarea securitii spaiului cibernetic, inclusiv prin cooperarea cu mediul academic i cel de afaceri, asociaiile profesionale i organizaiile neguvernamentale. Misiunea SNSC const n asigurarea elementelor de cunoatere, prevenire i contracarare a ameninrilor, vulnerabilitilor i riscurilor specifice spaiului cibernetic care pot afecta securitatea infrastructurilor cibernetice naionale, inclusiv managementul consecinelor. Pentru ndeplinirea obiectivelor prezentei strategii, SNSC funcioneaz ca un mecanism unitar i eficient de relaionare i cooperare interinstituional, n vederea adoptrii i aplicrii cu celeritate a deciziilor.
12 / 17

SNSC acioneaz pe urmtoarele componente: Componenta de cunoatere - furnizeaz suportul informaional necesar elaborrii msurilor proactive i reactive n vederea asigurrii securitii cibernetice. Componenta de prevenire - este principalul mijloc de asigurare a securitii cibernetice prin crearea i dezvoltarea capabilitilor necesare analizei i prognozei evoluiei strii acesteia. Componenta de cooperare i coordonare - asigur mecanismul unitar i eficient de relaionare n cadrul SNSC. Componenta de contracarare - asigur reacia eficient la ameninrile sau atacurile cibernetice, prin identificarea i blocarea manifestrii acestora. Aceasta se realizeaz n scopul meninerii sau restabilirii securitii infrastructurilor cibernetice vizate, precum i pentru identificarea i sancionarea autorilor, potrivit legii. Funciile principale ale SNSC se realizeaz prin informare, monitorizare, diseminare, analizare, avertizare, coordonare, decizie, reacie, refacere i contientizare, precum i prin adoptarea de msuri proactive i reactive. Msurile proactive vizeaz: - actualizarea i armonizarea cadrului naional de reglementare n domeniul securitii cibernetice n concordan cu evoluiile mediului de referin; - implementarea de politici, concepte, standarde i ghiduri de securitate; - colectarea de date i informaii referitoare la ameninri, vulnerabiliti i riscuri identificate n spaiul cibernetic; - analiza, anticiparea i prognoza evoluiei strii de securitate cibernetic; - realizarea i eficientizarea cooperrii ntre sectorul public i cel privat ntre deintorii infrastructurilor cibernetice i autoritile statului abilitate s ntreprind msuri de prevenire i contracarare a ameninrilor, precum i de minimizare a efectelor unui atac cibernetic; - ridicarea nivelului de instruire i contientizare a populaiei asupra riscurilor derivate din utilizarea spaiului cibernetic; - interoperabilitatea cu alte sisteme naionale i internaionale cu atribuii n domeniul securitii; - protejarea infrastructurilor cibernetice naionale i a celor aparinnd NATO sau UE aflate n administrarea unor instituii ori autoriti publice; - implementarea unui mecanism de management al riscului;
13 / 17

- asigurarea unui grad ridicat de autoadaptabilitate, n funcie de evoluiile spaiului cibernetic; - asigurarea confidenialitii, integritii, disponibilitii, autenticitii i nonrepudierii informaiilor din spaiul cibernetic; - asigurarea managementului identitii n spaiul cibernetic; - operaionalizarea capabilitilor destinate managementului incidentelor de securitate cibernetic, inclusiv managementul consecinelor; - dezvoltarea mecanismelor pentru creterea nivelului de cultur de securitate. Msurile reactive urmresc: - aplicarea planurilor de contingen n vederea minimizrii efectelor unui atac cibernetic; - aplicarea msurilor cu privire la asigurarea continuitii fluxurilor informaionale i decizionale; - aplicarea unui plan de msuri cu privire la asigurarea funcionalitii sistemelor n condiii de securitate a serviciilor publice sau private; - recuperarea i restaurarea datelor; - identificarea i implementarea leciilor nvate, rezultate n urma aplicrii procedurilor de management al incidentelor, management al consecinelor unui atac cibernetic, precum i de continuitate a activitilor. Eficiena activitilor desfurate n SNSC depinde n mod esenial de cooperarea, inclusiv ntre sectorul public i cel privat, ntre deintorii infrastructurilor cibernetice i autoritile statului abilitate s ntreprind msuri de prevenire i contracarare a ameninrilor, de investigare a atacurilor cibernetice, precum i de minimizare a efectelor acestora. Consiliul Suprem de Aprare a rii este autoritatea ce coordoneaz, la nivel strategic, activitatea SNSC. Consiliul Suprem de Aprare a rii avizeaz Strategia de securitate cibernetic a Romniei i aprob Regulamentul de organizare i funcionare al Consiliului operativ de securitate cibernetic. Consiliul operativ de securitate cibernetic (COSC) reprezint organismul prin care se realizeaz coordonarea unitar a SNSC. Din COSC fac parte, n calitate de membri permaneni, reprezentani ai Ministerului Aprrii Naionale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informaional, Serviciului Romn de Informaii, Serviciului de Telecomunicaii Speciale, Serviciului de Informaii Externe, Serviciului
14 / 17

de Protecie i Paz, Oficiului Registrului Naional pentru Informaii Secrete de Stat, precum i secretarul Consiliului Suprem de Aprare a rii. Conducerea COSC este asigurat de un preedinte (consilierul prezidenial pe probleme de securitate naional) i un vicepreedinte (consilierul prim-ministrului pe probleme de securitate naional). Coordonatorul tehnic al COSC este Serviciul Romn de Informaii, n condiiile legii. Guvernul Romniei, prin Ministerul pentru Societatea Informaional, asigur coordonarea celorlalte autoriti publice care nu sunt reprezentate n COSC, n vederea realizrii coerenei politicilor i implementarea strategiilor guvernamentale n domeniul comunicaiilor electronice, tehnologiei informaiei i al serviciilor societii informaionale i societii bazate pe cunoatere, iar prin Centrul Naional de Rspuns la Incidente de Securitate Cibernetic - CERTRO - asigur elaborarea i diseminarea politicilor publice de prevenire i contracarare a incidentelor din cadrul infrastructurilor cibernetice, potrivit ariei de competen. Guvernul Romniei va elabora proiectul legii privind securitatea cibernetic, pe care l va supune aprobrii Parlamentului, potrivit legii. Fiecare dintre instituiile reprezentate n COSC coopereaz cu organismele internaionale ale UE, NATO, OSCE etc., fiecare pe domeniul su de competen.

