DIRECTIVA NIS

ASISTENȚĂ PENTRU CONFORMARE

Directiva NIS
Asistență pentru conformare
 CADRUL DE REGLEMENTARE

• Directive (EU) 2016/1148 The Directive on security of network and information systems
(the NIS Directive) was adopted by the European Parliament on 6 July 2016 and entered
into force in August 2016. Member States have to transpose the Directive into their
national laws by 9 May 2018 and identify operators of essential services (OES) by 9
November 2018.

• Legea NIS 362/2018

• Norme Tehnice din 9 noiembrie 2020 privind cerințele minime de asigurare a securității
rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale
OPERATORI DE SERVICII ESENȚIALE

•
Electricitate o
Terminale GNL
o
Producători : 20 MW o
Furnizori
o
Furnizori •
Rafinare și tratare
o
Transelectrica o
Azomures, etc
o
Distributie: enel, cez, electrica, eon
•
Apă
•
Petrol o
Distributie apa
o
Conducte: Conpet o
Furnizarea de apă potabilă îmbuteliată » 1milion de sticle
o
Prodcutie: Petrom, Platforme
o
Rafinare: petromidia •
Infrastructura digitala
o
Depozitare: oil terminal o
IXP
o
Transport: transport rutier, feroviar, naval o
DNS
o
TLD
•
Gaz
o
Transgaz
o
Distributie: eon, engie, etc
o
Depozitare: romgaz
OPERATORI DE SERVICII ESENȚIALE

•
Transport aerian •
Rutier
o
Romatsa o
Autorități rutiere,
o
Transport calatori :5% o
Operatori de sisteme de transport inteligente Ordonanța
o
Transport marfă: TNT, DHL (>5%) Guvernului nr. 7/2012
o
Aeroporturi: toate https://eur-lex.europa.eu/legal- •
Bancar
content/RO/TXT/PDF/?uri=CELEX:02013R1315- o
Instituții de credit (banci, poate nonbancare)
20190306&from=EN o
Burse - BVB, Rasdaq
o
Intretinere reparatii: romaero, cine o mai fi o
Contrapartide centrale
o
Agenti aeronautici civile •
Furnizori de servicii medicale
•
Feroviar o
Policlinici
o
CFR infrastrucutra o
Depozitare - distribuitori de medicamente
o
Transport calatori - CFR, GFR, Regio, toti o
Producșie
o
Marfuri >500k tone, >1M TEU o
Spitale
o
Metrorex o
Furnizare dispozitive medicale
o
Intretinere material rulant (poate astra) o
CNAS, opsnaj, etc
•
Naval
o
Pasageri: navrom
o
Marfuri
o
Organe de gestionare a porturilor, astfel cum sunt definite la
art. 3 din Ordinul ministrului transporturilor nr. 290/2007
o
Operatori de servicii de trafic naval, astfel cum sunt definiți la
art. 3 din Hotărârea Guvernului nr. 1.016/2010
CERINȚE DE SECURITATE PENTRU OSE
Operatorii de Servicii Esențiale iau măsuri
adecvate pentru a:

• Gestiona riscurile la adresa securității

rețelelor și sistemelor informatice

• Preveni și minimiza impactul incidentelor

care afectează securitatea rețelelor și
sistemelor informatice având ca scop
asigurarea continuității serviciilor

• notifica, în cel mai scurt timp, autoritatea

CSIRT competentă cu privire la
incidentele ce pot avea un impact
semnificativ asupra continuității
serviciilor esențiale pe care le furnizează
PROIECT DE CONFORMARE
Analiză inițială Implementare

Informare Instruire echipă

management proiect
Cadru guvernanță Măsuri tehnice
Analiza & Asset
management management
riscuri
GAP Analysis
Politici proceduri Network security
responsabilități

Cerințe procese System security

externalizate
Plan de conformare
Cadru risk Măsuri tehnice Incident mng / Identity & access
management / de protecție BCP management
ISMS rețele
Monitorizare &
Training & analiză
Detecție, awareness
Planificare evenimente
monitorizare,
continuitate
răspuns

