31.1.2018   

RO

Jurnalul Oficial al Uniunii Europene

L 26/48

(1)

În conformitate cu Directiva (UE) 2016/1148, furnizorii de servicii digitale au libertatea de a lua măsurile tehnice și organizatorice pe care le consideră adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor lor informatice, atât timp cât aceste măsuri asigură un nivel adecvat de securitate și țin seama de elementele prevăzute în directiva respectivă.

(2)

Atunci când identifică măsurile tehnice și organizatorice adecvate și proporționale, furnizorul de servicii digitale ar trebui să abordeze chestiunea securității informațiilor în mod sistematic, utilizând o abordare bazată pe riscuri.

(3)

Pentru a garanta securitatea sistemelor și a instalațiilor, furnizorii de servicii digitale ar trebui să efectueze proceduri de evaluare și analiză. Aceste activități ar trebui să se refere la gestionarea sistematică a rețelelor și a sistemelor informatice, la securitatea fizică și a mediului, la securitatea aprovizionării și la controlul accesului.

(4)

Atunci când efectuează o analiză de risc în cadrul gestionării sistematice a rețelelor și a sistemelor informatice, furnizorii de servicii digitale ar trebui să fie încurajați să identifice riscurile specifice și să cuantifice importanța acestora, de exemplu prin identificarea amenințărilor la adresa bunurilor critice și a modului în care acestea pot afecta operațiunile și prin definirea celor mai bune modalități de a atenua aceste riscuri pe baza capacităților existente și a resurselor necesare.

(5)

Politicile privind resursele umane ar putea să se refere la gestionarea competențelor, inclusiv la aspectele legate de dezvoltarea competențelor în materie de securitate și de creșterea informării în acest domeniu. Atunci când decid cu privire la un set adecvat de politici privind securitatea operațiunilor, furnizorii de servicii digitale ar trebui să fie încurajați să aibă în vedere aspectele legate de gestionarea schimbărilor, gestionarea vulnerabilității, formalizarea practicilor operaționale și administrative, precum și cartografierea sistemului.

(6)

Politicile privind arhitectura de securitate ar putea cuprinde separarea rețelelor și a sistemelor, precum și măsuri specifice de securitate pentru operațiunile critice, cum ar fi operațiunile de administrare. Separarea rețelelor și a sistemelor ar putea permite unui furnizor de servicii digitale să facă distincția între elemente precum fluxurile de date și resursele informatice care aparțin unui client, unui grup de clienți, furnizorului de servicii digitale propriu-zis sau părților terțe.

(7)

Măsurile luate cu privire la securitatea fizică și a mediului ar trebui să asigure securitatea rețelelor și a sistemelor informatice ale unei organizații pentru a le proteja împotriva daunelor cauzate de incidente cum ar fi furturile, incendiile, inundațiile sau alte fenomene meteo și deficiențele din sectorul telecomunicațiilor sau al energiei electrice.

(8)

Securitatea aprovizionării – de exemplu cu energie electrică, combustibil sau energie pentru răcire – ar putea include securitatea lanțului de aprovizionare, care include în special securitatea contractanților și subcontractanților terți, precum și securitatea de la nivelul conducerii acestora. Trasabilitatea bunurilor critice se referă la capacitatea furnizorului de servicii digitale de a identifica sursele bunurilor respective și de a ține evidența acestora.

(9)

Categoria utilizatorilor de servicii digitale ar trebui să includă și persoanele fizice și juridice care sunt clienți sau abonați ai unei piețe online sau ai unui serviciu de cloud computing ori care vizitează un site web al unui motor de căutare online pentru a efectua căutări după cuvinte-cheie.

(10)

Atunci când se determină în ce măsură impactul unui incident este substanțial, lista de incidente substanțiale prevăzută în prezentul regulament ar trebui să fie considerată drept neexhaustivă. Ar trebui să se tragă învățăminte din punerea în aplicare a prezentului regulament și din lucrările grupului de cooperare în ceea ce privește colectarea informațiilor referitoare la cele mai bune practici privind riscurile și incidentele și discuțiile privind modalitățile de raportare a notificărilor incidentelor menționate la articolul 11 alineatul (3) literele (i) și (m) din Directiva (UE) 2016/1148. Rezultatul ar putea fi formularea unor orientări cuprinzătoare cu privire la pragurile cantitative ale parametrilor de notificare care ar putea declanșa obligația de notificare pentru furnizorii de servicii digitale în temeiul articolului 16 alineatul (3) din Directiva (UE) 2016/1148. Dacă este cazul, Comisia ar putea, de asemenea, să aibă în vedere revizuirea pragurilor prevăzute actualmente de prezentul regulament.

