NOTĂ DE FUNDAMENTARE
la Hotărârea Guvernului nr. 494 /2011 privind înfiinţarea Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO

Secţiunea 1
Titlul prezentului act normativ

„HOTĂRÂRE
privind înfiinţarea Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică CERT-RO”

 

Secţiunea a 2-a
Motivul emiterii actului normativ

Descrierea situaţiei actuale În prezent, România este percepută în exterior ca o ţară cu mediu IT nesigur, exportatoare şi producătoare de criminalitate electronică. La nivel naţional nu există în prezent un sistem unitar în ceea ce priveşte analiza şi supravegherea sistemelor informatice din punct de vedere al securităţii.
De asemenea creşterea nivelului de securitate pentru sistemele informatice reprezintă o prioritate majoră constituind în acelaşi timp una dintre principalele direcţii de dezvoltare pentru noile tehnologii informatice şi de comunicaţii. Pe plan global şi european problema securităţii datelor transmise prin reţelele informatice, atât în ceea ce priveşte generarea, stocarea şi prelucrarea acestora, cât şi în legătură cu transmiterea informaţiilor specifice aplicaţiilor prin medii de reţea cu caracter public, neprotejat, se dovedeşte a reprezenta o prioritate de maximă importanţă, fiind tratată ca o problemă de interes naţional.
Astfel, toate ţările din Uniunea Europeană au definite si funcţionale structuri de tip CERT (Computer Emergency Response Team) naţionale, acreditate, al căror rol este acela de a supraveghea, informa, preveni şi combate ameninţările ce apar în cadrul sistemelor informatice de utilitate publică sau private. În acest moment, România este singura ţară din Uniunea Europeană care nu are un CERT naţional acreditat şi nicio strategie naţională în domeniul securităţii sistemelor informatice publice sau private. Acest fapt poate duce la pierderi importante, atât materiale cât şi de imagine, iar în anumite situaţii poate aduce atingere inclusiv siguranţei statului (a se avea în vedere recentele atacuri de tip terorist din Georgia, Estonia si Lituania). Agenţia Europeană pentru Securitatea Reţelelor şi Informaţiilor (ENISA) încurajează statele membre UE să construiască şi să consolideze echipele naţionale de tip CERT, ca element cheie în politica europeană de asigurare a unui spaţiu cibernetic sigur, iar Strategia europeană privind Agenda Digitală prevede ca toate statele europene să aibă un CERT guvernamental operaţional până la 1 iunie 2012 . De asemenea, Comisia Europeană a promovat o Recomandare care vizează protecţia infrastructurilor informatice critice în care CERT-urile naţionale urmează să asigure detectarea şi răspunsul la incidente informatice.
În ţară, nivelul de reglementare, de educaţie dar şi al comportamentului utilizatorilor şi al echipelor de IT în caz de incidente de securitate cu cauze naturale sau provocate este extrem de scăzut.
În acest sens, considerăm necesară înfiinţarea unei structuri de tip CERT naţionale, cu sarcini de cercetare şi analiză a incidentelor de securitate cibernetică din România.
Pentru a pune în aplicare prevederile Hotărârii CSAT nr. 16 din 16.03.2010, CERT-RO urmează a fi în directa coordonare a Ministerului Comunicaţiilor şi Societăţii Informaţionale şi va avea ca responsabilitate asigurarea unui centru de excelenţă în domeniul securităţii informatice, echipamentelor, reţelelor şi sistemelor şi de a focaliza interesul specialiştilor din mediul IT&C, dar şi al autorităţilor, asupra securităţii mediului virtual din România. CERT-RO va fi şi un punct de contact naţional al echipelor CERT din zona civilă cu autorităţile cu competenţe în domeniu.
CERT-RO va coopera cu celelate autoritati si institutii publice cu atributii in domeniu, potrivit competentelor ce le revin conform legii, in vederea desfasurarii activitatilor de raspuns la incidente de securitate cibernetică pentru identificarea, selectarea, clasificarea, inregistrarea incidentelor, recuperarea functionalitatilor si diseminarea solutiilor de rezolvare la nivelul sistemelor informatice si de comunicatii publice.La solicitarea organelor judiciare competente, CERT-RO va asigura suportul tehnic pentru cercetarea unor incidente de securitate in sistemele informatice si de comunicatii publice, care constituie incalcari ale legii. CERT-RO va putea organiza si asigura puncte de contact pentru colectarea sesizarilor si a informatiilor despre incidente atat automatizat, cat si prin comunicare directa, securizata dupa caz. Ţinând cont de dinamica activităţii în domeniul IT&C şi a domeniului de acţiune, la nivelul ICI s-a decis modificarea organigramei ICI prin scoaterea departamentului CERT-RO din subordinea Directorului general şi trecerea acestuia în subordinea directă a Consiliului de Administraţie.
Având în vedere complexitatea sistemelor informatice şi de comunicaţii existente şi amploarea problematicii de securitate cibernetică, este imperios necesară existenţa unui organism de expertiză independent care să asigure o poziţie neutră faţă de soluţiile existente pe piaţă, precum şi un cadru de cooperare între toţi actorii implicaţi: public şi privat; civil şi militar; naţional şi internaţional.

Schimbări preconizate Se înfiinţează Centrul Naţional de Răspuns la Incidente de Securitate Cibernetica CERT-RO ca organ de specialitate al administraţiei publice centrale cu personalitate juridică, în coordonarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, finanţat integral de la bugetul de stat.

Alte informaţii Menţionăm că actul normativ promovat este parte a unui set de acte normative aflate in diferite stadii, respectiv:
- Strategia Naţională de Apărare – în consultare;
- Hotărârea Guvernului nr. 1110/2010 privind componenţa, atribuţiile şi modul de organizare ale Grupului de lucru interinstituţional pentru protecţia infrastructurilor critice
- Strategia de Securitate Cibernetică a României – în elaborare;
- Legea de Securitate Cibernetică - în elaborare.
- Ordonanţa de urgenţă a Guvernului nr. 98/2010 privind identificarea, desemnarea şi protecţia infrastructurilor critice, aprobată prin Legea nr. 18/2011.
La toate aceste proiecte de acte normative lucrează acelaşi grup de lucru.