Acest ghid abordează obligații specifice pentru operatorii de telecomunicații clasificați ca entități esențiale conform NIS2. Veți afla cerințele concrete privind securitatea infrastructurii de rețea, gestionarea lanțului de aprovizionare și raportarea incidentelor critice.
Operatorii de telecomunicații din România care oferă servicii publice de comunicații electronice sunt clasificați automat ca entități esențiale conform NIS2, indiferent de dimensiune. Aceasta include furnizorii de servicii de internet fix și mobil, operatorii de rețele mobile, furnizorii de servicii CDN și operatorii de puncte de schimb de trafic care deservesc o populație semnificativă de abonați.
Trebuie să implementați măsuri avansate de protecție pentru routerele core, sistemele DNS și echipamentele critice de comutare. Aceasta include filtrarea rutelor BGP pentru prevenirea sechestrării BGP, monitorizarea continuă a anomaliilor de rețea în timp real și aplicarea unor controale stricte de acces pentru personalul cu privilegii administrative pe echipamentele de bază.
Trebuie să raportați la DNSC orice incident de securitate care afectează disponibilitatea serviciilor unui procent semnificativ de abonați sau o întreagă regiune. Raportul inițial trebuie transmis în termen de 24 de ore, cu detalii tehnice despre impact, cauza rădăcinii și măsurile de remediere în curs. Rapoartele finale de incidente trebuie finalizate în termen de 30 de zile.
Trebuie să evaluați și să monitorizați securitatea tuturor furnizorilor de echipamente critice, inclusiv routere, comutatoare, stații de bază și firmware-ul acestora. Implementați cerințe contractuale obligatorii privind notificarea vulnerabilităților, securitatea firmware-ului, și restricții asupra codului din terțe părți. Auditați cel puțin anual conformitatea furnizorilor cu cerințele de securitate definite.
Sistemele dedicate interceptării legale trebuie să fie izolate de rețeaua de operare normală și să dispună de controale stricte de acces bazate pe rol. Trebuie să mențineti jurnale de audit detaliate ale tuturor acceselor la funcțiile de interceptare, să implementați autentificare multifactor și să efectuați revizuiri regulate ale permisiunilor de acces ale personalului autorizat.
Trebuie să urmăriți și să gestionați ciclul de viață complet al tuturor echipamentelor de rețea critice, inclusiv data de end-of-support de la furnizor. Interziceți utilizarea de firmware-uri mai vechi decât doi ani după data end-of-support și aplicați patch-uri de securitate în termen de 30 de zile de la disponibilitate pentru echipamentele critice.
NIS2 necesită raportarea incidentelor de securitate care afectează disponibilitatea serviciilor (inclusiv atacuri cibernetice, defecțiuni și sabotaj), cu termen de 24 de ore pentru notificarea inițială. Obligațiile ANCOM vizează calitatea serviciului și disponibilitatea generală. Operatorii trebuie să asigure raportarea în paralel către ambele autorități, dar cu criterii diferite de prag și timpi de răspuns.
Trebuie să implementați RPKI (Resource Public Key Infrastructure) sau alte mecanisme de validare a rutelor BGP pentru a preveni sechestrarea rutelor. Configurațiile de rută trebuie revizuite trimestrial, iar alarmele trebuie setate pentru anunțuri BGP neobișnuite. Personalul de operare trebuie antrenat anual în prevenirea atacurilor BGP și detecția incidentelor.
Conform Legii 362/2022, neconformitatea cu NIS2 poate duce la amenzi de până la 10 miljoane EUR sau 2% din venituri globale anuale (oricare dintre acestea este mai mare), cu o perioadă de trecere până la 21 octombrie 2026 pentru entitățile esențiale. DNSC poate impune măsuri de remediere imediate și restricții temporare asupra serviciilor dacă sunt identificate lacune critice.