CELEX:32024R2690: Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică și specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere

Vă rugăm să vă conectați la marcaj

Informatii

Data documentului: 17/10/2024; Data adoptării
Data intrării în vigoare: 07/11/2024; intrare în vigoare data publicării +20 a se vedea articolul 16
Data încetării: No end date
Emitent: Comisia Europeană, Direcția Generală Rețele de Comunicare, Conținut și Tehnologie
Formă: Repertoriu EUR-Lex

Jurnalul Ofícial
al Uniunii Europene

Seria L

2024/2690

18.10.2024

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2024/2690 AL COMISIEI

din 17 octombrie 2024

de stabilire a normelor de aplicare a Directivei (UE) 2022/2555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică și specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere

(Text cu relevanță pentru SEE)

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (1), în special articolul 21 alineatul (5) primul paragraf și articolul 23 alineatul (11) al doilea paragraf,

întrucât:

(1)

În ceea ce privește furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere, astfel cum se prevede la articolul 3 din Directiva (UE) 2022/2555 (entitățile relevante), prezentul regulament urmărește să stabilească cerințele tehnice și metodologice ale măsurilor menționate la articolul 21 alineatul (2) din Directiva (UE) 2022/2555 și să precizeze mai în detaliu cazurile în care un incident ar trebui considerat semnificativ, astfel cum se menționează la articolul 23 alineatul (3) din Directiva (UE) 2022/2555.

(2)

Ținând seama de caracterul transfrontalier al activităților lor și pentru a asigura un cadru coerent pentru prestatorii de servicii de încredere, prezentul regulament ar trebui ca, în ceea ce privește prestatorii de servicii de încredere, pe lângă stabilirea cerințelor tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică, să precizeze mai în detaliu cazurile în care un incident este considerat semnificativ.

(3)

În conformitate cu articolul 21 alineatul (5) al treilea paragraf din Directiva (UE) 2022/2555, cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică prevăzute în anexa la prezentul regulament se bazează pe standarde europene și internaționale, cum ar fi ISO/IEC 27001, ISO/IEC 27002 și ETSI EN 319401, precum și pe specificații tehnice, cum ar fi CEN/TS 18026:2024, care sunt relevante pentru securitatea rețelelor și a sistemelor informatice.

(4)

În ceea ce privește implementarea și aplicarea cerințelor tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică prevăzute în anexa la prezentul regulament, în concordanță cu principiul proporționalității, ar trebui să se țină seama în mod corespunzător de expunerea divergentă la risc a entităților relevante, cum ar fi importanța critică a entității relevante, riscurile la care este expusă, dimensiunea și structura entității relevante, precum și probabilitatea apariției unor incidente și gravitatea acestora, inclusiv impactul lor societal și economic, atunci când se respectă cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică prevăzute în anexa la prezentul regulament.

(5)

În concordanță cu principiul proporționalității, în cazul în care entitățile relevante nu pot pune în aplicare unele dintre cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică din cauza dimensiunii lor, entitățile respective ar trebui să poată lua alte măsuri de compensare care să fie adecvate pentru a atinge scopul cerințelor respective. De exemplu, atunci când definesc rolurile, responsabilitățile și autoritățile pentru securitatea rețelelor și a sistemelor informatice în cadrul entității relevante, microentitățile ar putea întâmpina dificultăți în a separa sarcinile care intră în conflict și domeniile de competență care intră în conflict. Astfel de entități ar trebui să poată lua în considerare măsuri de compensare, cum ar fi supravegherea specifică de către conducerea entității sau intensificarea monitorizării și a jurnalizării.

(6)

Anumite cerințe tehnice și metodologice prevăzute în anexa la prezentul regulament ar trebui să fie aplicate de entitățile relevante dacă este adecvat, dacă este aplicabil sau în măsura în care este fezabil. În cazul în care o entitate relevantă consideră că nu este adecvat, nu este aplicabil sau nu este fezabil ca entitatea relevantă să aplice anumite cerințe tehnice și metodologice, astfel cum se prevede în anexa la prezentul regulament, entitatea relevantă ar trebui să își documenteze în mod inteligibil raționamentul în acest sens. Atunci când își exercită atribuțiile de supraveghere, autoritățile naționale competente pot ține seama de timpul adecvat care este necesar pentru ca entitățile relevante să pună în aplicare cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică.

(7)

ENISA sau autoritățile naționale competente în temeiul Directivei (UE) 2022/2555 pot oferi orientări pentru a sprijini entitățile relevante în identificarea, analizarea și evaluarea riscurilor în scopul punerii în aplicare a cerințelor tehnice și metodologice privind instituirea și menținerea unui cadru adecvat de gestionare a riscurilor. Aceste orientări pot include, în special, evaluări ale riscurilor la nivel național și sectorial, precum și evaluări ale riscurilor specifice unui anumit tip de entitate. Orientările pot include, de asemenea, instrumente sau modele pentru dezvoltarea cadrului de gestionare a riscurilor la nivelul entităților relevante. Cadrele, orientările sau alte mecanisme prevăzute de legislația națională a statelor membre, precum și standardele europene și internaționale relevante pot sprijini, de asemenea, entitățile relevante în demonstrarea conformității cu prezentul regulament. În plus, ENISA sau autoritățile naționale competente în temeiul Directivei (UE) 2022/2555 pot sprijini entitățile relevante în identificarea și punerea în aplicare a soluțiilor adecvate pentru tratarea riscurilor identificate în astfel de evaluări ale riscurilor. Aceste orientări nu ar trebui să aducă atingere obligației entităților relevante de a identifica și de a documenta riscurile la adresa securității rețelelor și a sistemelor informatice, și nici obligației entităților relevante de a pune în aplicare cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică prevăzute în anexa la prezentul regulament în funcție de nevoile și resursele lor.

(8)

Măsuri de securitate a rețelei în legătură cu: (i) tranziția către protocoale de comunicare la nivel de rețea de ultimă generație; (ii) implementarea unor standarde moderne și interoperabile de comunicații prin e-mail convenite la nivel internațional; precum și (iii) aplicarea celor mai bune practici pentru securitatea DNS și pentru securitatea rutării și igiena rutării pe internet implică provocări specifice în ceea ce privește identificarea celor mai bune standarde și tehnici de implementare disponibile. Pentru a atinge cât mai curând posibil un nivel comun ridicat de securitate cibernetică în toate rețelele, Comisia, cu sprijinul Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) și în colaborare cu autoritățile competente, cu industria – inclusiv cu sectorul telecomunicațiilor – și cu alte părți interesate, ar trebui să sprijine dezvoltarea unui forum multipartit însărcinat cu identificarea celor mai bune standarde și tehnici de implementare disponibile. Aceste orientări multipartite nu ar trebui să aducă atingere obligației entităților relevante de a pune în aplicare cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică prevăzute în anexa la prezentul regulament.

(9)

În temeiul articolului 21 alineatul (2) litera (a) din Directiva (UE) 2022/2555, entitățile esențiale și entitățile importante ar trebui să instituie, pe lângă politicile privind analiza riscurilor, politici privind securitatea sistemelor informatice. În acest scop, entitățile relevante ar trebui să stabilească o politică privind securitatea rețelelor și a sistemelor informatice, precum și politici tematice specifice, cum ar fi politicile privind controlul accesului, care ar trebui să fie coerente cu politica privind securitatea rețelelor și a sistemelor informatice. Politica privind securitatea rețelelor și a sistemelor informatice ar trebui să fie documentul de cel mai înalt nivel care să stabilească abordarea generală a entităților relevante în ceea ce privește securitatea rețelelor și a sistemelor informatice, document care ar trebui să fie aprobat de organele de conducere ale entităților relevante. Politicile tematice specifice ar trebui să fie aprobate la un nivel adecvat de conducere. Politica sus-menționată ar trebui să stabilească indicatori și măsuri pentru monitorizarea punerii sale în aplicare și a stadiului actual al nivelului de maturitate al entităților relevante în materie de securitate a rețelelor și a informațiilor, în special pentru a facilita supravegherea punerii în aplicare a măsurilor de gestionare a riscurilor în materie de securitate cibernetică prin intermediul organelor de conducere.

(10)	În scopul cerințelor tehnice și metodologice prevăzute în anexa la prezentul regulament, termenul „utilizator” ar trebui să cuprindă toate persoanele fizice și juridice care au acces la rețelele și la sistemele informatice ale entității.

(11)

Pentru a identifica și a aborda riscurile la adresa securității rețelelor și a sistemelor informatice, entitățile relevante ar trebui să instituie și să mențină un cadru adecvat de gestionare a riscurilor. Ca parte a cadrului de gestionare a riscurilor, entitățile relevante ar trebui să instituie, să pună în aplicare și să monitorizeze un plan de tratare a riscurilor. Entitățile relevante pot utiliza planul de tratare a riscurilor pentru a identifica și a prioritiza opțiunile și măsurile de tratare a riscurilor. Printre opțiunile de tratare a riscurilor se numără, în special, evitarea, reducerea sau, în cazuri excepționale, acceptarea riscului. Alegerea unei opțiuni de tratare a riscurilor ar trebui să țină seama de rezultatele evaluării riscurilor efectuate de entitatea relevantă și să fie în conformitate cu politica entității relevante privind securitatea rețelelor și a sistemelor informatice. Pentru a pune în aplicare opțiunile alese de tratare a riscurilor, entitățile relevante ar trebui să adopte măsuri adecvate de tratare a riscurilor.

(12)

Pentru a detecta evenimentele, incidentele evitate la limită și alte tipuri de incidente, entitățile relevante ar trebui să își monitorizeze rețelele și sistemele informatice și ar trebui să ia măsuri pentru a evalua evenimentele, incidentele evitate la limită și celelalte tipuri de incidente. Măsurile respective ar trebui să poată permite detectarea în timp util a unor atacuri bazate pe rețele datorită unor modele anormale de trafic de intrare și de ieșire, precum și detectarea unor atacuri vizând blocarea accesului.

(13)

Atunci când entitățile relevante efectuează o analiză a impactului asupra activității, acestea sunt încurajate să efectueze o analiză cuprinzătoare care să stabilească, după caz, perioada maximă tolerabilă de indisponibilitate, obiectivele privind timpul de redresare, obiectivele privind punctul de redresare și obiectivele privind furnizarea de servicii.

(14)

Pentru a atenua riscurile care decurg din lanțul de aprovizionare al unei entități relevante și din relația acesteia cu furnizorii săi, entitățile relevante ar trebui să stabilească o politică de securitate a lanțului de aprovizionare care să reglementeze relațiile entităților relevante cu furnizorii și prestatorii lor de servicii direcți. Aceste entități ar trebui să specifice în contractele cu furnizorii sau cu prestatorii lor de servicii direcți clauze de securitate adecvate, de exemplu impunând, dacă este adecvat, măsuri de gestionare a riscurilor în materie de securitate cibernetică în conformitate cu articolul 21 alineatul (2) din Directiva (UE) 2022/2555 sau cu alte cerințe legale similare.

(15)

Entitățile relevante ar trebui să efectueze periodic teste de securitate pe baza unei politici și a unor proceduri specifice pentru a verifica dacă măsurile de gestionare a riscurilor în materie de securitate cibernetică sunt puse în aplicare și funcționează în mod corespunzător. Testele de securitate pot fi efectuate la nivelul rețelelor și al sistemelor informatice specifice sau al entității relevante în ansamblu și pot include teste automate sau manuale, teste de penetrare cibernetică, scanarea de vulnerabilități, teste statice și dinamice de securitate ale aplicațiilor, teste de configurare sau audituri de securitate. Entitățile relevante pot efectua teste de securitate asupra rețelelor și a sistemelor lor informatice la înființare, după actualizări sau modificări aduse infrastructurii sau aplicațiilor pe care le consideră semnificative sau după întreținere. Constatările testelor de securitate ar trebui să stea la baza politicilor și a procedurilor entităților relevante pentru evaluarea eficacității măsurilor de gestionare a riscurilor în materie de securitate cibernetică, precum și a revizuirilor independente ale politicilor lor în materie de securitate a rețelelor și a informațiilor.

(16)

Pentru a evita perturbările și daunele semnificative cauzate de exploatarea vulnerabilităților neremediate ale rețelelor și ale sistemelor informatice, entitățile relevante ar trebui să stabilească și să aplice proceduri adecvate de gestionare a corecțiilor de securitate care să fie aliniate la procedurile de gestionare a modificărilor, de gestionare a vulnerabilităților, de gestionare a riscurilor și la alte proceduri pertinente ale entităților relevante. Entitățile relevante ar trebui să ia măsuri proporționale cu resursele de care dispun pentru a se asigura că corecțiile de securitate nu introduc vulnerabilități sau instabilități suplimentare. În cazul unei inaccesibilități planificate a serviciului cauzată de aplicarea unor corecții de securitate, entitățile relevante sunt încurajate să informeze în mod corespunzător clienții în prealabil.

(17)

Entitățile relevante ar trebui să gestioneze riscurile care decurg din achiziționarea de produse TIC sau de servicii TIC de la furnizori sau prestatori de servicii și ar trebui să obțină garanția că produsele TIC sau serviciile TIC care urmează să fie achiziționate ating anumite niveluri de protecție în materie de securitate cibernetică, de exemplu prin certificate europene de securitate cibernetică și declarații de conformitate UE pentru produsele TIC sau pentru serviciile TIC emise în cadrul unui sistem european de certificare a securității cibernetice adoptat în temeiul articolului 49 din Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului (2). În cazul în care entitățile relevante stabilesc cerințe de securitate care trebuie să se aplice produselor TIC ce urmează să fie achiziționate, entitățile relevante ar trebui să țină seama de cerințele esențiale de securitate cibernetică prevăzute într-un regulament al Parlamentului European și al Consiliului privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale.

(18)

Pentru a oferi protecție împotriva amenințărilor cibernetice și pentru a sprijini prevenirea și limitarea încălcărilor securității datelor, entitățile relevante ar trebui să pună în aplicare soluții de securitate a rețelei. Printre soluțiile tipice de securitate a rețelei se numără utilizarea firewall pentru a proteja rețelele interne ale entităților relevante, limitarea conexiunilor și a accesului la servicii în situațiile în care acestea sunt absolut necesare, precum și utilizarea rețelelor virtuale private pentru a avea acces de la distanță și permiterea conexiunilor prestatorilor de servicii numai în urma unei cereri de autorizare și pentru o perioadă de timp stabilită, cum ar fi durata unei operațiuni de întreținere.

(19)

Pentru a proteja rețelele entităților relevante și sistemele lor informatice împotriva unor software-uri rău-intenționate și neautorizate, entitățile respective ar trebui să implementeze controale care să prevină sau să detecteze utilizarea de software-uri neautorizate și ar trebui, dacă este adecvat, să utilizeze software-uri de detectare și de răspuns. Entitățile relevante ar trebui, de asemenea, să aibă în vedere măsuri de punere în aplicare pentru a reduce la minimum suprafața de atac, pentru a diminua vulnerabilitățile care pot fi exploatate de atacatori, pentru a controla executarea aplicațiilor pe punctele terminale și pentru a implementa filtre pentru e-mail și aplicații web astfel încât să reducă expunerea la conținuturi răuvoitoare.

