Sunteți pe pagina 1din 14

DIRECTIVA NIS

ASISTENȚĂ PENTRU CONFORMARE


Directiva NIS
Asistență pentru conformare
CADRUL DE REGLEMENTARE

• Directive (EU) 2016/1148 The Directive on security of network and information systems
(the NIS Directive) was adopted by the European Parliament on 6 July 2016 and entered
into force in August 2016. Member States have to transpose the Directive into their
national laws by 9 May 2018 and identify operators of essential services (OES) by 9
November 2018.

• Legea NIS 362/2018

• Norme Tehnice din 9 noiembrie 2020 privind cerințele minime de asigurare a securității
rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale
OPERATORI DE SERVICII ESENȚIALE


Electricitate o
Terminale GNL
o
Producători : 20 MW o
Furnizori
o
Furnizori •
Rafinare și tratare
o
Transelectrica o
Azomures, etc
o
Distributie: enel, cez, electrica, eon

Apă

Petrol o
Distributie apa
o
Conducte: Conpet o
Furnizarea de apă potabilă îmbuteliată » 1milion de sticle
o
Prodcutie: Petrom, Platforme
o
Rafinare: petromidia •
Infrastructura digitala
o
Depozitare: oil terminal o
IXP
o
Transport: transport rutier, feroviar, naval o
DNS
o
TLD

Gaz
o
Transgaz
o
Distributie: eon, engie, etc
o
Depozitare: romgaz
OPERATORI DE SERVICII ESENȚIALE


Transport aerian •
Rutier
o
Romatsa o
Autorități rutiere,
o
Transport calatori :5% o
Operatori de sisteme de transport inteligente Ordonanța
o
Transport marfă: TNT, DHL (>5%) Guvernului nr. 7/2012
o
Aeroporturi: toate https://eur-lex.europa.eu/legal- •
Bancar
content/RO/TXT/PDF/?uri=CELEX:02013R1315- o
Instituții de credit (banci, poate nonbancare)
20190306&from=EN o
Burse - BVB, Rasdaq
o
Intretinere reparatii: romaero, cine o mai fi o
Contrapartide centrale
o
Agenti aeronautici civile •
Furnizori de servicii medicale

Feroviar o
Policlinici
o
CFR infrastrucutra o
Depozitare - distribuitori de medicamente
o
Transport calatori - CFR, GFR, Regio, toti o
Producșie
o
Marfuri >500k tone, >1M TEU o
Spitale
o
Metrorex o
Furnizare dispozitive medicale
o
Intretinere material rulant (poate astra) o
CNAS, opsnaj, etc

Naval
o
Pasageri: navrom
o
Marfuri
o
Organe de gestionare a porturilor, astfel cum sunt definite la
art. 3 din Ordinul ministrului transporturilor nr. 290/2007
o
Operatori de servicii de trafic naval, astfel cum sunt definiți la
art. 3 din Hotărârea Guvernului nr. 1.016/2010
CERINȚE DE SECURITATE PENTRU OSE
Operatorii de Servicii Esențiale iau măsuri
adecvate pentru a:

• Gestiona riscurile la adresa securității


rețelelor și sistemelor informatice

• Preveni și minimiza impactul incidentelor


care afectează securitatea rețelelor și
sistemelor informatice având ca scop
asigurarea continuității serviciilor

• notifica, în cel mai scurt timp, autoritatea


CSIRT competentă cu privire la
incidentele ce pot avea un impact
semnificativ asupra continuității
serviciilor esențiale pe care le furnizează
PROIECT DE CONFORMARE
Analiză inițială Implementare

Informare Instruire echipă


management proiect
Cadru guvernanță Măsuri tehnice
Analiza & Asset
management management
riscuri
GAP Analysis
Politici proceduri Network security
responsabilități

Cerințe procese System security


externalizate
Plan de conformare
Cadru risk Măsuri tehnice Incident mng / Identity & access
management / de protecție BCP management
ISMS rețele
Monitorizare &
Training & analiză
Detecție, awareness
Planificare evenimente
monitorizare,
continuitate
răspuns

