Cyber Security Consultat hourly rate / Cybersecurity Consultant rates / Freelance Cyber Security consultant salary / Entry Level Cyber security salary per hour / Independent cyber security consultant / How much do Cyber Security consultants make?

Directory / Normatieve handelingen

Grondwet	Regelgeving
Codes	Uitvoeringsregelingen
Regelgeving	Laatste nummer van DV
Wetten

TOEVOEGEN AAN MIJN HANDELINGEN

VERORDENING INZAKE MINIMUMEISEN VOOR NETWERK- EN INFORMATIEBEVEILIGING
Geldig vanaf 26.07.2019 Aangenomen met PMS nr. 186 van 19.07.2019.

Uitspr. DV. Nee. 59 van 26 juli 2019 , gewijzigd DV. Nee. 36 van 13 mei 2022 , gewijzigd DV. Nee. 47 van 24 juni 2022

Om deze pagina te kunnen bekijken heeft u Adobe Flash Player 9 (of hoger) gelijkwaardige ondersteuning nodig!

Hoofdstuk een.
ALGEMEEN

Domein

Kunst. 1. (1) Deze verordening is van toepassing op de volgende entiteiten: 1. de bestuursorganen; 2. de aanbieders van essentiële diensten in de zin van de

Cybersecuritywet met betrekking tot hun netwerken en informatiesystemen die worden gebruikt bij de levering van essentiële diensten; 3. digitale dienstverleners in de zin van de

Cybersecuritywet met betrekking tot hun netwerken en informatiesystemen die worden gebruikt bij het leveren van digitale diensten; 4. de personen die openbare functies uitoefenen die niet zijn gedefinieerd als aanbieders van essentiële diensten in de zin van de

wet op de cyberbeveiliging , wanneer deze personen langs elektronische weg administratieve diensten verlenen; 5. organisaties die openbare diensten verlenen die niet zijn gedefinieerd als aanbieders van essentiële diensten of geen aanbieders van digitale diensten in de zin van de

Cybersecuritywet , wanneer deze organisaties administratieve diensten langs elektronische weg verlenen. (2) De verordening regelt: 1. eisen aan de minimale maatregelen voor netwerk- en informatiebeveiliging; 2. aanbevolen maatregelen voor netwerk- en informatiebeveiliging; 3. regels voor het uitvoeren van controles op het voldoen aan de eisen van deze regeling; 4. de procedure voor het bijhouden, opslaan en raadplegen van het register van essentiële diensten op grond van

art. 6 van de Cyberbeveiligingswet ; 5. model incidentmeldingen.

Principes

Kunst. 2. (1) Door hun aard zijn netwerk- en informatiebeveiligingsmaatregelen organisatorisch, technologisch en technisch en worden ze toegepast in overeenstemming met de specifieke kenmerken van de activiteit van de Entiteit en moeten ze passend en evenredig zijn met de risico’s voor het bereiken van de hoofddoelen van netwerk- en informatiebeveiliging. beveiliging. (2) De maatregelen onder par. 1 de hoofddoelstellingen van netwerk- en informatiebeveiliging waarborgen, namelijk het behoud van toegankelijkheid, integriteit (integriteit en beschikbaarheid) en vertrouwelijkheid van informatie gedurende de gehele levenscyclus (creatie, verwerking, opslag, overdracht en vernietiging) in en door de informatie- en communicatie systemen van de entiteit. (3) De maatregelen onder par. 1 in overeenstemming zijn met de vereisten van de nationale rechtshandelingen, de verordeningen van de Europese Unie en de normen die door het Onderwerp zijn aangenomen en toegepast, rekening houdend met de korte termijn, de belangrijkste en algemene veiligheidsrisico’s voor de relevante sector. (4) De maatregelen voor netwerk- en informatiebeveiliging worden geïmplementeerd in overeenstemming met de richtlijnen van de toepasselijke internationale normen gespecificeerd in

bijlage nr. 1 , de aanbevelingen van fabrikanten en leveranciers van software en hardware, evenals met de goede praktijken die worden aanbevolen door toonaangevende organisaties op het gebied van veiligheid. (5) De maatregelen onder par. 1 zou moeten zijn: 1. heterogeen – het bereiken van elk van de doelen van netwerk- en informatiebeveiliging wordt gerealiseerd met verschillende aard en specifieke maatregelen, wat een voorwaarde schept voor meerlaagse bescherming, of de zogenaamde “diepe verdediging”; 2. concreet en waarneembaar om ervoor te zorgen dat de maatregelen daadwerkelijk worden uitgevoerd; 3. efficiënt – om de grootste impact te hebben op potentiële bedreigingen, waarbij onnodige besteding van middelen wordt vermeden; 4. evenredig aan de risico’s – met het oog op een optimale verhouding tussen kosten en baten bij het realiseren van de doelstellingen van netwerk- en informatiebeveiliging; 5. verifieerbaar – garantie dat de entiteit de relevante nationale bevoegde autoriteit in de zin van

art. 16 van de wet op cyberbeveiliging bewijs van hun effectieve implementatie in overeenstemming met de vereiste van

art. 16, alinea 3 van dezelfde wet. (6) De in deze verordening gespecificeerde minimummaatregelen voor netwerk- en informatiebeveiliging zijn niet gebonden aan bepaalde technologieën.

Hoofdstuk twee.
MINIMALE MAATREGELEN VOOR NETWERK- EN INFORMATIEBEVEILIGING

Sectie I.
Beheer van netwerk- en informatiebeveiliging

Verdeling van rollen en verantwoordelijkheden

Kunst. 3. (1) Het bestuursorgaan, respectievelijk het hoofd van de entiteit op grond van

art. 1, alinea. 1, artikelen 2 – 5 : 1. draagt de directe verantwoordelijkheid voor netwerk- en informatiebeveiliging binnen de reikwijdte van de regeling, ook wanneer de activiteit is opgedragen aan derden; 2. voorwaarden schept voor de implementatie van een complex stelsel van maatregelen voor het beheer van deze beveiliging in de zin van de internationale norm BDS ISO/IEC 27001; het systeem omvat alle beveiligingsgebieden die van invloed zijn op de netwerk- en informatiebeveiliging van de Betrokkene, inclusief de fysieke beveiliging van informatie- en communicatiesystemen; 3. voorziet in de nodige middelen voor de uitvoering van organisatorische, technische en technologische maatregelen die in verhouding staan tot en adequaat zijn voor de risico’s, en een hoog niveau van netwerk- en informatiebeveiliging garanderen binnen het toepassingsgebied van de verordening; 4. oefent controle uit op het niveau van netwerk- en informatiebeveiliging door: a) organisatie van audits in de zin van

art. 35, alinea. 1, items 1 en 3 om aan te tonen dat de genomen maatregelen voldoen aan de eisen van de normatieve wetten en de aangenomen normen; b) het ten minste eenmaal per jaar uitvoeren van een periodieke toetsing van de netwerk- en informatiebeveiliging en de toereikendheid van de genomen maatregelen; 5. bepaalt, documenteert en legt verantwoordelijkheden op voor de implementatie, controle en bewustwording van alle processen en activiteiten die verband houden met de ontwikkeling, het onderhoud en de werking van informatie- en communicatiesystemen, met inachtneming van het principe dat een persoon zijn eigen activiteit niet kan beheersen. (2) De persoon onder para. 1 wijst een medewerker of beheerseenheid die verantwoordelijk is voor netwerk- en informatiebeveiliging aan als: 1. de werknemer of de eenheid die verantwoordelijk is voor netwerk- en informatiebeveiliging is direct ondergeschikt aan het bestuursorgaan, onderscheidenlijk aan het hoofd van het Onderwerp, ex

art. 1, alinea. 1, items 2 – 5 om direct te informeren over de toestand en problemen in netwerk- en informatiebeveiliging; 2. aanbevolen functies van de medewerker of de eenheid die verantwoordelijk is voor netwerk- en informatiebeveiliging zijn beschreven in

bijlage nr. 6 . (3) Wanneer de entiteit territoriale structuren en gedistribueerde informatiesystemen heeft, wordt voor elk van deze structuren een medewerker aangewezen die verantwoordelijk is voor netwerk- en informatiebeveiliging.

Veiligheidsbeleid

Cyber Security Consultant hourly rate / Cybersecurity Consultant rates / Freelance Cyber Security consultant salary / Entry Level Cyber security salary per hour / Independent cyber security consultant / How much do Cyber Security consultants make? cyber security consultant resume / Physical security Consultant Resume/ Proffesional summary for cyber security Analyst / Cybersecurity cv pdf / Cyber security Enineer resume / Senior cyber Security Resume.

Kunst. 4. (1) De proefpersonen ontwikkelen en stellen hun eigen beleid voor netwerk- en informatiebeveiliging vast, dat regelmatig, maar niet minder vaak dan één keer per jaar, wordt herzien en indien nodig wordt bijgewerkt. (2) Het beleid bevat de strategische doelen van de Entiteit voor netwerk- en informatiebeveiliging en de aanpak om deze te bereiken in overeenstemming met haar algemene strategische en operationele doelen, regelgeving en contracten, huidige en potentiële interne en externe bedreigingen voor het bereiken van deze doelen en om de veiligheid van de informatie. (3) Het beleid heeft betrekking op of omvat alle relevante specifieke beleidslijnen voor de beveiliging van informatie- en communicatiesystemen, zoals informatie-uitwisseling, gebruik van mobiele apparaten, werken op afstand, gebruik van cryptografische mechanismen, toegangs- en authenticatiebeheer, ontwikkeling van nieuwe systemen, incidentbeheer, relatie met derden, vergroten van de kwalificaties en het bewustzijn van werknemers met betrekking tot netwerk- en informatiebeveiliging, enz.

Gedocumenteerde informatie

Kunst. 5. (1) Om verliezen als gevolg van incidenten te verminderen door de responstijd en de oplossing ervan te verkorten, en om de waarschijnlijkheid van het optreden van incidenten veroorzaakt door menselijke fouten te verminderen, houdt de Entiteit de volgende documentatie bij: 1. inventarisatie van informatiemiddelen; 2. fysiek aansluitschema; 3. logisch schema van informatiestromen; 4. documentatie van het constructieve kabelsysteem; 5. technische, operationele en gebruikersdocumentatie van de informatie- en communicatiesystemen en hun componenten; 6. instructies/interne regels voor alle activiteiten met betrekking tot het beheer, de werking en het onderhoud van hard- en software; 7. interne regels voor werknemers die hun rechten en plichten specificeren als gebruikers van diensten die worden geleverd via informatie- en communicatiesystemen, zoals het gebruik van pc’s, toegang tot bedrijfsnetwerkbronnen, genereren en opslaan van wachtwoorden, toegang tot internet, werken met elektronische post , documentcirculatiesystemen en andere interne afdelingssystemen, printen, faxen, gebruik van verwijderbare media in elektronische vorm, gebruik van draagbare opnameapparatuur, enz. (2) De documentatie onder par. 1 zou moeten zijn: 1. ondubbelzinnig geïdentificeerd als titel, versie, datum, auteur, nummer en/of etc.; 2. up-to-date gehouden, beoordeeld en indien nodig minimaal één keer per jaar geactualiseerd; 3. goedgekeurd door een bestuursorgaan, onderscheidenlijk door het hoofd van de proefpersoon op grond van

art. 1, alinea. 1, punten 2 t/m 5 of door een door hem gemachtigde persoon; 4. geclassificeerd in de zin van

art. 6 ; 5. alleen toegankelijk voor personen die het nodig hebben bij de uitvoering van hun officiële taken. (3) De proefpersoon houdt informatie bij die op onweerlegbare wijze aantoont dat aan de vereisten van deze verordening is voldaan. (4) De informatie onder par. 3: 1. wordt up-to-date gehouden; 2. is alleen beschikbaar voor: a) die personen die het nodig hebben bij de uitvoering van hun officiële taken uit hoofde van werk, dienst of contractuele relaties; b) vertegenwoordigers van de relevante nationale bevoegde autoriteiten volgens

art. 16, alinea 5 van de Cyberbeveiligingswet ; c) andere organisaties die zijn gemachtigd door een rechtshandeling of contractuele relaties.

Classificatie van informatie

Kunst. 6. (1) De entiteit stelt interne regels vast in de zin van

art. 5, alinea. 1, items 6 en 7 voor classificatie van informatie, die aangeven hoe de informatie waarover de organisatie beschikt, moet worden gemarkeerd, gebruikt, verwerkt, uitgewisseld, opgeslagen en vernietigd. Een aanbevolen classificatie wordt gegeven in

aanhangsel nr. 2 . (2) De regels onder para. 1 voldoende, adequate en dreigingsproportionele beveiliging van de informatie waarborgen, gelet op het belang, de gevoeligheid en de normatieve eisen die daaraan worden gesteld. (3) De classificatie onder para. 1 is ook van toepassing op alle middelen die betrokken zijn bij het creëren, verwerken, opslaan, overdragen en vernietigen van informatie, en passende beschermingsmechanismen die overeenkomen met de bedreigingen die door de Betrokkene zijn geïdentificeerd, moeten hierop worden toegepast. (4) Het classificatieniveau moet correct worden toegepast op de gedocumenteerde informatie. (5) Voor de classificatie onder para. 1 staat het gebruik van classificatieniveaus voor informatiebeveiliging uit het toepassingsgebied van de

wet op de bescherming van gerubriceerde informatie , evenals hun symbool, niet toe. (6) Niet-gerubriceerde informatie is beschikbaar voor algemeen gebruik met inachtneming van standaard auteursrechtregels en er worden geen beschermingsmechanismen op toegepast. (7) Bij het uitwisselen van informatie wordt de TLP-classificatie (Traffic Light Protocol) gebruikt volgens

bijlage nr. 2 .

Risicomanagement

Kunst. 7. (1) De entiteit voert regelmatig, maar niet minder vaak dan eenmaal per jaar, een analyse en risicobeoordeling uit voor netwerk- en informatiebeveiliging, of wanneer significante wijzigingen nodig zijn in de doelen, interne en externe werkomstandigheden, informatie- en communicatie-infrastructuur, activiteiten of processen die onder het toepassingsgebied van deze verordening vallen. (2) Risicoanalyse en -beoordeling is een gedocumenteerd proces in de zin van

art. 5, alinea. 1, item 6 , waarin de niveaus van onaanvaardbare risico’s en de verantwoordelijkheden van de personen die deelnemen aan de afzonderlijke fasen van het proces zijn geregeld. (3) De analyse en risicobeoordeling worden uitgevoerd volgens een methodologie die meetbare, relatief objectieve en herhaalbare resultaten garandeert. De methodiek wordt goedgekeurd door het bestuursorgaan, respectievelijk door het vakhoofd op grond van

art. 1, alinea. 1, items 2 – 5 , en is beschikbaar voor de personen die zijn aangewezen om deel te nemen aan het proces. Een aanbevolen methodologie kan worden toegepast volgens

bijlage nr. 3 . (4) Op basis van de risicoanalyse en -beoordeling stelt de Proefpersoon een plan op om onaanvaardbare risico’s te verminderen, dat ten minste omvat: 1. passende en evenredige maatregelen om onaanvaardbare risico’s te beperken; 2. noodzakelijke middelen voor de uitvoering van deze maatregelen; 3. deadline voor het implementeren van de maatregelen; 4. verantwoordelijke personen.

Beheer van informatiemiddelen

Kunst. 8. (1) De proefpersoon stelt interne regels vast in de zin van

art. 5, alinea. 1, punt 6 , het regelen van het levenscyclusbeheerproces van informatie- en communicatiesystemen en hun componenten. In het huishoudelijk reglement moeten op ondubbelzinnige wijze de voorwaarden, wijze en procedure voor verwerving, ingebruikname, onderhoud, verplaatsing/export, buitengebruikstelling en vernietiging van informatie- en communicatiesystemen en hun onderdelen worden omschreven. (2) De inventarisatie van informatiemiddelen in de zin van

art. 5, alinea. 1, item 1 bevat informatie die nodig is voor het oplossen van incidenten, risicoanalyse en -beoordeling, beheer van kwetsbaarheden en wijzigingsbeheer, zoals: 1. unieke identificatie, zoals inventaris, serienummer, etc.; 2. basiskenmerken; 3. diensten, processen en activiteiten waaraan zij deelneemt; 4. locatie; 5. productiejaar, indien van toepassing; 6. datum van ingebruikname, indien van toepassing; 7. versie indien van toepassing; 8. locatie van gerelateerde documentatie (technisch, operationeel, gebruiker, etc.); 9. verantwoordelijke persoon.

Beveiliging van personeel

Kunst. 9. (1) Om het risico op ongevallen, opzettelijk of onopzettelijk veroorzaakt door werknemers, te verminderen, zorgt de Entiteit er door middel van interne regels en instructies voor dat werknemers die verband houden met de processen en activiteiten die binnen het toepassingsgebied van de verordening vallen, over de juiste kwalificaties, kennis en vaardigheden beschikken om uitvoeren van hun verantwoordelijkheden. (2) De interne regels onder par. 1 regelen: 1. het aanwervingsproces in overeenstemming met de toepasselijke wet- en regelgeving, de beroepsethiek en in overeenstemming met de vereisten met betrekking tot hun activiteit – de classificatie van de informatie waartoe ze toegang hebben en de veronderstelde risico’s; 2. verantwoordelijkheden en verplichtingen met betrekking tot informatiebeveiliging bij beëindiging of wijziging van het dienstverband/contractuele relaties; 3. disciplinaire procedure voor de personen onder para. 1, die een overtreding hebben begaan met betrekking tot het beleid en de interne regels voor netwerk- en informatiebeveiliging. (3) Verantwoordelijkheden van personen onder par. 1 met betrekking tot informatiebeveiliging zijn gedocumenteerd met duidelijk gedefinieerde voorwaarden en verplichtingen. (4) De proefpersoon zorgt voor het niveau van netwerk- en informatiebeveiliging door middel van: 1. passende professionele training om de kwalificaties van werknemers te verhogen in overeenstemming met de gebruikte apparatuur en technologieën; 2. medewerkers periodiek te instrueren om meer aandacht te besteden aan netwerk- en informatiebeveiliging; de briefing gebeurt volgens een goedgekeurd schema en gedocumenteerd op een manier die de traceerbaarheid garandeert.

Beheren van interacties met derden

Kunst. 10. (1) Bij het aangaan van relaties met leveranciers van goederen en diensten die “derden” worden genoemd, moet de Entiteit overeenstemming bereiken over vereisten voor netwerk- en informatiebeveiliging, waaronder: 1. voor beveiliging van informatie met betrekking tot de toegang van vertegenwoordigers van derden tot informatie en bedrijfsmiddelen van de Betrokkene; 2. te bewijzen dat de derde partij ook adequate maatregelen voor netwerk- en informatiebeveiliging implementeert, inclusief clausules om de toepassing van deze maatregelen aan te tonen door middel van documenten en/of het uitvoeren van audits; 3. voor transparantie in de toeleveringsketen; de derde partij moet de herkomst van de aangeboden hulpbron/dienst en de veiligheid ervan kunnen aantonen; 4. gevolgen van het niet naleven van informatiebeveiligingseisen; 5. aansprakelijkheid bij niet-naleving van de overeengekomen voorwaarden, kwantiteit en/of kwaliteit van de dienstverlening, waardoor een risico kan ontstaan voor het behalen van de doelstellingen van netwerk- en informatiebeveiliging; 6. voor interactie bij een incident, waaronder in ieder geval vallen: contactpunten, manier van melden, responstijd, tijd om werk te herstellen, voorwaarden voor het afsluiten van een incident. (2) De entiteit wijst een werknemer(s) aan die verantwoordelijk/verantwoordelijk is/zijn voor de naleving van de vereisten onder para. 1 en parameters op serviceniveau. (3) De proefpersoon stelt een actieplan op in geval van niet-naleving van de overeengekomen activiteiten en clausules met de derde partij.