(20)

În temeiul articolului 21 alineatul (2) litera (g) din Directiva (UE) 2022/2555, statele membre trebuie să se asigure că entitățile esențiale și entitățile importante aplică practici de bază în materie de igienă cibernetică și formare în domeniul securității cibernetice. Printre practicile de bază în materie de igienă cibernetică se pot număra principiile de încredere zero, actualizări de software, configurarea dispozitivelor, segmentarea rețelei, gestionarea identității și a accesului sau sensibilizarea utilizatorilor, organizarea de cursuri de formare pentru personalul lor și creșterea gradului de informare cu privire la amenințările cibernetice, la tehnicile de phishing sau de inginerie socială. Practicile în materie de igienă cibernetică fac parte din diferitele cerințe tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică prevăzute în anexa la prezentul regulament. În ceea ce privește practicile de bază în materie de igienă cibernetică pentru utilizatori, entitățile relevante ar trebui să ia în considerare practici precum politica de tip birou curat și ecran curat, utilizarea autentificării multifactor și a altor mijloace de autentificare, utilizarea în condiții de siguranță a serviciilor de poștă electronică și de navigare pe internet, protecția împotriva phishingului și a ingineriei sociale, practicile de lucru la distanță sigure.

(21)	Pentru a preveni accesul neautorizat la activele entităților relevante, aceste entități ar trebui să instituie și să pună în aplicare o politică tematică specifică prin care să se abordeze chestiunea accesului persoanelor, al rețelelor și al sistemelor informatice, cum ar fi aplicațiile.

(22)

Pentru a evita ca angajații să abuzeze, de exemplu, de drepturile de acces în cadrul entității relevante pentru a provoca daune și a aduce prejudicii, entitățile relevante ar trebui să ia în considerare măsuri adecvate de gestionare a securității angajaților și să sensibilizeze personalul cu privire la astfel de riscuri. Entitățile relevante ar trebui să instituie și să mențină un proces disciplinar pentru tratarea încălcărilor politicilor de securitate a rețelelor și a sistemelor informatice ale entităților relevante, care să poată fi integrat în alte procese disciplinare instituite de entitățile relevante, precum și să comunice pe această temă. Verificarea antecedentelor angajaților și, dacă este aplicabil, ale furnizorilor și ale prestatorilor de servicii direcți ai entităților relevante ar trebui să contribuie la obiectivul de securitate a resurselor umane în cadrul entităților relevante și poate include măsuri precum verificarea cazierului judiciar al persoanei sau a sarcinilor profesionale anterioare, în funcție de atribuțiile persoanei în cadrul entității relevante și în concordanță cu politica entității relevante privind securitatea rețelelor și a sistemelor informatice.

(23)

Autentificarea multifactor poate îmbunătăți securitatea cibernetică a entităților și ar trebui să fie luată în considerare de către entități, în special atunci când utilizatorii accesează rețele și sisteme informatice de la distanță sau atunci când accesează informații sensibile sau conturi privilegiate și conturi de administrare a sistemului. Autentificarea multifactor poate fi combinată cu alte tehnici pentru a impune factori suplimentari în circumstanțe specifice, pe baza unor norme și modele predefinite, cum ar fi accesul dintr-un loc neobișnuit, de pe un dispozitiv neobișnuit sau într-un moment neobișnuit.

(24)

Entitățile relevante ar trebui să gestioneze și să protejeze activele care au însemnătate pentru ele printr-o gestionare solidă a activelor, care ar trebui să servească, de asemenea, drept bază pentru analiza riscurilor și pentru gestionarea continuității activității. Entitățile relevante ar trebui să gestioneze atât activele corporale, cât și pe cele necorporale și să creeze un inventar al activelor, să atribuie activelor un nivel de clasificare definit, să trateze și să urmărească activele, precum și să ia măsuri pentru a proteja activele pe parcursul întregului lor ciclu de viață.

(25)

Gestionarea activelor ar trebui să presupună clasificarea activelor în funcție de tipul, sensibilitatea, nivelul de risc și cerințele de securitate aferente acestora, precum și aplicarea unor măsuri și a unor controale adecvate pentru a asigura disponibilitatea, integritatea, confidențialitatea și autenticitatea acestora. Prin clasificarea activelor în funcție de nivelul de risc, entitățile relevante ar trebui să poată aplica măsuri și controale de securitate adecvate pentru a proteja activele, cum ar fi criptarea, controlul accesului, inclusiv controlul perimetrului și al accesului fizic și logic, copiile de rezervă, jurnalizarea și monitorizarea, păstrarea și eliminarea activelor. Atunci când efectuează o analiză a impactului asupra activității, entitățile relevante pot stabili nivelul de clasificare pe baza consecințelor pe care le-ar suporta entitățile în urma perturbării activelor. Toți angajații entităților care gestionează active ar trebui să fie familiarizați cu politicile și cu instrucțiunile de gestionare a activelor.

(26)

Granularitatea inventarului activelor ar trebui să fie adecvată nevoilor entităților relevante. Un inventar cuprinzător al activelor ar putea include, pentru fiecare activ, cel puțin un identificator unic, proprietarul activului, o descriere a activului, localizarea activului, tipul de activ, tipul și clasificarea informațiilor prelucrate în cadrul activului, data ultimei actualizări sau corecții a activului, clasificarea activului în conformitate cu evaluarea riscurilor, precum și sfârșitul duratei de viață a activului. Atunci când identifică proprietarul unui activ, entitățile relevante ar trebui să identifice și persoana responsabilă cu protejarea activului respectiv.

(27)

Alocarea și organizarea rolurilor, a responsabilităților și a autorităților în materie de securitate cibernetică ar trebui să stabilească o structură coerentă pentru guvernanța și punerea în aplicare a securității cibernetice în cadrul entităților relevante și ar trebui să asigure o comunicare eficace în caz de incidente. Atunci când definesc și atribuie responsabilități aferente anumitor roluri, entitățile relevante ar trebui să ia în considerare roluri precum cel de director responsabil cu securitatea informațiilor, responsabil cu securitatea informațiilor, responsabil cu gestionarea incidentelor, auditor sau roluri echivalente comparabile. Entitățile relevante pot atribui roluri și responsabilități părților externe, cum ar fi furnizorii terți de servicii TIC.

(28)

În conformitate cu articolul 21 alineatul (2) din Directiva (UE) 2022/2555, măsurile de gestionare a riscurilor în materie de securitate cibernetică trebuie să fie bazate pe o abordare multirisc, care vizează protecția rețelelor și a sistemelor informatice și a mediului fizic al acestor sisteme împotriva unor evenimente cum ar fi furturile, incendiile, inundațiile, defecțiunile la nivelul telecomunicațiilor sau al alimentării cu energie, accesul fizic neautorizat, deteriorarea și interferența la nivelul informațiilor deținute de o entitate esențială sau de o entitate importantă sau la nivelul echipamentelor entității respective de prelucrare a informațiilor, care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise sau prelucrate ori a serviciilor oferite de rețelele și sistemele informatice sau accesibile prin intermediul acestora. Prin urmare, cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică ar trebui să abordeze, de asemenea, securitatea fizică și de mediu a rețelelor și a sistemelor informatice, prin includerea de măsuri de protecție a acestor sisteme împotriva defecțiunilor sistemului, a erorilor umane, a actelor răuvoitoare sau a fenomenelor naturale. Printre alte exemple de amenințări fizice și de mediu se pot număra cutremurele, exploziile, sabotajul, amenințările interne, tulburările civile, deșeurile toxice și emisiile din mediu. Prevenirea pierderii, a deteriorării sau a compromiterii rețelelor și a sistemelor informatice sau prevenirea întreruperii funcționării acestora din cauza defecțiunii și a perturbării utilităților de sprijin ar trebui să contribuie la obiectivul de continuitate a activității în entitățile relevante. În plus, protecția împotriva amenințărilor fizice și de mediu ar trebui să contribuie la securitatea întreținerii rețelelor și a sistemelor informatice în entitățile relevante.

(29)

Entitățile relevante ar trebui să conceapă și să pună în aplicare măsuri de protecție împotriva amenințărilor fizice și de mediu, precum și să stabilească praguri minime și maxime de control pentru amenințările fizice și de mediu și să monitorizeze parametrii de mediu. De exemplu, entitățile relevante ar trebui să aibă în vedere instalarea de sisteme pentru a detecta, într-un stadiu incipient, inundarea zonelor în care sunt situate rețelele și sistemele informatice. În ceea ce privește riscul de incendiu, entitățile relevante ar trebui să aibă în vedere instituirea unui compartiment de incendiu separat pentru centrul de date, utilizarea de materiale rezistente la foc și de senzori pentru monitorizarea temperaturii și a umidității, conectarea clădirii la un sistem de alarmă la incendiu printr-o notificare automată către departamentul local de pompieri, precum și instituirea unor sisteme de detectare și stingere timpurie a incendiilor. Entitățile relevante ar trebui, de asemenea, să efectueze periodic exerciții de evacuare în caz de incendiu și inspecții de prevenire a incendiilor. În plus, pentru a asigura alimentarea cu energie, entitățile relevante ar trebui să ia în considerare protecția împotriva supratensiunilor și aprovizionarea corespunzătoare cu energie electrică în situații de urgență, în conformitate cu standardele relevante. Mai mult, întrucât supraîncălzirea prezintă un risc pentru disponibilitatea rețelei și a sistemelor informatice, entitățile relevante, în special furnizorii de servicii de centre de date, ar putea lua în considerare sisteme adecvate, continue și redundante de aer condiționat.

(30)

Prezentul regulament trebuie să precizeze mai în detaliu cazurile în care un incident ar trebui considerat semnificativ în sensul articolului 23 alineatul (3) din Directiva (UE) 2022/2555. Criteriile ar trebui să fie de așa natură încât entitățile relevante să poată evalua dacă un incident este semnificativ, pentru a notifica incidentul respectiv în conformitate cu Directiva (UE) 2022/2555. În plus, criteriile stabilite în prezentul regulament ar trebui considerate exhaustive, fără a se aduce atingere articolului 5 din Directiva (UE) 2022/2555. Prezentul regulament precizează cazurile în care un incident ar trebui considerat semnificativ prin stabilirea unor cazuri orizontale, precum și a unor cazuri specifice tipului de entitate.

(31)

În temeiul articolului 23 alineatul (4) din Directiva (UE) 2022/2555, entitățile relevante ar trebui să aibă obligația de a notifica incidentele semnificative în termenele stabilite de dispozițiile de la articolul sus-menționat. Aceste termene de notificare curg din momentul în care entitatea ia cunoștință de astfel de incidente semnificative. Prin urmare, entitatea relevantă are obligația de a raporta incidentele care, pe baza evaluării sale inițiale, ar putea cauza perturbări operaționale ale serviciilor sau pierderi financiare substanțiale pentru entitatea respectivă ori ar putea afecta alte persoane fizice sau juridice, cauzând daune materiale sau morale considerabile. Prin urmare, atunci când o entitate relevantă detectează un eveniment suspect sau după ce un incident potențial i-a fost adus la cunoștință de către o parte terță, cum ar fi o persoană fizică, un client, o entitate, o autoritate, o organizație mass-media sau o altă sursă, entitatea relevantă ar trebui să evalueze în timp util evenimentul suspect pentru a stabili dacă acesta constituie un incident și, în caz afirmativ, să determine natura și gravitatea sa. Prin urmare, trebuie să se considere că entitatea relevantă „a luat cunoștință” de incidentul semnificativ atunci când, după o astfel de evaluare inițială, entitatea respectivă are un grad rezonabil de certitudine că s-a produs un incident semnificativ.

(32)

Pentru a stabili dacă un incident este semnificativ, entitățile relevante ar trebui, după caz, să ia în calcul numărul de utilizatori afectați de incident, ținând seama de clienții comerciali și de clienții finali cu care entitățile relevante au o relație contractuală, precum și de persoanele fizice și juridice care sunt asociate clienților comerciali. În cazul în care o entitate relevantă nu este în măsură să calculeze numărul de utilizatori afectați, estimarea entității relevante cu privire la numărul maxim posibil de utilizatori afectați ar trebui luată în considerare în scopul calculării numărului total de utilizatori afectați de incident. Semnificația unui incident care implică un serviciu de încredere ar trebui să fie determinată nu numai de numărul de utilizatori, ci și de numărul de beneficiari, deoarece aceștia pot fi afectați în egală măsură de un incident semnificativ care implică un serviciu de încredere în ceea ce privește perturbările operaționale și daunele materiale sau morale. Prin urmare, prestatorii de servicii de încredere ar trebui, dacă este aplicabil, să țină seama și de numărul de beneficiari atunci când stabilesc dacă un incident este semnificativ. În acest scop, prin „beneficiari” ar trebui să se înțeleagă persoanele fizice sau juridice care se bazează pe un serviciu de încredere.

(33)

Operațiunile de întreținere care au ca rezultat disponibilitatea limitată sau indisponibilitatea serviciilor nu ar trebui considerate drept incidente semnificative dacă disponibilitatea limitată sau indisponibilitatea serviciului se produce în contextul unei operațiuni de întreținere programate. În plus, faptul că un serviciu nu este disponibil din cauza unor întreruperi programate, cum ar fi întreruperile sau indisponibilitatea bazată pe un acord contractual prestabilit, nu ar trebui să fie considerat un incident semnificativ.

(34)

Durata unui incident care afectează disponibilitatea unui serviciu ar trebui măsurată din momentul în care se produce perturbarea furnizării corespunzătoare a unui astfel de serviciu până în momentul redresării. În cazul în care o entitate relevantă nu este în măsură să determine momentul în care a început perturbarea, durata incidentului ar trebui măsurată din momentul în care a fost detectat incidentul sau din momentul în care a fost înregistrat incidentul în jurnalele de rețea sau de sistem sau în alte surse de date, luându-se în considerare data care survine mai întâi.

(35)

Indisponibilitatea completă a unui serviciu ar trebui măsurată din momentul în care serviciul este complet indisponibil pentru utilizatori până în momentul în care activitățile sau operațiunile obișnuite au fost restabilite la nivelul serviciului furnizat înainte de incident. În cazul în care o entitate relevantă nu este în măsură să determine momentul în care a început indisponibilitatea completă unui serviciu, indisponibilitatea ar trebui evaluată din momentul în care a fost detectată de entitatea respectivă.

