Comunicat referitor la implementarea cadrului de testare a rezilienței cibernetice TIBER-RO
04.05.2022
În baza atribuțiilor legale ce vizează promovarea și monitorizarea bunei funcționări a infrastructurilor pieței financiare, inclusiv în scopul asigurării securității acestora, Banca Națională a României a emis recent Regulamentul nr. 6/2022 privind cadrul de desfășurare a testelor de reziliență cibernetică TIBER-RO1, care a fost publicat în Monitorul Oficial nr. 432/03.05.2022.
Acest regulament are drept obiectiv implementarea cadrului TIBER-EU pentru testarea rezilienței cibernetice la nivelul sectorului financiar-bancar românesc. Cadrul a fost elaborat de Banca Centrală Europeană și este aplicabil infrastructurilor pieței financiare, instituțiilor de credit și altor instituții financiare. Regulamentul prevede realizarea unor teste controlate, pe mediul de producție, prin care se simulează atacuri de natură cibernetică din partea unor entități avansate și persistente, inclusiv grupări de crimă organizată sau actori statali, pe baza unei metodologii distincte și folosind informațiile privind amenințările și vulnerabilitățile specifice entității testate.
Regulamentul se aplică administratorilor de infrastructuri ale pieței financiare, aflați în aria de monitorizare a Băncii Naționale a României, precum și instituțiilor de credit desemnate drept participanți critici la infrastructurile pieței financiare. Aceste entități vor efectua un test de tip TIBER o dată la 3 ani. Celelalte instituții participante la infrastructurile pieței financiare pot să realizeze acest tip de teste în mod voluntar.
Regulamentul include și setul de cerințe specifice ce trebuie să fie îndeplinite de către furnizorii de servicii de testare, respectiv furnizorilor de informații privind amenințările, pentru a fi contractați de către entitățile testate.
Banca Națională a României va fi implicată în monitorizarea bunei desfășurări a acestor teste prin:
- Oferirea de asistență entităților implicate în realizarea testelor, astfel încât acestea să respecte pe baze continue prevederile regulamentului;
- Stabilirea calendarului testelor, în acord cu entitățile testate;
- Avizarea întregii documentații aferente testării;
- Monitorizarea implementării măsurilor stabilite în Planurile de remediere elaborate de către entitatea testată.
Cadrul TIBER este implementat în prezent în Belgia, Danemarca, Finlanda, Germania, Irlanda, Italia, Luxemburg, Marea Britanie, Norvegia, Olanda, Spania și Suedia.