Fraudele digitale avansate au crescut cu 180% in Romania in 2025, iar atacurile de tip phishing reprezinta 45% din totalul incidentelor raportate. Cu toate astea, cele mai multe firme romanesti nu au o procedura clara de raspuns. ISO 27001:2022 dedica 5 controale specifice gestionarii incidentelor (A.5.24 pana la A.5.28), iar OUG 155/2024 (transpunerea Directivei NIS2) impune raportarea incidentelor la DNSC in maximum 24 de ore.
Acest ghid iti arata ce inseamna un incident de securitate, cum il clasifici, cum raspunzi pas cu pas si ce termene legale trebuie sa respecti.
Ce este un incident de securitate a informatiei?
Un incident de securitate este un eveniment care compromite confidentialitatea, integritatea sau disponibilitatea datelor sau sistemelor tale. Nu orice eveniment suspect este un incident. ISO 27001 face distinctia prin controlul A.5.25: mai intai evaluezi daca evenimentul detectat (un email suspicios, o alerta din firewall, o tentativa de logare esuata) se califica drept incident.
Exemple concrete de incidente:
- Un angajat da click pe un link de phishing si furnizeaza credentialele de acces la email
- Ransomware cripteaza fisierele de pe serverul de contabilitate
- Un fost angajat acceseaza baza de date a clientilor dupa ce i-a fost dezactivat contul cu intarziere
- Un atac DDoS face inaccesibil site-ul companiei timp de 4 ore
- Un laptop cu date confidentiale este pierdut sau furat
Diferenta conteaza: daca un angajat primeste un email de phishing dar nu interactioneaza cu el, este un eveniment de securitate. Daca da click si introduce parola, devine incident.
Cum clasifici incidentele?
Nu toate incidentele necesita acelasi raspuns. Clasificarea determina cine este implicat, cat de repede trebuie sa actionezi si daca trebuie sa raportezi la DNSC.
| Nivel | Criterii | Exemplu | Timp raspuns |
|---|---|---|---|
| Scazut | Fara compromitere de date, impact minim | Tentativa esuata de phishing detectata de filtru | 24-48 ore |
| Mediu | Compromitere limitata, un sistem afectat | Malware pe o statie de lucru izolata | 4-8 ore |
| Ridicat | Date personale expuse, mai multe sisteme | Ransomware pe server, bresa de date clienti | Imediat |
| Critic | Intrerupere operationala, impact financiar sau legal | Ransomware in retea, exfiltrare masiva de date | Imediat + raportare DNSC |
Controlul A.5.25 din ISO 27001 cere sa documentezi criteriile de clasificare si sa desemnezi o persoana responsabila cu declararea oficiala a incidentelor.
Cum arata procedura de raspuns, pas cu pas?
ISO 27001 cere prin controlul A.5.24 sa ai o procedura documentata care acopera intreg ciclul de viata al incidentului. Iata cele 6 etape:
-
Detectie si raportare. Angajatii, sistemele de monitorizare sau furnizorii semnaleaza un eveniment suspect. Controlul A.6.8 cere canale dedicate de raportare (email dedicat, formular intern, linie telefonica). Timpul conteaza: cu cat detectezi mai repede, cu atat limitezi pagubele.
-
Evaluare si clasificare. Echipa de raspuns verifica daca evenimentul este un incident real si ii atribuie un nivel de severitate conform tabelului de mai sus. Documenteaza decizia.
-
Containment (izolare). Opresti propagarea. Dezconectezi sistemul afectat de la retea, blochezi contul compromis, izolezi segmentul de retea. Nu sterge nimic inca: ai nevoie de dovezi.
-
Eradicare. Elimini cauza: stergi malware-ul, inchizi vulnerabilitatea exploatata, schimbi credentialele compromise. Verifici ca nu exista alte puncte de acces.
-
Recuperare. Restaurezi sistemele din backup, reactivezi serviciile si monitorizezi atent in urmatoarele 48-72 de ore pentru semne de reinfectare.