(36)

În scopul stabilirii pierderilor financiare directe rezultate în urma unui incident, entitățile relevante ar trebui să ia în considerare toate pierderile financiare pe care le-au suferit ca urmare a incidentului, cum ar fi costurile pentru înlocuirea sau mutarea software-ului, a hardware-ului sau a infrastructurii, costurile cu personalul, inclusiv costurile asociate înlocuirii sau mutării personalului, recrutării de personal suplimentar, remunerării orelor suplimentare și recuperării competențelor pierdute sau afectate, taxele datorate ca urmare a nerespectării obligațiilor contractuale, costurile aferente reparațiilor și despăgubirilor datorate clienților, pierderile datorate veniturilor nerealizate, costurile aferente comunicării interne și externe, costurile de consiliere, inclusiv costurile aferente consilierii juridice, serviciilor de expertiză criminalistică și serviciilor de remediere, precum și alte costuri asociate incidentului. Cu toate acestea, amenzile administrative, precum și costurile care sunt necesare pentru funcționarea curentă a activității nu ar trebui considerate pierderi financiare rezultate în urma unui incident; printre acestea se numără costurile pentru întreținerea generală a infrastructurii, a echipamentelor, a hardware-ului și a software-ului, pentru actualizarea competențelor personalului, costurile interne sau externe pentru îmbunătățirea activității după incident, inclusiv cele aferente modernizărilor, îmbunătățirilor și inițiativelor de evaluare a riscurilor, precum și primele de asigurare. Entitățile relevante ar trebui să calculeze cuantumurile pierderilor financiare pe baza datelor disponibile și, în cazul în care cuantumurile efective ale pierderilor financiare nu pot fi determinate, entitățile ar trebui să estimeze cuantumurile respective.

(37)

Entitățile relevante ar trebui, de asemenea, să aibă obligația de a raporta incidentele care au provocat sau pot provoca decesul persoanelor fizice sau daune considerabile asupra sănătății persoanelor fizice, deoarece astfel de incidente reprezintă cazuri deosebit de grave de producere a unor daune materiale sau morale considerabile. De exemplu, un incident care afectează o entitate relevantă ar putea cauza indisponibilitatea serviciilor de asistență medicală sau a serviciilor de urgență ori pierderea confidențialității sau a integrității datelor cu efect asupra sănătății persoanelor fizice. Pentru a stabili dacă un incident a provocat sau este în măsură să provoace daune considerabile asupra sănătății unei persoane fizice, entitățile relevante ar trebui să aibă în vedere dacă incidentul a provocat sau este susceptibil să provoace vătămări grave și îmbolnăviri. În acest scop, entitățile relevante nu ar trebui să aibă obligația de a colecta informații suplimentare la care nu au acces.

(38)

Ar trebui să se considere că o disponibilitate limitată apare în special atunci când un serviciu furnizat de către o entitate relevantă este considerabil mai lent decât timpul mediu de răspuns sau în cazul în care nu sunt disponibile toate funcționalitățile unui serviciu. Atunci când este posibil, ar trebui utilizate criterii obiective bazate pe timpii medii de răspuns aferenți serviciilor furnizate de entitățile relevante pentru a evalua întârzierile în timpul de răspuns. Funcționalitatea unui serviciu poate fi, de exemplu, o funcționalitate de tip chat sau o funcționalitate de căutare de imagini.

(39)

Accesul reușit, presupus rău-intenționat și neautorizat la rețelele și sistemele informatice ale unei entități relevante ar trebui considerat drept un incident semnificativ, în cazul în care un astfel de acces poate cauza perturbări operaționale grave. De exemplu, în cazul în care un autor al unei amenințări cibernetice se poziționează în prealabil în rețeaua și în sistemele informatice ale unei entități relevante pentru a cauza perturbări ale serviciilor în viitor, incidentul ar trebui să fie considerat semnificativ.

(40)

Incidentele recurente care sunt corelate prin aceeași cauză de bază aparentă, care, în mod individual, nu îndeplinesc criteriile pentru a fi considerate drept incidente semnificative, ar trebui considerate, în mod colectiv, drept incidente semnificative, cu condiția ca acestea să îndeplinească în mod colectiv criteriul privind pierderile financiare și să se fi produs cel puțin de două ori în decursul unei perioade de șase luni. Astfel de incidente recurente pot indica deficiențe și slăbiciuni semnificative în procedurile entității relevante de gestionare a riscurilor în materie de securitate cibernetică și în nivelul de maturitate al securității cibernetice. În plus, astfel de incidente recurente pot cauza pierderi financiare semnificative pentru entitatea relevantă.

(41)	Comisia a făcut schimb de opinii și a cooperat cu Grupul de cooperare și cu ENISA referitor la proiectul de act de punere în aplicare, în conformitate cu articolul 21 alineatul (5) și cu articolul 23 alineatul (11) din Directiva (UE) 2022/2555.

(42)	Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (3) și a emis un aviz la 1 septembrie 2024.

(43)	Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit în conformitate cu articolul 39 din Directiva (UE) 2022/2555,

ADOPTĂ PREZENTUL REGULAMENT:

Articolul 1

Obiect

În ceea ce privește furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere (entitățile relevante), prezentul regulament stabilește cerințele tehnice și metodologice ale măsurilor menționate la articolul 21 alineatul (2) din Directiva (UE) 2022/2555 și precizează mai în detaliu cazurile în care un incident trebuie considerat semnificativ, astfel cum se menționează la articolul 23 alineatul (3) din Directiva (UE) 2022/2555.

Articolul 2

Cerințele tehnice și metodologice

(1) Pentru entitățile relevante, cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică menționate la articolul 21 alineatul (2) literele (a)-(j) din Directiva (UE) 2022/2555 sunt prevăzute în anexa la prezentul regulament.

(2) Entitățile relevante asigură un nivel de securitate a rețelelor și a sistemelor informatice adecvat riscurilor prezentate atunci când implementează și aplică cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică prevăzute în anexa la prezentul regulament. În acest scop, entitățile relevante țin seama în mod corespunzător de gradul lor de expunere la riscuri, de dimensiunea lor și de probabilitatea apariției unor incidente, precum și de gravitatea acestora, inclusiv de impactul lor societal și economic, atunci când respectă cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică prevăzute în anexa la prezentul regulament.

În cazul în care anexa la prezentul regulament prevede că o cerință tehnică sau metodologică a unei măsuri de gestionare a riscurilor în materie de securitate cibernetică se aplică „dacă este adecvat”, „dacă este aplicabil” sau „în măsura în care este fezabil”, iar în cazul în care o entitate relevantă consideră că nu este adecvat, nu este aplicabil sau nu este fezabil ca entitatea relevantă să aplice astfel de cerințe tehnice și metodologice, entitatea relevantă documentează într-un mod inteligibil raționamentul său în acest sens.

Articolul 3

Incidente semnificative

(1) Un incident este considerat semnificativ în sensul articolului 23 alineatul (3) din Directiva 2022/2555 în ceea ce privește entitățile relevante în cazul în care sunt îndeplinite unul sau mai multe dintre următoarele criterii:

(a)	incidentul a cauzat sau poate cauza pierderi financiare directe pentru entitatea relevantă care depășesc 500 000 EUR sau 5 % din cifra de afaceri anuală totală a entității relevante aferentă exercițiului financiar anterior, reținându-se valoarea cea mai mică;

(b)	incidentul a cauzat sau poate cauza exfiltrarea secretelor comerciale ale entității relevante, astfel cum se prevede la articolul 2 punctul 1 din Directiva (UE) 2016/943;

(c)	incidentul a cauzat sau poate cauza decesul unei persoane fizice;

(d)	incidentul a cauzat sau poate cauza daune considerabile asupra sănătății unei persoane fizice;

(e)	s-a produs un acces reușit, presupus rău-intenționat și neautorizat la rețele și la sistemele informatice, care poate cauza perturbări operaționale grave;

(f)	incidentul îndeplinește criteriile prevăzute la articolul 4;

(g)	incidentul îndeplinește unul sau mai multe dintre criteriile prevăzute la articolele 5-14.

(2) Întreruperile programate ale serviciului și consecințele planificate ale operațiunilor de întreținere programate efectuate de către entitățile relevante sau în numele acestora nu sunt considerate a fi incidente semnificative.

(3) Atunci când calculează numărul de utilizatori afectați de un incident în sensul articolului 7 și al articolelor 9-14, entitățile relevante iau în considerare toate elementele următoare:

(a)	numărul de clienți care au un contract cu entitatea relevantă care le acordă acces la rețeaua și la sistemele informatice ale entității relevante sau la serviciile oferite de rețeaua și de sistemele informatice respective sau accesibile prin intermediul acestora;

(b)	numărul de persoane fizice și juridice asociate clienților comerciali care utilizează rețeaua și sistemele informatice ale entității relevante sau serviciile oferite de rețeaua și de sistemele informatice respective sau accesibile prin intermediul acestora.

Articolul 4

Incidente recurente

Incidentele care, în mod individual, nu sunt considerate drept un incident semnificativ în sensul articolului 3 trebuie să fie considerate, în mod colectiv, ca un unic incident semnificativ dacă îndeplinesc toate criteriile următoare:

(a)	s-au produs cel puțin de două ori în decursul unei perioade de șase luni;

(b)	au aceeași cauză principală aparentă;

(c)	îndeplinesc, în mod colectiv, criteriile prevăzute la articolul 3 alineatul (1) litera (a).

Articolul 5

Incidente semnificative cu privire la furnizorii de servicii DNS

În ceea ce privește furnizorii de servicii DNS, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)	un serviciu de rezolvare recursivă sau autoritară a numelor de domenii este complet indisponibil timp de peste 30 de minute;

(b)	pentru o perioadă care depășește o oră, timpul mediu de răspuns al unui serviciu de rezolvare recursivă sau autoritară a numelor de domenii la cererile DNS este mai mare de 10 secunde;

(c)

integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea serviciului de rezolvare autoritară a numelor de domenii este compromisă, cu excepția cazurilor în care datele cu mai puțin de 1 000 de nume de domenii gestionate de furnizorul de servicii DNS, care nu depășesc 1 % din numele de domenii gestionate de furnizorul de servicii DNS, nu sunt corecte din cauza unei configurări eronate.

Articolul 6

Incidente semnificative cu privire la registrele de nume TLD

În ceea ce privește registrele de nume TLD, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)	un serviciu de rezolvare autoritară a numelor de domenii este complet indisponibil;

(b)	pentru o perioadă care depășește o oră, timpul mediu de răspuns al unui serviciu de rezolvare autoritară a numelor de domenii la cererile DNS este mai mare de 10 secunde;

(c)	integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de funcționarea tehnică a TLD este compromisă.

Articolul 7

Incidente semnificative cu privire la furnizorii de servicii de cloud computing

În ceea ce privește furnizorii de servicii de cloud computing, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)	un serviciu de cloud computing furnizat este complet indisponibil timp de peste 30 de minute;

(b)

disponibilitatea unui serviciu de cloud computing al unui furnizor este limitată în cazul a peste 5 % dintre utilizatorii serviciului de cloud computing din Uniune sau în cazul a peste 1 milion de utilizatori ai serviciului de cloud computing din Uniune, reținându-se cifra cea mai mică, pentru o durată care depășește o oră;

(c)	integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unui serviciu de cloud computing este compromisă ca urmare a unei acțiuni presupus răuvoitoare;

(d)

integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unui serviciu de cloud computing este compromisă, cu un impact asupra a peste 5 % dintre utilizatorii serviciului respectiv de cloud computing din Uniune sau asupra a peste 1 milion de utilizatori ai serviciului respectiv de cloud computing din Uniune, reținându-se cifra cea mai mică.

Articolul 8

Incidente semnificative cu privire la furnizorii de servicii de centre de date

În ceea ce privește furnizorii de servicii de centre de date, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)	un serviciu de centru de date al unui centru de date operat de furnizor este complet indisponibil;

(b)	disponibilitatea unui serviciu de centru de date al unui centru de date operat de furnizor este limitată pentru o durată care depășește o oră;

(c)	integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unui serviciu de centru de date este compromisă ca urmare a unei acțiuni presupus răuvoitoare;

(d)	accesul fizic la un centru de date gestionat de furnizor este compromis.

Articolul 9

Incidente semnificative cu privire la furnizorii de rețele de furnizare de conținut

În ceea ce privește furnizorii de rețele de furnizare de conținut, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)	o rețea de furnizare de conținut este complet indisponibilă timp de peste 30 de minute;

(b)

disponibilitatea unei rețele de furnizare de conținut este limitată în cazul a peste 5 % dintre utilizatorii rețelei de furnizare de conținut din Uniune sau în cazul a peste 1 milion de utilizatori ai rețelei de furnizare de conținut din Uniune, reținându-se cifra cea mai mică, pentru o durată care depășește o oră;

(c)	integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unei rețele de furnizare de conținut este compromisă ca urmare a unei acțiuni presupus răuvoitoare;

(d)

integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unei rețele de furnizare de conținut este compromisă, cu un impact asupra a peste 5 % dintre utilizatorii respectivei rețele de furnizare de conținut din Uniune sau asupra a peste 1 milion de utilizatori ai respectivei rețele de furnizare de conținut din Uniune, reținându-se cifra cea mai mică.

Articolul 10

Incidente semnificative în ceea ce privește furnizorii de servicii gestionate și furnizorii de servicii de securitate gestionate

În ceea ce privește furnizorii de servicii gestionate și furnizorii de servicii de securitate gestionate, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)	un serviciu gestionat sau un serviciu de securitate gestionat este complet indisponibil timp de peste 30 de minute;

(b)

disponibilitatea unui serviciu gestionat sau a unui serviciu de securitate gestionat este limitată în cazul a peste 5 % dintre utilizatorii serviciului din Uniune sau în cazul a peste 1 milion de utilizatori ai serviciului din Uniune, reținându-se cifra cea mai mică, pentru o durată care depășește o oră;

(c)	integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unui serviciu gestionat sau a unui serviciu de securitate gestionat este compromisă ca urmare a unei acțiuni presupus răuvoitoare;

(d)

integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unui serviciu gestionat sau a unui serviciu de securitate gestionat este compromisă, cu un impact asupra a peste 5 % dintre utilizatorii respectivului serviciu gestionat sau ai respectivului serviciu de securitate gestionat din Uniune sau asupra a peste 1 milion de utilizatori ai serviciului din Uniune, reținându-se cifra cea mai mică.

Articolul 11

Incidente semnificative cu privire la furnizorii de piețe online

În ceea ce privește furnizorii de piețe online, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)	o piață online este complet indisponibilă pentru peste 5 % dintre utilizatorii unei piețe online din Uniune sau pentru peste 1 milion de utilizatori ai unei piețe online din Uniune, reținându-se cifra cea mai mică;

(b)	peste 5 % dintre utilizatorii unei piețe online din Uniune sau peste 1 milion de utilizatori ai unei piețe online din Uniune, reținându-se cifra cea mai mică, sunt afectați de disponibilitatea limitată a respectivei piețe online;

(c)	integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unei piețe online este compromisă ca urmare a unei acțiuni presupus răuvoitoare;

(d)

integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unei piețe online este compromisă, cu un impact asupra a peste 5 % dintre utilizatorii respectivei piețe online din Uniune sau asupra a peste 1 milion de utilizatori ai respectivei piețe online din Uniune, reținându-se cifra cea mai mică.

