ANCOM obligă operatorii să aibă sisteme de management al riscului şi de detectare a incidentelor
„Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii (ANCOM) a adoptat decizia privind stabilirea măsurilor minime de securitate ce trebuie luate de către furnizorii de reţele publice sau de servicii de comunicaţii destinate publicului. Decizia stabileşte şi procedura prin care furnizorii vor raporta către autoritate incidentele cu impact semnificativ asupra furnizării reţelelor şi serviciilor de comunicaţii”, se arată într-un comunicat al ANCOM.
Pentru a preveni şi limita impactul unor astfel de incidente asupra utilizatorilor şi asupra reţelelor interconectate, furnizorii trebuie să stabilească măsuri tehnice şi organizatorice care să asigure un nivel adecvat al securităţii şi integrităţii propriilor reţele şi servicii de comunicaţii.
Printre obligaţiile impuse în sarcina furnizorilor prin această decizie se numără atât stabilirea unui sistem de management al riscului, a unui sistem de detectare a incidentelor, cât şi stabilirea unei strategii proprii pentru asigurarea continuităţii furnizării reţelelor şi serviciilor în cazul perturbărilor grave ale funcţionării reţelei sau serviciului.
Prin impunerea unor măsuri minime de securitate în sarcina furnizorilor, ANCOM urmăreşte să reducă numărul de incidente, întreruperi operaţionale şi fraude, să prevină pierderea, distrugerea, furtul sau compromiterea diverselor resurse ale furnizorilor, dar şi să optimizeze calitatea serviciilor de comunicaţii oferite utilizatorilor şi să crească încrederea acestora în serviciile de comunicaţii.
Decizia stabileşte, totodată, o procedură naţională de raportare a incidentelor de securitate cu impact semnificativ, incidente fiind considerate acele evenimente care pot afecta sau ameninţa, direct sau indirect, securitatea şi integritatea reţelelor şi serviciilor de comunicaţii la nivel naţional sau european.
Astfel, furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii destinate publicului au obligaţia de a transmite ANCOM o notificare iniţială privind apariţia unui incident cu impact semnificativ (incident care afectează un număr mai mare de 5.000 de conexiuni, timp de cel puţin 60 de minute).
Notificarea trebuie transmisă până cel târziu la ora 13:00 a zilei lucrătoare următoare celei în care a fost detectat incidentul şi trebuie să includă o serie de informaţii, precum estimarea ariei geografice afectate, a numărului de conexiuni afectate, a efectelor incidentului asupra furnizării reţelelor şi serviciilor de către alţi furnizori şi estimarea efectelor în ceea ce priveşte posibilitatea de a apela numărul unic pentru apeluri de urgenţă 112.
ANCOM va colecta informaţii cu privire la incidentele cu impact semnificativ pentru identificarea cauzelor incidentelor, inclusiv ameninţările şi vulnerabilităţile cele mai frecvente, formularea unor recomandări viitoare şi elaborarea de bune practici pentru asigurarea securităţii şi integrităţii reţelelor şi serviciilor de comunicaţii electronice.
Decizia ANCOM stabileşte cadrul legal pentru implementarea prevederilor OUG 111/2011 privind comunicaţiile electronice, aprobată, cu modificări şi completări, prin Legea 140/2012, referitoare la securitatea şi integritatea reţelelor şi serviciilor de comunicaţii şi va intra în vigoare la data de 1 octombrie 2013.