Evaluare externă

Test Extern Securitate /


Penetration Testing

notifică CERT-RO în
vederea CERT-RO solicită 660luni
zile
înscrierii în Registrul documentații Audit Extern
operatorilor de servicii suplimentare
esenţiale
Raport de audit / Plan de
conformare
Pachet Advisory Sisteme + implementare
S.1. Guvernanță, conformare

Definire procedură, analiză de risc, politrică de


S.1.1 Setup guvernanță securitate, cerințe de bază SMSI

Definire program asigurare securitate

Servicii și
personal, revizuire fișe de post, regulamente
interne, contracte de muncă, nore privind
verificarea cunoștințelor de securitate,

soluții pentru Revizuire măsuri de


S.1.2 securitate personal
instructaje de securitaet, norme in contractele
cu furnizorii de servicii

conformare Implementare instruire,


S.1.3 conștientizare, verificare
Definire programe de curs, implementare
programe de curs (elearning, formulare, etc)

Procedura inventariere, clasificare, instruire


oameni, sprijin implementare, centralizare
date, documentare ecosistem; Schema
Inventariere resurse + arhitecturii rețelelor și sistemelor informatice
S.1.4 ecosistem folosite la furnizarea serviciilor esențiale Tooluri discovery + mapare
Listă cu acorduri la nivel de serviciu și/sau
mecanisme de audit a rețelelor și sistemelor
S.1.5 Revizuire SLA-uri informatice
Umărire proiect de implementare, coaching,
S.1.6 Project management asistență

S.1.7 Dashboard Integrare dashbord indicatori de conformare Dashboard, analytics


S.3. Protecție
Analiză, documentare reguli,
definire specificații de
Definire cerințe de implementare, urmărire
S.3.1 protecție implementare.
S.3.2. Hardening / protecție
Suporți de memorie

Servicii și externă
Segmentare, filtrare
DLP
Firewall, configurare sigură rețea

soluții pentru
Administrarea sistemelor
informatice PAM, Jump station (artizanal)
Storage encryption, traffic encryption,

conformare Encryption
Identity and access
management
PKI
Review drepturi, integrare acces
management, IAM, 2FA

Soluții remote working (monitorizare,


Lucrul la distanță control acces, provisioning, vpn)
Provisioning updates, vulnerability
Actualizare resurse management, asset management
Proiect hardening SCADA:
assessment, proiectare, definire
S.3.3. SCADA cerințe, urmărire implementare Tot ce intră
S.4. Apărare

Servicii și Vulnerability
S.4.1. management Definire proceduri, definire fluxuri Vulnerability management

soluții pentru Incident


Monitoring si response: SOC
(SIEM, Log management, log
Definire proceduri, definire fluxuri, correlation, Incident handling
conformare S.4.2. management
S.4.3 SOC Outsourcing
definire planuri raspuns la incident (fluxuri), Threat intelligence)
Monitorizare SOC Infrastructure
S.5. Continuitate / DR
S.5.1 BC/DR Revizuire planuri, proceduri Soluții BC/DR
• Trebuie realizate de personal autorizat
Testare / Audit • În termen de 6 luni de la data depunerii
• La fiecare 2 ani

S.2. Conformare /
testare
S.2.1 Testare de Testare tehnică sisteme
securitate informatice
S.2.2. Audit Audit
CINE SUNTEM

- Consultanți în securitate informatică, managementul riscurilor și privacy cu peste


15 ani experiență
- Proiecte de consultanță în managementul securității în organizații majore din
domeniul energetic, financiar, media, industriale
- Activi în grupurile de lucru ale ISO (International Standards Organisation) și
CEN/CENELEC care redactează normele de referință în domeniul securității
cibernetice
Referințe
Andrei Hohan

Enersec Technology
M: +40 733 734124
E: ahohan@enersec.net
W: www.enersec.net

S-ar putea să vă placă și