Articolul 12

Incidente semnificative cu privire la furnizorii de motoare de căutare online

În ceea ce privește furnizorii de motoare de căutare online, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)	un motor de căutare online este complet indisponibil pentru peste 5 % dintre utilizatorii respectivului motor de căutare online din Uniune sau pentru peste 1 milion de utilizatori ai respectivului motor de căutare online din Uniune, reținându-se cifra cea mai mică;

(b)	peste 5 % dintre utilizatorii unui motor de căutare online din Uniune sau peste 1 milion de utilizatori ai unui motor de căutare online din Uniune, reținându-se cifra cea mai mică, sunt afectați de disponibilitatea limitată a respectivului motor de căutare online;

(c)	integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unui motor de căutare online este compromisă ca urmare a unei acțiuni presupus răuvoitoare;

(d)

integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unui motor de căutare online este compromisă, cu un impact asupra a peste 5 % dintre utilizatorii respectivului motor de căutare online din Uniune sau asupra a peste 1 milion de utilizatori ai respectivului motor de căutare online din Uniune, reținându-se cifra cea mai mică.

Articolul 13

Incidente semnificative cu privire la furnizorii de platforme de servicii de socializare în rețea

În ceea ce privește furnizorii de platforme de servicii de socializare în rețea, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)

o platformă de servicii de socializare în rețea este complet indisponibilă pentru peste 5 % dintre utilizatorii respectivei platforme de servicii de socializare în rețea din Uniune sau pentru peste 1 milion de utilizatori ai respectivei platforme de servicii de socializare în rețea din Uniune, reținându-se cifra cea mai mică;

(b)

peste 5 % dintre utilizatorii unei platforme de servicii de socializare în rețea din Uniune sau peste 1 milion de utilizatori ai unei platforme de servicii de socializare în rețea din Uniune, reținându-se cifra cea mai mică, sunt afectați de disponibilitatea limitată a respectivei platforme de servicii de socializare în rețea;

(c)	integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unei platforme de servicii de socializare în rețea este compromisă ca urmare a unei acțiuni presupus răuvoitoare;

(d)

integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unei platforme de servicii de socializare în rețea este compromisă, cu un impact asupra a peste 5 % dintre utilizatorii respectivei platforme de servicii de socializare în rețea din Uniune sau asupra a peste 1 milion de utilizatori ai respectivei platforme de servicii de socializare în rețea din Uniune, reținându-se cifra cea mai mică.

Articolul 14

Incidente semnificative cu privire la prestatorii de servicii de încredere

În ceea ce privește prestatorii de servicii de încredere, un incident este considerat semnificativ în temeiul articolului 3 alineatul (1) litera (g) dacă îndeplinește unul sau mai multe dintre următoarele criterii:

(a)	un serviciu de încredere este complet indisponibil timp de peste 20 de minute;

(b)	un serviciu de încredere este indisponibil pentru utilizatori sau beneficiari timp de peste o oră, calcul efectuat pe baza unei săptămâni calendaristice;

(c)	peste 1 % dintre utilizatorii sau beneficiarii din Uniune ori peste 200 000 de utilizatori sau beneficiari din Uniune, reținându-se cifra cea mai mică, sunt afectați de disponibilitatea limitată a unui serviciu de încredere;

(d)	accesul fizic la o zonă în care sunt situate rețelele și sistemele informatice și la care accesul este limitat la personalul de încredere al prestatorului de servicii de încredere este compromis sau protecția unui astfel de acces fizic este compromisă;

(e)

integritatea, confidențialitatea sau autenticitatea datelor stocate, transmise sau prelucrate legate de furnizarea unui serviciu de încredere este compromisă, cu un impact asupra a peste 0,1 % dintre utilizatorii sau beneficiarii serviciului de încredere sau asupra a peste 100 de utilizatori sau beneficiari ai serviciului de încredere din Uniune, reținându-se cifra cea mai mică.

Articolul 15

Abrogare

Regulamentul de punere în aplicare (UE) 2018/151 al Comisiei (4) se abrogă.

Articolul 16

Intrarea în vigoare și aplicarea

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 17 octombrie 2024.

Pentru Comisie

Președinta

Ursula VON DER LEYEN

(1)
JO L 333, 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj.

(2) Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj).

(3) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Regulamentul de punere în aplicare (UE) 2018/151 al Comisiei din 30 ianuarie 2018 de stabilire a normelor de aplicare a Directivei (UE) 2016/1148 a Parlamentului European și a Consiliului în ceea ce privește aducerea unor precizări suplimentare cu privire la elementele care trebuie să fie luate în considerare de către furnizorii de servicii digitale pentru gestionarea riscurilor la adresa securității rețelelor și a sistemelor informatice, precum și cu privire la parametrii necesari pentru a se determina dacă un incident are un impact substanțial (JO L 26, 31.1.2018, p. 48, ELI: http://data.europa.eu/eli/reg_impl/2018/151/oj).

ANEXĂ

Cerințele tehnice și metodologice menționate la articolul 2 din prezentul regulament

1. Politica privind securitatea rețelelor și a sistemelor informatice [articolul 21 alineatul (2) litera (a) din Directiva (UE) 2022/2555]

1.1. Politica privind securitatea rețelelor și a sistemelor informatice

1.1.1.

În sensul articolului 21 alineatul (2) litera (a) din Directiva (UE) 2022/2555, politica privind securitatea rețelelor și a sistemelor informatice:

(a)	stabilește abordarea entităților relevante în ceea ce privește gestionarea securității rețelelor și sistemelor lor informatice;

(b)	este adecvată și complementară strategiei de afaceri și obiectivelor entităților relevante;

(c)	stabilește obiective în materie de securitate a rețelelor și a informațiilor;

(d)	include un angajament de îmbunătățire continuă a securității rețelelor și a sistemelor informatice;

(e)	include un angajament de a furniza resursele adecvate necesare pentru punerea sa în aplicare, inclusiv personalul, resursele financiare, procesele, instrumentele și tehnologiile necesare;

(f)	este comunicată angajaților relevanți și părților externe interesate relevante care iau cunoștință de aceasta;

(g)	stabilește rolurile și responsabilitățile în temeiul punctului 1.2;

(h)	enumeră documentația care trebuie păstrată și durata păstrării documentației;

(i)	enumeră politicile tematice specifice;

(j)	stabilește indicatori și măsuri de monitorizare a punerii sale în aplicare și a stadiului actual al nivelului de maturitate al entităților relevante în materie de securitate a rețelelor și a informațiilor;

(k)	precizează data aprobării oficiale de către organele de conducere ale entităților relevante („organele de conducere”).

1.1.2.

Politica privind rețelele și sistemele informatice este revizuită și, dacă este adecvat, actualizată de către organele de conducere cel puțin anual și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor. Rezultatul revizuirilor este documentat.

1.2. Rolurile, responsabilitățile și autoritățile

1.2.1.

În cadrul politicii lor privind securitatea rețelelor și a sistemelor informatice menționată la punctul 1.1, entitățile relevante stabilesc responsabilitățile și autoritățile pentru securitatea rețelelor și a sistemelor informatice și le atribuie roluri, le alocă în funcție de nevoile entităților relevante și le comunică organelor de conducere.

1.2.2.

Entitățile relevante solicită întregului personal și tuturor părților terțe să aplice securitatea rețelelor și a sistemelor informatice în conformitate cu politica stabilită privind securitatea rețelelor și a informațiilor și cu politicile și procedurile tematice specifice ale entităților relevante.

1.2.3.

Cel puțin o persoană raportează direct organelor de conducere cu privire la aspecte legate de securitatea rețelelor și a sistemelor informatice.

1.2.4.

În funcție de dimensiunea entităților relevante, securitatea rețelelor și a sistemelor informatice este acoperită de roluri sau sarcini specifice îndeplinite în plus față de rolurile existente.

1.2.5.

Sarcinile care intră în conflict și domeniile de competență care intră în conflict trebuie separate, dacă acest lucru se aplică.

1.2.6.

Rolurile, responsabilitățile și autoritățile se revizuiesc și, dacă este adecvat, se actualizează de către organele de conducere la intervale stabilite și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

2. Politica de gestionare a riscurilor [articolul 21 alineatul (2) litera (a) din Directiva (UE) 2022/2555]

2.1. Cadrul de gestionare a riscurilor

2.1.1.

În sensul articolului 21 alineatul (2) litera (a) din Directiva (UE) 2022/2555, entitățile relevante instituie și mențin un cadru adecvat de gestionare a riscurilor pentru a identifica și a aborda riscurile la adresa securității rețelelor și a sistemelor informatice. Entitățile relevante efectuează și documentează evaluări ale riscurilor și, pe baza rezultatelor, stabilesc, pun în aplicare și monitorizează un plan de tratare a riscurilor. Rezultatele evaluării riscurilor și riscurile reziduale sunt acceptate de organele de conducere sau, dacă este aplicabil, de persoanele responsabile și care au autoritatea de a gestiona riscurile, cu condiția ca entitățile relevante să asigure raportarea adecvată către organele de conducere.

2.1.2.

În sensul punctului 2.1.1, entitățile relevante stabilesc proceduri de identificare, analiză, evaluare și tratare a riscurilor („procesul de gestionare a riscurilor în materie de securitate cibernetică”). Procesul de gestionare a riscurilor în materie de securitate cibernetică este parte integrantă a procesului general de gestionare a riscurilor al entităților relevante, dacă acest lucru este aplicabil. Ca parte a procesului de gestionare a riscurilor în materie de securitate cibernetică, entitățile relevante:

(a)	urmează o metodologie de gestionare a riscurilor;

(b)	stabilesc nivelul de toleranță la risc în conformitate cu apetitul la risc al entităților relevante;

(c)	stabilesc și mențin criterii de risc relevante;

(d)

în conformitate cu o abordare care ține seama de toate riscurile, identifică riscurile la adresa securității rețelelor și a sistemelor informatice, și le documentează, în special în ceea ce privește părțile terțe, și riscurile care ar putea conduce la perturbări ale disponibilității, integrității, autenticității și confidențialității rețelelor și sistemelor informatice, inclusiv identificarea punctului unic de defecțiuni;

(e)	analizează riscurile la adresa securității rețelelor și a sistemelor informatice, inclusiv amenințările, probabilitatea, impactul și nivelul de risc, luând în considerare informațiile privind amenințările cibernetice și vulnerabilitățile;

(f)	evaluează riscurile identificate pe baza criteriilor de risc;

(g)	identifică și prioritizează opțiunile și măsurile adecvate de tratare a riscurilor;

(h)	monitorizează în permanență punerea în aplicare a măsurilor de tratare a riscurilor;

(i)	identifică cine are responsabilitatea punerii în aplicare a măsurilor de tratare a riscurilor și momentul în care acestea ar trebui puse în aplicare;

(j)	documentează măsurile de tratare a riscurilor alese într-un plan de tratare a riscurilor și motivele care justifică acceptarea riscurilor reziduale într-un mod inteligibil.

2.1.3.

Atunci când identifică și ierarhizează opțiunile și măsurile adecvate de tratare a riscurilor, entitățile relevante țin seama de rezultatele evaluării riscurilor, de rezultatele procedurii de evaluare a eficacității măsurilor de gestionare a riscurilor în materie de securitate cibernetică, de costul punerii în aplicare în raport cu beneficiul preconizat, de clasificarea activelor menționată la punctul 12.1 și de analiza impactului asupra activității menționată la punctul 4.1.3.

2.1.4.

Entitățile relevante examinează și, dacă este adecvat, actualizează rezultatele evaluării riscurilor și planul de tratare a riscurilor la intervale stabilite și cel puțin o dată pe an și atunci când apar modificări semnificative ale operațiunilor, ale riscurilor sau incidente semnificative.

2.2. Monitorizarea conformității

2.2.1.

Entitățile relevante examinează periodic conformitatea cu politicile lor privind securitatea rețelelor și sistemelor informatice, cu politicile, normele și standardele tematice specifice. Organele de conducere sunt informate cu privire la situația securității rețelelor și a informațiilor pe baza evaluărilor conformității, prin intermediul unor rapoarte periodice.

2.2.2.

Entitățile relevante instituie un sistem eficace de raportare a conformității, care trebuie să fie adecvat structurilor lor, mediilor de operare și situației amenințărilor. Sistemul de raportare a conformității trebuie să fie în măsură să ofere organelor de conducere o imagine în cunoștință de cauză a situației curente a gestionării riscurilor de către entitățile relevante.

2.2.3.

Entitățile relevante efectuează monitorizarea conformității la intervale planificate și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

2.3. Examinarea independentă a securității informațiilor și rețelelor

2.3.1.

Entitățile relevante examinează în mod independent abordarea în ceea ce privește gestionarea securității rețelelor și a sistemelor informatice și punerea în aplicare a acesteia, inclusiv în ceea ce privește persoanele, procesele și tehnologiile.

2.3.2.

Entitățile relevante elaborează și mențin procese de efectuare a unor examinări independente, care sunt efectuate de persoane cu competențe de audit adecvate. În cazul în care examinarea independentă este efectuată de membri ai personalului entității relevante, persoanele care efectuează examinarea nu trebuie să fie în linia ierarhică a personalului din domeniul examinat. În cazul în care dimensiunea entităților relevante nu permite o astfel de separare a liniei ierarhice, entitățile relevante instituie măsuri alternative pentru a garanta imparțialitatea examinărilor.

2.3.3.

Rezultatele examinărilor independente, inclusiv rezultatele monitorizării conformității în temeiul punctului 2.2 și ale monitorizării și măsurării în conformitate cu punctul 7, se raportează organelor de conducere. Se iau măsuri corective sau se acceptă riscul rezidual în conformitate cu criteriile de acceptare a riscurilor ale entităților relevante.

2.3.4.

Examinările independente au loc la intervale planificate și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

3. Gestionarea incidentelor [articolul 21 alineatul (2) litera (b) din Directiva (UE) 2022/2555]

3.1. Politica de gestionare a incidentelor

3.1.1.

În sensul articolului 21 alineatul (2) litera (b) din Directiva (UE) 2022/2555, entitățile relevante stabilesc și pun în aplicare o politică de gestionare a incidentelor care stabilește rolurile, responsabilitățile și procedurile pentru detectarea, analizarea, limitarea incidentelor sau răspunsul la incidente, redresarea în urma incidentelor, documentarea și raportarea în timp util a incidentelor.

3.1.2.

Politica menționată la punctul 3.1.1 trebuie să fie coerentă cu planul de asigurare a continuității activității și de recuperare în caz de dezastru menționat la punctul 4.1. Politica include:

(a)	un sistem de clasificare a incidentelor care să fie în concordanță cu evaluarea și clasificarea evenimentelor, efectuate în temeiul punctului 3.4.1;

(b)	planuri de comunicare eficace, inclusiv pentru escaladare și raportare;

(c)	atribuirea rolurilor de detectare a incidentelor și de răspuns corespunzător în caz de incidente angajaților competenți;

(d)	documente care trebuie utilizate în cursul detectării incidentelor și al răspunsului la incidente, cum ar fi manuale de răspuns la incidente, grafice privind sesizarea nivelurilor competente, liste de contacte și modele.

