Ordinul Nr.181 din 21.10.2014

pentru aprobarea Normelor privind protecţia instalaţiilor nucleare împotriva ameninţărilor cibernetice
ACT EMIS DE: Comisia Nationala pentru Controlul Activitatilor Nucleare
ACT PUBLICAT ÎN MONITORUL OFICIAL NR. 803 din 04 noiembrie 2014

Luând în considerare Referatul nr. 12.999 din 20 octombrie 2014,având în vedere:

– art. 5 din Legea nr. 111/1996 privind desfăşurarea în siguranţă, reglementarea, autorizarea şi controlul activităţilor nucleare, republicată, cu modificările şi completările ulterioare;

– art. 20 alin. (5) lit. a) din Strategia naţională de securitate şi siguranţă nucleară, aprobată prin Hotărârea Guvernului nr. 600/2014,în conformitate cu prevederile art. 7 alin. (7) din Hotărârea Guvernului nr. 1.627/2003 privind aprobarea Regulamentului de organizare şi funcţionare a Comisiei Naţionale pentru Controlul Activităţilor Nucleare, cu modificările şi completările ulterioare, preşedintele Comisiei Naţionale pentru Controlul Activităţilor Nucleare emite următorul ordin: Articolul 1Începând cu data prezentului ordin se aprobă Normele privind protecţia instalaţiilor nucleare împotriva ameninţărilor cibernetice, prevăzute în anexa care face parte integrantă din prezentul ordin. Articolul 2Prezentul ordin se publică în Monitorul Oficial al României, Partea I. Preşedintele Comisiei Naţionale pentru Controlul Activităţilor Nucleare, Constantin Popescu
ANEXĂNORME privind protecţia instalaţiilor nucleare împotriva ameninţărilor cibernetice Capitolul IDomeniu, scop, definiţii Domeniu şi scop Articolul 1 (1) Prezentele norme sunt emise în conformitate cu prevederile Legii nr. 111/1996 privind desfăşurarea în siguranţă, reglementarea, autorizarea şi controlul activităţilor nucleare, republicată, cu modificările şi completările ulterioare.
(2) Prin prezentele norme se stabilesc cerinţele generale privind protecţia sistemelor, componentelor şi echipamentelor, inclusiv software-ul pentru instrumentaţie şi control şi reţelele informatice, denumite în continuare SCE, ale instalaţiilor nucleare împotriva ameninţărilor cibernetice. Articolul 2 (1) Îndeplinirea prevederilor prezentelor norme constituie o condiţie necesară pentru autorizarea de către Comisia Naţională pentru Controlul Activităţilor Nucleare, denumită în continuare CNCAN, a activităţilor de punere în funcţiune, exploatare şi dezafectare a unei instalaţii nucleare.(2) Prevederile prezentelor norme se aplică atât solicitanţilor, cât şi titularilor de autorizaţie pentru fazele de punere în funcţiune, exploatare, respectiv dezafectare ale unei instalaţii nucleare. În cadrul procesului de autorizare, precum şi pe durata de valabilitate a unei autorizaţii, CNCAN poate impune cerinţe suplimentare, după caz, pentru a ţine cont de experienţa de exploatare şi cele mai noi standarde şi bune practici recunoscute la nivel internaţional.(3) În afara cazurilor în care se precizează altfel, cerinţele prezentelor norme sunt aplicabile tuturor organizaţiilor responsabile pentru punerea în funcţiune, exploatarea şi dezafectarea instalaţiilor nucleare.(4) Orice derogare de la aplicarea prevederilor prezentelor norme trebuie aprobată de CNCAN şi de autoritatea naţională responsabilă pentru securitate cibernetică, în baza unei justificări scrise, formulate de solicitantul sau titularul de autorizaţie, dacă acesta demonstrează că asigură măsuri de protecţie echivalente cu cele cerute prin prezentele norme.Definiţii Articolul 3 (1) Termenii utilizaţi în prezentele norme sunt definiţi în anexa nr. 1, cu excepţia acelora ale căror definiţii se regăsesc în textul prezentelor norme, în Legea nr. 111/1996, republicată, cu modificările şi completările ulterioare, şi în Hotărârea Guvernului nr. 271/2013 pentru aprobarea Strategiei de securitate cibernetică a României şi a Planului de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică.
