Utilizare AI pentru o prezența online - o necesitate

Legea nr. 58/2023 a stabilit un cadru cuprinzător pentru securitatea cibernetică a instituțiilor publice, inclusiv a școlilor și grădinițelor. Această lege completează Hotărârea Guvernului nr. 1.321/2021, care a aprobat Strategia de securitate cibernetică a României pentru perioada 2022–2027. Legea nr. 58/2023 impune măsuri avansate de securitate cibernetică pentru site-urile instituțiilor publice, inclusiv școli și grădinițe, completând HG nr. 1.321/2021. Aceasta cere raportarea incidentelor și colaborarea cu DNSC pentru prevenirea atacurilor. Securitatea este vitală pentru protecția datelor elevilor. Site-ul trebuie să utilizeze sisteme de monitorizare și să desemneze un responsabil cu securitatea, care să gestioneze riscuri precum atacurile DDoS. De exemplu, un liceu ar putea implementa soluții de filtrare a traficului pentru a preveni întreruperile. Testele regulate sunt esențiale pentru conformitate. Raportarea rapidă a incidentelor către DNSC și informarea utilizatorilor afectați sunt obligatorii. O școală care detectează o breșă trebuie să urmeze un protocol clar, reducând impactul asupra activităților educaționale. Acest proces necesită pregătire și coordonare cu autoritățile. Legea încurajează formarea personalului, iar site-ul poate include ghiduri despre recunoașterea amenințărilor online, utile pentru profesori și părinți. Această educație previne incidentele și aliniază instituția cu standardele naționale de securitate cibernetică. Pe termen lung, conformitatea transformă site-ul într-un model de siguranță digitală. Integrarea unor cursuri despre securitate pentru elevi poate pregăti generațiile viitoare, combinând obligațiile legale cu misiunea educațională a instituției. În continuare, se vor prezenta obligațiile instituțiilor publice în 8 categorii principale, conform acestei legi.

Instituțiile publice trebuie să implementeze și să sprijine măsuri proactive pentru prevenirea incidentelor cibernetice. Acestea includ formarea și instruirea echipelor de răspuns la incidente cibernetice, dezvoltarea planurilor de gestionare a riscurilor, implementarea soluțiilor tehnice de securitate cibernetică, identificarea și gestionarea vulnerabilităților, precum și cooperarea cu alte entități din sectorul public și privat pentru a preveni amenințările cibernetice. Pentru a realiza aceste obiective, instituțiile trebuie să elaboreze și să implementeze un plan de gestionare a riscurilor, care să includă evaluarea, monitorizarea și reducerea riscurilor cibernetice. De asemenea, trebuie să colaboreze cu centralele de monitorizare și răspuns la incidente cibernetice la nivel național, pentru a beneficia de informații actualizate despre amenințările cibernetice și de suport tehnic în implementarea măsurilor de securitate.

Instituțiile sunt obligate să dezvolte și să implementeze planuri detaliate de răspuns la incidente cibernetice. Aceste planuri trebuie să includă proceduri pentru identificarea, evaluarea, consemnarea, comunicarea și gestionarea incidentelor, precum și măsuri pentru restabilirea funcționalității sistemelor afectate. De asemenea, trebuie să colaboreze cu autoritățile naționale de securitate cibernetică și să oferă informații relevante în cazul unor incidente cibernetice. Pentru a eficientiza gestionarea incidentelor, instituțiile trebuie să stabilească o procedură clară și eficientă pentru raportarea incidentelor cibernetice, care să permită identificarea rapidă a surselor și a cauzelor incidentelor, precum și adoptarea măsurilor necesare pentru a limita impactul asupra funcționării instituției. De asemenea, trebuie să organizeze sesiuni de pregătire pentru angajați, pentru a le familiariza cu procedurile de gestionare a incidentelor cibernetice.

Instituțiile publice trebuie să asigure protecția datelor și a infrastructurii sale IT. Aceasta implică implementarea unor măsuri de securitate adecvate pentru a preveni accesul neautorizat, furarea, distrugerea sau modificarea datelor, precum și protejarea sistemelor de comunicare și rețelelor de la amenințările cibernetice. Trebuie să realizeze și să mențină un inventar al activelor IT și să identifice activitățile critice pentru funcționarea lor, pe care trebuie să le protejeze în special. Protecția datelor și a infrastructurii IT necesită evaluări periodice de securitate, pentru a identifica vulnerabilitățile și riscurile potențiale. În baza acestor evaluări, instituțiile trebuie să implementeze măsuri de securitate adecvate, cum ar fi firewal-uri, sisteme de prevenire a intruziunilor, antimalware, criptare etc. De asemenea, trebuie să se asigure că toate datele sensibile sunt stocate în mod securizat și accesul la acestea este restricționat doar persoanelor autorizate.