3.1.3.

Rolurile, responsabilitățile și procedurile stabilite în cadrul politicii sunt testate și revizuite și, dacă este adecvat, actualizate la intervale planificate și în urma unor incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

3.2. Monitorizare și jurnalizare

3.2.1.

Entitățile relevante stabilesc proceduri și utilizează instrumente pentru monitorizarea și jurnalizarea activităților în rețelele lor și în sistemele lor informatice pentru a detecta evenimentele care ar putea fi considerate incidente și pentru a răspunde în consecință pentru a atenua impactul.

3.2.2.

În măsura în care este fezabil, monitorizarea trebuie să fie automată și să se efectueze fie în mod continuu, fie la intervale periodice, în funcție de capacitățile operaționale. Entitățile relevante își pun în aplicare activitățile de monitorizare într-un mod care să reducă la minimum rezultatele fals pozitive și fals negative.

3.2.3.

Pe baza procedurilor menționate la punctul 3.2.1, entitățile relevante păstrează, documentează și revizuiesc jurnalele. Entitățile relevante întocmesc o listă a activelor care urmează să facă obiectul jurnalizării pe baza rezultatelor evaluării riscurilor efectuate în temeiul punctului 2.1. După caz, jurnalele includ:

(a)	traficul de rețea relevant la ieșire și la intrare;

(b)	crearea, modificarea sau eliminarea utilizatorilor rețelelor și sistemelor informatice ale entităților relevante și extinderea permisiunilor;

(c)	accesul la sisteme și aplicații;

(d)	evenimente legate de autentificare;

(e)	toate accesurile privilegiate la sisteme și aplicații, precum și toate activitățile desfășurate de conturile administrative;

(f)	accesul la configurația critică și la fișierele backup sau modificările aduse acestora;

(g)	jurnale de evenimente și jurnale de la instrumente de securitate, cum ar fi antivirus, sisteme de detectare a intruziunilor sau firewall;

(h)	utilizarea resurselor sistemului, precum și performanța acestora;

(i)	accesul fizic la instalații;

(j)	accesul la echipamentele și dispozitivele lor de rețea și utilizarea acestora;

(k)	activarea, oprirea și întreruperea diferitelor jurnale;

(l)	evenimente de mediu.

3.2.4.

Jurnalele sunt reexaminate periodic pentru a identifica orice tendință neobișnuită sau nedorită. După caz, entitățile relevante stabilesc valori adecvate pentru pragurile de alarmă. În cazul în care valorile stabilite pentru pragul de alarmă sunt depășite, se declanșează automat, dacă este adecvat, o alarmă. Entitățile relevante se asigură că, în cazul unei alarme, se inițiază în timp util un răspuns calificat și adecvat.

3.2.5.

Entitățile relevante păstrează jurnalele și realizează copii de rezervă ale acestora pentru o perioadă predefinită și le protejează împotriva accesului neautorizat sau a modificărilor neautorizate.

3.2.6.

În măsura în care este fezabil, entitățile relevante se asigură că toate sistemele dispun de surse ale orei sincronizate pentru a putea corela jurnalele între sisteme pentru evaluarea evenimentelor. Entitățile relevante întocmesc și păstrează o listă a tuturor activelor jurnalizate și se asigură că sistemele de monitorizare și de jurnalizare sunt redundante. Disponibilitatea sistemelor de monitorizare și de jurnalizare este monitorizată independent de sistemele pe care le monitorizează.

3.2.7.

Procedurile, precum și lista activelor jurnalizate sunt revizuite și, după caz, actualizate la intervale regulate și după incidente semnificative.

3.3. Raportarea evenimentelor

3.3.1.

Entitățile relevante instituie un mecanism simplu care să le permită angajaților, furnizorilor și clienților lor să raporteze evenimentele suspecte.

3.3.2.

Entitățile relevante comunică, dacă este adecvat, mecanismul de raportare a evenimentelor furnizorilor și clienților lor și își instruiesc periodic angajații cu privire la modul de utilizare a mecanismului.

3.4. Evaluarea și clasificarea evenimentelor

3.4.1.

Entitățile relevante evaluează evenimentele suspecte pentru a stabili dacă acestea constituie incidente și, în caz afirmativ, determină natura și gravitatea lor.

3.4.2.

În sensul punctului 3.4.1, entitățile relevante acționează în modul următor:

(a)	efectuează evaluarea pe baza unor criterii predefinite stabilite în prealabil și a unei trieri pentru a stabili ordinea de prioritate a limitării și eradicării incidentelor;

(b)	evaluează trimestrial existența incidentelor recurente menționate la articolul 4 din prezentul regulament;

(c)	examinează jurnalele corespunzătoare în scopul evaluării și clasificării evenimentelor;

(d)	instituie un proces de corelare și analiză a jurnalelor; și

(e)	reevaluează și reclasifică evenimentele în cazul în care devin disponibile noi informații sau după analizarea informațiilor disponibile anterior.

3.5. Răspunsul la incidente

3.5.1.

Entitățile relevante răspund la incidente în conformitate cu proceduri documentate și în timp util.

3.5.2.

Procedurile de răspuns la incidente includ următoarele etape:

(a)	limitarea incidentului, pentru a preveni răspândirea consecințelor incidentului;

(b)	eradicarea, pentru a preveni continuarea sau reapariția incidentului;

(c)	redresarea în urma incidentului, dacă este necesar.

3.5.3.

Entitățile relevante stabilesc planuri și proceduri de comunicare:

(a)	împreună cu echipele de intervenție în caz de incidente de securitate informatică (CSIRT) sau, dacă este aplicabil, cu autoritățile competente, în legătură cu notificarea incidentelor;

(b)	pentru comunicarea între membrii personalului entității relevante și pentru comunicarea cu părțile interesate relevante externe entității relevante.

3.5.4.

Entitățile relevante jurnalizează activitățile de răspuns la incidente în conformitate cu procedurile menționate la punctul 3.2.1 și înregistrează dovezile.

3.5.5.

Entitățile relevante testează la intervale planificate procedurile lor de răspuns la incidente.

3.6. Analizele post-incident

3.6.1.

Dacă este adecvat, entitățile relevante efectuează analize post-incident după redresarea în urma incidentelor. Analizele post-incident identifică, atunci când este posibil, cauza principală a incidentului și au drept rezultat învățăminte desprinse documentate pentru a reduce apariția și consecințele incidentelor viitoare.

3.6.2.

Entitățile relevante se asigură că analizele post-incident contribuie la îmbunătățirea abordării lor în ceea ce privește securitatea rețelelor și informațiilor, măsurile de tratare a riscurilor și procedurile de gestionare și detectare a incidentelor precum și de răspuns la incidente.

3.6.3.

Entitățile relevante examinează la intervale planificate dacă incidentele au condus la analize post-incident.

4. Continuitatea activității și gestionarea crizelor [articolul 21 alineatul (2) litera (c) din Directiva (UE) 2022/2555]

4.1. Planuri de continuitate a activității și de recuperare în caz de dezastru

4.1.1.

În sensul articolului 21 alineatul (2) litera (c) din Directiva (UE) 2022/2555, entitățile relevante stabilesc și mențin un plan de continuitate a activității și de recuperare în caz de dezastru care se aplică în caz de incidente.

4.1.2.

Operațiunile entităților relevante se restabilesc în conformitate cu planul de continuitate a activității și de recuperare în caz de dezastru. Planul se bazează pe rezultatele evaluării riscurilor efectuată în temeiul punctului 2.1 și include, dacă este adecvat, următoarele:

(a)	scopul, domeniul de aplicare și publicul;

(b)	rolurile și responsabilitățile;

(c)	principalele contacte și canale de comunicare (interne și externe);

(d)	condițiile pentru activarea și dezactivarea planului;

(e)	ordinea de recuperare pentru operațiuni;

(f)	planuri de recuperare pentru operațiuni specifice, inclusiv obiective de recuperare;

(g)	resursele necesare, inclusiv copii de rezervă și redundanțe;

(h)	restabilirea și reluarea activităților în baza măsurilor temporare.

4.1.3.

Entitățile relevante efectuează o analiză a impactului asupra activității pentru a evalua impactul potențial al perturbărilor grave asupra operațiunilor lor și, pe baza rezultatelor analizei impactului asupra activității, stabilesc cerințe de continuitate pentru rețelele și sistemele informatice.

4.1.4.

Planul de continuitate a activității și planul de recuperare după dezastru sunt testate și revizuite și, dacă este adecvat, actualizate la intervale planificate și în urma incidentelor semnificative sau modificărilor semnificative ale operațiunilor sau ale riscurilor. Entitățile relevante se asigură că planurile includ învățămintele desprinse în urma unor astfel de teste.

4.2. Gestionarea copiilor de rezervă și a redundanței

4.2.1.

Entitățile relevante păstrează copii de rezervă ale datelor și furnizează suficiente resurse disponibile, inclusiv instalații, rețele și sisteme informatice și personal, pentru a asigura un nivel adecvat de redundanță.

4.2.2.

Pe baza rezultatelor evaluării riscurilor efectuată în temeiul punctului 2.1 și a planului de continuitate a activității, entitățile relevante stabilesc planuri de rezervă care includ următoarele:

(a)	timpii de recuperare;

(b)	asigurare privind caracterul complet și exactitudinea copiilor de rezervă, inclusiv a datelor de configurare și a datelor stocate în mediul serviciilor de cloud computing;

(c)	stocarea de copii de rezervă (online sau offline) într-un loc sau în locuri sigure, care nu se află în aceeași rețea cu sistemul și care se află la o distanță suficientă pentru a scăpa de orice daune cauzate de un dezastru la locul principal;

(d)	controale adecvate ale accesului fizic și logic la copiile de rezervă, în conformitate cu nivelul de clasificare a activelor;

(e)	restabilirea datelor din copiile de rezervă;

(f)	perioade de păstrare bazate pe cerințe comerciale și normative.

4.2.3.

Entitățile relevante efectuează verificări periodice ale integrității copiilor de rezervă.

4.2.4.

Pe baza rezultatelor evaluării riscurilor efectuată în temeiul punctului 2.1 și a planului de continuitate a activității, entitățile relevante asigură disponibilitatea suficientă a resurselor prin redundanța, cel puțin parțială, a următoarelor:

(a)	rețele și sisteme informatice;

(b)	active, inclusiv instalații, echipamente și materiale;

(c)	personal care are responsabilitatea, autoritatea și competența necesare;

(d)	canale de comunicare adecvate.

4.2.5.

Dacă este adecvat, entitățile relevante se asigură că monitorizarea și ajustarea resurselor, inclusiv a instalațiilor, a sistemelor și a personalului, se întemeiază în mod corespunzător pe cerințele privind copiile de rezervă și redundanța.

4.2.6.

Entitățile relevante testează periodic recuperarea copiilor de rezervă și a redundanțelor pentru a se asigura că, în condiții de recuperare, se pot baza pe acestea și că acoperă copiile, procesele și cunoștințele pentru realizarea unei recuperări efective. Entitățile relevante documentează rezultatele testelor și, dacă este necesar, iau măsuri corective.

4.3. Gestionarea crizelor

4.3.1.

Entitățile relevante instituie un proces de gestionare a crizelor.

4.3.2.

Entitățile relevante se asigură că procesul de gestionare a crizelor abordează cel puțin următoarele elemente:

(a)	rolurile și responsabilitățile personalului și, dacă este adecvat, ale furnizorilor și ale prestatorilor de servicii, specificând alocarea rolurilor în situații de criză, inclusiv etapele specifice care trebuie urmate;

(b)	mijloace de comunicare adecvate între entitățile relevante și autoritățile competente relevante;

(c)	aplicarea unor măsuri adecvate pentru a asigura menținerea securității rețelelor și a sistemelor informatice în situații de criză.

În sensul literei (b), fluxul de informații dintre entitățile relevante și autoritățile competente relevante include atât comunicările obligatorii, cum ar fi rapoartele privind incidentele și termenele aferente, cât și comunicările neobligatorii.

4.3.3.

Entitățile relevante instituie un proces de gestionare și de utilizare a informațiilor primite de la CSIRT sau, dacă este aplicabil, de la autoritățile competente, cu privire la incidente, vulnerabilități, amenințări sau posibile măsuri de atenuare.

4.3.4.

Entitățile relevante testează, revizuiesc și, dacă este adecvat, actualizează planul de gestionare a crizelor în mod regulat sau în urma unor incidente semnificative sau a unor modificări semnificative ale operațiunilor sau riscurilor.

5. Securitatea lanțului de aprovizionare [articolul 21 alineatul (2) litera (d) din Directiva (UE) 2022/2555]

5.1. Politica de securitate a lanțului de aprovizionare

5.1.1.

În sensul articolului 21 alineatul (2) litera (d) din Directiva (UE) 2022/2555, entitățile relevante instituie, implementează și aplică o politică de securitate a lanțului de aprovizionare care reglementează relațiile cu furnizorii și prestatorii lor de servicii direcți pentru a atenua riscurile identificate la adresa securității rețelelor și a sistemelor informatice. În cadrul politicii de securitate a lanțului de aprovizionare, entitățile relevante identifică rolul lor în lanțul de aprovizionare și îl comunică furnizorilor și prestatorilor lor de servicii direcți.

5.1.2.

Ca parte a politicii de securitate a lanțului de aprovizionare menționată la punctul 5.1.1, entitățile relevante stabilesc criterii pentru selectarea și contractarea furnizorilor și a prestatorilor de servicii. Aceste criterii includ următoarele:

(a)	practicile în materie de securitate cibernetică ale furnizorilor și ale prestatorilor de servicii, inclusiv procedurile lor securizate de dezvoltare;

(b)	capacitatea furnizorilor și a prestatorilor de servicii de a respecta specificațiile în materie de securitate cibernetică stabilite de entitățile relevante;

(c)	calitatea și reziliența generală a produselor TIC și a serviciilor TIC și măsurile de gestionare a riscurilor în materie de securitate cibernetică încorporate în acestea, inclusiv riscurile și nivelul de clasificare a produselor TIC și a serviciilor TIC;

(d)	capacitatea entităților relevante de a diversifica sursele de aprovizionare și de a limita dependența de furnizor, dacă acest lucru este aplicabil.

5.1.3.

Atunci când își stabilesc politica de securitate a lanțului de aprovizionare, entitățile relevante țin seama de rezultatele evaluărilor coordonate ale riscurilor în materie de securitate a lanțurilor de aprovizionare critice, efectuate în conformitate cu articolul 22 alineatul (1) din Directiva (UE) 2022/2555, dacă acest lucru este aplicabil.

5.1.4.