Beheer van wijzigingen in informatiemiddelen

Kunst. 11. (1) De entiteit stelt interne regels vast voor het beheer van wijzigingen in de informatiemiddelen die belangrijk zijn voor haar activiteit in overeenstemming met de vereiste van

Art. 5, alinea. 1, item 6 om het risico te verminderen van incidenten die zich hebben voorgedaan als gevolg van wijzigingen in de informatiemiddelen die belangrijk zijn voor haar activiteit, en meer bepaald in de informatie- en communicatiesystemen en hun ondersteunende infrastructuur, in de processen en activiteiten, in de configuraties, in de software of in de firmware. (2) Alvorens de wijziging uit te voeren, moet de Betrokkene een analyse en risicobeoordeling uitvoeren in overeenstemming met

Art. 7 . (3) De wijzigingen zijn: 1. plan met deadlines en verantwoordelijkheden voor elke activiteit die vóór, tijdens en na de wijziging zal worden uitgevoerd; 2. maak vooraf afspraken met alle partijen die verantwoordelijk zijn voor de processen en activiteiten binnen de reikwijdte van de regeling; 3. goedgekeurd door het bestuursorgaan, onderscheidenlijk door het onderwerpshoofd op grond van

art. 1, alinea. 1, punten 2 t/m 5 , of door een door hem gemachtigde persoon; 4. op gepaste wijze bekendmaken aan alle geïnteresseerde partijen; het informeren van de belanghebbende partijen dient minimaal 3 dagen te gebeuren voordat de wijziging wordt aangebracht; 5. check in een testomgeving. (4) De entiteit moet een plan ontwikkelen om de systemen in hun vorige staat terug te brengen om de duur van een mogelijk incident als gevolg van de wijziging te verkorten.

Beveiliging bij de ontwikkeling en aanschaf van informatie- en communicatiesystemen

Kunst. 12. (1) Bij het ontwikkelen van projecten en technische taken omvat het onderwerp adequate en complexe vereisten voor netwerk- en informatiebeveiliging, gebaseerd op analyse en risicobeoordeling, om ervoor te zorgen dat het vereiste niveau van beveiliging van informatie, netwerken en informatiesystemen wordt al in het stadium van ontwikkeling en implementatie. (2) De entiteit stelt nieuwe informatie- en communicatiesystemen in werking zoals gepland en na met succes uitgevoerde en gedocumenteerde tests die de bescherming van informatie tegen verlies van toegankelijkheid, integriteit en vertrouwelijkheid aantonen.

Sectie II.
Bescherming

Segregatie

Kunst. 13. (1) De entiteit onderhoudt een informatie- en communicatie-infrastructuur die ervoor zorgt dat de informatie- en communicatiesystemen die verschillende functies uitvoeren, fysiek en/of logisch van elkaar gescheiden en geïsoleerd zijn, en ook dat ze gescheiden en geïsoleerd zijn van de informatie- en communicatiesystemen. communicatiesystemen van derden om de verspreiding van netwerk- en informatiebeveiligingsincidenten te beperken. (2) In het geval dat een bepaald systeem is samengesteld uit subsystemen, moet hun scheiding worden uitgevoerd op het laatste fysieke of logische niveau, en de webserver, applicatiesoftwareserver en databaseserver van een informatiesysteem moeten zich op verschillende machines bevinden en in verschillende netwerken.

Verkeersfiltering

Kunst. 14. (1) Het onderwerp zorgt ervoor dat het verkeer tussen individuele systemen en hun subsystemen wordt gecontroleerd door passende filtering (op IP-adres, op protocol, op poortnummer van de Transmission Control Protocol (TCP)/Internet Protocol (IP) stack, enz. n.) om mogelijke aanvallen te voorkomen en de verspreiding van incidenten te beperken. Verkeersfiltering moet plaatsvinden volgens vooraf gedefinieerde en goedgekeurde regels op basis van functionaliteit en beveiliging, die regelmatig moeten worden gecontroleerd op niet-gereguleerde wijzigingen en moeten worden bijgewerkt voor opkomende bedreigingen. (2) Onnodige TCP- en User Datagram Protocol (UDP)-poorten moeten worden uitgeschakeld door de gebruikte softwareoplossingen, hardwareapparaten en verkeersbeveiligings- en controleapparatuur adequaat te configureren.

Ongeoorloofd gebruik van apparaten

Kunst. 15. (1) De entiteit stelt duidelijk omschreven beleidslijnen vast met betrekking tot het gebruik van: 1. persoonlijke technische middelen in het netwerk dat ze beheren; 2. draagbare opnameapparatuur. (2) Het beleid wordt weerspiegeld in de interne regels, waarbij passende en wederzijdse maatregelen worden genomen voor de uitvoering ervan.

Cryptografie

Kunst. 16. (1) De proefpersoon ontwikkelt een beleid en interne regels volgens

art. 5, alinea. 1, item 6 voor de toepassing van cryptografische mechanismen die worden gebruikt om de vertrouwelijkheid en integriteit van gevoelige informatie te waarborgen in overeenstemming met de classificatie ervan. (2) Cryptografische mechanismen houden rekening met de kwetsbaarheid van de informatie voor bedreigingen van de vertrouwelijkheid en integriteit ervan en met de normatieve en regelgevende vereisten voor het aanmaken, opslaan en verzenden ervan.

Beheer van informatie- en communicatiesystemen

Kunst. 17. (1) De proefpersoon implementeert de volgende maatregelen om de profielen met administratieve rechten voor de informatie- en communicatiesystemen en hun componenten te beschermen: 1. voor ingebruikname moeten de identificatiegegevens van de beheerder, standaard ingevoerd of geïnstalleerd door de fabrikant/leverancier van het informatiemiddel, worden gewijzigd; 2. beheerdersprofielen zijn persoonlijk; 3. beheerdersprofielen worden alleen gebruikt voor administratieve doeleinden; 4. beheerdersprofielen worden alleen aangemaakt voor medewerkers die administratieve handelingen uitvoeren (installatie, configuratie, beheer, onderhoud, etc.); 5. de rechten van elke beheerdersaccount zijn zoveel mogelijk beperkt tot de functionele en technische perimeter van elke beheerder; 6. de gegevens voor de authenticatie van de beheerdersaccounts: a) zijn verschillend voor elk systeem; b) van de grootst mogelijke complexiteit zijn die door het systeem of zijn component is toegestaan; c) op passende wijze fysiek en logisch beschermd zijn opgeslagen, en alleen een bevoegde vertegenwoordiger van de Betrokkene heeft er toegang toe; 7. houdt een lijst bij van beheerdersprofielen voor informatie- en communicatiesystemen en hun componenten; 8. als een beheerder om objectieve redenen zijn functies niet volledig kan uitoefenen, worden de rechten van zijn beheerdersaccount voor de betreffende periode opgeschort; 9. minstens één keer per jaar worden de beheerdersprofielen herzien om hun relevantie te verifiëren. (2) Wachtwoorden voor authenticatie van beheerdersprofielen moeten worden gewijzigd: 1. periodiek – minstens één keer per jaar; 2. bij beëindiging van contractuele relaties met werknemers of derden bij wie deze gegevens bekend waren; 3. bij een inbreuk op de netwerk- en informatiebeveiliging. (3) Alle operaties, processen en activiteiten in de informatie- en communicatiesystemen en hun componenten, uitgevoerd met beheerdersrechten, zijn gedocumenteerd in de zin van

art. 5, alinea. 3 en 4 voor elk beheerdersprofiel en in overeenstemming met de vereisten van

Art. 29, alinea. 2, 4, 5 en 6 . (4) In de documentatie onder par. 3 beheerdersprofielwachtwoorden worden niet ingevoerd of opgeslagen in platte tekst of hash-vorm.

Administratieve omgeving

Kunst. 18. (1) De proefpersoon gebruikt een aparte, goed beveiligde omgeving (netwerk, systeem, software, enz.) voor het beheer van de informatie- en communicatiesystemen en hun componenten. Deze omgeving dient geïsoleerd te zijn van de overige informatie- en communicatiesystemen van de Betrokkene en van internet en mag niet voor andere doeleinden worden gebruikt. (2) In het geval dat het beheer van de informatie- en communicatiesystemen en hun componenten niet wordt uitgevoerd via de middelen onder para. 1 moeten de stromen van deze informatie worden beschermd door authenticatie- en coderingsmechanismen.

Toegangsbeheer

Kunst. 19. Het subject is alleen verplicht toegang te verlenen tot zijn informatie- en communicatiesystemen aan een gebruiker of een geautomatiseerd proces wanneer deze toegang strikt noodzakelijk is voor de gebruiker om zijn taken te vervullen, of voor het geautomatiseerde proces om de nodige technische handelingen uit te voeren. Om ervoor te zorgen dat alleen geautoriseerde gebruikers, apparaten (inclusief andere informatiesystemen) en geautomatiseerde processen toegang hebben tot haar informatie- en communicatiesystemen, doet de Entiteit het volgende: 1. in haar huishoudelijk reglement in de zin van

art. 5, alinea. 1, item 6 bepaalt: a) de toegangsrechten tot specifieke informatiemiddelen van de werknemers volgens hun functie; b) de procedure voor het aanvragen, wijzigen en beëindigen van toegang; 2. past dwingende maatregelen toe voor authenticatie, autorisatie en auditing van computernetwerken en -systemen, waarin ook eisen worden gesteld aan een bepaalde complexiteit van authenticatiegegevens; als wachtwoorden worden gebruikt: a) ze moeten kleine en hoofdletters, cijfers en speciale tekens bevatten; b) hun lengte mag niet minder zijn dan 8 tekens voor gebruikersprofielen en 12 tekens voor beheerdersprofielen; c) wachtwoorden van gebruikersaccounts moeten regelmatig worden gewijzigd voor een periode van maximaal zes maanden; 3. zorgt ervoor dat gebruikersprofielen individueel zijn; in het dagelijkse werk moeten profielen worden gebruikt met het laagste toegangsniveau dat de uitvoering van officiële taken mogelijk maakt; 4. zorgt ervoor dat de personen die gerechtigd zijn om de verlening, wijziging en schorsing van toegang te vragen, gedefinieerd in het huishoudelijk reglement onder punt 1, letter “b”, de toegang regelmatig controleren, maar niet minder vaak dan eenmaal per jaar; tijdens deze reviews wordt vastgesteld of al diegenen die toegang krijgen tot het netwerk, tot de individuele systemen en/of applicaties daar volgens hun officiële plichten recht op hebben, of buitenstaanders toegang hebben en wat het is (ex-medewerkers, vertegenwoordigers van derden); ten behoeve van de toetsingen verstrekken de beheerders van de relevante informatie- en communicatiesystemen aan de personen die volgens de interne regels onder punt 1, letter “b” bevoegd zijn, een lijst van alle personen die toegang hebben tot het systeem en het toegangsniveau, en de bevoegde personen bevestigen of geven schriftelijk instructies voor wijziging; 5. het verlenen van geprivilegieerde toegang beperkt (hoger toegangsniveau of toegang tot een systeem waartoe de persoon geen toegang mag hebben in overeenstemming met de interne regels van lid 1); geprivilegieerde toegang mag alleen voor een bepaalde periode worden verleend en acties daarmee worden gecontroleerd; 6. ervoor zorgen dat toegang tot gedeelde bestanden en printers alleen is toegestaan vanaf het netwerk dat wordt beheerd door de Entiteit.

Toegang op afstand/beveiliging op afstand

Kunst. 20. Als het nodig is om toegang te krijgen tot informatiemiddelen buiten het netwerk dat wordt beheerd door de Betrokkene, zijn de vereisten van

Art. 19 , waaronder: 1. er wordt minimaal gebruik gemaakt van tweefactorauthenticatie; 2. er wordt alleen gebruik gemaakt van kanalen met een hoog beveiligingsniveau zoals Virtual Private Network (VPN); 3. File Transfer Protocol (FTP) en Remote Desktop Connection worden niet gebruikt.

Bescherming van hardwareapparaten

Kunst. 21. (1) Om het risico op ongevallen als gevolg van technische storingen te verminderen, is het onderwerp: 1. de door de fabrikant gespecificeerde airconditioning en mechanische condities levert; 2. bewaakt de randvoorwaarden van de voorwaarden onder punt 1; 3. voert gepland regelmatig technisch onderhoud van de apparaten uit in overeenstemming met haar levenscyclusbeleid. (2) Om het risico van ongeoorloofde toegang te verminderen, is de Entiteit verplicht om de apparaten te plaatsen in gebieden die fysiek en logisch beschermd zijn in overeenstemming met de classificatie van de informatie waarmee ze werken.

Software- en firmwarebeveiliging

Kunst. 22. (1) De entiteit installeert en onderhoudt alleen versies van de software en firmware die in haar systemen worden gebruikt die worden ondersteund door hun leveranciers of fabrikanten en die vanuit beveiligingsoogpunt up-to-date zijn. (2) Het bestuursorgaan, respectievelijk het hoofd van de proefpersoon op grond van

art. 1, alinea. 1, items 2 t/m 5 , keurt de software goed die wordt gebruikt in de informatie- en communicatiesystemen. (3) De entiteit onderhoudt een bibliotheek met distributies van de gebruikte software en firmware om de tijd die nodig is om een bepaald systeem na een crash te herstellen, te verkorten. (4) De proefpersoon neemt maatregelen om: 1. de installatie en het gebruik van niet-goedgekeurde software en firmware niet toestaan; 2. controle over de gebruikte software en firmware, inclusief de actualiteit ervan. (5) De proefpersoon stelt interne regels en instructies vast voor het reguleren van de acties op: 1. het up-to-date houden van de bibliotheek met distributies van de gebruikte software en firmware; 2. toegang ertoe beheren; 3. het opsporen van nieuw ontdekte kwetsbaarheden in de beveiliging van de software en firmware die in haar systemen worden gebruikt en van hun updates (nieuwe versies, updates en patches) die deze kwetsbaarheden elimineren, of maatregelen om ze te verminderen, gepubliceerd door fabrikanten of leveranciers; 4. het verkrijgen en verifiëren van de oorsprong en integriteit van de update voorafgaand aan de installatie en; 5. de implementatie van de updates en aanbevolen maatregelen, die moeten worden uitgevoerd in overeenstemming met de bepalingen van

Art. 11 . (6) De proefpersoon zorgt ervoor dat de apparaten en systemen worden geconfigureerd in overeenstemming met de beveiligingsaanbevelingen van hun respectieve leverancier of fabrikant, met toepassing van de vereisten van

bijlage nr. 4 . (7) De entiteit slaat een offline kopie op van de huidige configuratiebestanden en/of een beschrijving van de instellingen, en de toegang hiertoe moet worden gecontroleerd. Kopieën dienen regelmatig te worden gecontroleerd op kwaliteit en geschiktheid. (8) De proefpersoon controleert regelmatig de configuratiebestanden en instellingen van systemen en apparaten op niet-gereguleerde wijzigingen.

Malware bescherming

Kunst. 23. (1) De proefpersoon implementeert in zijn informatie- en communicatie-infrastructuur passende maatregelen ter bescherming tegen penetratie en maatregelen om schadelijke software op te sporen en aan te pakken. (2) Maatregelen ter bescherming tegen malware moeten: 1. waar mogelijk toe te passen op alle componenten van informatie- en communicatiesystemen; 2. up-to-date worden gehouden om bescherming te bieden tegen nieuw ontdekte bedreigingen. (3) Maatregelen ter bescherming tegen malware moeten het volgende mogelijk maken: 1. het uitvoeren van een volledige controle op de aanwezigheid van schadelijke software, ten minste eenmaal per week, indien van toepassing; 2. het controleren van e-mail en van internet gedownloade bestanden, evenals draagbare opnameapparaten, voordat ze worden geopend. (4) De entiteit evalueert regelmatig de doeltreffendheid van de maatregelen ter bescherming tegen kwaadaardige software en onderneemt, in het geval van geconstateerde zwakke punten, maatregelen om de bescherming te verbeteren.

Beveiliging van de webserver

Kunst. 24. (1) Het onderwerp neemt de volgende maatregelen om de webservers te beschermen: 1. installeert een certificaat op zijn webservers uitgegeven door een vertrouwd systeem van certificeringsinstanties; het certificaat moet: a) uit te geven voor de betreffende website (website) of groep van websites en uniek te zijn; b) gebruik een versleutelingsalgoritme van ten minste SHA2; c) up-to-date zijn, waarbij verlopen certificaten worden geannuleerd; 2. om de integriteit van de met gebruikers uitgewisselde informatie te beschermen, mag de website alleen toegankelijk zijn via het Hypertext Transfer Protocol Secure (HTTPS)-protocol, waarbij alleen gebruik wordt gemaakt van cryptografische transportprotocollen TLS (Transport Layer Security) versie 1.2, gedefinieerd in RFC 5246 van de IETF (The Internet Engineering Task Force) in 2008, versie 1.3, gedefinieerd in RFC 8446 van de IETF in 2018, of latere latere versies; 3. voor de versleuteling van de informatie die tussen de webserver en zijn gebruikers wordt uitgewisseld, gelden de vereisten van

art. 16 en rekening houdend met de verboden gepubliceerd in IETF RFC’s tegen het gebruik van coderingsmethoden in cryptografische transportprotocollen; 4. het implementeren van een geschikte Web Application Firewall (WAP) die het verkeer van en naar de betreffende applicatie bewaakt en filtert om webapplicaties te beschermen tegen cyberaanvallen zoals Cross-Site Request Forgery (CSRF), Cross-site Scripting (XSS), bestandsopname, SQL-injectie, enz.; 5. om het invoeren van gegevens door de gebruiker niet toe te staan, behalve op de daarvoor bestemde plaatsen; 6. alle invoergegevens die afkomstig zijn van de klant, inclusief door de gebruiker aangeleverde inhoud en browserinhoud, zoals referrer- en user-agent-headers, moeten worden gevalideerd; 7. de toepassingssoftware staat de invoer van speciale tekens niet toe, met name die welke worden gebruikt in SQL-query’s; 8. alle gegevens die door de klant worden verzonden en op een webpagina worden weergegeven, moeten HTML-gecodeerd zijn om ervoor te zorgen dat de inhoud wordt weergegeven als tekst in plaats van als een HTML-element of JavaScript; 9. ter bescherming tegen Denial of Service (DoS)-aanvallen: a) een limiet stellen aan verzoeken en in het bijzonder aan de maximale lengte van de inhoud, de maximale lengte van het verzoek en de maximale lengte van het verzoek per URL; b) om het type en de grootte van de headers te configureren die de webserver accepteert; c) om de duur van de verbinding te beperken (connection Timeout), de tijd waarin de server wacht op alle headers van het verzoek alvorens het te beëindigen, en het minimum aantal bytes per seconde bij het verzenden van een antwoord op een verzoek, om minimaliseer de impact van langzame HTTP-aanvallen; 10. ter bescherming tegen brute force-aanvallen, om een limiet in te voeren voor het aantal mislukte pogingen om het systeem binnen te dringen; 11. geen lijst met webdirectories weergeven; 12. cookies moeten hebben: a) beveiligingsvlag – deze vlag instrueert de browser dat de “cookie” alleen toegankelijk is via beveiligde SSL-kanalen; b) alleen HTTP markeren – instrueert de browser dat de “cookie” alleen toegankelijk is voor de server, en niet voor scripts, aan de clientzijde; 13. kopteksten van antwoorden op verzoeken, die de bescherming van zowel de klant als de website (website) moeten garanderen, met daarin de in

bijlage nr. 5 vermelde opties ; 14. plaats een robot.txt-bestand in de hoofddirectory van de website (website), dat instructies geeft aan de webrobots (bots/spiders) hoe vaak de site moet worden gecrawld, en welke delen ervan moeten worden gecrawld en geïndexeerd; als dit bestand niet bestaat, doorzoeken webrobots de hele site – elke pagina, subpagina, artikel, link, enz., wat een risico vormt voor de vertrouwelijkheid van informatie; 15. bij gebruik van een Content Management Systeem (CMS) om de standaardnaam van de map te wijzigen om toegang te krijgen tot het beheerderspaneel.

