Vorschriften zur Zertifizierung von Sicherheitsprüfern im kybernetischen Bereich

Der Beschluss des Generalsekretariats der Regierung (SGG) Nr. 559/2021 über die Genehmigung der Verordnung zur Bescheinigung und Überprüfung von Cybersicherheitsprüfern wurde im Amtsblatt Nr. 387 vom 14. April 2021.

Durch dieses Dokument sind spezielle Regeln für die Bescheinigung und Überprüfung von Cyber-Sicherheitsprüfern in Kraft getreten, Spezialisten, die im Cyber-Sicherheitsgesetz – NIS  – Gesetz– (Gesetz 362/2018) genannt – angegeben sind.

Insbesondere Unternehmen, die Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste sind (unter anderem Netzbetreiber, Versorger oder medizinische Einheiten), benötigen diese Spezialisten regelmäßig, um Systemprüfungsvorgänge durchzuführen, als Verpflichtung zur Cybersicherheit.

Es ist wichtig zu beachten, dass das Gesetz hauptsächlich Transportunternehmen (Luft, Schiene, Straße oder Wasser), Krankenhäuser und medizinische Kliniken, Energieversorger (Erdgas, Strom) und Trinkwasser oder Banken betrifft. Diese Arten von Unternehmen sind gesetzlich verpflichtet, Sicherheitsmaßnahmen wie Audits zu ergreifen, um Cyber-Angriffe zu verhindern, die das Geschäftsumfeld und die Bevölkerung ernsthaft beeinträchtigen können.

Gemäß der Verordnung (EG) Nr. 559/2021 können Prüfer für Cybersicherheit zertifizierte rumänische Staatsbürger sowie Staatsbürger eines anderen Mitgliedstaats der Europäischen Union oder des Europäischen Wirtschaftsraums oder juristische Personen mit zertifiziertem Personal sein, die die Anforderungen erfüllen Regulierung und die eine Aktivität durchführen möchten, durch die eine systematische Bewertung aller auf der Ebene von Computernetzwerken und -systemen implementierten Richtlinien, Verfahren und Schutzmaßnahmen durchgeführt wird, um Funktionsstörungen und Schwachstellen zu identifizieren und Lösungen zu ihrer Behebung bereitzustellen. o Übungen in Rumänien unabhängig oder als Angestellte juristischer Personen.

Wir betonen, dass die genannte Verordnung weder auf der Ebene der Institutionen aus dem Verteidigungssystem, der öffentlichen Ordnung und der nationalen Sicherheit im Bereich des Schutzes kritischer Infrastrukturen noch auf der Ebene der Cyberinfrastrukturen gilt, die Verschlusssachen verbreiten.

Zuständige Behörde auf nationaler Ebene:

Für die Ausstellung, den Widerruf oder die Erneuerung von Zertifikaten von Cybersicherheitsprüfern, die Prüfungen in Netzwerken und Computersystemen durchführen können, die wesentliche Dienste unterstützen oder digitale Dienste bereitstellen, ist das National Cyber ​​Security Incident Response Center (CERT-RO) die zuständige Behörde auf nationaler Ebene in Übereinstimmung mit den Bestimmungen von Art. 15 Abs. (1) in Verbindung mit art. 20 Buchstabe p) des NIS-Gesetzes.

Die zuständige Behörde auf nationaler Ebene organisiert und verwaltet den Bescheinigungs- und Überprüfungsprozess der Cybersicherheitsprüfer.

CERT-RO, stellt als zuständige Behörde auf nationaler Ebene Folgendes sicher:

1. Aufrechterhaltung und dauerhafte Aktualisierung des Nationalen Registers der Cybersicherheitsprüfer;

2. Erteilung, Verlängerung, Aussetzung oder Rücknahme der Zertifikate von Cybersicherheitsprüfern;

3. Bewertung des Sicherheitsrisikos in Bezug auf Sicherheitsprüfer und Prüfungsaktivitäten von Computernetzwerken und -systemen zusammen mit COSC-Institutionen;

4. Teilnahme am Prozess der Schulung / Spezialisierung von Prüfern, um als Prüfer für Cybersicherheit zertifiziert zu werden, sowohl durch die ausgearbeiteten Themen als auch in den Prüfungs- / Bewertungskommissionen;

5. die Überprüfung nach Erfüllung oder von Amts wegen der Erfüllung der ihnen obliegenden rechtlichen Verpflichtungen durch die zertifizierten Cybersicherheitsprüfer.

Daher werden die Zertifikate der Prüfer vom National Cyber ​​Security Incident Response Center (CERT-RO) ausgestellt, erneuert oder widerrufen.

Die Bescheinigung kann allgemein, speziell oder allgemein sein, abhängig von der Tätigkeit, die die natürliche oder juristische Person, die die Bescheinigung bei CERT-RO beantragt, ausführen kann.