Pe baza politicii de securitate a lanțului de aprovizionare și ținând seama de rezultatele evaluării riscurilor efectuată în conformitate cu punctul 2.1 din prezenta anexă, entitățile relevante se asigură că contractele lor cu furnizorii și prestatorii de servicii specifică, dacă este adecvat, prin acorduri privind nivelul serviciilor, următoarele:

(a)	cerințele în materie de securitate cibernetică pentru furnizori sau prestatorii de servicii, inclusiv cerințele în ceea ce privește securitatea achiziționării de servicii TIC sau de produse TIC prevăzute la punctul 6.1;

(b)	cerințele privind sensibilizarea, competențele și formarea și, dacă este adecvat, certificările impuse angajaților furnizorilor sau ai prestatorilor de servicii;

(c)	cerințele privind verificarea antecedentelor angajaților furnizorilor și ai prestatorilor de servicii;

(d)	obligația furnizorilor și a prestatorilor de servicii de a notifica, fără întârzieri nejustificate, entităților relevante incidentele care prezintă un risc pentru securitatea rețelelor și a sistemelor informatice ale entităților respective;

(e)	dreptul de a efectua audituri sau dreptul de a primi rapoarte de audit;

(f)	obligația furnizorilor și a prestatorilor de servicii de a gestiona vulnerabilitățile care prezintă un risc pentru securitatea rețelelor și a sistemelor informatice ale entităților respective;

(g)	cerințe privind subcontractarea și, în cazul în care entitățile relevante permit subcontractarea, cerințe în materie de securitate cibernetică pentru subcontractanți în conformitate cu cerințele în materie de securitate cibernetică menționate la litera (a);

(h)	obligațiile furnizorilor și ale prestatorilor de servicii la rezilierea contractului, cum ar fi extragerea și distrugerea informațiilor obținute de către furnizori și prestatorii de servicii în exercitarea sarcinilor lor.

5.1.5.

Entitățile relevante iau în considerare elementele menționate la punctele 5.1.2 și 5.1.3 ca parte a procesului de selecție a noilor furnizori și prestatori de servicii, precum și ca parte a procesului de achiziții publice menționat la punctul 6.1.

5.1.6.

Entitățile relevante revizuiesc politica de securitate a lanțului de aprovizionare și monitorizează, evaluează și, dacă este necesar, acționează ca urmare a modificărilor practicilor în materie de securitate cibernetică ale furnizorilor și ale prestatorilor de servicii, la intervale planificate și atunci când au loc modificări semnificative ale operațiunilor sau ale riscurilor ori incidente semnificative legate de furnizarea de servicii TIC sau care au un impact asupra securității produselor TIC de la furnizori și prestatorii de servicii.

5.1.7.

În sensul punctului 5.1.6, entitățile relevante:

(a)	monitorizează periodic rapoartele privind punerea în aplicare a acordurilor privind nivelul serviciilor, dacă acest lucru este aplicabil;

(b)	examinează incidentele legate de produsele TIC și de serviciile TIC de la furnizori și prestatori de servicii;

(c)	evaluează necesitatea unor examinări neprogramate și documentează constatările într-un mod inteligibil;

(d)	analizează riscurile prezentate de modificările legate de produsele TIC și de serviciile TIC de la furnizori și prestatori de servicii și, dacă este adecvat, iau măsuri de atenuare în timp util.

5.2. Anuarul furnizorilor și prestatorilor de servicii

Entitățile relevante mențin și actualizează un registru al furnizorilor lor și al prestatorilor lor de servicii direcți, care include:

(a)	puncte de contact pentru fiecare furnizor și prestator de servicii direct;

(b)	o listă a produselor TIC, a serviciilor TIC și a proceselor TIC furnizate entităților relevante de furnizorul sau de prestatorul de servicii direct.

6. Securitatea în achiziționarea, dezvoltarea și întreținerea rețelelor și a sistemelor informatice [articolul 21 alineatul (2) litera (e) din Directiva (UE) 2022/2555]

6.1. Securitatea în achiziționarea de servicii TIC sau de produse TIC

6.1.1.

În sensul articolului 21 alineatul (2) litera (e) din Directiva (UE) 2022/2555, entitățile relevante stabilesc și pun în aplicare, pe baza evaluării riscurilor efectuată în temeiul punctului 2.1, procese de gestionare a riscurilor care decurg din achiziționarea de servicii TIC sau de produse TIC de la furnizori sau prestatori de servicii pentru componente care sunt critice pentru securitatea rețelelor și a sistemelor informatice ale entităților relevante pe parcursul întregului lor ciclu de viață.

6.1.2.

În sensul punctului 6.1.1, procesele menționate la punctul 6.1.1 includ:

(a)	cerințe de securitate aplicabile serviciilor TIC sau produselor TIC care urmează să fie achiziționate;

(b)	cerințe privind actualizările de securitate pe întreaga durată de viață a serviciilor TIC sau a produselor TIC sau înlocuirea după încheierea perioadei de asistență;

(c)	informații care descriu componentele hardware și software utilizate în serviciile TIC sau în produsele TIC;

(d)	informații care descriu funcțiile de securitate cibernetică puse în aplicare ale serviciilor TIC sau ale produselor TIC și configurația necesară pentru funcționarea lor în condiții de siguranță;

(e)	asigurarea faptului că serviciile TIC sau produsele TIC respectă cerințele de securitate în conformitate cu litera (a);

(f)	metode de validare a conformității serviciilor TIC sau a produselor TIC livrate cu cerințele de securitate declarate, precum și documentarea rezultatelor validării.

6.1.3.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează procesele la intervale planificate și atunci când apar incidente semnificative.

6.2. Ciclul de viață al dezvoltării securizate

6.2.1.

Înainte de a dezvolta o rețea și un sistem informatic, inclusiv un software, entitățile relevante stabilesc norme pentru dezvoltarea securizată de rețele și sisteme informatice și le aplică atunci când dezvoltă rețele și sisteme informatice la nivel intern sau atunci când externalizează dezvoltarea rețelelor și a sistemelor informatice. Normele acoperă toate etapele dezvoltării, inclusiv specificațiile, proiectarea, dezvoltarea, punerea în aplicare și testarea.

6.2.2.

În sensul punctului 6.2.1, entitățile relevante:

(a)	efectuează o analiză a cerințelor de securitate în etapele referitoare la specificațiile și proiectarea oricărui proiect de dezvoltare sau de achiziție întreprins de entitățile relevante sau în numele entităților respective;

(b)	aplică principii de creare de sisteme securizate și principii de programare securizată oricărei activități de dezvoltare de sisteme informatice, cum ar fi promovarea securității cibernetice din faza de proiectare, a arhitecturilor de tip „încredere zero”;

(c)	stabilesc cerințe de securitate privind mediile de dezvoltare;

(d)	instituie și pun în aplicare procese de testare a securității în ciclul de viață al dezvoltării;

(e)	selectează, protejează și gestionează în mod corespunzător datele privind testele de securitate;

(f)	sanitizează și anonimizează datele privind testele în conformitate cu evaluarea riscurilor efectuată în temeiul punctului 2.1.

6.2.3.

În cazul în care dezvoltarea rețelelor și a sistemelor informatice este externalizată, entitățile relevante aplică și politicile și procedurile menționate la punctele 5 și 6.1.

6.2.4.

Entitățile relevante își revizuiesc și, dacă este necesar, își actualizează normele de dezvoltare securizată la intervale planificate.

6.3. Gestionarea configurației

6.3.1.

Entitățile relevante iau măsurile adecvate pentru a stabili, a documenta, a pune în aplicare și a monitoriza configurațiile, inclusiv configurațiile de securitate ale hardware-ului, software-ului, serviciilor și rețelelor.

6.3.2.

În sensul punctului 6.3.1, entitățile relevante:

(a)	stabilesc și asigură securitatea configurațiilor pentru hardware, software, servicii și rețele;

(b)	stabilesc și pun în aplicare procese și instrumente pentru a asigura respectarea configurațiilor securizate stabilite pentru hardware, software, servicii și rețele, pentru sistemele nou instalate, precum și pentru sistemele aflate în funcțiune pe durata lor de viață.

6.3.3.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează configurațiile la intervale planificate și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

6.4. Gestionarea modificărilor, reparații și întreținere

6.4.1.

Entitățile relevante aplică proceduri de gestionare a modificărilor pentru a controla modificările aduse rețelelor și sistemelor informatice. Dacă acest lucru este aplicabil, procedurile trebuie să fie în concordanță cu politicile generale privind gestionarea modificărilor ale entităților relevante.

6.4.2.

Procedurile menționate la punctul 6.4.1 se aplică noilor versiuni, modificărilor și modificărilor de urgență ale oricărui software și hardware în exploatare și modificărilor configurației. Procedurile asigură faptul că modificările respective sunt documentate și, pe baza evaluării riscurilor efectuată în temeiul punctului 2.1, sunt testate și evaluate având în vedere impactul potențial înainte de a fi puse în aplicare.

6.4.3.

În cazul în care procedurile obișnuite de gestionare a modificărilor nu au putut fi urmate din cauza unei urgențe, entitățile relevante documentează rezultatul modificării și explicația motivului pentru care procedurile nu au putut fi urmate.

6.4.4.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează procedurile la intervale planificate și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

6.5. Teste de securitate

6.5.1.

Entitățile relevante stabilesc, implementează și aplică o politică și proceduri pentru testele de securitate.

6.5.2.

Entitățile relevante:

(a)	stabilesc, pe baza evaluării riscurilor efectuată în temeiul punctului 2.1, necesitatea, sfera, frecvența și tipul testelor de securitate;

(b)	efectuează teste de securitate în conformitate cu o metodologie de testare documentată, care acoperă componentele identificate în cadrul unei analize a riscurilor ca fiind relevante pentru operarea în condiții de siguranță;

(c)	documentează tipul, sfera, ora și rezultatele testelor, inclusiv evaluarea criticalității și acțiunile de atenuare pentru fiecare constatare;

(d)	aplică măsuri de atenuare în cazul constatărilor critice.

6.5.3.

Entitățile relevante își revizuiesc și, dacă este adecvat, își actualizează politicile privind testele de securitate la intervale planificate.

6.6. Gestionarea corecțiilor de securitate

6.6.1.

Entitățile relevante specifică și aplică proceduri coerente cu procedurile de gestionare a modificărilor menționate la punctul 6.4.1, precum și cu gestionarea vulnerabilităților, gestionarea riscurilor și cu alte proceduri de gestionare relevante, pentru a se asigura că:

(a)	corecțiile de securitate se aplică într-un termen rezonabil de la data la care devin disponibile;

(b)	corecțiile de securitate se testează înainte de a fi aplicate în sistemele de producție;

(c)	corecțiile de securitate provin din surse de încredere și sunt verificate din punctul de vedere al integrității;

(d)	în cazurile în care o corecție nu este disponibilă sau nu se aplică în temeiul punctului 6.6.2, se pun în aplicare măsuri suplimentare și se acceptă riscuri reziduale.

6.6.2.

Prin derogare de la punctul 6.6.1 litera (a), entitățile relevante pot alege să nu aplice corecții de securitate atunci când dezavantajele aplicării corecțiilor de securitate sunt mai mari decât beneficiile în materie de securitate cibernetică. Entitățile relevante documentează și justifică în mod corespunzător motivele unei astfel de decizii.

6.7. Securitatea rețelelor

6.7.1.

Entitățile relevante iau măsurile adecvate pentru a-și proteja rețelele și sistemele informatice împotriva amenințărilor cibernetice.

6.7.2.

În sensul punctului 6.7.1, entitățile relevante:

(a)	documentează arhitectura rețelei într-un mod inteligibil și actualizat;

(b)	stabilesc și aplică controale pentru a proteja domeniile rețelei interne a entităților relevante împotriva accesului neautorizat;

(c)	configurează controale pentru a preveni accesul și comunicarea în rețea care nu sunt necesare pentru funcționarea entităților relevante;

(d)	stabilesc și aplică controale pentru accesul de la distanță la rețele și la sistemele informatice, inclusiv accesul prestatorilor de servicii;

(e)	nu utilizează în alte scopuri sistemele folosite pentru administrarea punerii în aplicare a politicii de securitate;

(f)	interzic sau dezactivează în mod explicit conexiunile și serviciile care nu sunt necesare;

(g)	dacă este adecvat, permit exclusiv accesul la rețelele și sistemele informatice ale entităților relevante prin intermediul unor dispozitive autorizate de entitățile respective;

(h)	permit conectarea prestatorilor de servicii numai după o cerere de autorizare și pentru o perioadă de timp stabilită, cum ar fi durata unei operațiuni de întreținere;

(i)	stabilesc comunicarea între sisteme distincte numai prin canale de încredere care sunt izolate prin separare logică, criptografică sau fizică de alte canale de comunicare și garantează identificarea punctelor lor finale și protecția datelor canalului împotriva modificării sau divulgării;

(j)	adoptă un plan de punere în aplicare pentru tranziția completă către protocoale de comunicare la nivel de rețea de ultimă generație într-un mod sigur, adecvat și treptat și stabilesc măsuri de accelerare a acestei tranziții;

(k)

adoptă un plan de punere în aplicare pentru implementarea unor standarde moderne de comunicații prin e-mail convenite la nivel internațional și interoperabile pentru a securiza comunicațiile prin e-mail în vederea atenuării vulnerabilităților legate de amenințările privind e-mailuri și stabilesc măsuri pentru accelerarea unei astfel de implementări;

(l)	aplică cele mai bune practici pentru securitatea DNS și pentru securitatea rutării pe internet și pentru igiena rutării traficului care provine din rețea și care este destinat acesteia.

6.7.3.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează aceste măsuri la intervale planificate și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

6.8. Segmentarea rețelei

6.8.1.

Entitățile relevante segmentează sistemele în rețele sau zone în conformitate cu rezultatele evaluării riscurilor menționată la punctul 2.1. Entitățile relevante își segmentează sistemele și rețelele de sistemele și rețelele terților.

6.8.2.

În acest scop, entitățile relevante:

(a)	iau în considerare relația funcțională, logică și fizică, inclusiv localizarea, dintre sisteme și servicii fiabile;

(b)	acordă acces la o rețea sau la o zonă pe baza unei evaluări a cerințelor sale de securitate;

(c)	păstrează sistemele care sunt critice pentru funcționarea entităților relevante sau pentru siguranță în zone securizate;

(d)	instalează o zonă demilitarizată în cadrul rețelelor lor de comunicare pentru a asigura o comunicare securizată care provine de la rețelele lor sau este destinată acestora;

(e)	restricționează accesul și comunicațiile dintre zone și în interiorul acestora la cele necesare pentru funcționarea entităților relevante sau pentru siguranță;

(f)	separă rețeaua dedicată administrării rețelelor și sistemelor informatice de rețeaua operațională a entităților relevante;

(g)	separă canalele de administrare a rețelei de alte tipuri de trafic de rețea;

(h)	separă sistemele de producție pentru serviciile entităților relevante de sistemele utilizate pentru dezvoltare și testare, inclusiv copii de rezervă.

6.8.3.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează segmentarea rețelei la intervale planificate și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

6.9. Protecția împotriva software-ului rău-intenționat și neautorizat

6.9.1.

Entitățile relevante își protejează rețelele și sistemele informatice împotriva software-ului rău-intenționat și neautorizat.

6.9.2.