Domain Name System (DNS) bescherming

Kunst. 25. De entiteit moet de volgende maatregelen nemen om het DNS te beschermen: 1. bij gebruik van meer dan één DNS-server, moet elke server zich in een ander netwerk/subnet bevinden; 2. DNSSEC (Domain Name System Security Extensions) te implementeren; 3. om DNS-verzoeken te minimaliseren volgens de 2016 IETF RFC 7816; 4. om zone-overdrachten uit te schakelen – kwaadwillenden kunnen snel alle hosts in een bepaalde zone bepalen via DNS-zone-overdrachten, domeininformatie verzamelen, doelen voor aanvallen selecteren, ongebruikte IP-adressen ontdekken en netwerktoegangscontrole omzeilen om informatie te stelen; 5. zet in het configuratiebestand: a) dmarc-record (Domain-based Message Authentication, Reporting and Conformance); b) SPF-record (Sender Policy Framework).

Fysieke bewaking

Kunst. 26. (1) De entiteit zorgt voor fysieke bescherming van haar informatieactiva door passende en evenredige maatregelen te nemen tegen bedreigingen door ongeoorloofde fysieke toegang daartoe. Maatregelen moeten de beschikbaarheid, integriteit en vertrouwelijkheid van informatiemiddelen waarborgen. (2) De proefpersoon zorgt voor bescherming van zijn informatiemiddelen tegen brand, overstroming, chemische en fysieke verandering van de lucht door middel van passende maatregelen in overeenstemming met de normatieve wetten. (3) Om de effectiviteit van de geïmplementeerde maatregelen onder par. 1 en 2, voert de proefpersoon passende monitoring uit.

Beveiliging van industriële besturingssystemen

Kunst. 27. In het geval dat de Entiteit industriële controlesystemen gebruikt waarvan de werking en veiligheid afhangen van de essentiële diensten die zij levert, is zij verplicht om passende maatregelen te nemen voor hun bescherming in overeenstemming met de vereisten van de verordening, indien van toepassing.

Observatie

Kunst. 28. (1) De entiteit gebruikt een systeem/systemen voor automatische detectie van gebeurtenissen die van invloed kunnen zijn op de netwerk- en informatiebeveiliging van systemen die belangrijk zijn voor haar activiteit, door informatiestromen, protocollen en bestanden te analyseren die door belangrijke apparaten gaan die zo zijn geplaatst dat om alle stromen te analyseren die worden uitgewisseld tussen hun eigen informatie- en communicatiesystemen, evenals met de informatie- en communicatiesystemen van derden. (2) De proefpersoon organiseert, door middel van interne regels en/of instructies, acties voor het monitoren van en reageren op signalen van dit/deze systeem(en).

Systeemrecords (logboeken)

Kunst. 29. Met betrekking tot systeemrecords garandeert de Entiteit dat: 1. in applicatieservers die kritieke activiteiten ondersteunen, systeeminfrastructuurservers, netwerkinfrastructuurservers, beveiligingsfaciliteiten, stations voor engineering en onderhoud van industriële systemen, netwerkapparatuur en werkstations van beheerders, worden alle gebeurtenissen die daarmee verband houden automatisch geregistreerd in ieder geval met gebruikersauthenticatie , profielbeheer, toegangsrechten, wijzigingen in beveiligingsregels en werking van informatie- en communicatiesystemen; 2. het astronomische tijdstip waarop de gebeurtenis plaatsvond, wordt genoteerd in de registers voor elk van deze gebeurtenissen; 3. alle systeemcomponenten behouden een uniforme tijd in overeenstemming met de vereisten van: a) normen BDS ISO 8601-1 “Datum en tijd. Representaties voor informatie-uitwisseling. Deel 1: Basisregels” en BDS ISO 8601-2 “Datum en tijd. Representaties voor informatie-uitwisseling. Deel 2: Extensies”; de tijd voor het optreden van gebeurtenissen van juridisch of technisch belang wordt nauwkeurig gerapporteerd tot op het jaar, de datum, het uur, de minuut en de seconde, en indien technologisch noodzakelijk, is rapportage tot op de milliseconde ook toegestaan; b) het NTP V4-protocol (Network Time Protocol, versie 4.0 en later) op basis van IETF RFC 5905 uit 2010 wordt gebruikt voor kloksynchronisatie van informatie- en communicatiesysteemcomponenten, waarbij chronometrische bepaling wordt verschaft met de tijdschaal naar UTC (Coordinated Universal Time) , of vergelijkbaar; 4. toegang tot de informatie onder par. 1 is alleen beperkt tot personen die bewakingsverplichtingen hebben in de zin van

art. 30 , voor het oplossen van netwerk- en informatiebeveiligingsincidenten, voor het opsporen en onderzoeken van ernstige misdrijven en misdrijven onder

art. 319a – 319e van het Wetboek van Strafrecht in overeenstemming met

art. 14, alinea. 4, punt 2 en

art. 15, alinea. 3, punt 3 van de Cyberbeveiligingswet ; toegang tot deze informatie moet alleen-lezen zijn; 5. de informatie onder par. 1 wordt gearchiveerd en bewaard voor een periode van niet minder dan twaalf maanden in overeenstemming met de vereisten van

Art. 32 ; 6. De proefpersoon moet in staat zijn om de informatie onder para. 1 uit de verschillende bronnen en voer analyses uit om gebeurtenissen te detecteren die van invloed zijn op de netwerk- en informatiebeveiliging.

Beheer van netwerk- en informatiebeveiligingsincidenten

Kunst. 30. (1) In het huishoudelijk reglement in de zin van

art. 5, alinea. 1, punt 6, zijn alle activiteiten op het gebied van signaalverwerking en reactie op incidenten gereguleerd. (2) De interne regels onder par. 1 bevatten: 1. de procedure voor het doorgeven van signalen voor (potentiële) gebeurtenissen die een negatieve invloed hebben op de netwerk- en informatiebeveiliging; 2. informatie over de verantwoordelijken voor het incidentenregister; 3. de procedure om het signaal te registreren, te controleren op geloofwaardigheid, te classificeren, te prioriteren en vervolgens de afzender daarvan in kennis te stellen; 4. de procedure voor melding van het incident (functionele en hiërarchische escalatie); 5. de procedure voor het indienen van informatie over het oplossen van het incident; 6. de procedure voor het afsluiten van het incident; 7. het proces voor het verzamelen, opslaan en overhandigen van bewijsmateriaal, wanneer het incident de uitvoering van procedurele acties tegen een persoon of organisatie inhoudt, inclusief de nodige dossiers; 8. toegangsrechten tot het incidentenregister. (3) Het onderwerp ontwikkelt, verifieert en houdt actuele plannen bij voor het omgaan met incidenten die de meest ernstige gevolgen zouden hebben voor netwerk- en informatiebeveiliging. De plannen bevatten informatie over: 1. de verantwoordelijke van de organisatie bij een incident; 2. volgorde van informatie; 3. de te nemen maatregelen en de verantwoordelijke daarvoor; 4. de raadplegingsopdracht; 5. de procedure voor het bewaken van de parameters tijdens het incident; 6. de persoon die de nodige informatie zal verzamelen en opslaan, enz. (4) De proefpersoon ontwikkelt een communicatiestrategie die de procedure bepaalt voor het delen van informatie over het incident met werknemers, partners, leveranciers, klanten, media, overheidsinstanties.

Melding van incidenten

Kunst. 31. (1) In het geval van een netwerk- en informatiebeveiligingsincident moet de werknemer of de administratieve eenheid die verantwoordelijk is voor netwerk- en informatiebeveiliging in de zin van

art. 3, alinea. 2 , stel het relevante sectorale responsteam voor computerbeveiligingsincidenten op de hoogte van de incidenten binnen de termijnen vermeld in

art. 21, alinea. 4 en 5 en

art. 22 van de Cybersecuritywet . (2) Voor de kennisgeving onder par. 1 en onder

Art. 17, alinea. 7 van de wet op de cyberbeveiliging , wordt het formulier gebruikt dat is gespecificeerd in

bijlage nr. 7 . (3) Bij het voldoen aan de eis van

art. 17, alinea. 8 van de Cyber Security Act, sturen de sectorale responsteams voor computerbeveiligingsincidenten de geaggregeerde statistische informatie over incidenten naar het nationale responsteam voor computerbeveiligingsincidenten met behulp van het formulier gespecificeerd in bijlage nr.

8 . (4) In het geval dat de informatie onder par. 2 en 3 per e-mail wordt verzonden, moet deze goed zijn beschermd tegen toegang door onbevoegden en geclassificeerd zijn volgens

art. 6, alinea. 7 .

Sectie III.
Duurzaamheid

Back-up maken en archiveren van informatie

Kunst. 32. (1) Huishoudelijke regels/instructies in de zin van

art. 5, alinea. 1, item 6 zijn ontwikkeld in overeenstemming met de doelen en strategische richtlijnen die zijn gedefinieerd in het netwerk- en informatiebeveiligingsbeleid met betrekking tot de bescherming van informatie-integriteit in het geval van een incident dat de toegankelijkheid ervan beïnvloedt. (2) De interne regels/instructies onder par. 1 de processen, gerelateerde activiteiten en verantwoordelijkheden voor het boeken en archiveren van informatie regelen, en hun inhoud omvat ten minste: 1. de informatie (databases, configuratiebestanden, systeemimages, enz.) die worden gereserveerd en/of gearchiveerd; 2. de in te zetten technologie voor back-up en redundantie; 3. het type reservering (gedeeltelijk, volledig, enz.); 4. de periode van uitvoering van de archivering en back-up; 5. het aantal te maken kopieën; 6. de tijd voor het bewaren van elk exemplaar volgens de vereisten van de normatieve wetten en de risicobeoordeling; 7. de plaats van opslag van elk exemplaar; 8. de wijze van beveiliging tegen ongeautoriseerde toegang (fysiek en logisch); 9. gevallen van gebruik; 10. degene die toestemming geeft voor het gebruik. (3) Alle vereisten onder par. 2 worden bepaald door de eigenaar van de informatie of met zijn goedkeuring en moeten worden afgestemd op de tijd waarvoor deze moet worden hersteld om het noodzakelijke niveau van beschikbaarheid van de dienst te waarborgen. (4) Bij het reserveren en/of archiveren van informatie worden de volgende vereisten in acht genomen: 1. om regelmatig kopieën te maken in overeenstemming met het risico van informatieverlies en de dynamiek van de wijziging en; 2. de kopieën van informatie zijn gelabeld op een manier die in ieder geval duidelijk aangeeft wat de informatie is, voor welk systeem, welke methode is gebruikt om de kopie te maken, datum en tijd; 3. de kopieën van gevoelige informatie zijn versleuteld of in ieder geval beveiligd met een wachtwoord; 4. de kopieën van de informatie worden opgeslagen op een aparte machine en, indien mogelijk, op een ander beveiligd netwerk; 5. een van de kopieën van informatie die cruciaal is voor de activiteit wordt offline opgeslagen en, indien mogelijk, in een ander gebouw of op een afgelegen locatie; 6. regelmatig te controleren of de reservekopieën geschikt zijn, of ze voldoen aan de doeleinden waarvoor ze zijn gemaakt en of de noodzakelijke hersteltijd wordt gehaald.

Reservering van infrastructuurcomponenten

Kunst. 33. De proefpersoon neemt in overeenstemming met de risico’s passende maatregelen om het niveau van dienstverlening en activiteiten die binnen de reikwijdte van de regeling vallen te waarborgen, zoals: 1. reservering van systemen; 2. reserveringstoestellen; 3. load balancing van kritieke apparaten of systemen; 4. reservering van datacenters.

Continuïteit plannen

Kunst. 34. (1) De proefpersoon ontwikkelt plannen voor acties in geval van ongevallen, natuurrampen of andere onvoorziene omstandigheden die een onderbreking van de door hem verleende dienst zouden veroorzaken in overeenstemming met de vereisten van art

. 5, alinea. 1, punt 6 . (2) De plannen onder para. 1 bevatten: 1. de omstandigheden waarop ze betrekking hebben; 2. de drempels waarop ze worden geactiveerd; 3. de persoon die toestemming geeft voor activering; 4. de opdracht om diensten en activiteiten op een bepaald niveau te brengen. (3) De plannen onder para. 1: 1. periodiek worden gespeeld, maar niet minder dan eenmaal per jaar, om de relevantie ervan te controleren en de personen op te leiden die verantwoordelijk zijn voor de uitvoering ervan; 2. up-to-date worden gehouden; 3. zijn alleen toegankelijk voor de personen die verantwoordelijk zijn voor de uitvoering ervan; 4. worden opgeslagen op ten minste twee locaties, waarvan één buiten het gebouw waarin de systemen staan waarop ze betrekking hebben.

Hoofdstuk drie.
CONTROLE

Audits

Kunst. 35. (1) Controle van de naleving van de vereisten van hoofdstuk twee en de goedgekeurde normen wordt uitgevoerd door middel van: 1. interne audits (van de eerste partij), die door het Onderwerp worden georganiseerd en door haar medewerkers of door een derde worden uitgevoerd, maar namens haar; 2. externe audits door derden die worden georganiseerd door opdrachtgevers of leveranciers van het Onderwerp; 3. externe audits door derden uitgevoerd door onafhankelijke auditorganisaties, zoals uitvoerende controleorganen of organisaties die bevoegd zijn tot het uitvoeren van accreditatie of certificering. (2) De audits onder par. 1, items 2 en 3 zijn aanbevolen maatregelen. (3) De audits onder par. 1, punt 1 worden uitgevoerd in overeenstemming met de norm BDS EN ISO 19011 “Instructies voor het uitvoeren van een audit van managementsystemen”, de eisen van de norm BDS EN ISO/IEC 17020 “Assessment of Conformiteit”, waarbij ten minste het volgende in acht wordt genomen: 1. periodiek, maar niet minder vaak dan eenmaal per jaar, audits worden uitgevoerd; 2. audits worden uitgevoerd volgens gedocumenteerde en goedgekeurde procedures, jaarprogramma’s en plannen, die worden bekendgemaakt aan de personen die verantwoordelijk zijn voor het gecontroleerde gebied; 3. audits worden uitgevoerd door personen die beschikken over kwalificaties op het gebied van beheersing en over de nodige kennis en beroepservaring op het gebied van netwerk- en informatiebeveiliging; 4. de accountant neemt de beginselen van integriteit, onpartijdigheid, professionaliteit, onafhankelijkheid en vertrouwelijkheid in acht; 5. de commissaris kan zijn eigen activiteit niet controleren; 6. de resultaten van de audit worden gedocumenteerd en de medewerker die verantwoordelijk is voor het gecontroleerde gebied wordt hierover geïnformeerd; 7. in geval van niet-naleving van de eisen, worden de eis en de geconstateerde toestand gedetailleerd gedocumenteerd en wordt een deadline voor verwijdering aangegeven; 8. de resultaten van de audit zijn geclassificeerd als TLP-AMBER. (4) De proefpersoon legt de resultaten van de audits voor aan de relevante nationale bevoegde autoriteit overeenkomstig

art. 16, alinea 5 van de Cybersecuritywet .

Controles

Kunst. 36. (1) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) De controles op de naleving van de vereisten van hoofdstuk twee, uitgevoerd door de minister van Elektronische Overheid overeenkomstig art

. 12, item 6 van de wet op cyberbeveiliging , worden uitgevoerd in overeenstemming met de norm BDS EN ISO 19011 “Instructies voor het uitvoeren van een audit van managementsystemen” en de vereisten van de norm BDS EN ISO/IEC 17020 “Assessment of compliance”. (2) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) Inspecties worden uitgevoerd volgens interne regels die zijn gedocumenteerd en goedgekeurd door de minister van Elektronische Overheid. (3) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) Inspecties worden uitgevoerd volgens een jaarlijks programma dat is goedgekeurd door de minister van e-overheid en dat tegen het einde van het jaar op de website van het ministerie wordt

gepubliceerd . vorig jaar. (4) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) Inspecties buiten het goedgekeurde jaarprogramma worden uitgevoerd op verzoek van een bevoegde autoriteit, evenals op verzoek van de betrokkene, waarbij de laatste alleen uitgevoerd als er een vrije bron is van de door de minister van e-overheid gemachtigde personen. (5) Voor elke inspectie stellen de bevoegde personen een plan op, waarmee het bestuursorgaan respectievelijk het hoofd van de entiteit op grond van

art. 1, alinea. 1, punt 2 – 5 – voorwerp van de inspectie. (6) De tijd voor het uitvoeren van de inspectie wordt overeengekomen met een bestuursorgaan of, respectievelijk, met het hoofd van de gecontroleerde Entiteit overeenkomstig

Art. 1, alinea. 1, punt 2 – 5 – voorwerp van de keuring, uiterlijk zeven dagen voor aanvang van de keuring. (7) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) De door de Minister van Elektronische Overheid gemachtigde personen moeten beschikken over een kwalificatie op het gebied van controle en over de nodige kennis en beroepservaring op het gebied van netwerk- en informatiebeveiliging. (8) Gemachtigde personen houden zich aan de beginselen van integriteit, onpartijdigheid, professionaliteit, onafhankelijkheid en vertrouwelijkheid. (9) De bevoegde personen stellen uiterlijk 10 dagen na voltooiing van de inspectie een rapport op met de resultaten van de inspectie. Het rapport is geclassificeerd als TLP-AMBER. (10) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) In het rapport onder para. 9 geeft ook het oordeel aan dat is verkregen volgens de methodiek voor de beoordeling van de netwerk- en informatiebeveiliging, vastgesteld door de minister van e-Overheid krachtens

art. 12, lid 7 van de Cybersecuritywet . (11) In geval van niet-naleving van de eisen, zal het rapport in detail de eis en de geconstateerde toestand documenteren, de termijn voor de verwijdering ervan en, indien nodig, aanbevelingen over hoe deze te verwijderen. (12) In het rapport onder par. 9 kunnen ook aanbevelingen bevatten voor het verbeteren van het niveau van netwerk- en informatiebeveiliging. (13) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) De minister van Elektronische Overheid of een door hem gemachtigde persoon zendt het rapport onder para. 9 van het bestuursorgaan, onderscheidenlijk van het hoofd van de Proefpersoon, waar de inspectie is uitgevoerd. (14) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) De minister van e-overheid of een door hem gemachtigde persoon plant acties voor latere controle om de geconstateerde non-conformiteiten te elimineren en informeert de manager daarvan van de gecontroleerde persoon op grond van

art. 1, alinea. 1 .

peilingen

Kunst. 37. (1) Voor de toepassing van

art. 16, alinea 3 lid 3 van de Cybersecuritywet maken ook de nationale bevoegde autoriteiten gebruik van enquêtes. (2) Onderzoeken verwijzen naar de reikwijdte van deze verordening, gespecificeerd in

art. 1, alinea. 2 . (3) In de enquêtes kan informatie worden gevraagd over alle vereisten die zijn gespecificeerd in hoofdstuk twee, afzonderlijke secties daarvan of individuele artikelen, ongeacht in welke sectie ze zijn opgenomen. (4) Ingevulde enquêtes zijn geclassificeerd als TLP-AMBER.

Hoofdstuk vier.
REGISTER VAN ESSENTIËLE DIENSTEN

Identificatie van essentiële diensten en aanbieders van essentiële diensten

Kunst. 38. (1) De bestuursorganen bepaald bij besluit van de ministerraad overeenkomstig

art. 16, alinea 1 van de wet op de cyberbeveiliging identificeren en registreren de essentiële diensten in de relevante sectoren en subsectoren en de operatoren die deze leveren. (2) Voor de toepassing van para. 1 passen de bestuursorganen de methodiek toe die is vastgesteld bij besluit van de Ministerraad. (3) De bestuursorganen onder par. 1 regelmatig, maar niet minder dan eens in de twee jaar, beoordelen: 1. de geschiktheid van de criteria die specifiek zijn voor de relevante sector en mogelijke drempels voor het bepalen van de essentiële diensten die zijn gedefinieerd in de methodologie onder para. 2; 2. de essentiële diensten in de relevante sectoren en subsectoren en de operatoren die deze leveren.

Classificatie van informatie in het register van essentiële diensten

Kunst. 39. De informatie verzameld onder

Art. 38 , is geclassificeerd als TLP-RED.