Das Zertifikat wird auf Anfrage nach einem detaillierten Verfahren in der angegebenen Reihenfolge ausgestellt, und die Antragsteller müssen nachweisen, dass sie Erfahrung auf dem Gebiet der Kybernetik und bestimmter Zertifizierungen haben.

Cybersicherheitsprüfer:

Wie oben erwähnt, kann ein Cybersicherheitsprüfer jede natürliche oder juristische Person sein, die auf dem Gebiet Rumäniens die Sicherheitsüberprüfungsaktivitäten von Netzwerken und Informationssystemen durchführt, die wesentliche Dienste bereitstellen oder digitale Dienste bereitstellen, um Fehlfunktionen und Schwachstellen zu identifizieren und Lösungen bereitzustellen um sie zu beheben.

Der Cybersicherheitsprüfer führt seine Tätigkeit einzeln oder innerhalb eines Prüfungsteams aus und führt mindestens eine der Sicherheitsprüfungsaktivitäten durch, wie in Artikel 5 Absatz 1 der Verordnung 559/2021 beschrieben.

Cybersicherheitsprüfer sind von CERT-RO zertifiziert und ihre Aufzeichnungen werden im Nationalen Register der Cybersicherheitsprüfer geführt.

Die Qualität des Cybersicherheitsprüfers wird durch das gültige Prüferzertifikat nachgewiesen, das von der zuständigen Behörde auf nationaler Ebene für die Sicherheit von Netzen und Informationssystemen ausgestellt wurde.

Das Zertifikat des Cyber Security Auditors ist nominal, nicht übertragbar und 3 Jahre ab Ausstellungsdatum gültig.

Das Modell des Zertifikats finden Sie in Anhang Nr. 1.

ZERTIFIKAT FÜR

CYBERSICHERHEITSPRÜFER  

(S/N) ……./…………….. vom ……./……………../20……

Bei der Anwendung der Bestimmungen der Kunst. 20 lit. p) des Gesetzes Nr. 362/2018 zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Computernetzwerken und -systemen mit nachfolgenden Änderungen und Vervollständigungen, basierend auf den Bestimmungen der Kunst. 11 der Verordnung zur Bescheinigung und Überprüfung von Cybersicherheitsprüfern, genehmigt durch den Beschluss des Generalsekretärs der Regierung Nr. 559/2021, auf der Grundlage des abschließenden Bewertungsberichts Nr. ……………. von ……. / …… / 20 ……, erstellt von der zuständigen Behörde auf nationaler Ebene für Netzwerksicherheits- und Informationssysteme (ANSRSI)………………………………………………………………………………………………………………………………..,

(Name der juristischen Person / Name und Nachname)

mit Hauptsitz / Wohnsitz vor Ort ……………………………………. . ………………………, Gemeinde ……………….. . …………………………., UID/ CNP ………….. . ……………………….., Serie / Nr. RC / CI-Registrierung …………………………………. ist zertifiziert als:

CYBERSICHERHEITSPRÜFER

Eingetragen im National Register of Cyber ​​Security Auditors / IDASC ………………

Gültigkeitsdauer: ………/………/20…….-……../……./20……..

TYP ZERTIFIKAT: |_| generell/|_| speziell/|_| gemeinsam

Einschränkungen bei der Durchführung spezieller Prüfungstätigkeiten: |_| Nein|_| Ja

Speziell qualifizierte Prüfungsaktivitäten:

Audit Kode Quelle [AS3] |_| Nein|_| Ja | Penetrationsaudit [AS4] |_| |_| Nein|_| Ja

Die in dieser Verordnung behandelten Sicherheitsüberprüfungsaktivitäten sind:

1. Prüfung der Architektur [AS1] – besteht in der Überprüfung der Konformität der Sicherheitsmaßnahmen in Bezug auf die Auswahl, Positionierung und Implementierung der Hardware- / Softwaregeräte in den Netzwerken und Computersystemen, die Mindestsicherheitsanforderungen und die internen Richtlinien der wirtschaftlicher Betreiber.Das Audit kann auf Verbindungen mit Netzwerken Dritter, einschließlich des Internets, ausgedehnt werden.

2. Konfigurationsaudit [AS2] – besteht darin, die Umsetzung von Sicherheitsmaßnahmen gemäß dem Stand der Technik, Mindestsicherheitsanforderungen und Sicherheitsrichtlinien hinsichtlich der Konfiguration von Hardware- / Softwarekomponenten von Computernetzwerken und -systemen zu überprüfen.Diese Geräte können insbesondere Netzwerkgeräte, Betriebssysteme (Server oder Workstation), Anwendungen oder Sicherheitsprodukte sein.