În acest scop, entitățile relevante pun în aplicare, în special, măsuri de detectare sau de prevenire a utilizării programelor informatice rău-intenționate sau neautorizate. Entitățile relevante se asigură, după caz, că rețelele și sistemele lor informatice sunt echipate cu software de detectare și răspuns, care este actualizat periodic în conformitate cu evaluarea riscurilor efectuată în temeiul punctului 2.1 și cu acordurile contractuale cu furnizorii.

6.10. Gestionarea și divulgarea vulnerabilităților

6.10.1.

Entitățile relevante obțin informații cu privire la vulnerabilitățile tehnice din rețelele și sistemele lor informatice, evaluează expunerea lor la astfel de vulnerabilități și iau măsurile adecvate pentru gestionarea vulnerabilităților.

6.10.2.

În sensul punctului 6.10.1, entitățile relevante:

(a)	monitorizează informațiile privind vulnerabilitățile prin canale adecvate, cum ar fi anunțurile CSIRT, ale autorităților competente sau informațiile furnizate de furnizori sau de prestatorii de servicii;

(b)	efectuează, dacă este adecvat, scanări ale vulnerabilității și consemnează rezultatele scanărilor, la intervale planificate;

(c)	abordează, fără întârzieri nejustificate, vulnerabilitățile identificate de entitățile relevante ca fiind critice pentru operațiunile lor;

(d)	se asigură că gestionarea vulnerabilităților este compatibilă cu procedurile lor de gestionare a modificărilor, de gestionare a corecțiilor de securitate, de gestionare a riscurilor și de gestionare a incidentelor;

(e)	stabilesc o procedură pentru divulgarea vulnerabilităților în conformitate cu politica națională coordonată aplicabilă în materie de divulgare a vulnerabilităților.

6.10.3.

Atunci când acest lucru este justificat de impactul potențial al vulnerabilității, entitățile relevante creează și pun în aplicare un plan de atenuare a vulnerabilității. În alte cazuri, entitățile relevante documentează și justifică motivul pentru care vulnerabilitatea nu necesită remediere.

6.10.4.

Entitățile relevante revizuiesc și, după caz, actualizează la intervale planificate canalele pe care le utilizează pentru monitorizarea informațiilor privind vulnerabilitatea.

7. Politici și proceduri pentru a evalua eficacitatea măsurilor de gestionare a riscurilor în materie de securitate cibernetică [articolul 21 alineatul (2) litera (f) din Directiva (UE) 2022/2555]

7.1.

În sensul articolului 21 alineatul (2) litera (f) din Directiva (UE) 2022/2555, entitățile relevante stabilesc, implementează și aplică o politică și proceduri pentru a evalua dacă măsurile de gestionare a riscurilor în materie de securitate cibernetică luate de entitatea relevantă sunt puse în aplicare și menținute în mod eficace.

7.2.

Politica și procedurile menționate la punctul 7.1 țin seama de rezultatele evaluării riscurilor efectuată în temeiul punctului 2.1 și de incidentele semnificative din trecut. Entitățile relevante stabilesc:

(a)	ce măsuri de gestionare a riscurilor în materie de securitate cibernetică urmează să fie monitorizate și măsurate, inclusiv procese și controale;

(b)	metodele pentru monitorizare, măsurare, analiză și evaluare, dacă acest lucru se aplică, pentru a se asigura rezultate valide;

(c)	momentul în care trebuie efectuate monitorizarea și măsurarea;

(d)	cine este responsabil cu monitorizarea și măsurarea eficacității măsurilor de gestionare a riscurilor în materie de securitate cibernetică;

(e)	momentul în care trebuie analizate și evaluate rezultatele monitorizării și măsurării;

(f)	cine trebuie să analizeze și să evalueze aceste rezultate.

7.3.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează politicile și procedurile la intervale planificate și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

8. Practici de bază în materie de igienă cibernetică și formare în domeniul securității cibernetice [articolul 21 alineatul (2) litera (g) din Directiva (UE) 2022/2555]

8.1. Sensibilizare și practici de bază în materie de igienă cibernetică

8.1.1.

În sensul articolului 21 alineatul (2) litera (g) din Directiva (UE) 2022/2555, entitățile relevante se asigură că angajații lor, inclusiv membrii organelor de conducere, precum și furnizorii și prestatorii de servicii direcți sunt sensibilizați cu privire la riscuri, sunt informați cu privire la importanța securității cibernetice și aplică practici de igienă cibernetică.

8.1.2.

În sensul punctului 8.1.1, entitățile relevante oferă angajaților lor, inclusiv membrilor organelor de conducere, precum și furnizorilor și prestatorilor de servicii direcți, dacă este adecvat, în conformitate cu punctul 5.1.4, un program de sensibilizare, care:

(a)	este programat în timp, astfel încât activitățile să fie repetate și să acopere noii angajați;

(b)	este stabilit în conformitate cu politica de securitate a rețelelor și a informațiilor, cu politicile tematice specifice și cu procedurile relevante privind securitatea rețelelor și a informațiilor;

(c)

acoperă amenințările cibernetice relevante, măsurile existente de gestionare a riscurilor în materie de securitate cibernetică, punctele de contact și resursele pentru obținerea de informații și consiliere suplimentare cu privire la aspectele legate de securitatea cibernetică, precum și practicile de igienă cibernetică pentru utilizatori.

8.1.3.

Dacă este adecvat, programul de sensibilizare este testat din punctul de vedere al eficacității. Programul de sensibilizare este actualizat și oferit la intervale planificate, ținând seama de modificările practicilor de igienă cibernetică, precum și de situația actuală a amenințărilor și de riscurile pentru entitățile relevante.

8.2. Formare în domeniul securității

8.2.1.

Entitățile relevante identifică angajații ale căror roluri necesită seturi de competențe și expertiză relevante în materie de securitate și se asigură că aceștia beneficiază de formare periodică privind securitatea rețelelor și a sistemelor informatice.

8.2.2.

Entitățile relevante stabilesc, implementează și aplică un program de formare în conformitate cu politica de securitate a rețelelor și a informațiilor, cu politicile tematice specifice și cu alte proceduri relevante privind securitatea rețelelor și a informațiilor, care stabilește nevoile de formare pentru anumite roluri și funcții pe baza unor criterii.

8.2.3.

Formarea menționată la punctul 8.2.1 trebuie să fie relevantă pentru funcția postului angajatului, iar eficacitatea sa trebuie evaluată. Formarea ia în considerare măsurile de securitate instituite și acoperă următoarele aspecte:

(a)	instrucțiuni privind configurarea și funcționarea în condiții de siguranță a rețelei și a sistemelor informatice, inclusiv a dispozitivelor mobile;

(b)	informare cu privire la amenințările cibernetice cunoscute;

(c)	formare cu privire la comportamentul care trebuie adoptat atunci când au loc evenimente relevante pentru securitate.

8.2.4.

Entitățile relevante aplică cursuri de formare membrilor personalului care se transferă în posturi sau roluri noi care necesită seturi de competențe și expertiză relevante în materie de securitate.

8.2.5.

Programul se actualizează și se desfășoară periodic, ținând seama de politicile și normele aplicabile, de rolurile și responsabilitățile atribuite, precum și de amenințările cibernetice cunoscute și de evoluțiile tehnologice.

9. Criptografie [articolul 21 alineatul (2) litera (h) din Directiva (UE) 2022/2555]

9.1.

În sensul articolului 21 alineatul (2) litera (h) din Directiva (UE) 2022/2555, entitățile relevante stabilesc, implementează și aplică o politică și proceduri legate de criptografie, cu scopul de a asigura utilizarea adecvată și eficace a criptografiei pentru a proteja confidențialitatea, autenticitatea și integritatea datelor în conformitate cu clasificarea activelor entităților relevante și cu rezultatele evaluării riscurilor efectuată în temeiul punctului 2.1.

9.2.

Politica și procedurile menționate la punctul 9.1 stabilesc:

(a)	în conformitate cu clasificarea activelor entităților relevante, tipul, robustețea și calitatea măsurilor criptografice necesare pentru a proteja activele entităților relevante, inclusiv datele în repaus și datele în tranzit;

(b)

pe baza literei (a), protocoalele sau familiile de protocoale de adoptat, precum și algoritmii criptografici, puterea de criptare, soluțiile criptografice și practicile de utilizare care urmează să fie aprobate și care sunt necesare pentru a fi utilizate în cadrul entităților relevante, urmând, dacă este adecvat, o abordare bazată pe agilitate criptografică;

(c)

abordarea entităților relevante în ceea ce privește gestionarea cheilor, inclusiv, dacă este adecvat, metodele pentru:

(i)	generarea de chei diferite pentru sistemele și aplicațiile criptografice;

(ii)	emiterea și obținerea de certificate de cheie publică;

(iii)

distribuirea cheilor către entitățile vizate, inclusiv modul de activare a cheilor atunci când sunt primite;

(iv)	stocarea cheilor, inclusiv modul în care utilizatorii autorizați obțin acces la chei;

(v)	modificarea sau actualizarea cheilor, inclusiv norme privind momentul și modul de modificare a cheilor;

(vi)	gestionarea cheilor compromise;

(vii)

revocarea cheilor, inclusiv modul de retragere sau dezactivare a cheilor;

(viii)

recuperarea cheilor pierdute sau corupte;

(ix)	crearea de copii de rezervă sau arhivarea cheilor;

(x)	distrugerea cheilor;

(xi)	jurnalizarea și auditarea activităților legate de gestionarea cheilor;

(xii)

stabilirea datelor de activare și dezactivare a cheilor, astfel încât cheile să poată fi utilizate numai pentru perioada de timp specificată, în conformitate cu normele organizației privind gestionarea cheilor.

9.3.

Entitățile relevante revizuiesc și, dacă este adecvat, își actualizează politicile și procedurile la intervale planificate, ținând seama de stadiul actual al criptografiei.

10. Securitatea resurselor umane [articolul 21 alineatul (2) litera (i) din Directiva (UE) 2022/2555]

10.1. Securitatea resurselor umane

10.1.1.

În sensul articolului 21 alineatul (2) litera (i) din Directiva (UE) 2022/2555, entitățile relevante se asigură că angajații lor și furnizorii și prestatorii lor de servicii direcți, dacă acest lucru este aplicabil, înțeleg și își asumă responsabilitățile în materie de securitate, astfel cum este adecvat pentru serviciile oferite și postul ocupat și în conformitate cu politica entităților relevante privind securitatea rețelelor și a sistemelor informatice.

10.1.2.

Cerința menționată la punctul 10.1.1 include:

(a)	mecanisme prin care să se asigure că toți angajații, furnizorii și prestatorii de servicii direcți, dacă acest lucru este aplicabil, înțeleg și urmează practicile standard de igienă cibernetică pe care entitățile relevante le aplică în temeiul punctului 8.1;

(b)	mecanisme prin care să se asigure că toți utilizatorii cu acces administrativ sau privilegiat cunosc și acționează în conformitate cu rolurile, responsabilitățile și autoritățile lor;

(c)	mecanisme prin care să se asigure că membrii organelor de conducere înțeleg și acționează în conformitate cu rolul, responsabilitățile și autoritățile lor în ceea ce privește securitatea rețelelor și a sistemelor informatice;

(d)	mecanisme de angajare a personalului calificat pentru rolurile respective, cum ar fi verificările referințelor, proceduri de verificare, validarea certificărilor sau teste scrise.

10.1.3.

Entitățile relevante revizuiesc alocarea personalului în roluri specifice, astfel cum se menționează la punctul 1.2, precum și gradul de mobilizare al resurselor umane în această privință, la intervale planificate și cel puțin o dată pe an. Entitățile relevante actualizează alocarea dacă este necesar.

10.2. Verificarea antecedentelor

10.2.1.

Entitățile relevante se asigură că se efectuează, în măsura în care este fezabil, verificări ale antecedentelor angajaților lor și, după caz, ale furnizorilor și prestatorilor lor de servicii direcți, în conformitate cu punctul 5.1.4, dacă acest lucru este necesar pentru rolul, responsabilitățile și autorizările lor.

10.2.2.

În sensul punctului 10.2.1, entitățile relevante:

(a)	instituie criterii care stabilesc rolurile, responsabilitățile și autoritățile care sunt exercitate numai de către persoane cărora le-au fost verificate antecedentele;

(b)

se asigură că verificările menționate la punctul 10.2.1 se efectuează pentru aceste persoane înainte ca ele să înceapă să exercite aceste roluri, responsabilități și autorități, care țin seama de actele cu putere de lege, normele administrative și etica aplicabile în raport cu cerințele comerciale, clasificarea activelor menționată la punctul 12.1 și rețelele și sistemele informatice care urmează să fie accesate, precum și cu riscurile percepute.

10.2.3.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează politica la intervale planificate și o actualizează atunci când este necesar.

10.3. Procedura în caz de încetare sau modificare a raporturilor de muncă

10.3.1.

Entitățile relevante se asigură că responsabilitățile și sarcinile în materie de securitate a rețelelor și a sistemelor informatice care rămân valabile după încetarea sau după modificarea raportului de muncă al angajaților lor sunt definite și puse în aplicare prin contract.

10.3.2.

În sensul punctului 10.3.1, entitățile relevante includ în termenii și condițiile de muncă, în contractul sau în acordul persoanei în cauză responsabilitățile și sarcinile care sunt încă valabile după încetarea raportului de muncă sau a contractului, cum ar fi clauzele de confidențialitate.

10.4. Procesul disciplinar

10.4.1.

Entitățile relevante instituie, comunică și mențin un proces disciplinar pentru gestionarea încălcărilor politicilor de securitate a rețelelor și a sistemelor informatice. Procesul ține seama de cerințele juridice, statutare, contractuale și comerciale relevante.

10.4.2.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează procesul disciplinar la intervale planificate și atunci când este necesar ca urmare a unor schimbări legislative sau a unor modificări semnificative ale operațiunilor sau ale riscurilor.

11. Controlul accesului [articolul 21 alineatul (2) literele (i) și (j) din Directiva (UE) 2022/2555]

11.1. Politica de control al accesului

11.1.1.

În sensul articolului 21 alineatul (2) litera (i) din Directiva (UE) 2022/2555, entitățile relevante stabilesc, documentează și pun în aplicare politici de control al accesului logic și fizic pentru accesul la rețelele și sistemele lor informatice, pe baza cerințelor comerciale, precum și a cerințelor de securitate a rețelelor și a sistemelor informatice.

11.1.2.

Politicile menționate la punctul 11.1.1:

(a)	abordează accesul persoanelor, inclusiv al personalului, al vizitatorilor și al entităților externe, cum ar fi furnizorii și prestatorii de servicii;

(b)	abordează accesul rețelelor și al sistemelor informatice;

(c)	asigură faptul că accesul este acordat numai utilizatorilor care au fost autentificați în mod corespunzător.

11.1.3.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează politicile la intervale planificate și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

11.2. Gestionarea drepturilor de acces

11.2.1.

Entitățile relevante acordă, modifică, elimină și documentează drepturile de acces la rețele și la sistemele informatice în conformitate cu politica de control al accesului menționată la punctul 11.1.

11.2.2.