(11)

Pentru ca autoritățile competente să poată fi informate cu privire la noi riscuri potențiale, furnizorii de servicii digitale ar trebui să fie încurajați să semnaleze în mod voluntar orice incident ale cărui caracteristici le erau anterior necunoscute, cum ar fi noi exploit-uri, vectori de atac, entități răuvoitoare, vulnerabilități și pericole.

(12)

Prezentul regulament ar trebui să se aplice în ziua următoare expirării termenului de transpunere a Directivei (UE) 2016/1148.

(13)

Măsurile prevăzute de prezentul regulament sunt conforme cu avizul Comitetului pentru securitatea rețelelor și a sistemelor informatice instituit în temeiul articolului 22 din Directiva (UE) 2016/1148,

(a)

gestionarea sistematică a rețelelor și a sistemelor informatice, care înseamnă cartografierea sistemelor informatice și stabilirea unui set de politici adecvate privind gestionarea securității informațiilor, incluzând analiza riscurilor, resursele umane, securitatea operațiunilor, arhitectura securității, securitatea datelor și gestionarea ciclului de viață al sistemului, precum și, dacă este cazul, criptarea și gestionarea acesteia;

(b)

securitatea fizică și a mediului, care înseamnă existența unui set de măsuri menite să protejeze securitatea rețelelor și a sistemelor informatice ale furnizorilor de servicii digitale împotriva daunelor, cu ajutorul unei abordări bazate pe riscuri care să țină seama de toate tipurile de pericole, printre care deficiențele sistemului, erorile umane, acțiunile răuvoitoare și fenomenele naturale;

(c)

securitatea aprovizionării, care înseamnă instituirea și menținerea unor politici adecvate pentru a asigura accesibilitatea și, după caz, trasabilitatea bunurilor critice utilizate în furnizarea serviciilor;

(d)

controlul accesului la rețele și la sistemele informatice, care înseamnă existența unui set de măsuri prin care să se asigure că accesul fizic și logic la rețele și la sistemele informatice, incluzând securitatea administrativă a rețelelor și a sistemelor informatice, este autorizat și restricționat pe baza unor cerințe operaționale și de securitate.

(a)

procesele și procedurile de detectare menținute și testate pentru a asigura identificarea adecvată și în timp util a evenimentelor anormale;

(b)

procesele și politicile referitoare la raportarea incidentelor și identificarea punctelor slabe și a vulnerabilităților în propriile sisteme informatice;

(c)

un răspuns conform cu procedurile instituite și raportarea rezultatelor măsurilor luate;

(d)

o evaluare a gravității incidentului, cu documentarea concluziilor trase din analiza incidentului și colectarea informațiilor relevante care ar putea servi drept mijloace de probă și ar putea sprijini procesul de îmbunătățire continuă.

(a)

crearea și utilizarea de planuri de urgență pe baza unei analize a impactului asupra activității, pentru asigurarea continuității serviciilor oferite de furnizorii de servicii digitale; acestea trebuie evaluate și testate periodic, de exemplu prin exerciții;

(b)

capacități de redresare în caz de dezastru, care trebuie evaluate și testate periodic, de exemplu prin exerciții.

(a)

efectuarea unei serii planificate de observații sau măsurători pentru a evalua dacă rețelele și sistemele informatice funcționează în mod corespunzător;

(b)

inspecții și verificări pentru a determina dacă un anumit standard sau set de orientări este respectat, dacă evidențele sunt exacte și dacă obiectivele în materie de eficiență și eficacitate sunt atinse;

(c)

o procedură menită să scoată la iveală deficiențele din mecanismele de securitate ale unei rețele sau ale unui sistem informatic destinate să protejeze datele și să mențină funcționalitatea preconizată. O astfel de procedură include procesele tehnice și personalul implicat în fluxul operațional.

(a)

numărul de persoane fizice și juridice afectate cu care s-a încheiat un contract pentru furnizarea serviciului respectiv sau

(b)

numărul de utilizatori afectați care au utilizat serviciul respectiv, pe baza datelor de transfer anterioare.

(a)

serviciul oferit de un furnizor de servicii digitale a fost indisponibil timp de mai bine de 5 000 000 de ore-utilizator; termenul „oră-utilizator” se referă la un utilizator afectat în Uniune pe o durată de șaizeci de minute;

(b)

incidentul a avut ca rezultat o pierdere a integrității, autenticității sau confidențialității datelor stocate, transmise ori prelucrate sau a serviciilor conexe oferite de rețeaua sau sistemul de informații al furnizorului de servicii digitale sau accesibile prin intermediul rețelei sau al sistemului respectiv care afectează mai mult de 100 000 de utilizatori din Uniune;

(c)

incidentul a creat un risc la adresa ordinii sau a siguranței publice ori în ceea ce privește pierderea de vieți omenești;

(d)

incidentul i-a provocat daune materiale cel puțin unui utilizator din Uniune, dacă dauna cauzată acestuia depășește 1 000 000 EUR.