Evaluare externă

Test Extern Securitate /

Penetration Testing

notifică CERT-RO în
vederea CERT-RO solicită 660luni
zile
înscrierii în Registrul documentații Audit Extern
operatorilor de servicii suplimentare
esenţiale
Raport de audit / Plan de
conformare
 Pachet
S.1. Guvernanță, conformare
S.1.1 Setup guvernanță
Servicii și
soluții pentru Revizuire măsuri de
S.1.2 securitate personal
conformare Implementare instruire,
S.1.3 conștientizare, verificare
Inventariere resurse +
S.1.4 ecosistem
S.1.5 Revizuire SLA-uri
S.1.6 Project management
S.1.7 Dashboard
Advisory Sisteme + implementare
Definire procedură, analiză de risc, politrică de
securitate, cerințe de bază SMSI
Definire program asigurare securitate
personal, revizuire fișe de post, regulamente
interne, contracte de muncă, nore privind
verificarea cunoștințelor de securitate,
instructaje de securitaet, norme in contractele
cu furnizorii de servicii
Definire programe de curs, implementare
programe de curs (elearning, formulare, etc)
Procedura inventariere, clasificare, instruire
oameni, sprijin implementare, centralizare
date, documentare ecosistem; Schema
arhitecturii rețelelor și sistemelor informatice
folosite la furnizarea serviciilor esențiale Tooluri discovery + mapare
Listă cu acorduri la nivel de serviciu și/sau
mecanisme de audit a rețelelor și sistemelor
informatice
Umărire proiect de implementare, coaching,
asistență
Integrare dashbord indicatori de conformare Dashboard, analytics
 S.3. Protecție
Analiză, documentare reguli,
definire specificații de
Definire cerințe de implementare, urmărire
S.3.1 protecție implementare.
S.3.2. Hardening / protecție
Suporți de memorie

Servicii și externă
Segmentare, filtrare
DLP
Firewall, configurare sigură rețea

soluții pentru
Administrarea sistemelor
informatice PAM, Jump station (artizanal)
Storage encryption, traffic encryption,

conformare Encryption
Identity and access
management
PKI
Review drepturi, integrare acces
management, IAM, 2FA

Soluții remote working (monitorizare,

Lucrul la distanță control acces, provisioning, vpn)
Provisioning updates, vulnerability
Actualizare resurse management, asset management
Proiect hardening SCADA:
assessment, proiectare, definire
S.3.3. SCADA cerințe, urmărire implementare Tot ce intră
 S.4. Apărare

Servicii și Vulnerability
S.4.1. management Definire proceduri, definire fluxuri Vulnerability management

soluții pentru Incident

Monitoring si response: SOC
(SIEM, Log management, log
Definire proceduri, definire fluxuri, correlation, Incident handling
conformare S.4.2. management
S.4.3 SOC Outsourcing
definire planuri raspuns la incident (fluxuri), Threat intelligence)
Monitorizare SOC Infrastructure
S.5. Continuitate / DR
S.5.1 BC/DR Revizuire planuri, proceduri Soluții BC/DR
 • Trebuie realizate de personal autorizat
Testare / Audit • În termen de 6 luni de la data depunerii
• La fiecare 2 ani

S.2. Conformare /
testare
S.2.1 Testare de Testare tehnică sisteme
securitate informatice
S.2.2. Audit Audit
CINE SUNTEM

- Consultanți în securitate informatică, managementul riscurilor și privacy cu peste

15 ani experiență
- Proiecte de consultanță în managementul securității în organizații majore din
domeniul energetic, financiar, media, industriale
- Activi în grupurile de lucru ale ISO (International Standards Organisation) și
CEN/CENELEC care redactează normele de referință în domeniul securității
cibernetice
Referințe
Andrei Hohan

Enersec Technology
M: +40 733 734124
E: ahohan@enersec.net
W: www.enersec.net