3. Quellcode-Audit [AS3] – besteht aus einer vollständigen oder teilweisen Analyse des Quellcodes oder der Kompilierungsbedingungen einer Anwendung, um Schwachstellen im Zusammenhang mit unangemessenen Programmierpraktiken oder logischen Fehlern zu entdecken, die sich auf die Sicherheit von Netzwerken und Systemcomputern auswirken können Wissenschaft;

Penetrationsprüfung oder Penetrationstest [AS4] – besteht darin, Schwachstellen in Netzwerken und Computersystemen zu identifizieren und die Möglichkeiten ihrer Ausnutzung sowie die Auswirkungen ihrer Ausnutzung auf das Netzwerk unter den tatsächlichen Bedingungen eines Cyberangriffs auf Netzwerke zu überprüfen und Systeminformatik. Die Prüfungsaktivität kann entweder außerhalb des Netzwerks (insbesondere über das Internet oder über das miteinander verbundene Netzwerk eines Dritten) oder innerhalb des Netzwerks durchgeführt werden und ist eine Aktivität, die in Ergänzung zu anderen Prüfungsaktivitäten durchgeführt werden muss, um deren Wirksamkeit zu verbessern, oder die Machbarkeit der Ausnutzung der entdeckten Schwachstellen zu demonstrieren;

1. das Sicherheitsaudit der Organisation [AS5] – besteht aus dem Audit der Organisation hinsichtlich der logischen und physischen Sicherheit und soll sicherstellen, dass die vom Wirtschaftsbetreiber (Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste) festgelegten Sicherheitsrichtlinien und -verfahren eingehalten werden:

• die die Sicherheitsanforderungen des geprüften Wirtschaftsteilnehmers, das technologische Niveau und die geltenden Standards erfüllen;

• die die durchgeführten technischen Maßnahmen korrekt abschließt;

• die effektiv umgesetzt werden.

Der Cybersicherheitsprüfer sollte auch sicherstellen, dass die physischen Aspekte der Sicherheit von Netzwerken und Informationssystemen angemessen abgedeckt werden. Diese Tätigkeit muss in Ergänzung zu anderen Prüfungshandlungen durchgeführt werden, um deren Wirksamkeit zu verbessern.

Prüfung industrieller Steuerungssysteme [AS6] – besteht in der Bewertung des Sicherheitsniveaus eines industriellen Steuerungssystems und der zugehörigen Steuergeräte. Die Sicherheitsbewertung impliziert die Anwendung der Prüfungsaktivitäten aus dem Schreiben a) die lit. e) dieses Artikels.

Sicherheitsüberprüfungsaktivitäten sind unterteilt in:

1. a) besondere Aktivitäten: [AS3] und [AS4];

2. b) gemeinsame Aktivitäten: [AS1], [AS2] und [AS5];

3. c) gemischte Aktivitäten: [AS6].

Gemischte Aktivitäten umfassen spezielle und normale / gemeinsame Aktivitäten. In diesem Zusammenhang setzt die Prüfungstätigkeit der industriellen Steuerungssysteme die Entwicklung aller besonderen und gemeinsamen Tätigkeiten voraus.

Für jede Prüfungsaktivität stellt der Prüfer für Cybersicherheit einen Prüfungsbericht mit Empfehlungen zur Verfügung.

Nationales Register der Cybersicherheitsprüfer

CERT-RO bildet auf der Ebene der zuständigen Behörde auf nationaler Ebene das nationale Register der Prüfer für Cybersicherheit, das ständig gepflegt und aktualisiert wird.

Das Register ist in elektronischer Form auf den in Art. 1 vorgestellten Bescheinigungsvarianten aufgebaut. 6 Abs. (2) – allgemeine / spezielle / allgemeine Bescheinigung – und enthält Daten und Informationen zu den Cybersicherheitsprüfern, die dem Prozess der Bescheinigung, des Widerrufs oder der Aussetzung der Cybersicherheitsbescheinigung unterliegen.

Um die Betreiber wesentlicher Dienste, die Anbieter digitaler Dienste sowie die Regulierungs- und Verwaltungsbehörden der Sektoren und Teilsektoren auf der Grundlage des Nationalen Registers der Prüfer für Cybersicherheit zu informieren, erstellt, aktualisiert und veröffentlicht die zuständige Behörde auf nationaler Ebene diese dauerhaft auf der Website der Institution Cybersicherheitsprüfer.

Die Ausstellung, der Widerruf und die Erneuerung von Zertifikaten für Cybersicherheitsprüfer werden von der zuständigen Behörde auf nationaler Ebene in ihren eigenen Aufzeichnungen / Datenbanken erfasst..

Rechtliche Grundlage:

– OSGG 559/2021 über die Genehmigung der Verordnung zur Bescheinigung und Überprüfung von Cybersicherheitsprüfern;

– Gesetz 362/2018 zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Computernetzwerken und -systemen.