Bijhouden van informatie in het register van essentiële diensten

Kunst. 40. (1) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) De bestuursorganen onder

art. 38, alinea. 1. de informatie over de essentiële diensten in de relevante sectoren en subsectoren en over de operatoren die deze leveren, bedoeld in

art. 6, alinea. 1 van de Cybersecurity Act , en de informatie die wordt verzameld als gevolg van de implementatie van

art. 38, alinea. 2 via beveiligde communicatiekanalen. (2) (Gewijzigd – SG nr. 36 van 2022, gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) De minister van Transport en Communicatie geeft de informatie over alle digitale diensten overeenkomstig overweging 57 van

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 betreffende maatregelen voor een hoog algemeen niveau van beveiliging van netwerken en informatiesystemen in de Unie (PB L 194 /1 van 19 juli 2016), verdeeld per soort volgens

bijlage nr. 2 bij art. 4, alinea. 1, item 2 van de Cybersecurity Act , en voor de aanbieders die deze verstrekken.

Administratie

Kunst. 41. (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) De door de minister van Elektronische Overheid gemachtigde werknemers beheren een register van essentiële diensten en voeren de informatie in die zij hebben ontvangen op grond van art

. 38 .

Bescherming van het register van essentiële diensten

Kunst. 42. Adequate en toepasbare minimummaatregelen voor netwerk- en informatiebeveiliging gespecificeerd in

Hoofdstuk Twee, Afdeling II met de verduidelijkingen gespecificeerd in

Art. 19 , en

afdeling III .

Toegangsbeheer tot het register van essentiële diensten

Kunst. 43. (1) Gemachtigde vertegenwoordigers van: 1. Het landelijk incidentenbestrijdingsteam computerbeveiliging in de zin van

art. 19, alinea. 1 van de Cybersecurity Act voor de uitvoering van zijn functies onder

Art. 19, alinea. 2, items 1 en 10 , aangezien toegang tot alle informatie is en het recht geeft om alleen te lezen; 2. de sectorteams voor de bestrijding van computerbeveiligingsincidenten in de zin van

art. 18, alinea. 1 van de Cybersecurity Act voor de uitvoering van zijn functies onder

Art. 18, alinea. 3 en 7 van de wet op de cyberbeveiliging , met alleen toegang tot de informatie voor de relevante sector en met het recht om alleen te lezen; 3. De Nationale Eén-Contactcel in de zin van

Art. 17, alinea. 1 van de Cybersecurity Act voor de uitvoering van zijn functies onder

Art. 17, alinea. 2, 3, 4 en 7 van de wet op cyberbeveiliging , met toegang tot alle informatie en het recht om alleen te lezen; 4. de nationale bevoegde autoriteiten in de zin van

art. 16, alinea 1 van de Cybersecurity Act voor de uitvoering van hun functies onder

Art. 16, alinea 11 van de wet op cyberbeveiliging , met alleen toegang tot de informatie voor de relevante sector en het recht om alleen de velden “contactpersoon” en “contactpunten” te lezen en te bewerken. (2) De toegang tot het register is individueel, en voor dit doel zijn de bestuursorganen op grond van

art. 38, alinea. 1 een lijst indienen van bevoegde functionarissen die functies vervullen bij de relevante nationale bevoegde autoriteit en het sectorale reactieteam voor computerbeveiligingsincidenten. (3) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) In geval van wijziging of beëindiging van officiële rechtsbetrekkingen, is het bestuursorgaan overeenkomstig

art. 38, alinea. 1. 1. stelt de minister van Elektronische Overheid of een door hem gemachtigde binnen één werkdag schriftelijk op de hoogte van de wijzigingen die hebben plaatsgevonden om de toegang tot het register van essentiële diensten correct te laten verlopen. (4) (Gewijzigd – SG nr. 47 van 2022, van kracht vanaf 24.06.2022) Toegang tot het register wordt verleend na goedkeuring door de minister van Elektronische Overheid of een door hem gemachtigde persoon. (5) De werknemers onder

art. 41 , die het register van essentiële diensten beheren, starten minstens eenmaal per jaar een herziening van de toegangsrechten in de zin van

art. 19, punt 4 . (6) Ten minste tweefactorauthenticatie wordt gebruikt om toegang te krijgen tot het register.

Aanvullende bepalingen
§ 1. De verordening voldoet aan: 1. De groep normen BDS (EN) ISO/IEC 2700x – Informatietechnologieën – Beveiligingsmethoden – Beheersystemen voor informatiebeveiliging. 2. Overige internationale normen op het gebied van informatietechnologie en informatiebeveiliging, vermeld in

bijlage nr. 1 . 3. De aanbevelingen van de Network and Information Security Cooperation Group aan de Europese Commissie van februari 2018 over beveiligingsmaatregelen voor aanbieders van essentiële diensten. 4. Good practices op het gebied van informatie- en communicatietechnologieën, aanbevolen door toonaangevende organisaties op het gebied van netwerk- en informatiebeveiliging. § 2. Overeenkomstig de verordening: 1.

DNSSEC (Domain Name System Security Extensions) is een reeks uitbreidingen op het DNS-systeem die een manier toevoegen om de authenticiteit van gepubliceerde DNS-informatie voor een bepaald domein te verifiëren. DNSSEC verifieert de authenticiteit van de DNS-informatie voor een bepaald domein en beschermt zo indirect de authenticiteit van alle diensten van dat domein, evenals de gebruikers van deze diensten. 2.

Dmark (Domain-based Message Authentication, Reporting and Conformance) – een record dat het beleid specificeert voor validatie, distributie en rapportage van e-mail binnen het domein, volgens RFC 7489 van de IETF. 3.

SPF (Sender Policy Framework) – een record dat de e-mailauthenticatiemethode aangeeft volgens IETF RFC 7208 uit 2014. Het record moet in DNS TXT (type 16) Resource Record (RR) formaat zijn volgens IETF RFC 1035.

Overgangs- en slotbepalingen
§ 3. Binnen 4 maanden na de inwerkingtreding van de verordening dienen de entiteiten bedoeld in

art. 1, alinea. 1 hun activiteiten in overeenstemming brengen met hoofdstuk twee. § 4. De verordening wordt aangenomen op basis van

art. 3, alinea. 2 van de Cybersecuritywet .

BESLUIT Nr. 134 VAN 20 JUNI 2022 TOT WIJZIGING EN AANVULLING VAN REGELGEVENDE HANDELINGEN VAN DE RAAD VAN MINISTERS

Voer tekst in op Patch 0

Slotbepalingen
BIJ BESLUIT Nr. 134 VAN 20 JUNI 2022 TOT WIJZIGING EN AANVULLING VAN REGELGEVENDE HANDELINGEN VAN DE RAAD VAN MINISTERS

Slotbepalingen
(GEPUBLICEERD – SG Nr. 47 VAN 2022, VAN TOEPASSING VANAF 24.06.2022) § 15.

Het besluit treedt in werking vanaf de dag van bekendmaking ervan in het “

Staatsblad “.

Bijlage nr. 1 bij

art. 2, alinea. 4

LIJST MET NETWERK- EN INFORMATIEBEVEILIGINGSNORMEN

Normen voor informatiebeveiligingsbeheer

BDS EN ISO/IEC 27000 – Informatietechnologie – Beveiligingsmethoden –

Beheersystemen voor informatiebeveiliging –

Overzicht en verklarende woordenlijst

BDS EN ISO/IEC 27001 – Informatietechnologie – Beveiligingsmethoden –

Beheersystemen voor informatiebeveiliging – Vereisten

BDS EN ISO/IEC 27002 – Informatietechnologie – Beveiligingsmethoden –

Code van goede praktijk voor beheer van informatiebeveiliging

BDS ISO/IEC 27003 – Informatietechnologie – Beveiligingsmethoden –

Richtlijnen voor de implementatie van managementsystemen voor informatiebeveiliging

BDS ISO/IEC 27004 – Informatietechnologie – Beveiligingsmethoden –

Beheer van informatiebeveiliging – Monitoring, meting, analyse en evaluatie

ISO/IEC 27009 – Informatietechnologie – Beveiligingstechnieken – Sectorspecifieke

toepassing van ISO/IEC 27001

– Eisen

BDS ISO/IEC 27013 – Informatietechnologie – Beveiligingsmethoden –

Richtlijnen voor gezamenlijke implementatie van ISO/IEC 27001 en ISO/IEC 20000-1

ISO/IEC 27014 – Informatietechnologie – Beveiligingstechnieken – Beheer van

informatiebeveiliging

ISO/IEC 27017 – Informatietechnologie – Beveiligingstechnieken – Praktijkcode voor informatiebeveiligingscontroles

op basis van ISO/IEC 27002 voor cloudservices

ISO/IEC 29146 – Informatietechnologie – Beveiligingstechnieken – Een

raamwerk

voor toegangsbeheer

BDS ISO/IEC 27018 – Informatietechnologie – Beveiligingsmethoden –

Code van goede praktijk voor de bescherming van persoonlijk identificeerbare informatie (PII) in openbare clouds die optreden als controllers van PII

Normen voor risicobeheer

BDS ISO/IEC 27005 – Informatietechnologie – Beveiligingsmethoden –

Risicobeheer van informatiebeveiliging

BDS ISO 31000 – Risicobeheer –

Richtlijnen

BDS EN 31010 – Risicobeheer –

Methoden voor risicobeoordeling

ETSI TS 102 165-1 – CYBER; Methoden en protocollen; Deel 1: Methode en pro forma voor Threat, Vulnerability, Risk Analysis (

TVRA )

Standaarden voor identificatie en authenticatieISO / IEC 11770-1 – Informatietechnologie – Beveiligingstechnieken –

Sleutelbeheer – Deel 1: Raamwerk

ISO/IEC 11770-2 – Beveiligingstechnieken – Sleutelbeheer

– Deel 2: Mechanismen die gebruik maken

van symmetrische technieken

ISO/IEC 11770-3 – Informatietechnologie – Beveiligingstechnieken –

Sleutelbeheer – Deel

3 : Mechanismen die gebruik maken van asymmetrische technieken

ISO/IEC 11770-4 – Informatietechnologie – Beveiligingstechnieken – Sleutelbeheer – Deel 4: Mechanismen

gebaseerd op zwakke geheimen ISO/ IEC 11770-5 – Informatietechnologie – Beveiligingstechnieken –

Sleutelbeheer – Deel 5: Beheer van groepssleutels

ISO/IEC 11770-6 – Informatietechnologie – Beveiligingstechnieken – Sleutelbeheer

– Deel

6 : Sleutelafleiding

ISO/IEC 20889 –

Privacybevorderende data-de-identificatieterminologie en classificatie van technieken

ISO/IEC 24760-1 – Informatietechnologie – Beveiligingstechnieken – Een

raamwerk voor identiteitsbeheer

– Deel 1: Terminologie en concepten

ISO/IEC 24760-2 – Informatietechnologie – Beveiligingstechnieken – Een

raamwerk voor identiteitsbeheer

– Deel 2: Referentiearchitectuur en vereisten

ISO/IEC 24760-3 – Informatietechnologie – Beveiligingstechnieken – Een

raamwerk voor identiteitsbeheer

– Deel 3: Praktijk

ISO/IEC 29115 – Informatietechnologie – Beveiligingstechnieken – Entity

Authentication Assurance

Framework

ISO/IEC 29151 – Informatietechnologie – Beveiligingstechnieken – Gedragscode voor persoonlijk

identificeerbare informatiebescherming

ISO/IEC 29191 – Informatietechnologie – Beveiligingstechnieken – Vereisten voor

gedeeltelijk anonieme, gedeeltelijk niet-koppelbare

authenticatieISO/ IEC 18370-1 – Informatietechnologie – Beveiligingstechnieken – Blinde

digitale handtekeningen – Deel 1: Algemeen

ISO/IEC 18370-2 – Informatietechnologie – Beveiligingstechnieken – Blinde

digitale handtekeningen – Deel 2: Op discrete logaritme gebaseerde mechanismen

ISO/IEC 20008-1 – Informatietechnologie – Beveiligingstechnieken – Anonieme digitale handtekeningen

– Deel 1: Algemeen

ISO/IEC 20008-2 – Informatietechnologie – Beveiligingstechnieken – Anonieme

digitale handtekeningen

– Deel 2: Mechanismen die een openbare sleutel van een groep gebruiken ISO/IEC 20009-1 – Informatietechnologie – Beveiligingstechnieken – Anonieme

entiteitsauthenticatie – Deel 1: Algemeen

ISO/IEC 20009-2 – Informatietechnologie – Beveiligingstechnieken – Anonieme

entiteitsauthenticatie – Deel 2: Mechanismen gebaseerd op handtekeningen met behulp van een openbare groepssleutel

ISO/IEC 20009-4 – Informatietechnologie – Beveiligingstechnieken – Anonieme entiteitsauthenticatie – Deel 4: Mechanismen gebaseerd op

zwakke geheimen

Versleutelingsstandaarden

ISO/IEC 18033-1 – Informatietechnologie – Beveiligingstechnieken – Versleutelingsalgoritmen

– Deel 1 : Algemeen

ISO/IEC 18033-2 – Informatietechnologie – Beveiligingstechnieken – Encryptie-

algoritmen – Deel 2: Asymmetrische cijfers

ISO/IEC 18033-4 – Informatietechnologie – Beveiligingstechnieken – Versleutelingsalgoritmen

– Deel 3 : Blokcijfers

ISO/IEC 18033-4 – Informatietechnologie – Beveiligingstechnieken – Versleutelingsalgoritmen

– Deel 4 : Stroomcijfers

ISO/IEC 18033-5 – Informatietechnologie – Beveiligingstechnieken – Versleutelingsalgoritmen

– Deel 5 : Op identiteit gebaseerde cijfers

Audit normen

ISO/IEC 27006 – Informatietechnologie – Beveiligingstechnieken – Vereisten voor instanties die audits en certificering van beheersystemen voor

informatiebeveiliging uitvoeren

ISO/IEC 27007 – Informatietechnologie – Beveiligingstechnieken – Richtlijnen voor auditing

van beheersystemen voor informatiebeveiliging

BDS EN ISO 19011 –

Richtlijnen voor het auditen van managementsystemen

БДС EN ISO/IEC 17020 – Conformiteitsbeoordeling –

Vereisten voor de activiteit van verschillende soorten controleorganen

Normen voor veiligheidsbeoordeling

ISO/IEC 15408-1 – Informatietechnologie – Beveiligingstechnieken – Evaluatiecriteria voor IT-beveiliging

– Deel 1: Inleiding en algemeen model

ISO/IEC 15408-2 – Informatietechnologie – Beveiligingstechnieken – Evaluatiecriteria voor IT-beveiliging

– Deel 2: Functionele beveiligingscomponenten

ISO/IEC 15408-3 – Informatietechnologie – Beveiligingstechnieken –

Evaluatiecriteria voor IT-beveiliging – Deel 3: Beveiligingsborgingscomponenten

voor IT-beveiligingDeel 3: Beveiligingsborgingscomponenten

ISO/IEC 18045 – Informatietechnologie – Beveiligingstechnieken – Methodologie voor

evaluatie

van IT-beveiliging

ISO/IEC TS 19608 –

Leidraad voor het ontwikkelen van functionele beveiligings- en privacyvereisten op basis van ISO/IEC 15408 (

Leidraad voor het ontwikkelen van functionele beveiligings- en privacyvereisten op basis van ISO/

ISO/IEC TR 20004:2015 – Informatietechnologie – Beveiligingstechnieken – Verfijning van softwarekwetsbaarheidsanalyse onder ISO/IEC

/IEC15408

ISO/IEC 29134 – Informatietechnologie – Beveiligingstechnieken – Richtlijnen voor

privacy-

effectbeoordeling

ISO/IEC 29190 – Informatietechnologie – Beveiligingstechnieken –

Beoordelingsmodel voor

privacymogelijkheden

Beveiligingsstandaarden in ontwikkeling in 2019.

ISO/IEC CD 20009-3 – Informatietechnologie – Beveiligingstechnieken –

Anonieme entiteitsauthenticatie – Deel 3: Mechanismen gebaseerd op handtekeningenconcepten

blinde

ISO/IEC 27551 – Informatietechnologie – Beveiligingstechnieken – Vereisten

voor op attributen gebaseerde

niet -koppelbare entiteitauthenticatie

ISO/IEC PDTR 27550 – Informatietechnologie – Beveiligingstechnieken – Privacy –

engineering

ISO/IEC DIS 27552 – Beveiligingstechnieken – Uitbreiding naar ISO/IEC 27001 en ISO/IEC 27002 voor privacy-informatiebeheer

– Eisen en richtlijnen

ISO/IEC 27030 – Informatietechnologie – Beveiligingstechnieken – Richtlijnen voor beveiliging en privacy in Internet of Things

(IoT)

ISO/IEC 29184 – Informatietechnologie – Online privacyverklaringen en

toestemming

Opmerking . De nummers van de normen zijn uniek en uniek geassocieerd met hun namen. Voor het normnummer staan de afkortingen van de organisaties die de norm hebben goedgekeurd. Achter het nummer van de norm staat het jaar waarin deze is aangenomen. Het algemene schrift is van het type ISO/IEC 27001:2013 of BDS ISO/IEC 27001:2018, en in dit geval is het dezelfde norm. De normen worden beoordeeld door de relevante organisaties en indien nodig om de vijf jaar bijgewerkt, waarbij de nieuwe versie de vorige vervangt. Om de relatieve stabiliteit van deze verordening en de onafhankelijkheid van de standaardrevisiecyclus te bereiken, vermeldt de verordening niet de jaren van uitgifte van de normen.

Bijlage nr. 2 bij

art. 6, alinea. 1 en 7

CLASSIFICATIES VAN INFORMATIE

Om een afdoende, adequate en dreigingsproportionele bescherming van de informatie te waarborgen, wordt een inschatting gemaakt van het belang en de gevoeligheid, alsmede van de wettelijke vereisten daarvoor. Op basis van dit oordeel is de informatie onderverdeeld in verschillende categorieën. Waar van toepassing wordt deze classificatie ook toegepast op alle middelen die betrokken zijn bij het creëren, verwerken, opslaan, overdragen, verspreiden en vernietigen van de informatie, en worden passende beveiligingsmaatregelen toegepast die in verhouding staan tot de bedreigingen.

1. TLP (stoplichtprotocol) – gebruikt voor informatie-uitwisseling

[TLP-RED] – Alleen voor specifieke ontvangers : in het kader van bijvoorbeeld een vergadering is de informatie beperkt tot de aanwezigen op de vergadering. In de meeste gevallen wordt deze informatie mondeling of persoonlijk doorgegeven.

[TLP-AMBER] – Beperkte verspreiding : de ontvanger kan deze informatie delen met andere mensen in de organisatie, maar alleen als aan het “need to know”-principe is voldaan. Het is gebruikelijk dat de bron van de informatie direct na de markering aangeeft aan wie de informatie kan worden gedeeld of dat er beperkingen worden gesteld aan dit delen. Als de ontvanger van de informatie deze wil verspreiden, moet hij de bron raadplegen.

[TLP-GREEN] – Brede community: informatie in deze categorie kan op grote schaal worden verspreid binnen een bepaalde community. De informatie mag echter niet worden gepubliceerd of op internet worden geplaatst en mag ook niet buiten de gemeenschap worden gebracht.

[TLP-WHITE] – Onbeperkt: onderworpen aan standaard auteursrechtregels; deze informatie mag vrij en onbeperkt worden verspreid.

2. Aanbevolen classificatie van informatie en vereisten voor informatie- en communicatiesystemen om toegang tot informatie te waarborgen:

2.1. “Niveau 0” omvat open en algemeen beschikbare informatie (bijvoorbeeld gepubliceerd op internetpagina’s); impliceert anoniem gebruik van informatie en gebrek aan privacybescherming en; komt overeen met TLP-WIT ;

2.1.1. openbaarmaking van informatie geclassificeerd als “Niveau 0” is niet beperkt;

2.1.2. bronnen kunnen een classificatie “Niveau 0” gebruiken wanneer de informatie een minimaal of geen voorzienbaar risico op misbruik met zich meebrengt, in overeenstemming met de toepasselijke regels en procedures voor openbaarmaking;

2.1.3. onder voorbehoud van standaard auteursrechtregels, mag informatie die is geclassificeerd als “Niveau 0” onbeperkt worden verspreid.