Entitățile relevante:

(a)	atribuie și revocă drepturi de acces pe baza principiilor necesității de a cunoaște, privilegiului minim și separării sarcinilor;

(b)	se asigură că drepturile de acces sunt modificate în mod corespunzător la încetarea sau modificarea raportului de muncă;

(c)	se asigură că accesul la rețele și la sistemele informatice este autorizat de către persoanele relevante;

(d)	se asigură că drepturile de acces abordează în mod corespunzător accesul terților, cum ar fi vizitatorii, furnizorii și prestatorii de servicii, în special prin limitarea drepturilor de acces în ceea ce privește sfera și durata acestora;

(e)	țin un registru al drepturilor de acces acordate;

(f)	aplică jurnalizarea gestionării drepturilor de acces.

11.2.3.

Entitățile relevante revizuiesc drepturile de acces la intervale planificate și le modifică pe baza schimbărilor organizaționale. Entitățile relevante documentează rezultatele revizuirii, inclusiv modificările necesare ale drepturilor de acces.

11.3. Conturile privilegiate și conturile de administrare a sistemului

11.3.1.

Entitățile relevante mențin politici de gestionare a conturilor privilegiate și a conturilor de administrare a sistemului ca parte a politicii de control al accesului menționate la punctul 11.1.

11.3.2.

Politicile menționate la punctul 11.3.1:

(a)	instituie proceduri riguroase de identificare, autentificare, cum ar fi autentificarea multifactorială, și de autorizare pentru conturile privilegiate și conturile de administrare a sistemului;

(b)	creează conturi specifice care să fie utilizate exclusiv pentru operațiunile de administrare a sistemului, cum ar fi instalarea, configurarea, gestionarea sau întreținerea;

(c)	individualizează și restricționează privilegiile de administrare a sistemului în cea mai mare măsură posibilă;

(d)	prevăd faptul că sunt utilizate conturile de administrare a sistemului numai pentru conectarea la sistemele de administrare a sistemului.

11.3.3.

Entitățile relevante revizuiesc drepturile de acces aferente conturilor privilegiate și conturilor de administrare a sistemului la intervale planificate și le modifică pe baza schimbărilor organizaționale și documentează rezultatele revizuirii, inclusiv modificările necesare ale drepturilor de acces.

11.4. Sisteme de administrare

11.4.1.

Entitățile relevante restricționează și controlează utilizarea sistemelor de administrare a sistemului în conformitate cu politica de control al accesului menționată la punctul 11.1.

11.4.2.

În acest scop, entitățile relevante:

(a)	utilizează sisteme de administrare a sistemului numai în scopul administrării sistemului și nu pentru alte operațiuni;

(b)	separă în mod logic astfel de sisteme de aplicațiile software care nu sunt utilizate în scopul administrării sistemului;

(c)	protejează accesul la sistemele de administrare a sistemului prin autentificare și criptare.

11.5. Identificare

11.5.1.

Entitățile relevante gestionează întregul ciclu de viață al identităților rețelelor și sistemelor informatice și ale utilizatorilor acestora.

11.5.2.

În acest scop, entitățile relevante:

(a)	stabilesc identități unice pentru rețele și sisteme informatice și pentru utilizatorii acestora;

(b)	asociază identitatea utilizatorilor cu o singură persoană;

(c)	asigură supravegherea identităților rețelei și sistemelor informatice;

(d)	aplică jurnalizarea gestionării identităților.

11.5.3.

Entitățile relevante permit identitățile atribuite mai multor persoane, cum ar fi identitățile comune, numai în cazul în care acestea sunt necesare din motive comerciale sau operaționale și fac obiectul unui proces de aprobare și al unei documentări explicite. Entitățile relevante țin seama de identitățile atribuite mai multor persoane în cadrul de gestionare a riscurilor de securitate cibernetică menționat la punctul 2.1.

11.5.4.

Entitățile relevante revizuiesc periodic identitățile pentru rețele și sisteme informatice și ale utilizatorilor acestora și, dacă nu mai sunt necesare, le dezactivează fără întârziere.

11.6. Autentificare

11.6.1.

Entitățile relevante pun în aplicare proceduri și tehnologii de autentificare securizată bazate pe restricții de acces și pe politica privind controlul accesului.

11.6.2.

În acest scop, entitățile relevante:

(a)	se asigură că puterea autentificării este adecvată pentru clasificarea activului care urmează să fie accesat;

(b)	controlează alocarea către utilizatori și gestionarea informațiilor secrete de autentificare printr-un proces care să asigure confidențialitatea informațiilor, inclusiv consilierea personalului cu privire la gestionarea adecvată a informațiilor de autentificare;

(c)	solicită modificarea acreditărilor de autentificare inițial, la intervale predefinite și în cazul în care se suspectează că respectivele acreditări au fost compromise;

(d)	solicită resetarea acreditărilor de autentificare și blocarea utilizatorilor după un număr predefinit de încercări nereușite de conectare;

(e)	pun capăt sesiunilor inactive după o perioadă prestabilită de inactivitate; și

(f)	solicită acreditări separate pentru a obține acces privilegiat sau a avea acces la conturi administrative.

11.6.3.

Entitățile relevante utilizează, în măsura posibilului, metode de autentificare de ultimă generație, în conformitate cu riscul evaluat asociat și cu clasificarea activului care urmează să fie accesat, precum și informații de autentificare unice.

11.6.4.

Entitățile relevante revizuiesc procedurile și tehnologiile de autentificare la intervale planificate.

11.7. Autentificarea multifactor

11.7.1.

Entitățile relevante se asigură că utilizatorii sunt autentificați prin factori de autentificare multipli sau prin mecanisme de autentificare continuă pentru accesarea rețelelor și a sistemelor informatice ale entităților relevante, dacă este adecvat, în conformitate cu clasificarea activului care urmează să fie accesat.

11.7.2.

Entitățile relevante se asigură că forța autentificării este adecvată pentru clasificarea activului care urmează să fie accesat.

12. Gestionarea activelor [articolul 21 alineatul (2) litera (i) din Directiva (UE) 2022/2555]

12.1. Clasificarea activelor

12.1.1.

În sensul articolului 21 alineatul (2) litera (i) din Directiva (UE) 2022/2555, entitățile relevante stabilesc niveluri de clasificare a tuturor activelor, inclusiv informații, care intră în domeniul de aplicare al rețelelor și sistemelor lor informatice pentru nivelul de protecție necesar.

12.1.2.

În sensul punctului 12.1.1, entitățile relevante:

(a)	stabilesc un sistem de niveluri de clasificare a activelor;

(b)	asociază tuturor activelor un nivel de clasificare, bazat pe cerințe de confidențialitate, integritate, autenticitate și disponibilitate, pentru a indica protecția necesară în funcție de sensibilitatea, criticalitatea, riscul și valoarea lor comercială;

(c)	aliniază cerințele privind disponibilitatea activelor la obiectivele de livrare și de recuperare stabilite în planurile lor de continuitate a activității și de recuperare în caz de dezastru.

12.1.3.

Entitățile relevante efectuează revizuiri periodice ale nivelurilor de clasificare a activelor și le actualizează, dacă este adecvat.

12.2. Gestionarea activelor

12.2.1.

Entitățile relevante stabilesc, implementează și aplică o politică pentru gestionarea corespunzătoare a activelor, inclusiv a informațiilor, în conformitate cu politica lor de securitate a rețelelor și a informațiilor și comunică politica privind gestionarea corespunzătoare a activelor oricărei persoane care utilizează sau gestionează active.

12.2.2.

Politica:

(a)	acoperă întregul ciclu de viață al activelor, inclusiv achiziționarea, utilizarea, depozitarea, transportul și eliminarea;

(b)	prevede norme privind utilizarea în condiții de siguranță, depozitarea în condiții de siguranță, transportul în condiții de siguranță și ștergerea și distrugerea iremediabilă a activelor;

(c)	prevede că transferul trebuie să aibă loc în condiții de siguranță, în funcție de tipul de activ care urmează să fie transferat.

12.2.3.

Entitățile relevante revizuiesc și, dacă este adecvat, actualizează politica la intervale planificate și atunci când apar incidente semnificative sau modificări semnificative ale operațiunilor sau ale riscurilor.

12.3. Politica privind suporturile amovibile

12.3.1.

Entitățile relevante stabilesc, implementează și aplică o politică de gestionare a suporturilor de stocare amovibile și o comunică angajaților lor și părților terțe care gestionează suporturi de stocare amovibile în incintele entităților relevante sau în alte locuri în care suporturile amovibile sunt conectate la rețelele și sistemele informatice ale entităților relevante.

12.3.2.

Politica:

(a)	prevede o interdicție tehnică de conectare a suporturilor amovibile, cu excepția cazului în care există un motiv organizațional pentru utilizarea acestora;

(b)	prevede dezactivarea autoexecutării din aceste suporturi și scanarea suporturilor pentru coduri rău-intenționate înainte de a fi utilizate în sistemele entităților;

(c)	prevede măsuri de control și protecție a dispozitivelor portabile de stocare care conțin date în timpul tranzitului și al stocării;

(d)	dacă este adecvat, prevede măsuri pentru utilizarea tehnicilor criptografice pentru a proteja datele de pe suporturile de stocare amovibile.

12.3.3.

12.4. Inventarul activelor

12.4.1.

Entitățile relevante elaborează și mențin un inventar complet, exact, actualizat și consecvent al activelor lor. Entitățile relevante înregistrează modificările aduse înregistrărilor din inventar într-un mod care să poată fi urmărit.

12.4.2.

Granularitatea inventarului activelor este la un nivel adecvat nevoilor entităților relevante. Inventarul include următoarele:

(a)	lista operațiunilor și a serviciilor și descrierea acestora;

(b)	lista rețelelor și a sistemelor informatice și a altor active asociate care sprijină operațiunile și serviciile entităților relevante.

12.4.3.

Entitățile relevante revizuiesc și actualizează periodic inventarul și activele lor și documentează istoricul modificărilor.

12.5. Depozitarea, restituirea sau eliminarea activelor la încetarea raportului de muncă

Entitățile relevante stabilesc, implementează și aplică proceduri care garantează că activele lor aflate în custodia personalului sunt depozitate, restituite sau eliminate la încetarea raportului de muncă și documentează depozitarea, returnarea și eliminarea activelor respective. În cazul în care nu este posibilă depozitarea, returnarea sau eliminarea activelor, entitățile relevante se asigură că activele nu mai pot accesa rețelele și sistemele informatice ale entităților relevante în conformitate cu punctul 12.2.2.

13. Securitatea mediului și fizică [articolul 21 alineatul (2) literele (c), (e) și (i) din Directiva (UE) 2022/2555]

13.1. Utilități de sprijin

13.1.1.

În sensul articolului 21 alineatul (2) litera (c) din Directiva (UE) 2022/2555, entitățile relevante previn pierderea, deteriorarea sau compromiterea rețelelor și a sistemelor informatice sau întreruperea funcționării acestora din cauza defectării și perturbării utilităților de sprijin.

13.1.2.

În acest scop, entitățile relevante, dacă este adecvat:

(a)	protejează instalațiile împotriva întreruperii alimentării cu energie electrică și a altor perturbări cauzate de defecțiuni în ceea ce privește utilitățile de sprijin, cum ar fi energia electrică, telecomunicațiile, alimentarea cu apă, gazele, apele uzate, ventilarea și aerul condiționat;

(b)	iau în considerare utilizarea redundanței în ceea ce privește serviciile de utilități;

(c)	protejează serviciile de utilități pentru energie electrică și telecomunicații, care transportă date sau furnizează rețele și sisteme informatice, împotriva interceptării și a deteriorării;

(d)	monitorizează serviciile de utilități menționate la litera (c) și raportează personalului intern sau extern competent evenimentele din afara pragurilor minime și maxime de control menționate la punctul 13.2.2 litera (b) care afectează serviciile de utilități;

(e)	încheie contracte pentru aprovizionarea de urgență cu servicii corespunzătoare, cum ar fi pentru combustibilul pentru alimentarea cu energie electrică în situații de urgență;

(f)	asigură eficacitatea continuă, monitorizează, întrețin și testează alimentarea rețelelor și a sistemelor informatice necesare pentru funcționarea serviciului oferit, în special energia electrică, controlul temperaturii și umidității, telecomunicațiile și conexiunea la internet.

13.1.3.

Entitățile relevante testează, revizuiesc și, dacă este adecvat, actualizează măsurile de protecție în mod regulat sau în urma unor incidente semnificative sau a unor modificări semnificative ale operațiunilor sau ale riscurilor.

13.2. Protecția împotriva amenințărilor fizice și de mediu

13.2.1.

În sensul articolului 21 alineatul (2) litera (e) din Directiva (UE) 2022/2555, entitățile relevante previn sau reduc consecințele evenimentelor generate de amenințări fizice și de mediu, cum ar fi dezastrele naturale și alte amenințări intenționate sau neintenționate, pe baza rezultatelor evaluării riscurilor efectuată în temeiul punctului 2.1.

13.2.2.

În acest scop, entitățile relevante, dacă este adecvat:

(a)	concep și pun în aplicare măsuri de protecție împotriva amenințărilor fizice și de mediu;

(b)	determină pragurile minime și maxime de control pentru amenințările fizice și de mediu;

(c)	monitorizează parametrii de mediu și raportează personalului intern sau extern competent evenimentele din afara pragurilor minime și maxime de control menționate la litera (b).

13.2.3.

Entitățile relevante testează, revizuiesc și, dacă este adecvat, actualizează măsurile de protecție împotriva amenințărilor fizice și de mediu în mod regulat sau în urma unor incidente semnificative sau a unor modificări semnificative ale operațiunilor sau ale riscurilor.

13.3. Controlul perimetrului și al accesului fizic

13.3.1.

În sensul articolului 21 alineatul (2) litera (i) din Directiva (UE) 2022/2555, entitățile relevante previn și monitorizează accesul fizic neautorizat la rețelele și sistemele lor informatice, precum și deteriorarea acestora și interferențele cu acestea.

13.3.2.

În acest scop, entitățile relevante:

(a)	pe baza evaluării riscurilor efectuată în temeiul punctului 2.1, stabilesc și utilizează perimetre de securitate pentru a proteja zonele în care sunt situate rețelele și sistemele informatice și alte active asociate;

(b)	protejează zonele menționate la litera (a) prin controale de intrare și puncte de acces adecvate;

(c)	concep și pun în aplicare securitatea fizică pentru birouri, încăperi și instalații;

(d)	își monitorizează permanent incintele pentru a depista accesul fizic neautorizat.

13.3.3.

Entitățile relevante testează, revizuiesc și, dacă este adecvat, actualizează măsurile de control al accesului fizic în mod regulat sau în urma unor incidente semnificative sau a unor modificări semnificative ale operațiunilor sau ale riscurilor.

ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj

ISSN 1977-0782 (electronic edition)

Top

	Redacția Lex24 Drept la Sursa!
	Articole Urmărește

	Redacția Lex24
	Publicat in Repertoriu EUR-Lex, 11/11/2024