În Monitorul Oficial nr. 803 din 4 noiembrie a.c. a fost publicat Ordinul nr. 181/2014 al Comisiei Naţionale pentru Controlul Activităţilor Nucleare pentru aprobarea Normelor privind protecţia instalaţiilor nucleare împotriva ameninţărilor cibernetice.
În extras
CAPITOLUL I
Domeniu, scop, definiţii
Domeniu şi scop
Art. 1.
(1) Prezentele norme sunt emise în conformitate cu prevederile Legii nr. 111/1996 privind desfăşurarea în siguranţă, reglementarea, autorizarea şi controlul activităţilor nucleare, republicată, cu modificările şi completările ulterioare.
(2) Prin prezentele norme se stabilesc cerinţele generale privind proiecţia sistemelor, componentelor şi echipamentelor, inclusiv software-ul pentru instrumentaţie şi control şi reţelele informatice, denumite în continuare SCE, ale instalaţiilor nucleare împotriva ameninţărilor cibernetice.
Art. 2.
(1) Îndeplinirea prevederilor prezentelor norme constituie o condiţie necesară pentru autorizarea de către Comisia Naţională pentru Controlul Activităţilor Nucleare, denumită în continuare CNCAN, a activităţilor de punere în funcţiune, exploatare şi dezafectare a unei instalaţii nucleare.
(2) Prevederile prezentelor norme se aplică atât solicitanţilor, cât şi titularilor de autorizaţie pentru fazele de punere în funcţiune, exploatare, respectiv dezafectare ale unei instalaţii nucleare. În cadrul procesului de autorizare, precum şi pe durata de valabilitate a unei autorizaţii, CNCAN poate impune cerinţe suplimentare, după caz, pentru a ţine cont de experienţa de exploatare şi cele mai noi standarde şi bune practici recunoscute la nivel Internaţional.
(3) În afara cazurilor în care se precizează altfel, cerinţele prezentelor norme sunt aplicabile tuturor organizaţiilor responsabile pentru punerea în funcţiune, exploatarea şi dezafectarea instalaţiilor nucleare.
(3) Orice derogare de la aplicarea prevederilor prezentelor norme trebuie aprobată de CNCAN şi de autoritatea naţională responsabilă pentru securitate cibernetică, în baza unei justificări scrise, formulate de solicitantul sau titularul de autorizaţie, dacă acesta demonstrează că asigură măsuri de protecţie echivalente cu cele cerute prin prezentele norme.
Definiţii
Art. 3.
(1) Termenii utilizaţi în prezentele norme sunt definiţi în anexa nr. 1, cu excepţia acelora ale căror definiţii se regăsesc în textul prezentelor norme, în Legea nr. 111/1996, republicată, cu modificările şi completările ulterioare, şi în Hotărârea Guvernului nr. 271/2013 pentru aprobarea Strategiei de securitate cibernetică a României şi a Planului de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică.
(2) Autoritatea naţională responsabilă pentru securitatea cibernetică este Centrul Naţional Cyberint, denumit în continuare CNC.
CAPITOLUL II
Cerinţe generale
Art. 4.
Titularul de autorizaţie trebuie să asigure protecţia împotriva ameninţărilor cibernetice pentru următoarele categorii de SCE:
a) SCE cu funcţii de securitate nucleară;
b) SCE care fac parte din sistemul de protecţie fizică;
c) SCE care fac parte din sistemul de control de garanţii nucleare;
d) SCE cu funcţii în răspunsul la situaţii de urgenţă, inclusiv sistemele de comunicaţii utilizate în situaţii de urgenţă.
Art. 5.
Titularul de autorizaţie trebuie să asigure protecţia SCE care fac parte din categoriile stabilite la art. 4 împotriva ameninţărilor cibernetice care ar putea avea drept consecinţe:
a) un impact advers asupra funcţionării SCE;
b) un impact advers asupra integrităţii sau confidenţialităţii datelor şi/sau a programelor software;
c) indisponibilitatea şi/sau limitarea accesului la sisteme, servicii şi/sau date.
Art. 6.
(1) Titularul de autorizaţie trebuie să analizeze toate SCE care fac parte din categoriile stabilite la art. 4 şi să identifice acele SCE care necesită protecţie împotriva ameninţărilor cibernetice astfel încât să satisfacă cerinţele din art. 5.
(2) În vederea stabilirii unei abordări gradate privind aplicarea cerinţelor de securitate cibernetică, SCE identificate în conformitate cu cerinţele de la alin. (1) se vor clasifica în funcţie de consecinţele potenţiale ale materializării ameninţărilor cibernetice.
(3) Lista SCE identificate în conformitate cu cerinţele de la alin. (1), inclusiv clasificarea acestora, stabilită conform prevederilor de la alin. (2), trebuie transmisă pentru evaluare la CNCAN.
(4) Lista SCE trebuie revizuită şi actualizată ţinând cont de experienţa de exploatare, evaluările şi auditurile de securitate periodice.
(5) Ca urmare a auditurilor de securitate cibernetică efectuate de autoritatea naţională responsabilă pentru securitatea cibernetică, solicitantul/titularul de autorizaţie are obligaţia de a include în lista SCE acele componente pentru care a fost identificată necesitatea protecţiei suplimentare.
Art. 7.
(1) Ameninţările cibernetice care trebuie luate în considerare de titularul de autorizaţie se stabilesc de către CNCAN în cooperare cu autoritatea naţională responsabilă pentru securitatea cibernetică şi se comunică solicitantului/titularului de autorizaţie, cel mal târziu la data intrării în vigoare a prezentelor norme.
(2) Ameninţările cibernetice sunt tratate independent sau în combinaţie cu tipurile de ameninţări specificate în Normele de protecţie fizică în domeniul nuclear, respectiv sabotaj şi furt sau deturnarea unor cantităţi de materiale protejate.
(3) Reevaluarea ameninţărilor cibernetice pentru SCE ale instalaţiilor nucleare se efectuează anual sau ori de câte ori este necesar, la iniţiativa CNCAN, a CNC sau a solicitantului/ titularului de autorizaţie.