2.2. “Niveau 1”

2.2.1. het delen van informatie met een “Niveau 1” -classificatie is beperkt tot slechts een bepaalde gemeenschap; komt overeen met TLP-GROEN ;

2.2.2. bronnen kunnen een classificatie van niveau 1 gebruiken wanneer de informatie nuttig is voor het bewustzijn van alle deelnemende organisaties, evenals bredere gemeenschaps- of sectorpartners;

2.2.3. ontvangers mogen niveau 1- informatie delen met partnerorganisaties binnen hun sector of gemeenschap, maar niet via openbare kanalen; informatie in deze categorie kan op grote schaal worden verspreid binnen een bepaalde gemeenschap, maar niet daarbuiten;

2.2.4. vereisten voor informatie- en communicatiesystemen :

2.2.4.1. toegang tot nauwkeurig gedefinieerde objecten moet worden verleend aan nauwkeurig gedefinieerde gebruikers;

2.2.4.2. gebruikers moeten zich identificeren voordat ze acties uitvoeren die door het toegangssysteem worden gecontroleerd; er moet een identificatie/wachtwoord beveiligingsmechanisme worden gebruikt om de identiteit vast te stellen; geen legitimatieplicht bij inschrijving;

2.2.4.3. identificerende informatie moet worden beschermd tegen ongeoorloofde toegang;

2.2.4.4. het vertrouwde computersysteem, d.w.z. de functionaliteit van het informatiesysteem dat de toegang tot hulpbronnen beheert, moet een gebied behouden voor zijn eigen uitvoering, beschermd tegen invloeden van buitenaf en tegen pogingen om de voortgang van het werk te controleren;

2.2.4.5. het informatiesysteem moet technische en/of softwaretools hebben waarmee periodiek de juistheid van de componenten van het trust computing-systeem kan worden gecontroleerd;

2.2.4.6. de beveiligingsmechanismen moeten een test hebben doorstaan om te bevestigen dat een niet-geautoriseerde gebruiker geen duidelijke mogelijkheid heeft om toegang te krijgen tot het vertrouwde computersysteem.

2.3. “Level 2”

2.3.1. verspreiding van informatie geclassificeerd als “Niveau 2” is alleen toegestaan binnen de organisaties van de deelnemers die de informatie verwerken, opslaan of uitwisselen; komt overeen met TLP-AMBER met een aanvullende specificatie voor toegangsbeperkingen;

2.3.2. bronnen kunnen een “Niveau 2” -classificatie gebruiken wanneer de informatie bescherming vereist om effectief te worden gedeeld en een risico vormt voor de privacy, reputatie of activiteiten indien gedeeld buiten de relevante organisaties;

2.3.3. ontvangers kunnen niveau 2 -informatie delen met leden van hun eigen organisatie en met gebruikers of klanten die hiervan op de hoogte moeten zijn om zichzelf te beschermen of verdere schade te voorkomen; bronnen hebben het recht om aanvullende limieten voor gepland delen vast te stellen die moeten worden nageleefd;

2.3.4. vereisten voor informatie- en communicatiesystemen – naast de vereisten voor het vorige niveau:

2.3.4.1. om een certificaat met elektronische handtekening te gebruiken als een mechanisme voor identiteitsverificatie, ongeacht of het wordt uitgegeven voor interne afdelingsbehoeften binnen een interne publieke-sleutelinfrastructuur of wordt uitgegeven door een externe certificaatdienstverlener;

2.3.4.2. bij de afgifte van het certificaat verifieert de uitgevende instantie de essentiële gegevens over de persoonlijkheid van de gebruiker, zonder dat diens persoonlijke aanwezigheid vereist is;

2.3.4.3. het vertrouwde computersysteem moet zorgen voor de implementatie van geforceerd beheer van toegang tot alle objecten;

2.3.4.4. het vertrouwde computersysteem moet zorgen voor wederzijdse isolatie van processen door hun adresruimten te scheiden.

2.4. “Niveau 3”

2.4.1. informatie geclassificeerd als “Niveau 3” is niet bedoeld voor openbaarmaking en verspreiding en is alleen beperkt tot de deelnemers die de informatie verwerken, opslaan of uitwisselen; komt overeen met TLP-RED ;

2.4.2. bronnen kunnen een classificatie van niveau 3 gebruiken wanneer de informatie niet effectief kan worden gedeeld met andere partijen en bij misbruik kan leiden tot gevolgen voor de privacy, reputatie of activiteiten van een partij;

2.4.3. ontvangers mogen geen informatie die is gemarkeerd als “Niveau 3” delen met enige partij buiten de specifieke uitwisseling, verwerking of opslag; toegang tot de informatie geclassificeerd als “Niveau 3” is alleen beperkt tot de personen die betrokken zijn bij de verwerking en; in de meeste gevallen moet informatie die is geclassificeerd als “Niveau 3” persoonlijk worden doorgegeven;

2.4.4. vereisten voor ICT-systemen – naast de vereisten voor het vorige niveau:

2.4.4.1. om één universeel certificaat voor elektronische handtekeningen te gebruiken als identificatiemechanisme;

2.4.4.2. bij afgifte van het certificaat wordt de fysieke identiteit van de persoon gegarandeerd;

2.4.4.3. het vertrouwde computersysteem moet bewezen bestand zijn tegen inbraakpogingen;

2.4.4.4. de communicatie tussen de gebruiker en het systeem wordt uitgevoerd via gecodeerde kanalen met behulp van het Transport Layer Security (TLS)-protocol van minimaal 1.2, en de minimale lengte van de coderingssleutel moet minimaal 256 bits zijn;

2.4.4.5. het vertrouwde computersysteem beschikt over een mechanisme voor het registreren van pogingen om het beveiligingsbeleid te schenden.

Bijlage nr. 3 bij

art. 7, alinea. 3

ANALYSE EN BEOORDELING VAN RISICO’S VOOR DE BEVEILIGING VAN INFORMATIE- EN COMMUNICATIESYSTEMEN

I. INVOERING

Risicomanagement voor de beveiliging van informatie- en communicatiesystemen is onderdeel van het beheerbeleid netwerk- en informatiebeveiliging.

Risicomanagement is in wezen een geheel van processen voor het identificeren van potentiële bedreigingen voor informatiedragers en bedrijfsmiddelen die betrokken zijn bij het aanbieden van elektronische diensten, analyse en beoordeling van de risico’s die deze bedreigingen met zich meebrengen.

II. DEFINITIES

Vertrouwelijkheid – het eigendom van informatie die niet wordt verstrekt of bekendgemaakt aan onbevoegde personen (item 2.12 ISO/IEC 27000).

Integriteit – kwaliteit van informatie voor juistheid en volledigheid (item 2.40 ISO/IEC 27000).

Beschikbaarheid van informatie – kwaliteit van toegankelijk en bruikbaar zijn op verzoek door een bevoegd persoon (punt 2.9 ISO/IEC 27000).

III. DOELEN

1. Doel van het risicomanagementproces

Om verliezen te minimaliseren van mogelijke ongewenste gebeurtenissen die zich hebben voorgedaan als gevolg van het realiseren van bedreigingen voor de beveiliging van netwerken en informatiesystemen die de vertrouwelijkheid, integriteit en toegankelijkheid van informatie die via deze systemen is gecreëerd, verwerkt, verzonden en vernietigd, zouden kunnen aantasten.

2. Doel van de risicoanalyse- en beoordelingsmethodiek

De methodologie heeft tot doel een gemeenschappelijke aanpak te bieden voor de analyse en beoordeling van het veiligheidsrisico van informatie- en communicatiesystemen die door verschillende overheidsdiensten worden aangeboden, met als doel meetbare, relatief objectieve en herhaalbare resultaten te verkrijgen door:

2.1. regulering van activiteiten en hun volgorde bij de analyse en beoordeling van risico’s voor elektronische diensten;

2.2. het definiëren van de criteria;

2.3. risico prioritering.

AANBEVOLEN METHODOLOGIE

I. STADIA VAN RISICOANALYSE EN -BEOORDELING

Risicoanalyse en -beoordeling maken deel uit van het risicomanagementproces en zijn gebaseerd op kennis van alle voor de doelstellingen relevante componenten.

Voor het beheer van de beveiliging van netwerken en informatiesystemen moet u:

a) alle objecten en entiteiten kennen die direct of indirect deelnemen aan de activiteiten die binnen het toepassingsgebied van deze verordening vallen (informatie- en communicatiesystemen met hun bijbehorende hardware, software en documentatie, hun ondersteunende systemen (stroomvoorziening, airconditioning, enz.) , operationele processen/activiteiten, medewerkers en externe organisaties), kortweg “informatiemiddelen” genoemd;

b) om samen met hen alle mogelijke ongewenste gebeurtenissen, kortweg “bedreigingen” genoemd, die zouden leiden tot verlies van vertrouwelijkheid, integriteit en toegankelijkheid van de elektronische diensten en/of de informatie daarin, te identificeren en te analyseren;

c) de waarschijnlijkheid van het optreden van deze gebeurtenissen beoordelen, rekening houdend met de zwakke punten (kwetsbaarheden) van de informatiemiddelen en de maatregelen die zijn genomen om deze aan te pakken;

d) de impact beoordelen (verlies van middelen (tijd, mensen en geld), niet-naleving van normatieve en reglementaire vereisten, imagoschade, niet-vervulling van strategische en operationele doelstellingen, enz.) van het mogelijke optreden van deze ongewenste evenementen ondanks de genomen maatregelen;

e) om het beveiligingsrisico te beoordelen;

f) identificeren van risicobeperkende maatregelen met hoge prioriteit.

Bij risicoanalyse en -beoordeling wordt gebruik gemaakt van een risicoregister (risicoregister). Aan het einde van deze bijlage is een voorbeeld van een risicoregister opgenomen.

1. Identificatie van informatiemiddelen

Alle informatiemiddelen die relevant zijn voor het toepassingsgebied van deze verordening worden opgenomen in het risicoregister:

a) informatiesystemen;

b) hardwareapparaten waarmee informatiesystemen zijn geïmplementeerd;

c) software waarmee de informatiesystemen zijn geïmplementeerd;

d) databanken, waaronder persoonsgegevens in de zin van de AVG;

e) registraties van de gebeurtenissen (logs, journalen) van de informatiesystemen;

f) documentatie van informatiesystemen (operationeel en gebruiker);

g) communicatiesystemen;

h) hardwareapparaten waarmee de communicatiesystemen zijn geïmplementeerd;

i) de firmware van deze apparaten;

k) software voor communicatiesystemen;

l) gebeurtenisrecords (logboeken, tijdschriften);

m) documentatie (operationeel en gebruiker);

n) ondersteunende systemen (stroomvoorziening, airconditioning);

o) systemen voor fysieke toegang en omgevingscontrole ;

p) processen/activiteiten met betrekking tot het beheer, de werking en het onderhoud van informatie- en communicatiesystemen;

r) documentatie van deze processen en activiteiten;

c) werknemers die verantwoordelijk zijn voor het beheer, de werking en het onderhoud van informatie- en communicatiesystemen;

t) externe organisaties die betrokken zijn bij het beheer, de werking en het onderhoud van informatie- en communicatiesystemen;

c) andere.

2. Identificatie van bedreigingen

Voor elk van de informatiemiddelen in het risicoregister worden de dreigingen/ongewenste gebeurtenissen toegepast die zouden leiden tot schending van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie.

Alle potentiële bedreigingen, of ze nu intern of extern zijn voor de overheid, of ze nu per ongeluk of opzettelijk zijn, moeten worden overwogen, rekening houdend met de kwetsbaarheid van het informatie-activum voor de respectieve bedreiging.

Aan het einde van deze bijlage vindt u voorbeelden van bedreigingen.

In het risicoregister wordt per dreiging vastgelegd welke maatregelen er tegen zijn genomen.

3. Effectbeoordeling

In het risicoregister wordt voor elke dreiging de inschatting van de impact ingevoerd – de schade (materieel en immaterieel) die een bepaalde dreiging kan veroorzaken als deze wordt gerealiseerd.

Een vijfpuntsschaal van 1 tot 5 wordt gebruikt om de impact te beoordelen, waarbij 1 de minste schade is en 5 de meeste schade.

4. Kansberekening

De kans op optreden van een bepaalde dreiging wordt bepaald, rekening houdend met de reeds genomen maatregelen. Hoe meer beschermende maatregelen worden genomen, hoe kleiner de kans dat de dreiging zich voordoet. Bij het beoordelen van de waarschijnlijkheid wordt rekening gehouden met de volgende factoren:

a) voor het realiseren van opzettelijke bedreigingen: niveau van noodzakelijke vaardigheden, gemakkelijke toegang, stimulans en noodzakelijke middelen;

b) voor de realisatie van accidentele bedreigingen: productiejaar van de hardware en software, niveau van hun ondersteuning, kwalificatie van het ondersteunend personeel, afdelingsvoorziening van operationele processen, controle erover, enz.

In het risicoregister wordt voor elke dreiging de inschatting gemaakt van de impact ervan.

Er wordt een vijfpuntsschaal van 1 tot 5 gebruikt om de impact te beoordelen en rekening te houden met een bepaalde periode, bijvoorbeeld een jaar:

1 – de kans op realisatie van de dreiging is kleiner dan 10%;

2 – de kans om de dreiging te realiseren is van 10% tot 30%;

3 – de kans om de dreiging te realiseren is van 30% tot 50%;

4 – de kans om de dreiging te realiseren is van 50% tot 70%;

5 – de kans om de dreiging te realiseren is meer dan 70%.

5. Risicobeoordeling

De volgende formule wordt gebruikt om de risicobeoordeling te verkrijgen:

(Impactscore x Waarschijnlijkheidsscore) = Risicoscore

6. Prioritering van risico’s

Om dreigingsproportionele beschermingsmechanismen toe te passen, worden risico’s geprioriteerd op basis van hun beoordeling en de volgende drempels:

Risico prioriteit	Risicobeoordeling
1	van 17 tot 25
2	van 8 tot 17
3	van 1 tot 8

7. Beperking van risico’s

Prioriteit 3-risico’s worden geacht geen aanvullende maatregelen te vereisen om de dreigingen die ze veroorzaken te mitigeren.

Voor risico’s met prioriteit 2 wordt een analyse gemaakt van de mogelijke maatregelen die genomen zouden kunnen worden om ze te mitigeren en wordt beoordeeld of de besteding van middelen voor de uitvoering ervan in verhouding staat tot de schade door de realisatie van de dreiging. In het geval dat de schade hoger is dan de kosten, wordt een verantwoordelijke persoon en een deadline voor het implementeren van deze maatregelen bepaald.

Voor alle risico’s met prioriteit 1 worden verantwoordelijke personen bepaald, maatregelen gepland die het risico op realisatie van de specifieke dreiging verkleinen en deadlines voor de uitvoering ervan bepaald.

II. VOLGENDE ACTIES

De personen die verantwoordelijk zijn voor de relevante risico’s organiseren de implementatie van de geplande beschermingsmaatregelen en bewaken de incidenten en schades die daarmee verband houden. Start indien nodig een nieuwe analyse en risicobeoordeling voor deze dreiging.

Het bestuur van de administratie organiseert periodiek, maar niet minder dan eenmaal per jaar, risicoanalyse en -evaluatie, evenals elke wijziging in de informatie- en/of communicatie-infrastructuur, een wijziging in de administratieve structuur en functies.

AANBEVOLEN RISICO-REGISTER

Nee in volgorde	Informatiemiddel	Bedreigingen/bijwerkingen	Beschermingsmaatregelen toegepast	Effectbeoordeling (van 1 tot 5)	Waarschijnlijkheidsscore (van 1 tot 5)	Risicobeoordeling	Risicoprioriteit (van 1 tot 3)	Geplande risicobeperkende maatregelen (voor prioriteit 3 en 2)	Vereiste middelen	Verantwoordelijk voor het uitvoeren van de geplande maatregelen	Deadline voor de uitvoering van de geplande maatregelen

WAARSCHIJNLIJKE BEDREIGINGEN

• Verslechtering van opslagmedia

• Onderhoudsfout

• Verzendfouten

• Electromagnetische straling

• Schadelijke programmacode

• Misbruik van middelen

• Gebruik van ongeautoriseerde programma’s en gegevens

• Diefstal

• Gebruikersidentificatie maskeren (illegale inbraak)

• Ongeoorloofde toegang tot computers, data, diensten en applicaties

• Ongeoorloofde toegang tot opslagmedia

• Verkeerde (verkeerde) routering/doorsturen van berichten

• Ontkenning (bewijsbaarheid)

• Schade aan communicatieapparatuur en -diensten

• Afluisteren

• Brand, overstroming

• Gebruikersfout

• Beheerdersfout

• Stroomuitval/storing (elektriciteit en airconditioning)

• Verkeersopstopping

• Natuurrampen

• Cyberaanval

• Softwareproblemen

• Technische storing (netwerk, systeemhardware)

Bijlage nr. 4 bij

art. 22, alinea. 6

CONFIGURATIEVEREISTEN 1. Om macro’s in kantoorpakketten te verbieden. 2. Om pop-ups in browsers te verbieden. 3. Configureer de functie voor automatisch afspelen om altijd om bevestiging van de gebruiker te vragen. 4. Gebruikersaccountbeheer moet op het hoogste niveau worden geconfigureerd, zodat het altijd waarschuwingen geeft. 5. Gebruik bij het delen van bestanden en printers niet de instelling Iedereen, maar geef precies aan welke accounts daar toegang toe moeten hebben. 6. Om de TRACE/TRACK-methode uit te schakelen. 7. Om anonieme authenticatie te verbieden. 8. Om Unicast Reverse-Path Forwarding (uRPF) te gebruiken om het gebruik van valse IP-adressen en snelheidsbeperking te voorkomen om het aantal verzoeken per IP-adres te beperken. 9. Schakel TLS-heronderhandeling uit op systemen die TLS gebruiken, of configureer een snelheidsbegrenzer om het aantal heronderhandelingen per sessie te beperken. 10. Foutmeldingen in systemen mogen geen overbodige informatie geven. 11. Gebruik AutoAanvullen niet. 12. Om applicaties (add-ons) voor browsers te gebruiken om advertentie-inhoud te blokkeren.

Bijlage nr. 5 bij

art. 24, punt 13

WEBSITE VERZOEK ANTWOORD HEADERS VEREISTEN 1. Kopteksten van antwoorden op verzoeken mogen geen informatie bevatten over de platforms en versies van de gebruikte software. 2. Kopteksten van antwoorden op verzoeken om de volgende opties te bevatten: a) HTTP Strict Transport Security (HSTS) – een beleid volgens de 2012 IETF RFC 6797 dat de webbrowser van de client dwingt om rechtstreeks verbinding te maken via HTTPS tijdens het browsen op de website; een aanbevolen waarde voor de geldigheidsperiode van de HSTS-cache (max-leeftijd) is ten minste zes maanden; b) X-Content-Type-Options – instrueert de browser van de gebruiker om strikt het MIME-type te volgen dat is gedefinieerd in de Content-header; de enige geldige waarde voor deze header is “X-Content-Type-Options-nosniff”; c) X-XSS-beveiliging – stelt de configuratie in voor het XSS-filter dat in de meeste browsers is ingebouwd, dat bepaalde categorieën XSS-aanvallen voorkomt; aanbevolen waarde “X-XSS-Protection: 1; mode=block”; d) X-Frame-opties – instrueert de browser om de webpagina niet in te voegen in het frame/iframe van andere webpagina’s; aanbevolen waarde “x-frame-opties: SAMEORIGIN”; e) Inhoudsbeveiligingsbeleid – voorkomt een breed scala aan aanvallen, waaronder cross-site scripting en andere cross-site injecties; f) Koptekst verwijzend beleid – hiermee kan de site bepalen hoeveel navigatie-informatie buiten het document in de browser moet worden opgenomen; g) Feature-Policy Header – stelt de site in staat om te bepalen welke functies en API’s in de browser kunnen worden gebruikt; h) HTTP Public Key Pinning (HPKP) – een beveiligingsmechanisme waarmee HTTPS-websites zich kunnen verzetten tegen imitatie door aanvallers die onjuist uitgegeven of frauduleuze certificaten gebruiken.