-
Lectii invatate. Controlul A.5.27 cere sa analizezi ce s-a intamplat, cum a functionat raspunsul si ce trebuie imbunatatit. Documenteaza concluziile si prezinta-le in sedinta de analiza de management. Controlul A.5.28 adauga cerinta de colectare a dovezilor daca incidentul poate duce la actiuni legale sau disciplinare.
Ce termene de raportare impune NIS2 in Romania?
Daca firma ta intra sub incidenta NIS2, raportarea la DNSC este obligatorie pentru incidentele cu impact semnificativ. OUG 155/2024 stabileste trei termene:
- 24 de ore de la identificarea incidentului: alerta initiala trimisa catre DNSC (ce s-a intamplat, impactul estimat, primele masuri luate)
- 72 de ore: raport detaliat cu analiza cauzelor, sistemele afectate, masurile de containment si eradicare
- 30 de zile: raport final cu analiza completa, lectii invatate si masurile preventive implementate
Pentru incidente cu impact transfrontalier, termenul pentru alerta initiala scade la 6 ore.
Nerespectarea termenelor poate duce la amenzi de pana la 10.000.000 EUR sau 2% din cifra de afaceri globala pentru entitatile esentiale. Contactul pentru raportare: [email protected].
Entitatile vizate de NIS2 includ firmele cu peste 50 de angajati sau cifra de afaceri peste 10 milioane EUR din sectoare precum energie, transport, sanatate, infrastructura digitala si servicii financiare.
Cum organizezi echipa de raspuns la incidente?
Sa ai un SRL de software din Cluj cu 35 de angajati. Vineri la 16:00, sistemul de monitorizare detecteaza trafic neobisnuit pe serverul de productie. Responsabilul IT verifica si confirma: ransomware. Serverul este izolat in 20 de minute, backup-ul restaurat din versiunea de joi seara, si luni dimineata sistemele sunt functionale. Costul: 2 zile de lucru ale echipei IT si 4 ore de downtime. Fara procedura, aceeasi firma ar fi pierdut o saptamana incercand sa descifreze fisierele.
Nu ai nevoie de un departament dedicat. Pentru o firma de 20-50 de angajati, o echipa de raspuns de 3 persoane este suficienta:
- Responsabilul de securitate (coordoneaza raspunsul, comunica cu managementul si DNSC)
- Un specialist tehnic (investigheaza, izoleaza, eradica)
- Un reprezentant al managementului (aproba deciziile, gestioneaza comunicarea externa)
Rolurile trebuie documentate in procedura de gestionare a incidentelor. Fiecare persoana trebuie sa stie ce face inainte ca incidentul sa apara. Controlul A.5.24 cere ca procedura sa fie comunicata tuturor angajatilor, nu doar echipei de raspuns.
Ce controale ISO 27001 acopera gestionarea incidentelor?
ISO 27001:2022 grupeaza controalele de gestionare a incidentelor in Anexa A:
- A.5.24: Planificarea si pregatirea raspunsului la incidente (proceduri, roluri, responsabilitati)
- A.5.25: Evaluarea si decizia asupra evenimentelor de securitate (clasificare)
- A.5.26: Raspunsul la incidente (actiuni conform procedurii documentate)
- A.5.27: Invatarea din incidente (analiza post-incident, imbunatatire)
- A.5.28: Colectarea dovezilor (lant de custodie, pastrare probe)
- A.6.8: Raportarea evenimentelor de securitate (canale de raportare pentru angajati)
Aceste 6 controale formeaza un ciclu complet. Daca ai deja politica de securitate a informatiei si ai trecut prin evaluarea riscurilor, procedura de gestionare a incidentelor se construieste pe baza lor.
Auditorul ISO 27001 va verifica nu doar ca ai procedura scrisa, ci ca angajatii stiu sa o aplice. Simularile periodice (cel putin o data pe an) sunt cea mai buna dovada.