(2) Autoritatea naţională responsabilă pentru securitatea cibernetică este Centrul Naţional Cyberint, denumit în continuare CNC. Capitolul IICerinţe generale Articolul 4Titularul de autorizaţie trebuie să asigure protecţia împotriva ameninţărilor cibernetice pentru următoarele categorii de SCE: a)SCE cu funcţii de securitate nucleară; b)SCE care fac parte din sistemul de protecţie fizică; c)SCE care fac parte din sistemul de control de garanţii nucleare; d)SCE cu funcţii în răspunsul la situaţii de urgenţă, inclusiv sistemele de comunicaţii utilizate în situaţii de urgenţă. Articolul 5Titularul de autorizaţie trebuie să asigure protecţia SCE care fac parte din categoriile stabilite la art. 4 împotriva ameninţărilor cibernetice care ar putea avea drept consecinţe: a)un impact advers asupra funcţionării SCE; b)un impact advers asupra integrităţii sau confidenţialităţii datelor şi/sau a programelor software; c)indisponibilitatea şi/sau limitarea accesului la sisteme, servicii şi/sau date. Articolul 6 (1) Titularul de autorizaţie trebuie să analizeze toate SCE care fac parte din categoriile stabilite la art. 4 şi să identifice acele SCE care necesită protecţie împotriva ameninţărilor cibernetice astfel încât să satisfacă cerinţele din art. 5.(2) În vederea stabilirii unei abordări gradate privind aplicarea cerinţelor de securitate cibernetică, SCE identificate în conformitate cu cerinţele de la alin. (1) se vor clasifica în funcţie de consecinţele potenţiale ale materializării ameninţărilor cibernetice.(3) Lista SCE identificate în conformitate cu cerinţele de la alin. (1), inclusiv clasificarea acestora, stabilită conform prevederilor de la alin. (2), trebuie transmisă pentru evaluare la CNCAN.(4) Lista SCE trebuie revizuită şi actualizată ţinând cont de experienţa de exploatare, evaluările şi auditurile de securitate periodice.(5) Ca urmare a auditurilor de securitate cibernetică efectuate de autoritatea naţională responsabilă pentru securitatea cibernetică, solicitantul/titularul de autorizaţie are obligaţia de a include în lista SCE acele componente pentru care a fost identificată necesitatea protecţiei suplimentare. Articolul 7 (1) Ameninţările cibernetice care trebuie luate în considerare de titularul de autorizaţie se stabilesc de către CNCAN în cooperare cu autoritatea naţională responsabilă pentru securitatea cibernetică şi se comunică solicitantului/titularului de autorizaţie, cel mai târziu la data intrării în vigoare a prezentelor norme.(2) Ameninţările cibernetice sunt tratate independent sau în combinaţie cu tipurile de ameninţări specificate în Normele de protecţie fizică în domeniul nuclear, respectiv sabotaj şi furt sau deturnarea unor cantităţi de materiale protejate.(3) Reevaluarea ameninţărilor cibernetice pentru SCE ale instalaţiilor nucleare se efectuează anual sau ori de câte ori este necesar, la iniţiativa CNCAN, a CNC sau a solicitantului/ titularului de autorizaţie. Capitolul IIICerinţe privind planul de securitate cibernetică Articolul 8(1) Titularul de autorizaţie trebuie să stabilească, să implementeze şi să menţină un plan pentru protecţia SCE identificate în conformitate cu cerinţele art. 6 împotriva ameninţărilor cibernetice, numit în continuare planul de securitate cibernetică.(2) Planul de securitate cibernetică trebuie să aibă la bază o analiză de risc, ţinând cont de ameninţările cibernetice stabilite conform prevederilor art. 7. Articolul 9Planul de securitate cibernetică trebuie stabilit astfel încât să se asigure: a)implementarea controalelor necesare pentru protecţia SCE identificate în conformitate cu cerinţele art. 6; b)implementarea şi menţinerea unei strategii de protecţie în adâncime pentru detecţia, răspunsul şi recuperarea SCE în urma materializării ameninţărilor cibernetice; c)limitarea consecinţelor materializării ameninţărilor cibernetice şi menţinerea funcţiilor importante pentru securitatea nucleară, protecţia fizică, controlul de garanţii nucleare şi răspunsul la situaţii de urgenţă. Articolul 10(1) Planul de securitate cibernetică trebuie să ţină cont de caracteristicile relevante ale amplasamentului şi proiectului instalaţiei sau instalaţiilor nucleare aflate în responsabilitatea titularului de autorizaţie.(2) Planul de securitate cibernetică trebuie să includă măsuri de răspuns la incidente şi de recuperare în urma materializării ameninţărilor cibernetice.(3) Planul de securitate cibernetică trebuie să descrie modul în care titularul de autorizaţie va asigura următoarele:a)menţinerea capacităţii pentru detecţia rapidă şi răspunsul în timp util la incidente cibernetice; b)limitarea consecinţelor materializării ameninţărilor cibernetice; c)corectarea vulnerabilităţilor exploatate în atacurile cibernetice; d)repunerea în funcţiune a SCE afectate de incidentele cibernetice. Articolul 11Titularul de autorizaţie trebuie să se asigure că există în permanenţă o echipă de specialişti care să asigure detecţia şi răspunsul rapid la un incident de securitate cibernetică, inclusiv protecţia SCE identificate în conformitate cu cerinţele art. 6 şi limitarea consecinţelor materializării ameninţărilor