Bijlage nr. 6 bij

art. 3, alinea. 2, punt 2

AANBEVOLEN FUNCTIES VAN DE OFFICIER/EENHEID VERANTWOORDELIJK VOOR NETWERK- EN INFORMATIEBEVEILIGING 1. Geeft leiding aan de activiteiten die verband houden met het bereiken van een hoog niveau van netwerk- en informatiebeveiliging, en de doelen gesteld in het beleid van de Betrokkene onder

art. 4 . 2. Neemt deel aan de voorbereiding van beleid en gedocumenteerde informatie. 3. Houdt toezicht op de naleving van de interne regels in de zin van

art. 5, alinea. 1, item 6 en de toepassing van wetten, verordeningen, normen, beleid en regels voor netwerk- en informatiebeveiliging. 4. Adviseert het management van de Betrokkene op het gebied van informatiebeveiliging. 5. Leidt periodieke beoordelingen van netwerk- en informatiebeveiligingsrisico’s. 6. Stelt periodiek (minimaal één keer per jaar) rapporten op over de toestand van de netwerk- en informatiebeveiliging in de beheerseenheid en presenteert deze aan de beheerder. 7. Coördineert trainingen op het gebied van netwerk- en informatiebeveiliging. 8. Organiseert controles op de actualiteit van incidentbestrijdingsplannen en actieplannen bij ongevallen, natuurrampen of andere omstandigheden van overmacht. Analyseert hun resultaten en regelt indien nodig wijzigingen in plannen. 9. Onderhoudt contacten met andere administraties, organisaties en deskundigen werkzaam op het gebied van informatiebeveiliging. 10. Bewaakt het nauwkeurig bijhouden van het incidentenregister. 11. Meldt incidenten aan het relevante sectorteam voor het reageren op computerbeveiligingsincidenten in overeenstemming met de vereiste van

art. 31, alinea. 1 (incidentmelding) van deze regeling. 12. Organiseert de analyse van netwerk- en informatiebeveiligingsincidenten om hun oorzaken te ontdekken en maatregelen te nemen om ze te elimineren om hetzelfde type incidenten te verminderen en verliezen ervan te verminderen. 13. Tracks om de gebruikte software en firmware bij te werken. 14. Bewaakt de opkomst van nieuwe cyberdreigingen (virussen, malafide code, spam, aanvallen etc.) en biedt adequate tegenmaatregelen. 15. Organiseert tests om kwetsbaarheden in informatie- en communicatiesystemen op te sporen en stelt maatregelen voor om deze te verwijderen. 16. Organiseert en werkt mee aan het uitvoeren van audits, inspecties en onderzoeken en het verzenden van de resultaten daarvan naar de relevante nationale bevoegde autoriteit. 17. Stelt sancties voor voor personen die netwerk- en informatiebeveiligingsmaatregelen hebben geschonden.

Bijlage nr. 7 bij

art. 31, alinea. 2

INCIDENT KENNISGEVING naar de sectorale ERIC
Nodige informatie	Details	Gegevens
(tot 2 uur)
Persoon die de melding indient	Voornaam Achternaam
Jouw telefoon nummer	(GSM)
Jouw email
Organisatie	Naam van de organisatie die door het incident is getroffen
Contactpersoon (voor het oplossen van incidenten)	Naam, telefoonnummer en e-mail van een bevoegd persoon uit de onderneming, die indien nodig aanvullende informatie kan verstrekken
Datum en tijd	Voer de datum en tijd in van het optreden van het incident, indien niet mogelijk – de datum en tijd van ontdekking
Soort incident		0 Virus 0 Trojaans paard 0 Botnet 0 Dos/DDos 0 Malware 0 Poortscan 0 Spam 0 Phishing 0 Pharming 0 Probe 0 Crack 0 Copyright 0 Ransomware 0 Defacement 0 Exploitatie van bekende kwetsbaarheden 0 Compromis van toepassingen 0 Inlogpogingen 0 SQL-injecties 0 Onbekend0 Anders
Korte beschrijving van het voorval	Voer een korte beschrijving van het incident in, inclusief eventuele praktische/technische informatie (deze informatie wordt verstrekt indien beschikbaar)
Grensoverschrijdend effect	• Vul informatie in over mogelijke grensoverschrijdende impact en geef de landen aan • Voer informatie in over de services die worden beïnvloed
Gevolgen voor andere essentiële diensten	Voer informatie in waarop andere essentiële services mogelijk worden beïnvloed
Getroffen systeem (in te vullen als de informatie beschikbaar is)	IP adres: DNS: Besturingssysteem:
Bron van de aanval (in te vullen als de informatie beschikbaar is)	IP adres: DNS:
Ondernomen acties	De eerste acties die tot nu toe zijn ondernomen – tot 2 uur nadat het incident is geconstateerd – worden beschreven
Openbaarmaking	Volgens de communicatiestrategie van de administratie
tot 5 werkdagen
Mechanisme van aanval	Het aanvalsmechanisme wordt beschreven
Ondernomen acties	De acties die zijn ondernomen om het incident op te lossen, worden in detail beschreven
Behoefte aan corrigerende maatregelen	Is het nodig om de instellingen van firewalls, WAF of andere te wijzigen. Wijzig indien nodig het beveiligingsbeleid Persoonlijke training
Analyse van artefacten	De resultaten van artefactanalyse, indien geïdentificeerd, en de tools die hiervoor worden gebruikt, worden beschreven. Er wordt een kopie van de artefacten verzonden
Openbaarmaking _	Volgens de communicatiestrategie van de administratie

Opmerking. Indien nodig wordt aanvullende informatie ingevuld.

Bijlage nr. 8 bij

art. 31, alinea. 3

SAMENVATTING VAN INCIDENTSTATISTIEKEN van de sectorale ERICS naar de nationale ERICS
	I/II/III/IV kwartaal voor het lopende jaar	Totaal voor het lopende jaar
Signalen ontvangen
IP-adressen getroffen
E-mails verzonden
Geregistreerd op de site

Niet alle alerts worden geregistreerd als incidenten
Prioriteit van geregistreerde incidenten	I/II/III/IV kwartaal voor het lopende jaar	Totaal voor het lopende jaar
Lang
Gemiddeld
Kort
Totaal	0	0

Het bepalen van de prioriteit van incidenten vindt plaats volgens bijlage nr. 7
Soorten incidenten	I/II/III/IV kwartaal voor het lopende jaar	Totaal voor het lopende jaar
Fraude
Kwaadaardige code
Beledigende inhoud (spam)
Beschikbaarheid (DDoS)
Pogingen tot inbraak
Informatie verzamelen
Inbraken
Informatiebeveiliging
Kwetsbaar
Ander
Botnet
Totaal:	0	0

De classificatie van incidenten wordt uitgevoerd volgens de ENISA-taxonomie zoals uiteengezet in bijlage nr. 7
Betrokken IP-adressen per type incident	I/II/III/IV kwartaal voor het lopende jaar	Totaal voor het lopende jaar
Fraude
Kwaadaardige code
Spam
Botnet
Beschikbaarheid (DDoS)
Pogingen tot inbraak
Informatie verzamelen
Inbraken
Kwetsbaar
Ander
IP-adressen getroffen	0	0

Bijlage nr. 9

INCIDENT CLASSIFICATIE EN PRIORITEIT
Klas	Soort incident	Prioriteit	Beschrijving/voorbeeld
Beledigende inhoud	Spam	Kort	“Spam”. Het gebruik van een elektronisch communicatiemedium (internet) voor massale verzending van ongevraagde berichten. Spamberichten worden verzonden als onderdeel van een grotere verzameling berichten, allemaal met identieke inhoud.
	Intimidatie	Kort	Intimidatie of discriminatie van iemand (bijv. cyberstalking).
	Kind/seksueel/geweld/…	Lang	Kinderpornografie, verheerlijking van geweld, …
Kwaadaardige code	Virus	Gemiddeld	Software die opzettelijk op systemen is geïnstalleerd voor kwaadaardige doeleinden. Gebruikersactie is vereist om de code te activeren.
	Worm	Gemiddeld
	Trojaans paard	Gemiddeld
	Spyware	Gemiddeld
	Kiezer	Gemiddeld
Informatie verzamelen	scannen	Gemiddeld	Aanvallen die verzoeken naar een systeem sturen om kwetsbaarheden te vinden. Dit omvat ook enkele soorten tests om informatie te verzamelen over hosts, services en accounts. Voorbeelden: fingerd, DNS-verzoeken, ICMP, SMTP (EXPN, RCPT, …).
	Snuffelen	Kort	Monitoring en registratie van netwerkverkeer (aftappen)
	Social engineering	Kort	Het verzamelen van informatie van individuen zonder gebruik te maken van technische middelen (bijv. leugens, trucs, steekpenningen of bedreigingen).
Pogingen tot inbraak	Bekende kwetsbaarheden uitbuiten	Gemiddeld	Een poging om een systeem te compromitteren of de integriteit van een service te schenden door misbruik te maken van een kwetsbaarheid met een gestandaardiseerde identifier zoals een CVE-naam (bijv. bufferoverloop, backdoors, cross-site scripting, enz.).
	Inlogpogingen	Gemiddeld	Meerdere pogingen om in te loggen op een systeem (bijv. raden/kraken van wachtwoorden, brute kracht).
	Nieuwe aanvalshandtekening	Kort	Aanvalspoging met nieuwe technieken.
Inbraken	Gecompromitteerd account	Gemiddeld	Succesvolle inbreuk op een systeem of applicatie (service). Dit kan op afstand worden veroorzaakt door misbruik van een bekende of nieuwe kwetsbaarheid, maar ook lokaal door een onbevoegd persoon.
	Gecompromitteerd account zonder rechten	Gemiddeld
	Applicatie compromis	Gemiddeld
Beschikbaarheid	DoS	Lang	Bij dit type aanval wordt het systeem gebombardeerd met zoveel pakketten dat processen vertragen of het systeem crasht. Voorbeelden van remote DoS zijn SYN- en PING-flooding, e-mail bombing, etc. (DDoS: TFN, Trinity, etc.) De beschikbaarheid van diensten kan echter ook worden beïnvloed door acties op lokaal niveau (vernieling, stroomuitval, etc.)
	DDoS	Lang
	Sabotage	Lang
Informatiebeveiliging	Ongeoorloofde toegang tot informatie	Gemiddeld	Naast lokaal misbruik van data en systemen kan de informatiebeveiliging ook worden bedreigd door het succesvol in gevaar brengen van accounts en applicaties. Daarnaast zijn ook aanvallen mogelijk waarbij informatie wordt onderschept en ontsloten tijdens de overdracht (afluisteren, knoeien of onderscheppen).
Informatiebeveiliging	Ongeoorloofde wijziging van informatie	Gemiddeld
Fraude	Ongeoorloofd gebruik van middelen	Gemiddeld	Gebruik van middelen voor ongeoorloofde doeleinden, waaronder geldelijk gewin (bijvoorbeeld het gebruik van e-mail om deel te nemen aan illegale verspreiding van brieven met winstoogmerk of deelname aan piramidespelen om gegevens en fondsen over te hevelen).
	auteursrechten	Kort	Verkoop en installatie van niet-gelicentieerde kopieën van commerciële software of ander auteursrechtelijk beschermd commercieel materiaal (Warez).
	Maskerade	Lang	Soorten aanvallen waarbij een persoon op illegale wijze de identiteit van een ander aanneemt om hiervan te profiteren.
	Phishing	Lang	Een aanval waarbij een kopie van een legitieme WEB-pagina wordt gemaakt waarmee slachtoffers worden misleid om persoonlijke gegevens of andere vertrouwelijke informatie in te voeren. De ingevoerde gegevens worden verder gebruikt voor illegale activiteiten.
Ander	Alle anderen	Kort	Voor alle incidenten die niet in bovenstaand classificatieschema vallen.

Cookie policyhttps://translate.google.com/websitetranslationui?parent=https%3A%2F%2Flex-bg.translate.goog&pfu=https%3A%2F%2Flex-bg.translate.goog%2Fbg%2Flaws%2Fldoc%2F2137195046%3F_x_tr_sl%3Dbg%26_x_tr_tl%3Den%26_x_tr_hl%3Den-US%26_x_tr_pto%3Dwapp&u=https%3A%2F%2Flex.bg%2Fbg%2Flaws%2Fldoc%2F2137195046&sl=bg&tl=en&opu=https%3A%2F%2Ftranslate.google.com%2Fwebsite%3Fsl%3Dbg%26tl%3Den%26hl%3Den-US%26client%3Dwebapp%26u%3Dhttps%3A%2F%2Flex.bg%2Fbg%2Flaws%2Fldoc%2F2137195046%26anno%3D2&client=webapp&hl=en-US

NEWS

Directory / Normative acts

Constitution	Regulations
Codes	Implementing regulations
Regulations	Latest issue of DV
Laws

ADD TO MY ACTS

REGULATION ON MINIMUM REQUIREMENTS FOR NETWORK AND INFORMATION SECURITY
Effective from 26.07.2019 Adopted by PMS No. 186 of 19.07.2019.

Pron. DV. no. 59 of July 26, 2019 , amended DV. no. 36 of 13 May 2022 , amended DV. no. 47 of June 24, 2022

In order to view this page you need Adobe Flash Player 9 (or higher) equivalent support!

Chapter One.
GENERAL

Scope

Art. 1. (1) This regulation applies to the following subjects: 1. the administrative bodies; 2. the operators of essential services within the meaning of the

Cybersecurity Act regarding their networks and information systems used in the provision of essential services; 3. digital service providers within the meaning of the

Cybersecurity Act regarding their networks and information systems used in the provision of digital services; 4. the persons performing public functions who are not defined as operators of essential services within the meaning of the

Law on Cyber Security , when these persons provide administrative services electronically; 5. organizations providing public services that are not defined as operators of essential services or are not providers of digital services within the meaning of the

Cybersecurity Act , when these organizations provide administrative services electronically. (2) The ordinance regulates: 1. requirements for the minimum measures for network and information security; 2. recommended measures for network and information security; 3. rules for carrying out checks for compliance with the requirements of this regulation; 4. the procedure for keeping, storing and accessing the register of essential services under

Art. 6 of the Cybersecurity Act ; 5. model of incident notifications.

Principles

Art. 2. (1) By their nature, network and information security measures are organizational, technological and technical and are applied in accordance with the specifics of the Entity’s activity and must be appropriate and proportionate to the risks for achieving the main goals of network and information security . (2) The measures under para. 1 guarantee the main objectives of network and information security, namely preservation of accessibility, integrity (integrity and availability) and confidentiality of information during the whole and life cycle (creation, processing, storage, transfer and destruction) in and through the information and communication systems of the Entity. (3) The measures under para. 1 are in accordance with the requirements of the national legal acts, the regulations of the European Union and the standards adopted and applied by the Subject, taking into account the short-term, the main and general security risks for the relevant sector. (4) The measures for network and information security are applied in accordance with the guidelines of the applicable international standards specified in

Annex No. 1 , the recommendations of manufacturers and suppliers of software and hardware, as well as with the good practices recommended by leading organizations in the field of security. (5) The measures under para. 1 should be: 1. heterogeneous – the achievement of each of the goals of network and information security is realized with different in nature and specific measures, which creates a condition for multi-layered protection, or the so-called “deep defense”; 2. concrete and easy to perceive to ensure that the measures are actually implemented; 3. efficient – to have the greatest impact on potential threats, avoiding unnecessary expenditure of resources; 4. proportional to the risks – with a view to achieving an optimal ratio between costs and benefits when realizing the goals of network and information security; 5. verifiable – guarantee that the Entity can provide the relevant national competent authority within the meaning of

Art. 16 of the Law on Cybersecurity evidence of their effective implementation in accordance with the requirement of

Art. 16, paragraph 3 of the same law. (6) The minimum measures for network and information security specified in this regulation are not tied to certain technologies.

Chapter two.
MINIMUM MEASURES FOR NETWORK AND INFORMATION SECURITY

Section I.
Network and Information Security Management

Distribution of roles and responsibilities

Art. 3. (1) The administrative body, respectively the head of the Entity under

Art. 1, para. 1, items 2 – 5 : 1. bears direct responsibility for network and information security within the scope of the regulation, even when the activity is assigned to third parties; 2. creates conditions for the implementation of a complex system of measures for the management of this security in the sense of the international standard BDS ISO/IEC 27001; the system covers all areas of security that affect the network and information security of the Subject, including the physical security of information and communication systems; 3. provides the necessary resources for the implementation of organizational, technical and technological measures proportionate and adequate to the risks, guaranteeing a high level of network and information security within the scope of the regulation; 4. exercises control over the level of network and information security through: a) organization of audits within the meaning of

Art. 35, para. 1, items 1 and 3 to prove the compliance of the measures taken with the requirements of the normative acts and the adopted standards; b) conducting at least once a year a periodic review of network and information security and the adequacy of the measures taken; 5. determines, documents and imposes responsibilities for the implementation, control and awareness of all processes and activities related to the development, maintenance and operation of information and communication systems, respecting the principle that a person cannot control his own activity. (2) The person under para. 1 designates an employee or administrative unit responsible for network and information security as: 1. the employee or the unit responsible for network and information security is directly subordinated to the administrative body, respectively to the head of the Subject, under

Art. 1, para. 1, items 2 – 5 in order to directly inform about the state and problems in network and information security; 2. recommended functions of the employee or the unit responsible for network and information security are described in

Appendix No. 6 . (3) When the entity has territorial structures and distributed information systems, an employee responsible for network and information security is designated for each of these structures.

Security Policy

Art. 4. (1) Subjects develop and adopt their own policy for network and information security, which is reviewed regularly, but not less often than once a year, and updated if necessary. (2) The policy contains the Entity’s strategic goals for network and information security and the approach to achieving them in accordance with its general strategic and operational goals, regulations and contracts, current and potential internal and external threats to the achievement of these goals and to the security of the information. (3) The policy relates to or includes all relevant specific policies for the security of information and communication systems, such as information exchange, use of mobile devices, remote work, use of cryptographic mechanisms, access and authentication management, development of new systems , incident management, relationship with third parties, increasing employee qualifications and awareness regarding network and information security, etc.

Documented information

Art. 5. (1) In order to reduce losses from incidents by reducing the response time and their resolution, as well as to reduce the probability of occurrence of incidents caused by human errors, the Entity maintains the following documentation: 1. inventory of information assets; 2. physical connection diagram; 3. logical scheme of information flows; 4. documentation of the structural cable system; 5. technical, operational and user documentation of the information and communication systems and their components; 6. instructions/internal rules for any activity related to the administration, operation and maintenance of hardware and software; 7. internal rules for employees specifying their rights and obligations as users of services provided through information and communication systems, such as use of personal computers, access to corporate network resources, generation and storage of passwords, access to the Internet, work with electronic mail, document circulation systems and other internal departmental systems, printing, faxing, use of removable media in electronic form, use of portable recording devices, etc. (2) The documentation under para. 1 should be: 1. unambiguously identified as title, version, date, author, number and/or etc.; 2. kept up-to-date, being reviewed and, if necessary, updated at least once a year; 3. approved by an administrative body, respectively by the head of the Subject under

Art. 1, para. 1, items 2 – 5 or by a person authorized by him; 4. classified within the meaning of

art. 6 ; 5. accessible only to those persons who need to use it in the performance of their official duties. (3) The subject maintains information proving in an indisputable way the fulfillment of the requirements of this regulation. (4) The information under para. 3: 1. is kept up-to-date; 2. is only available to: a) those persons who need to use it in the performance of their official duties by virtue of employment, service or contractual relations; b) representatives of the relevant national competent authorities according to

Art. 16, paragraph 5 of the Cybersecurity Act ; c) other organizations authorized by legal act or contractual relations.

