ANCOM propune stabilirea unor măsuri minime de securitate pentru reţelele şi serviciile de comunicaţii electronice şi o procedură de raportare a incidentelor

Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii (ANCOM) supune consultării publice proiectul de decizie privind stabilirea măsurilor minime de securitate ce trebuie luate de către furnizorii de reţele publice sau de servicii de comunicaţii electronice destinate publicului. Decizia propune şi procedura prin care furnizorii vor raporta ANCOM incidentele cu impact semnificativ asupra furnizării reţelelor şi serviciilor de comunicaţii electronice.

Potrivit proiectului de decizie, furnizorii vor trebui să stabilească măsuri tehnice şi organizatorice în vederea asigurării unui nivel adecvat al securităţii şi integrităţii reţelelor şi serviciilor de comunicaţii electronice. Printre obligaţiile ce vor fi impuse în sarcina furnizorilor se află atât stabilirea unui management al riscului, a unui sistem de detectare a incidentelor, cât şi a unei strategii proprii pentru asigurarea continuităţii furnizării reţelelor şi serviciilor de comunicaţii electronice în situaţiile generate de perturbări grave ale funcţionării acestora, precum şi asigurarea protecţiei reţelelor şi serviciilor împotriva atacurilor informatice.
Prin impunerea unor măsuri minime de securitate în sarcina furnizorilor, Autoritatea urmăreşte să reducă semnificativ numărul de incidente, întreruperi operaţionale şi fraude, să prevină pierderea, distrugerea, furtul sau compromiterea diverselor resurse ale furnizorilor, dar şi să optimizeze calitatea serviciilor de comunicaţii oferite utilizatorilor şi să crească încrederea acestora în serviciile de comunicaţii electronice.
Proiectul de decizie propune, totodată, stabilirea unei proceduri naţionale de raportare a incidentelor de securitate cu impact semnificativ, incidentele reprezentând acele  evenimente care pot afecta sau ameninţa, direct sau indirect, securitatea şi integritatea reţelelor şi serviciilor de comunicaţii electronice la nivel naţional sau european. Astfel, furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului vor avea obligaţia de a transmite ANCOM o notificare iniţială privind apariţia unui incident cu impact semnificativ (care afectează un număr mai mare de 5.000 de conexiuni, timp de cel puţin 60 de minute), în termen de 6 ore de la detectarea acestuia, precum şi o notificare finală privind existenţa acestui incident în termen de două săptămâni de la detectarea acestuia.
ANCOM va informa publicul prin intermediul paginii proprii de internet www.ancom.org.ro despre existenţa unor astfel de incidente, raportate de furnizori, în cazurile în care acestea sunt în interesul public. De asemenea, la solicitarea ANCOM, şi furnizorii vor informa publicul cu privire la producerea acestui tip de incident.
Pentru a stabili domeniile în care este nevoie de impunerea unor măsuri de securitate şi pentru a determina procedura de raportare a incidentelor de securitate cu impact semnificativ cuprinse în proiectul de decizie supus consultării publice, ANCOM a desfăşurat în cursul anului 2012 două studii referitoare la securitatea şi integritatea reţelelor şi serviciilor de comunicaţii electronice. Primul dintre acestea a vizat incidentele care au afectat continuitatea furnizării reţelelor şi serviciilor de comunicaţii electronice în anul 2011, în timp ce al doilea s-a referit la măsurile de securitate implementate de furnizori. Ultimul studiu a indicat faptul că cei mai mulţi furnizori nu au proceduri adecvate de tratare a incidentelor, de cele mai multe ori acţiunile fiind decise pe loc, în momentul apariţiei incidentului. De asemenea, cei mai mulţi furnizori îşi informează utilizatorii despre incidentele semnificative doar atunci când aceştia solicită acest lucru sau când apar reclamaţii, iar noţiunea de „incident semnificativ” este percepută în mod diferit în rândul respondenţilor.
Proiectul de decizie stabileşte cadrul legal pentru implementarea prevederilor Ordonanţei de Urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, aprobată, cu modificări şi completări, prin Legea nr. 140/2012, referitoare la securitatea şi integritatea reţelelor şi serviciilor de comunicaţii electronice.