cibernetice. Articolul 12 (1) Titularul de autorizaţie trebuie să asigure, ca parte a planului de securitate cibernetică, următoarele:a)pregătirea personalului propriu şi a contractorilor cu privire la cunoaşterea, aplicarea şi respectarea cerinţelor de securitate cibernetică, pentru toate etapele ciclului de viaţă al SCE, începând cu etapa de proiectare, în funcţie de sarcinile şi responsabilităţile stabilite; b)evaluarea şi gestionarea riscurilor asociate cu ameninţările cibernetice; c)evaluarea modificărilor care afectează SCE identificate conform cerinţelor art. 6, în scopul menţinerii unei protecţii adecvate împotriva ameninţărilor cibernetice. (2) Titularul de autorizaţie trebuie să dezvolte şi să menţină o politică şi proceduri scrise pentru punerea în aplicare a planului de securitate cibernetică. Articolul 13Titularul de autorizaţie trebuie să implementeze măsuri pentru colectarea, evaluarea şi utilizarea experienţei de exploatare interne şi externe în vederea îmbunătăţirii continue a protecţiei împotriva ameninţărilor cibernetice, respectiv a planului de securitate cibernetică. Articolul 14 (1) Titularul de autorizaţie trebuie să asigure evaluarea periodică a eficacităţii planului de securitate cibernetică.(2) Evaluarea eficacităţii planului de securitate cibernetică trebuie efectuată:a)cel puţin o dată pe an; b)după fiecare eveniment relevant pentru securitatea cibernetică, din experienţa de exploatare internă sau externă. (3) Evaluarea eficacităţii planului de securitate cibernetică trebuie să includă exerciţii de testare a măsurilor de protecţie împotriva ameninţărilor cibernetice. Articolul 15 (1) Titularul de autorizaţie trebuie să demonstreze că a implementat toate măsurile necesare, la nivelul celor mai noi standarde şi bune practici recunoscute la nivel internaţional, pentru asigurarea protecţiei instalaţiilor nucleare împotriva ameninţărilor cibernetice.(2) Documentele de referinţă menţionate în anexa nr. 2 reprezintă standarde şi ghiduri privind bune practici recunoscute pe plan naţional şi internaţional şi se recomandă ca orice nouă revizie a acestora să fie luată în considerare de către titularul de autorizaţie, în vederea îmbunătăţirii protecţiei instalaţiilor nucleare împotriva ameninţărilor cibernetice. Articolul 16Măsurile de protecţie împotriva ameninţărilor cibernetice trebuie implementate astfel încât să nu producă efecte adverse asupra funcţionării SCE conform cerinţelor şi intenţiei de proiectare. Articolul 17 (1) Titularul de autorizaţie trebuie să stabilească şi să impună un set de cerinţe şi reguli de securitate cibernetică pentru furnizorii de produse şi servicii pentru instalaţiile nucleare, în scopul prevenirii incidentelor cibernetice.(2) Cerinţele pentru SCE noi din categoria celor identificate conform cu cerinţele art. 6 sau pentru modernizările SCE existente trebuie să includă remedierea vulnerabilităţilor pentru toată durata de viaţă a SCE respective. Capitolul IVCerinţe privind documentaţia, înregistrările şi raportarea Articolul 18Titularul de autorizaţie trebuie să păstreze toate înregistrările şi documentaţia tehnică suport pentru demonstrarea conformităţii cu cerinţele prezentelor norme pentru toată durata de viaţă a instalaţiei nucleare. Articolul 19 (1) Titularul de autorizaţie va raporta imediat la CNCAN orice condiţie anormală cu impact asupra securităţii cibernetice a SCE identificate în conformitate cu cerinţele art. 6, inclusiv incidentele cibernetice.(2) Orice incident de securitate cibernetică cu impact asupra SCE se comunică la CNC în maximum 12 ore de la constatarea acestuia. Capitolul VDispoziţii tranzitorii şi finale Articolul 20(1) În 240 de zile de la intrarea în vigoare a prezentelor norme, titularii de autorizaţie trebuie să transmită la CNCAN, spre evaluare şi avizare, planul de securitate cibernetică pentru instalaţiile nucleare de care răspund, prin care să demonstreze:a)conformitatea cu cerinţele prezentelor norme; b)alinierea la recomandările din documentele de referinţă menţionate în anexa nr. 2; c)implementarea măsurilor de protecţie împotriva ameninţărilor cibernetice comunicate de CNCAN în cooperare cu CNC, în conformitate cu prevederile de la art. 7. (2) Planul de securitate cibernetică trebuie să includă măsurile de implementare şi termenele aferente.(3) Conţinutul minim recomandat al planului de securitate cibernetică este cel din anexa nr. 3. Articolul 21Anexele nr. 1, 2 şi 3 fac parte integrantă din prezentele norme. ANEXA Nr. 1la norme DEFINIŢII