V. Cooperarea ntre sectorul public i cel privat Dezvoltarea cooperrii dintre mediul public i cel privat, n scopul asigurrii securitii cibernetice, reprezint o direcie prioritar de aciune la nivelul organismelor internaionale sau alianelor la care Romnia este parte, avnd n vedere c spaiul cibernetic reunete deopotriv infrastructuri cibernetice deinute i administrate de stat, precum i de entiti private. Principalele linii directoare de asigurare a securitii cibernetice, n cadrul cooperrii ntre sectorul public i cel privat, trebuie s urmreasc: - cooperarea bazat pe ncredere ntre stat i mediul de afaceri, la toate nivelurile; - creterea nivelului de protecie al infrastructurilor cibernetice prin corelarea msurilor ntreprinse cu resursele disponibile n sectorul public i privat. Responsabilitatea asigurrii securitii cibernetice revine tuturor actorilor implicai, innd cont de interesele complementare n acest domeniu pentru asigurarea legalitii operaiunilor desfurate, combaterea fenomenului criminalitii informatice i protecia infrastructurilor critice interconectate cu spaiul cibernetic i se bazeaz pe sporirea ncrederii reciproce. Principalele obiective ale cooperrii ntre sectorul public i cel privat vizeaz: - schimbul de informaii privind ameninri, vulnerabiliti i riscuri specifice;
15 / 17

- dezvoltarea capabilitilor de avertizare timpurie i de rspuns la incidente i atacuri cibernetice; - desfurarea de exerciii comune privind securitatea spaiului cibernetic; - dezvoltarea de programe educaionale i de cercetare n domeniu; - dezvoltarea culturii de securitate; - reacia comun n cazul unor atacuri cibernetice majore. Realizarea obiectivelor menionate presupune conlucrarea dintre sectorul public i sectorul privat, inclusiv prin msuri de prevenie, contientizare i promovare a oportunitilor n domeniul cibernetic.

VI. Concluzii Asigurarea securitii cibernetice se bazeaz pe cooperarea la nivel naional i internaional pentru protejarea spaiului cibernetic, prin coordonarea demersurilor naionale cu orientrile i msurile adoptate la nivel internaional, n formatele de cooperare la care Romnia este parte. Avnd n vedere dinamismul evoluiilor globale n spaiul cibernetic, precum i obiectivele Romniei n procesul de dezvoltare a societii informaionale i implementare pe scar larg a serviciilor electronice este necesar elaborarea unui program naional detaliat, care - pe baza reperelor oferite de prezenta strategie - s asigure elaborarea i punerea n practic a unor proiecte concrete de securitate cibernetic. Msurile destinate operaionalizrii SNSC trebuie armonizate cu eforturile pe dimensiunea proteciei infrastructurilor critice, respectiv cu evoluia procesului de dezvoltare a capabilitilor de tip CERT. n varianta optim, SNSC trebuie s dispun de o structur flexibil i adaptiv care s nglobeze capabiliti de identificare i anticipare, resurse i proceduri operaionale de prevenire, reacie i contracarare, precum i instrumente pentru documentare i sancionare a autorilor atacurilor cibernetice. Este necesar implementarea, la nivel naional, a unor standarde minimale procedurale i de securitate pentru infrastructurile cibernetice, care s fundamenteze eficiena demersurilor de protejare fa de atacuri cibernetice i s limiteze riscurile producerii unor incidente cu potenial impact semnificativ. Autoritile publice cu responsabiliti n acest domeniu vor aloca resursele financiare necesare asigurrii securitii cibernetice prin intermediul politicilor de planificare. Pentru asigurarea unei capaciti sporite de identificare, evaluare i proiectare a msurilor adecvate de management al riscului sau de rspuns la incidente i atacuri cibernetice este prioritar dezvoltarea schimburilor
16 / 17

de informaii i transferului de expertiz ntre autoritile cu responsabiliti n domeniu, dezvoltarea cooperrii ntre sectorul public i cel privat i extinderea cooperrii cu mediile neguvernamentale i comunitatea academic. SNSC va constitui platforma de cooperare i armonizare a capabilitilor de tip CERT existente la nivel naional, valorificnd instrumentele oferite de acestea, i va aciona pentru consolidarea expertizei n domeniul riscurilor cibernetice, prin stimularea sinergiilor ntre diferitele planuri de aciune n domeniul securitii cibernetice (militar-civil, public-privat, guvernamentalneguvernamental). Dat fiind ritmul rapid de evoluie a problematicii, prezenta strategie va fi testat i revizuit permanent, inclusiv n contextul mai larg al Strategiei de aprare, n vederea adaptrii continue la provocrile i oportunitile generate de un mediu de securitate n permanent schimbare. n termen de 90 de zile de la intrarea n vigoare a prezentei strategii, COSC va elabora Programul naional destinat managementului riscului n domeniul securitii cibernetice.

17 / 17