Classification of information

Art. 6. (1) The entity adopts internal rules within the meaning of

Art. 5, para. 1, items 6 and 7 for information classification, which indicate how to mark, use, process, exchange, store and destroy the information available to the organization. A recommended classification is given in

Appendix No. 2 . (2) The rules under para. 1 guarantee sufficient, adequate and threat-proportional protection of the information in view of its importance, sensitivity and the normative requirements for it. (3) The classification under para. 1 also applies to all resources involved in the creation, processing, storage, transfer and destruction of information, and appropriate protection mechanisms corresponding to the threats identified by the Subject must be applied to them. (4) The classification level must be appropriately applied to the documented information. (5) For the classification under para. 1 does not allow the use of information security classification levels from the scope of the

Law on the Protection of Classified Information , as well as their symbol. (6) Unclassified information is available for general use subject to standard copyright rules and no protection mechanisms are applied to it. (7) When exchanging information, the TLP (traffic light protocol) classification is used according to

Annex No. 2 .

Risk Management

Art. 7. (1) The entity performs an analysis and risk assessment for network and information security regularly, but not less often than once a year, or when significant changes are required in the goals, internal and external working conditions, information and communication infrastructure, activities or the processes falling within the scope of this Ordinance. (2) Risk analysis and assessment is a documented process within the meaning of

Art. 5, para. 1, item 6 , in which the levels of unacceptable risk and the responsibilities of the persons participating in the individual stages of the process are regulated. (3) The analysis and risk assessment are carried out according to a methodology guaranteeing measurable, relatively objective and repeatable results. The methodology is approved by the administrative body, respectively by the head of the subject under

Art. 1, para. 1, items 2 – 5 , and is available to the persons assigned to participate in the process. A recommended methodology can be applied according to

Annex No. 3 . (4) On the basis of the risk analysis and assessment, the Entity prepares a plan to reduce unacceptable risks, which includes at least: 1. appropriate and proportionate measures to mitigate unacceptable risks; 2. necessary resources for the implementation of these measures; 3. deadline for implementing the measures; 4. responsible persons.

Management of information assets

Art. 8. (1) The subject adopts internal rules within the meaning of

Art. 5, para. 1, item 6 , regulating the life cycle management process of information and communication systems and their components. The internal rules must unambiguously specify the conditions, manner and procedure for acquisition, commissioning, maintenance, relocation/export, decommissioning and destruction of information and communication systems and their components. (2) The inventory of information assets within the meaning of

Art. 5, para. 1, item 1 contains information necessary for incident resolution, risk analysis and assessment, vulnerability management and change management, such as: 1. unique identification, such as inventory, serial number, etc.; 2. basic characteristics; 3. services, processes and activities in which it participates; 4. location; 5. year of production, where applicable; 6. date of commissioning, where applicable; 7. version where applicable; 8. location of related documentation (technical, operational, user, etc.); 9. responsible person.

Security of human resources

Art. 9. (1) To reduce the risk of accidents, intentionally or unintentionally caused by employees, the Entity ensures through internal rules and instructions that employees related to the processes and activities within the scope of the regulation have the appropriate qualifications, knowledge and skills to perform of their responsibilities. (2) The internal rules under para. 1 regulate: 1. the hiring process in accordance with the applicable laws and by-laws, professional ethics and in accordance with the requirements related to their activity – the classification of the information to which they have access and the assumed risks; 2. responsibilities and obligations regarding information security upon termination or change of employment/contractual relations; 3. disciplinary process for the persons under para. 1, who have committed a violation regarding the policy and internal rules for network and information security. (3) Responsibilities of persons under para. 1 regarding information security are documented with clearly defined terms and obligations. (4) The subject ensures the level of network and information security by means of: 1. appropriate professional training to increase the qualifications of employees in accordance with the equipment and technologies used; 2. periodically instructing employees to increase their attention regarding network and information security; the briefing is done according to an approved schedule and documented in a way that guarantees traceability.

Managing interactions with third parties

Art. 10. (1) When establishing relationships with suppliers of goods and services called “third parties”, the Entity must agree on requirements for network and information security, including: 1. for security of information related to the access of representatives of third parties to information and assets of the Subject; 2. to prove that the third party also implements adequate measures for network and information security, including clauses for proving the application of these measures through documents and/or conducting audits; 3. for supply chain transparency; the third party must be able to prove the origin of the resource/service offered and its security; 4. consequences of non-compliance with information security requirements; 5. liability in case of non-compliance with the agreed terms, quantity and/or quality of the service, which may create a risk for achieving the goals of network and information security; 6. for interaction in the event of an incident, which at least includes: contact points, way to report, response time, time to restore work, conditions for closing an incident. (2) The entity designates an employee/employees responsible/responsible for compliance with the requirements under para. 1 and service level parameters. (3) The subject prepares an action plan in case of non-compliance with the agreed activities and clauses with the third party.

Management of changes in information assets

Art. 11. (1) The entity adopts internal rules for managing changes in the information assets important for its activity in accordance with the requirement of

Art. 5, para. 1, item 6 in order to reduce the risk of incidents that occurred as a result of changes in the information assets important for its activity, and more precisely in the information and communication systems and their serving infrastructure, in the processes and activities, in the configurations, in the software or in the firmware. (2) Before carrying out the amendment, the Subject must perform an analysis and risk assessment in accordance with

Art. 7 . (3) The changes are: 1. plan, defining deadlines and responsibilities for each activity that will be carried out before, during and after the amendment; 2. agree in advance with all parties having responsibilities for the processes and activities within the scope of the regulation; 3. approved by the administrative body, respectively by the head of the subject under

Art. 1, para. 1, items 2 – 5 , or by a person authorized by him; 4. disclose in an appropriate manner to all parties who are interested; informing the interested parties must be at least 3 days before the amendment is made; 5. check in a test environment. (4) The entity shall develop a plan to return the systems to their previous state in order to reduce the duration of a potential incident resulting from the change.

Security in the development and acquisition of information and communication systems

Art. 12. (1) When developing projects and technical tasks, the Subject includes adequate and complex requirements for network and information security, based on analysis and risk assessment, in order to ensure that the required level of security of information, networks and information systems is set already in the stage of development and implementation. (2) The entity puts new information and communication systems into operation as planned and after successfully conducted and documented tests proving the protection of information from loss of accessibility, integrity and confidentiality.

Section II.
Protection

Segregation

Art. 13. (1) The entity maintains an information and communication infrastructure that ensures that the information and communication systems performing different functions are separated and isolated from each other physically and/or logically, as well as that they are separated and isolated from the information and communication systems of third parties in order to limit the spread of network and information security incidents. (2) In the event that a given system is composed of subsystems, their separation must be carried out at the last physical or logical level, and the web server, application software server and database server of an information system must be located on different machines and in different networks.

Traffic filtering

Art. 14. (1) The subject ensures that traffic between individual systems and their subsystems is controlled by appropriate filtering (by IP address, by protocol, by port number from the Transmission Control Protocol (TCP)/Internet Protocol (IP) stack, etc. n.) in order to prevent possible attacks and limit the spread of incidents. Traffic filtering should be according to pre-defined and approved rules based on functionality and security, which should be regularly checked for unregulated changes and updated for emerging threats. (2) Unnecessary TCP and User Datagram Protocol (UDP) ports must be disabled by adequately configuring the used software solutions, hardware devices and traffic protection and control equipment.

Unauthorized use of devices

Art. 15. (1) The entity adopts clearly defined policies regarding the use of: 1. personal technical means in the network they control; 2. portable recording devices. (2) The policies are reflected in the internal rules, taking appropriate and reciprocal measures for their implementation.

Cryptography

Art. 16. (1) The subject develops a policy and internal rules according to

Art. 5, para. 1, item 6 for the application of cryptographic mechanisms that are used to ensure the confidentiality and integrity of sensitive information in accordance with its classification. (2) Cryptographic mechanisms take into account the vulnerability of the information to threats to its confidentiality and integrity and the normative and regulatory requirements for its creation, storage and transmission.

Administration of information and communication systems

Art. 17. (1) The subject applies the following measures to protect the profiles with administrative rights for the information and communication systems and their components: 1. before putting into operation, the identification data of the administrator, entered by default or installed by the manufacturer/supplier of the information asset, must be changed; 2. administrator profiles are personal; 3. administrator profiles are used only for administrative purposes; 4. administrator profiles are created only for employees who perform administrative operations (installation, configuration, management, maintenance, etc.); 5. the rights of each administrator account are limited as much as possible to the functional and technical perimeter of each administrator; 6. the data for the authentication of the administrator accounts: a) are different for each system; b) are of the greatest possible complexity allowed by the system or its component; c) are stored appropriately physically and logically protected, and only an authorized representative of the Subject has access to them; 7. maintains a list of administrator profiles for information and communication systems and their components; 8. if an administrator is unable to fully perform his functions due to objective reasons, the rights of his administrative account are suspended for the relevant period; 9. at least once a year, the administrator profiles are reviewed in order to verify their relevance. (2) Passwords for authentication of administrator profiles must be changed: 1. periodically – at least once a year; 2. upon termination of contractual relations with employees or third parties to whom these data were known; 3. in the event of a breach in network and information security. (3) All operations, processes and activities in the information and communication systems and their components, performed with administrator rights, are documented in the sense of

Art. 5, para. 3 and 4 for each administrator profile and in accordance with the requirements of

Art. 29, para. 2, 4, 5 and 6 . (4) In the documentation under para. 3 administrative profile passwords are not entered or stored in plaintext or hash form.

Administration environment

Art. 18. (1) The subject uses a separate, appropriately protected environment (network, system, software, etc.) for the purposes of administering the information and communication systems and their components. This environment must be isolated from the Subject’s other information and communication systems and from the Internet and must not be used for other purposes. (2) In the event that the administration of the information and communication systems and their components is not carried out through the means under para. 1, the flows of this information must be protected by authentication and encryption mechanisms.

Access management

Art. 19. The entity is obliged to give access to its information and communication systems to a user or an automated process only when this access is strictly necessary for the user to fulfill his duties, or for the automated process to perform the necessary technical operations. To ensure that only authorized users, devices (including other information systems) and automated processes have access to its information and communication systems, the Entity: 1. in its internal rules within the meaning of

Art. 5, para. 1, item 6 determines: a) the rights of access to specific information assets of the employees according to their position; b) the procedure for requesting, changing and terminating access; 2. applies mandatory measures for authentication, authorization and auditing of computer networks and systems, which also include requirements for a certain complexity of authentication data; if passwords are used: a) they should contain lower and upper case letters, numbers and special characters; b) their length must be no less than 8 characters for user and 12 characters for administrator profiles; c) user account passwords must be changed regularly for a period not exceeding six months; 3. ensures that user profiles are individual; in day-to-day work, profiles with the lowest level of access that enable the performance of official duties should be used; 4. ensures that the persons entitled to request the granting, modification and suspension of access, defined in the internal rules under item 1, letter “b”, carry out regular reviews of the accesses, but not less often than once a year; during these reviews, it is established whether all those who are given access to the network, to the individual systems and/or applications have the right to it in accordance with their official duties, whether outsiders have access and what it is (former employees, representatives of third parties); for the purposes of the reviews, the administrators of the relevant information and communication systems provide the persons authorized in the internal rules under item 1, letter “b” a list of all those who have access to the system and the level of access, and the authorized persons documentally confirm or give instructions for change; 5. restricts the granting of privileged access (higher level of access or access to a system to which the person should not have access in accordance with the internal rules under paragraph 1); privileged access should be granted only for a certain period and actions with it controlled; 6. ensure that access to shared files and printers is permitted only from the network controlled by the Entity.

Remote access/remote protection

Art. 20. If there is a need to access information assets outside the network controlled by the Subject, the requirements of

Art. 19 , including: 1. at least two-factor authentication is used; 2. only channels with a high level of protection such as Virtual Private Network (VPN) are used; 3. File Transfer Protocol (FTP) and Remote Desktop Connection are not used.

Protection of hardware devices

Art. 21. (1) To reduce the risk of accidents caused by technical failures, the Subject: 1. provides the air-conditioning and mechanical conditions specified by the manufacturer; 2. monitors the parameters of the conditions under item 1; 3. conducts planned regular technical maintenance of the devices in accordance with its life cycle policy. (2) To reduce the risk of unauthorized access, the Entity is obliged to place the devices in areas that are physically and logically protected in accordance with the classification of the information they work with.

Software and Firmware Protection

Art. 22. (1) The entity installs and maintains only versions of the software and firmware used in its systems that are supported by their suppliers or manufacturers and are up-to-date from a security point of view. (2) The administrative body, respectively the head of the subject under

Art. 1, para. 1, items 2 – 5 , approves the software that is used in the information and communication systems. (3) The entity maintains a library of distributions of the used software and firmware in order to reduce the time to restore a given system after a crash. (4) The subject takes measures to: 1. not allowing the installation and use of unapproved software and firmware; 2. control over the used software and firmware, including its up-to-dateness. (5) The subject adopts internal rules and instructions for regulating the actions on: 1. maintaining the library with distributions of the used software and firmware in an up-to-date state; 2. managing access to it; 3. tracking for newly discovered vulnerabilities in the security of the software and firmware used in its systems and for their updates (new versions, updates and patches) that eliminate these vulnerabilities, or measures to mitigate them, published by manufacturers or suppliers; 4. acquiring and verifying the origin and integrity of the update prior to installation and; 5. the implementation of the updates and recommended measures, which must be carried out in accordance with the provisions of

Art. 11 . (6) The entity guarantees that the devices and systems are configured in accordance with the security recommendations of their respective supplier or manufacturer, applying the requirements of

Appendix No. 4 . (7) The entity stores an off-line copy of the current configuration files and/or a description of the settings, and access to them must be controlled. Copies should be checked regularly for quality and suitability. (8) The subject regularly checks the configuration files and settings of systems and devices for unregulated changes.

Malware protection

Art. 23. (1) The subject implements in its information and communication infrastructure appropriate measures to protect against penetration and measures to detect and deal with malicious software. (2) Malware protection measures must: 1. to be applied to all components of information and communication systems, where possible; 2. be kept up-to-date to have the ability to protect against newly discovered threats. (3) Malware protection measures must allow: 1. performing a full check for the presence of malicious software at least once a week, where applicable; 2. checking e-mail and files downloaded from the Internet, as well as portable recording devices, before they are opened. (4) The entity regularly evaluates the effectiveness of the measures to protect against malicious software and, in case of detected weaknesses, takes actions to improve the protection.

Web server protection

Art. 24. (1) The subject takes the following measures to protect the web servers: 1. installs a certificate on its web servers issued by a trusted certification authority system; the certificate must: a) to be issued for the relevant website (website) or group of websites and to be unique; b) use an encryption algorithm of at least SHA2; c) to be up-to-date, with expired certificates being cancelled; 2. to protect the integrity of the information exchanged with users, the website must be accessible only by Hypertext Transfer Protocol Secure (HTTPS) protocol, using only cryptographic transport protocols TLS (Transport Layer Security) version 1.2, defined in RFC 5246 of the IETF (The Internet Engineering Task Force) in 2008, version 1.3, defined in RFC 8446 of the IETF in 2018, or subsequent later versions; 3. for encryption of the information exchanged between the web server and its users, the requirements of

Art. 16 and taking into account the prohibitions published in IETF RFCs against the use of encryption methods in cryptographic transport protocols; 4. to implement an appropriate Web Application Firewall (WAP) that monitors and filters traffic from and to the respective application in order to protect web applications from cyberattacks such as Cross-Site Request Forgery (CSRF), Cross-site Scripting (XSS), file inclusion, SQL injection, etc.; 5. not to allow the insertion of data by the user, except in the designated places; 6. all input data coming from the client, including user-supplied content and browser content, such as referrer and user-agent headers, must be validated; 7. the application software does not allow entering special characters, especially those used in SQL queries; 8. all data sent by the client and displayed on a web page must be HTML-encoded to ensure that the content is rendered as text instead of an HTML element or JavaScript; 9. to protect against Denial of Service (DoS) attacks: a) to impose a limit on requests and in particular on maximum length of content, maximum length of request and maximum length of request by Url; b) to configure the type and size of headers that the web server will accept; c) to limit the duration of the connection (connection Timeout), the time for which the server waits for all headers of the request before terminating it, and the minimum number of bytes per second when sending a response to a request, in order to minimize the impact of slow HTTP attacks; 10. to protect against brute force attacks, to introduce a limit on the number of unsuccessful attempts to enter the system; 11. not to display a list of web directories; 12. cookies must have: a) security flag – this flag instructs the browser that the “cookie” can only be accessed through secure SSL channels; b) flag HTTP only – instructs the browser that the “cookie” can only be accessed by the server, and not by scripts, on the client side; 13. headers of responses to requests, which must guarantee protection of both the client and the website (website), containing options specified in

appendix No. 5 ; 14. put a robot.txt file in the main directory of the website (website), which gives instructions to the web robots (bots/spiders) how often to crawl the site, as well as which parts of it to crawl and index; if this file does not exist, web robots crawl the entire site – every page, subpage, article, link, etc., which poses a risk to the confidentiality of information; 15. when using a Content Management System (CMS) to change the default name of the folder to access the admin panel.

Domain Name System (DNS) protection

Art. 25. The entity must take the following measures to protect the DNS: 1. when using more than one DNS server, each of them should be located in a different network/subnet; 2. to implement DNSSEC (Domain Name System Security Extensions); 3. to minimize DNS requests according to the 2016 IETF RFC 7816; 4. to disable zone-transfers – malicious parties can quickly determine all hosts in a certain zone through DNS zone transfers, collect domain information, select targets for attacks, discover unused IP addresses and bypass network access control, to steal information; 5. in the configuration file put: a) dmarc (Domain-based Message Authentication, Reporting and Conformance) record; b) SPF (Sender Policy Framework) record.

Physical security

Art. 26. (1) The entity ensures physical protection of its information assets by applying adequate and proportionate measures against threats from unauthorized physical access to them. Measures must ensure the availability, integrity and confidentiality of information assets. (2) The subject ensures protection of its information assets from fire, flood, chemical and physical change of the air through appropriate measures in accordance with the normative acts. (3) In order to guarantee the effectiveness of the implemented measures under para. 1 and 2, the Subject performs appropriate monitoring on them.

Protection of industrial control systems

Art. 27. In the event that the Entity uses industrial control systems, the functioning and security of which depend on the essential services it provides, it is obliged to implement appropriate measures for their protection in accordance with the requirements of the regulation, if applicable.

Observation

Art. 28. (1) The entity uses a system/systems for automatic detection of events that may affect the network and information security of systems important to its activity, by analyzing information flows, protocols and files passing through key devices positioned so, to be able to analyze all flows exchanged between their own information and communication systems, as well as with the information and communication systems of third parties. (2) The subject organizes, through internal rules and/or instructions, actions for monitoring and responding to signals from this/these system/systems.

System records (logs)

Art. 29. With respect to system records, the Entity warrants that: 1. in application servers that support critical activities, system infrastructure servers, network infrastructure servers, security facilities, stations for engineering and maintenance of industrial systems, network equipment and workstations of administrators, all events that are related are automatically registered at least with user authentication, profile management, access rights, changes to security rules and operation of information and communication systems; 2. the astronomical time when the event occurred is noted in the records for each of these events; 3. all system components maintain uniform time in accordance with the requirements of: a) standards BDS ISO 8601-1 “Date and time. Representations for information exchange. Part 1: Basic rules” and BDS ISO 8601-2 “Date and time. Representations for information exchange. Part 2: Extensions”; the time for the occurrence of events of legal or technical importance is reported with accuracy to the year, date, hour, minute and second, and if technologically necessary, reporting to the millisecond is also allowed; b) the NTP V4 (Network Time Protocol, version 4.0 and subsequent) protocol based on IETF RFC 5905 from 2010 shall be used for clock synchronization of information and communication system components, providing chronometric determination with the time scale to UTC (Coordinated Universal Time), or similar; 4. access to the information under para. 1 is limited only to persons having obligations for monitoring in the sense of

Art. 30 , for the resolution of network and information security incidents, for the detection and investigation of serious crimes and crimes under

Art. 319a – 319e of the Criminal Code in accordance with

Art. 14, para. 4, item 2 and

art. 15, para. 3, item 3 of the Cybersecurity Act ; access to this information must be read-only; 5. the information under para. 1 is archived and stored for a period of not less than twelve months in compliance with the requirements of

Art. 32 ; 6. The subject must be able to correlate the information under para. 1 from the various sources and perform analysis to detect events that affect network and information security.