– ameninţare cibernetică - circumstanţă sau eveniment care constituie un pericol potenţial la adresa securităţii cibernetice;

– atac cibernetic - acţiune ostilă desfăşurată în spaţiul cibernetic de natură să afecteze securitatea cibernetică;

– funcţie de securitate nucleară - un scop specific care trebuie îndeplinit pentru asigurarea securităţii nucleare. Funcţiile generale de securitate nucleară sunt următoarele: a)controlul reactivităţii; pentru un reactor nuclear, această funcţie se referă inclusiv la oprirea reactorului şi menţinerea acestuia într-o stare de oprire sigură pentru o perioadă de timp nedeterminată; b)răcirea combustibilului nuclear; c)reţinerea materialelor radioactive, inclusiv menţinerea barierelor fizice în calea eliberării acestora în mediul înconjurător; d)monitorizarea stării instalaţiei nucleare şi furnizarea serviciilor-suport necesare pentru menţinerea funcţiilor a), b) şi c);

– incident cibernetic - eveniment survenit în spaţiul cibernetic ale cărui consecinţe afectează securitatea cibernetică;

– infrastructuri cibernetice - infrastructuri de tehnologia informaţiei şi comunicaţii, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice;

– securitate cibernetică - starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, a resurselor şi serviciilor publice sau private, din spaţiul cibernetic. Măsurile proactive şi reactive pot include politici, concepte, standarde şi ghiduri de securitate, managementul riscului, activităţi de instruire şi conştientizare, implementarea de soluţii tehnice de protejare a infrastructurilor cibernetice, managementul identităţii, managementul consecinţelor;

– SCE - sistemele, componentele şi echipamentele instalaţiei nucleare;