Personalul instituțiilor publice trebuie să primească formare și instruire continuă în ceea ce privește securitatea cibernetice. Aceasta include cunoștințele de bază despre amenințările cibernetice, măsurile de prevenire și răspuns la incidente, precum și instrucțiuni despre cum să identifice și să raporteze incidentele cibernetice. De asemenea, trebuie să participe la activități de simulare a incidentelor cibernetice pentru a-și consolida capacitățile de răspuns. Formarea și instruirea personalului trebuie să fie una continuă și adaptată la evoluțiile din domeniul securității cibernetice. Astfel, instituțiile trebuie să organizeze regular cursuri, ateliere și simulări de incidente cibernetice, pentru a menține angajații informați despre cele mai recente amenințări și tehnici de atac. De asemenea, trebuie să promoveze o cultură de securitate cibernetică în cadrul organizației, prin comunicarea permanentă a riscurilor și a măsurilor de prevenire.

Instituțiile trebuie să implementeze soluții tehnice adecvate pentru a proteja site-urile și infrastructura IT. Acestea includ firewal-urile, sistemele de prevenire a intruziunilor, soluțiile de antimalware, soluțiile de criptare, soluțiile de monitorizare a traficului de rețea etc. De asemenea, trebuie să mențină aceste soluții actualizate și să realizeze teste periodică pentru a verifica eficacitatea lor. Implementarea soluțiilor tehnice trebuie să țină cont de specificul fiecărei instituții și de nivelul de riscuri la care este expusă. Astfel, soluțiile trebuie să fie adaptate pentru a oferi un nivel de securitate adecvat, fără a afecta prea mult performanța sistemelor. De asemenea, trebuie să se asigure că toate actualizările și patches ale soluțiilor de securitate sunt instalate în tempi utili, pentru a preveni exploatarea vulnerabilităților cunoscute.

Instituțiile publice sunt obligate să colaboreze cu alte entități din sectorul public și privat pentru a combate amenințările cibernetice. Aceasta implică schimbul de informații despre amenințările cibernetice, vulnerabilitățile și cele mai bune practici, precum și participarea la exerciții de simulare a incidentelor cibernetice. De asemenea, trebuie să raporteze autorităților naționale de securitate cibernetică incidentele cibernetice care au un impact semnificativ asupra securității naționale. Comunicarea și cooperarea între diferite entități sunt esențiale pentru a dezvolta o abordare unitară în combaterea amenințărilor cibernetice. Astfel, instituțiile trebuie să participe activ la forumurile și grupurile de lucru dedicate securității cibernetice, să colaboreze cu cercetătorii și experții din domeniu și să contribuie la dezvoltarea de standarde și politici comune de securitate cibernetică.

Instituțiile trebuie să elaboreze și să implementeze o politică de securitate cibernetică specifică. Această politică trebuie să definească obiectivele, măsurile și procedurile pentru asigurarea securității cibernetice, precum și responsabilitățile diferitelor departamente și angajați în cadrul instituției. Trebuie să revizuiască periodic această politică pentru a o adapta la noile provocări și amenințări din domeniul securității cibernetice. Politica de securitate cibernetică trebuie să fie un document viu, care să reflecte evoluțiile din mediul cibernetic și să fie adaptată la nevoile specifice ale instituției. Ea trebuie să includă măsuri pentru protejarea datelor, a infrastructurii IT, pentru gestionarea incidentelor cibernetice și pentru formarea și instruirea personalului. De asemenea, trebuie să stabilească responsabilitățile și obligațiile fiecărui angajat în ceea ce privește securitatea cibernetice.

Instituțiile publice trebuie să realizeze audituri și evaluări periodice ale securității cibernetice. Acestea trebuie să identifice vulnerabilitățile și riscurile existente și să propună măsuri corrective pentru a le eliminate. De asemenea, trebuie să utilizeze rezultatele auditurilor și evaluărilor pentru a îmbunătăți continuu politica și măsurile de securitate cibernetică. Auditurile și evaluările trebuie să fie realizate de personal specializat și trebuie să folosească metode și tehниci moderne pentru a identifica toate vulnerabilitățile și riscurile. Rezultatele acestora trebuie analizate cu atenție și trebuie să servească ca bază pentru elaborarea unui plan de acțiune pentru îmbunătățirea securității cibernetice. De asemenea, trebuie să se asigure că toate măsurile corrective identificate sunt implementate în tempi utili.

Legea nr. 58/2023 stabilește un cadru clar și cuprinzător al obligațiilor instituțiilor publice în domeniul securității cibernetice. Legea 58/2023 nu interzice direct utilizarea Yahoo și Gmail de către instituțiile publice, dar creează un cadru care încurajează evitarea acestor platforme. Implementarea efectivă a acestei legi este esențială pentru a proteja infrastructura critică a României, pentru a garanta confidențialitatea, integritatea și disponibilitatea datelor și a serviciilor oferite de instituțiile publice, precum și pentru a contribui la securitatea cibernetică națională și europeană. Astfel, instituțiile publice trebuie să aloce resurse adecvate pentru a îndeplini aceste obligații și să colaboreze strâns cu toate părțile implicate în domeniul securității cibernetice.