– SCE cu funcţii de securitate nucleară - sunt acele SCE care contribuie, direct sau indirect, în condiţii de operare normală, în cazul evenimentelor anticipate în exploatare şi/sau în condiţii de accident, la îndeplinirea funcţiilor generale de securitate nucleară; acestea includ SCE a căror defectare poate avea un impact advers asupra îndeplinirii unei funcţii de securitate nucleară. ANEXA Nr. 2la norme DOCUMENTE DE REFERINŢĂ 1. Computer Security at Nuclear Facilities, IAEA Nuclear Security Series 17, International Atomic Energy Agency, Vienna, 2011. 2. Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities, INFCIRC/225/Revision 5, IAEA Nuclear Security Series 13, International Atomic Energy Agency, Vienna, 2011. 3. IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations, IEEE Std 7-4.3.2-2010, Institute of Electrical and Electronics Engineers, 2010. 4. IEC 62645 Ed.1.0: Nuclear power plants - Instrumentation and control systems - Requirements for security programmes for computer-based systems. 5. Hotărârea Guvernului nr. 271/2013 pentru aprobarea Strategiei de securitate cibernetică a României şi a Planului de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică, publicată în Monitorul Oficial al României, Partea I nr. 296 din 23 mai 2013.ANEXA Nr. 3la norme Conţinutul minim al planului de securitate cibernetică pentru o instalaţie nucleară Secţiunea 1 - Organizare şi responsabilităţi 1.1. Scheme organizatorice, inclusiv organigrama organizaţiei titularului de autorizaţie şi a departamentului sau departamentelor cu responsabilităţi pentru securitatea cibernetică a instalaţiilor nucleare; 1.2. Persoanele cu responsabilităţi şi autoritate pentru securitatea cibernetică a instalaţiilor nucleare; responsabilităţi pentru elaborare, raportare, avizare şi aprobare a procedurilor şi documentelor aferente; 1.3. Procesul de elaborare, revizie periodică şi aprobare a procedurilor şi documentelor aferente. Secţiunea 2 - Inventarul SCE relevante pentru securitatea cibernetică a instalaţiilor nucleare 2.1. Lista SCE a căror funcţionare depinde de computere şi programe software; 2.2. Lista tuturor aplicaţiilor şi programelor software; 2.3. Diagramele reţelelor informatice, inclusiv toate conexiunile către sisteme informatice externe, care nu sunt sub controlul titularului de autorizaţie. Secţiunea 3 - Analiza riscurilor, vulnerabilităţilor şi a conformităţii cu cerinţele aplicabile 3.1. Periodicitatea reevaluării şi revizuirii planului de securitate cibernetică; 3.2. Autoevaluarea eficacităţii planului şi măsurilor de securitate cibernetică, inclusiv testele de penetrare; 3.3. Procedurile de audit şi de identificare, urmărire şi corectare a neconformităţilor; 3.4. Conformitatea cu cerinţele din legislaţia naţională şi din standardele internaţionale aplicabile. Secţiunea 4 - Proiectarea sistemului de securitate cibernetică şi controlul configuraţiei 4.1. Principiile de proiectare şi arhitectura de bază a sistemului de securitate cibernetică; nivelurile de securitate cibernetică; 4.2. Cerinţele pentru fiecare nivel de securitate cibernetică; 4.3. Stabilirea cerinţelor de securitate cibernetică pentru furnizorii de produse şi servicii destinate instalaţiilor nucleare; 4.4. Asigurarea securităţii cibernetice pentru tot ciclul de viaţă a SCE. Secţiunea 5 - Procedurile operaţionale de securitate cibernetică 5.1. Controlul accesului la SCE; 5.2. Protecţia datelor; 5.3. Protecţia comunicaţiilor; 5.4. Protecţia platformelor şi aplicaţiilor informatice; 5.5. Supravegherea/Monitorizarea sistemelor; 5.6. Activităţile de întreţinere necesare pentru SCE a căror funcţionare depinde de computere şi programe software; 5.7. Managementul incidentelor/Răspunsul la incidente cibernetice; 5.8. Asigurarea continuităţii funcţiilor de securitate şi siguranţă nucleară; 5.9. Măsuri pentru salvarea datelor - system backup - în caz de incident cibernetic; 5.10. Achiziţia şi transferul de SCE; 5.11. Eliminarea din sistem a SCE. Secţiunea 6 - Managementul personalului 6.1. Verificarea/Avizarea personalului; 6.2. Pregătirea personalului; 6.3. Calificarea personalului; 6.4. Terminarea accesului şi transferul personalului.