Network and information security incident management

Art. 30. (1) In the internal rules within the meaning of

Art. 5, para. 1, item 6, all activities in the processing of signals and response to incidents are regulated. (2) The internal rules under para. 1 contain: 1. the procedure for submitting signals for occurred or potential events having a negative impact on network and information security; 2. information about the persons responsible for the incident register; 3. the procedure for registering the signal, checking its credibility, classifying it, prioritizing it and subsequently notifying the sender thereof; 4. the procedure for notification of the incident (functional and hierarchical escalation); 5. the procedure for submitting information on how to resolve the incident; 6. the procedure for closing the incident; 7. the process for collecting, storing and handing over evidence, when the incident implies the execution of procedural actions against a person or organization, including the necessary records; 8. access rights to the incident register. (3) The subject develops, verifies and keeps up-to-date plans for dealing with incidents that would have the most serious impact on network and information security. The plans contain information about: 1. the person responsible for the organization in the event of an incident; 2. order of information; 3. the measures to be taken and the person responsible for this; 4. the consultation order; 5. the procedure for monitoring the parameters during the incident; 6. the person who will collect and store the necessary information, etc. (4) The entity develops a communication strategy that determines the procedure for sharing information about the incident with employees, partners, suppliers, customers, media, government authorities.

Incident notification

Art. 31. (1) In the event of a network and information security incident, the employee or the administrative unit responsible for network and information security within the meaning of

Art. 3, para. 2 , notify the relevant sectoral computer security incident response team of the incidents within the terms specified in

Art. 21, para. 4 and 5 and

Art. 22 of the Cybersecurity Act . (2) For the notification under para. 1 and under

Art. 17, para. 7 of the Law on Cyber Security , the form specified in

Appendix No. 7 is used . (3) When fulfilling the requirement of

Art. 17, para. 8 of the Cyber Security Act, the sectoral computer security incident response teams shall send the aggregate statistical information on incidents to the national computer security incident response team using the form specified in Annex No.

8 . (4) In the event that the information under para. 2 and 3 is sent by e-mail, it must be properly protected from unauthorized access and classified according to

Art. 6, para. 7 .

Section III.
Sustainability

Backing up and archiving information

Art. 32. (1) Internal rules/instructions within the meaning of

Art. 5, para. 1, item 6 are developed in accordance with the goals and strategic guidelines defined in the network and information security policy regarding the protection of information integrity in the event of an incident affecting its accessibility. (2) The internal rules/instructions under para. 1 regulate the processes, related activities and responsibilities for booking and archiving information, and their content includes at least: 1. the information (databases, configuration files, system images, etc.) that will be reserved and/or archived; 2. the technology to be used for backup and redundancy; 3. the type of reservation (partial, full, etc.); 4. the period of performing the archiving and backup; 5. the number of copies to be made; 6. the time for storing each copy according to the requirements of the normative acts and the risk assessment; 7. the place of storage of each copy; 8. the method of protection against unauthorized access (physical and logical); 9. cases of use; 10. the person who gives permission for the use. (3) All requirements under para. 2 are determined by the owner of the information or with his approval and must be tailored to the time for which it must be restored to ensure the necessary level of service availability. (4) When reserving and/or archiving information, the following requirements are observed: 1. to make regular copies according to the risk of information loss and the dynamics of the change and; 2. the copies of information are labeled in a way that clearly indicates at least what the information is, for which system, what method was used to create the copy, date and time; 3. the copies of sensitive information are encrypted or at least protected with a password; 4. the copies of the information should be stored on a separate machine and, if possible, on another secure network; 5. one of the copies of information critical to the activity is stored off-line and, if possible, in another building or in a remote location; 6. to make a regular check of the suitability of the backup copies, whether they fulfill the purposes for which they were created, and whether the necessary recovery time is achieved.

Reservation of infrastructure components

Art. 33. The subject takes appropriate measures in accordance with the risks to guarantee the level of services and activities that are within the scope of the regulation, such as: 1. reservation of systems; 2. reserving devices; 3. load balancing of critical devices or systems; 4. reservation of data centers.

Continuity plans

Art. 34. (1) The subject develops plans for actions in case of accidents, natural disasters or other unforeseen circumstances that would cause an interruption of the service provided by him in accordance with the requirements of

Art. 5, para. 1, item 6 . (2) The plans under para. 1 contain: 1. the circumstances to which they refer; 2. the thresholds at which they are triggered; 3. the person who gives permission for their activation; 4. the order to restore services and activities to a certain level. (3) The plans under para. 1: 1. are played periodically, but not less often than once a year, in order to check their relevance and to train the persons who have responsibilities for their implementation; 2. are kept up-to-date; 3. are accessible only to the persons who have responsibilities for their implementation; 4. are stored in at least two locations, one of which is outside the building in which the systems to which they relate are located.

Chapter Three.
CONTROL

Audits

Art. 35. (1) Control of compliance with the requirements of Chapter Two and the adopted standards is carried out through: 1. internal audits (from the first party), which are organized by the Subject and carried out by its employees or by a third party, but on its behalf; 2. second-party external audits that are organized by clients or suppliers of the Subject; 3. third-party external audits conducted by independent audit organizations, such as executive control bodies or organizations entitled to carry out accreditation or certification. (2) The audits under para. 1, items 2 and 3 are recommended measures. (3) The audits under para. 1, item 1 are carried out in accordance with standard BDS EN ISO 19011 “Instructions for auditing management systems”, the requirements of standard BDS EN ISO/IEC 17020 “Assessment of conformity”, observing at least the following: 1. audits are conducted periodically, but not less often than once a year; 2. audits are conducted according to documented and approved procedures, annual programs and plans, which are disclosed to the persons responsible for the audited area; 3. audits are performed by persons possessing qualifications in the field of control and having the necessary knowledge and professional experience in the field of network and information security; 4. the auditor observes the principles of integrity, impartiality, professionalism, independence and confidentiality; 5. the auditor cannot audit his own activity; 6. the results of the audit are documented and the employee responsible for the audited area is informed about them; 7. in case of non-compliance with the requirements, the requirement and the observed condition are documented in detail and a deadline for its removal is indicated; 8. the results of the audit are classified TLP-AMBER. (4) The subject submits the results of the audits to the relevant national competent authority pursuant to

Art. 16, paragraph 5 of the Cybersecurity Act .

Checks

Art. 36. (1) (Amend. – SG No. 47 of 2022, in force from 24.06.2022) The checks for compliance with the requirements of Chapter Two, carried out by the Minister of Electronic Government pursuant to Art

. 12, item 6 of the Law on Cybersecurity , are carried out in accordance with the standard BDS EN ISO 19011 “Instructions for conducting an audit of management systems” and the requirements of the standard BDS EN ISO/IEC 17020 “Assessment of compliance”. (2) (Amended – SG No. 47 of 2022, in force from 24.06.2022) Inspections are conducted according to internal rules documented and approved by the Minister of Electronic Government. (3) (Amended – SG No. 47 of 2022, in force from 24.06.2022) Inspections are carried out according to an annual program approved by the Minister of e-Government, which is published on the

page of the previous year. (4) (Amended – SG No. 47 of 2022, in force from 24.06.2022) Inspections outside the approved annual program are carried out at the request of a competent authority, as well as at the request of the Subject, the latter being carried out only if there is a free resource of the persons authorized by the Minister of e-Government. (5) For each inspection, the authorized persons create a plan, with which the administrative body or, respectively, the head of the Entity under

Art. 1, para. 1, item 2 – 5 – object of the inspection. (6) The time for carrying out the inspection shall be agreed with an administrative body or, respectively, with the head of the audited Entity under

Art. 1, para. 1, item 2 – 5 – object of the inspection, no later than seven days before the start of the inspection. (7) (Amended – SG No. 47 of 2022, in force from 24.06.2022) The persons authorized by the Minister of Electronic Government must possess a qualification in the field of control and have the necessary knowledge and professional experience in the field of network and information security. (8) Authorized persons observe the principles of integrity, impartiality, professionalism, independence and confidentiality. (9) The authorized persons prepare a report with the results of the inspection no later than 10 days after the completion of the inspection. The report is classified TLP-AMBER. (10) (Amended – SG No. 47 of 2022, in force from 24.06.2022) In the report under para. 9 also indicates the assessment obtained in accordance with the methodology for assessment of network and information security, adopted by the Minister of e-Government pursuant to

Art. 12, item 7 of the Cybersecurity Act . (11) In case of non-compliance with the requirements, the report shall document in detail the requirement and the condition found, the deadline for its removal and, if necessary, recommendations on how to remove it. (12) In the report under para. 9 may also include recommendations for improving the level of network and information security. (13) (Amended – SG No. 47 of 2022, in force from 24.06.2022) The Minister of Electronic Government or a person authorized by him shall send the report under para. 9 of the administrative body, respectively of the head of the Subject, where the inspection was carried out. (14) (Amended – SG No. 47 of 2022, in force from 24.06.2022) The Minister of e-Government or a person authorized by him shall plan actions for subsequent control to eliminate the detected non-conformities and shall inform the manager thereof of the audited person under

Art. 1, para. 1 .

Polls

Art. 37. (1) For the purposes of

Art. 16, paragraph 3, item 3 of the Cybersecurity Act, national competent authorities also use surveys. (2) Surveys refer to the scope of this regulation, specified in

art. 1, para. 2 . (3) In the surveys, information may be requested regarding all requirements specified in chapter two, individual sections thereof or individual articles, regardless of which section they are in. (4) Completed surveys are classified TLP-AMBER.

Chapter Four.
REGISTER OF ESSENTIAL SERVICES

Identification of essential services and operators of essential services

Art. 38. (1) The administrative bodies determined by a decision of the Council of Ministers pursuant to

Art. 16, paragraph 1 of the Law on Cyber Security , identify and register the essential services in the relevant sectors and sub-sectors and the operators who provide them. (2) For the purposes of para. 1, the administrative bodies apply the methodology adopted by decision of the Council of Ministers. (3) The administrative bodies under para. 1 regularly, but not less than once every two years, review: 1. the adequacy of the criteria specific to the relevant sector and possible thresholds for determining the essential services defined in the methodology under para. 2; 2. the essential services in the relevant sectors and sub-sectors and the operators who provide them.

Classification of information in the register of essential services

Art. 39. The information collected under

Art. 38 , is classified TLP-RED.

Maintenance of information in the register of essential services

Art. 40. (1) (Amended – SG No. 47 of 2022, in force from 24.06.2022) The administrative bodies under

Art. 38, para. 1 transmit to the Minister of e-Government the information on the essential services in the relevant sectors and subsectors and on the operators that provide them, specified in

Art. 6, para. 1 of the Cybersecurity Act , and the information collected as a result of the implementation of

Art. 38, para. 2 over secure communication channels. (2) (Amended – SG No. 36 of 2022, amended – SG No. 47 of 2022, in force from 24.06.2022) The Minister of Transport and Communications transmits via secure communication channels to the Minister of e-Government the information about all digital services according to recital 57 of

Directive (EU) 2016/1148 of the European Parliament and of the Council of July 6, 2016 on measures for a high general level of security of networks and information systems in the Union (OJ, L 194/1 of July 19, 2016), distributed by species according to

Annex No. 2 to Art. 4, para. 1, item 2 of the Cybersecurity Act , and for the providers who provide them.

Administration

Art. 41. (Amend. – SG No. 47 of 2022, in force from 24.06.2022) Employees authorized by the Minister of Electronic Government administer a register of essential services and enter the information received under Art

. 38 .

Protection of the Essential Services Register

Art. 42. Adequate and applicable minimum measures for network and information security specified in

Chapter Two, Section II with the clarifications specified in

Art. 19 , and

section III .

Management of access to the register of essential services

Art. 43. (1) Authorized representatives of: 1. The national computer security incident response team within the meaning of

Art. 19, para. 1 of the Cybersecurity Act for the performance of its functions under

Art. 19, para. 2, items 1 and 10 , as access is to all information and gives the right to read only; 2. the sector teams for responding to computer security incidents within the meaning of

art. 18, para. 1 of the Cybersecurity Act for the performance of its functions under

Art. 18, para. 3 and 7 of the Law on Cybersecurity , with access only to the information for the relevant sector and giving the right to read only; 3. The National Single Contact Unit within the meaning of

Art. 17, para. 1 of the Cybersecurity Act for the performance of its functions under

Art. 17, para. 2, 3, 4 and 7 of the Law on Cybersecurity , with access to all information and giving the right to read only; 4. the national competent authorities within the meaning of

Art. 16, paragraph 1 of the Cybersecurity Act for the performance of their functions under

Art. 16, paragraph 11 of the Law on Cyber Security , with access only to the information for the relevant sector and giving the right to read and edit only the “contact person” and “contact points” fields. (2) Access to the register is individual, and for this purpose the administrative bodies under

Art. 38, para. 1 submit a list of authorized officials who perform functions in the relevant national competent authority and sectoral computer security incident response team. (3) (Amended – SG No. 47 of 2022, in force from 24.06.2022) In case of change or termination of official legal relations, the administrative body under

Art. 38, para. 1 informs in writing within one working day the Minister of Electronic Government or a person authorized by him about the changes that have occurred to correct access to the register of essential services. (4) (Amended – SG No. 47 of 2022, in force from 24.06.2022) Access to the register is granted after approval by the Minister of Electronic Government or a person authorized by him. (5) The employees under

Art. 41 , which administer the register of essential services, at least once a year initiate a review of access rights within the meaning of

Art. 19, item 4 . (6) At least two-factor authentication is used to access the registry.

Additional provisions
§ 1. The Ordinance complies with: 1. The group of standards BDS (EN) ISO/IEC 2700x – Information technologies – Security methods – Information security management systems. 2. Other international standards in the field of information technologies and information security, specified in

Annex No. 1 . 3. The recommendations of the Network and Information Security Cooperation Group to the European Commission from February 2018 on security measures for operators of essential services. 4. Good practices in the field of information and communication technologies, recommended by leading organizations in the field of network and information security. § 2. Pursuant to the regulation: 1.

DNSSEC (Domain Name System Security Extensions) is a set of extensions to the DNS system that add a way to verify the authenticity of published DNS information for a given domain. DNSSEC verifies the authenticity of the DNS information for a given domain, thus indirectly protecting the authenticity of all services from that domain, as well as the users of these services. 2.

Dmark (Domain-based Message Authentication, Reporting and Conformance) – a record specifying the policies for validation, distribution and reporting of e-mail within the domain, according to RFC 7489 of the IETF. 3.

SPF (Sender Policy Framework) – a record indicating the e-mail authentication method according to IETF RFC 7208 from 2014. The record must be in DNS TXT (type 16) Resource Record (RR) format according to IETF RFC 1035 .

Transitional and Final Provisions
§ 3. Within 4 months of the entry into force of the regulation, the entities under

Art. 1, para. 1 bring their activities into line with chapter two. § 4. The Ordinance is adopted on the basis of

Art. 3, para. 2 of the Cybersecurity Act .

RESOLUTION No. 134 OF JUNE 20, 2022 AMENDING AND SUPPLEMENTING REGULATORY ACTS OF THE COUNCIL OF MINISTERS

Enter text on Patch 0

Final provisions
TO RESOLUTION No. 134 OF JUNE 20, 2022 AMENDING AND SUPPLEMENTING REGULATORY ACTS OF THE COUNCIL OF MINISTERS

Final provisions
(PUBLISHED – SG No. 47 OF 2022, EFFECTIVE FROM 24.06.2022) § 15.

The decree enters into force from the day of its promulgation in the “

State Gazette “.

Appendix No. 1 to

Art. 2, para. 4

LIST OF NETWORK AND INFORMATION SECURITY STANDARDS

Information Security Management Standards

BDS EN ISO/IEC 27000 – Information technology – Security methods –

Information security management systems –

Overview and glossary

BDS EN ISO/IEC 27001 – Information technology – Security methods –

Information security management systems – Requirements

BDS EN ISO/IEC 27002 – Information technology – Security methods –

Code of good practice for information security management

BDS ISO/IEC 27003 – Information technology – Security methods –

Guidelines for the implementation of information security management systems

BDS ISO/IEC 27004 – Information technology – Security methods –

Information security management – Monitoring, measurement, analysis and evaluation

ISO/IEC 27009 – Information technology – Security techniques – Sector-

specific application of ISO/IEC 27001

– Requirements

BDS ISO/IEC 27013 – Information technology – Security methods –

Guidelines for joint implementation of ISO/IEC 27001 and ISO/IEC 20000-1

ISO/IEC 27014 – Information technology – Security techniques – Governance of information

security

ISO/IEC 27017 – Information technology – Security techniques – Code of practice for information security controls

based on ISO/IEC 27002 for cloud services

of ISO/IEC 27002)

ISO/IEC 29146 – Information technology – Security techniques – A

framework

for access management

BDS ISO/IEC 27018 – Information technology – Security methods –

Code of good practice for the protection of personally identifiable information (PII) in public clouds acting as controllers of PII

Risk management standards

BDS ISO/IEC 27005 – Information technology – Security methods –

Information security risk management

BDS ISO 31000 – Risk management –

Guidelines

BDS EN 31010 – Risk management –

Risk assessment methods

ETSI TS 102 165-1 – CYBER; Methods and protocols;

Part 1: Method and pro forma for Threat, Vulnerability, Risk Analysis (TVRA )

Standards for identification and authenticationISO /IEC 11770-1 – Information technology – Security techniques –

Key management – Part 1: Framework

ISO/IEC 11770-2 – Security techniques – Key management

– Part 2: Mechanisms using symmetric techniques

ISO/IEC 11770-3 – Information technology – Security techniques –

Key management – Part

3 : Mechanisms using asymmetric techniques

ISO/IEC 11770-4 – Information technology – Security techniques – Key management – Part 4: Mechanisms

based on weak secrets

ISO/IEC 11770-5 – Information technology – Security techniques –

Key management – Part 5: Group key management

ISO/IEC 11770-6 – Information technology – Security techniques

– Key management

– Part 6: Key derivation

ISO/IEC 20889 –

Privacy enhancing data de-identification terminology and classification of techniques

ISO/IEC 24760-1 – Information technology – Security techniques – A

framework for identity management

– Part 1: Terminology and concepts

ISO/IEC 24760-2 – Information technology – Security techniques – A

framework for identity management

– Part 2: Reference architecture and requirements

ISO/IEC 24760-3 – Information technology – Security techniques – A

framework for identity

management – Part 3: Practice

ISO/IEC 29115 – Information technology – Security techniques – Entity

authentication assurance

framework

ISO/IEC 29151 – Information technology – Security techniques – Code of practice for personally

identifiable information protection

ISO/IEC 29191 – Information technology – Security techniques – Requirements for

partially anonymous, partially unlinkable

authenticationISO/ IEC 18370-1 – Information technology – Security techniques – Blind

digital signatures – Part 1: General

ISO/IEC 18370-2 – Information technology – Security techniques – Blind

digital signatures – Part 2: Discrete logarithm based mechanisms

ISO/IEC 20008-1 – Information technology – Security techniques – Anonymous digital signatures

– Part 1: General

ISO/IEC 20008-2 – Information technology – Security techniques – Anonymous

digital signatures

– Part 2: Mechanisms using a group public key

ISO/IEC 20009-1 – Information technology – Security techniques – Anonymous

entity

authentication – Part 1: General

ISO/IEC 20009-2 – Information technology – Security techniques – Anonymous

entity authentication – Part 2: Mechanisms based on signatures using a group public key using a group public key)

ISO/IEC 20009-4 – Information technology – Security techniques – Anonymous entity authentication – Part 4: Mechanisms based on

weak secrets

Encryption standards

ISO/IEC 18033-1 – Information technology – Security techniques – Encryption

algorithms – Part 1: General

ISO/IEC 18033-2 – Information technology – Security techniques – Encryption

algorithms – Part 2: Asymmetric ciphers

ISO/IEC 18033-4 – Information technology – Security techniques – Encryption

algorithms – Part 3: Block ciphers

ISO/IEC 18033-4 – Information technology – Security techniques – Encryption

algorithms – Part 4: Stream ciphers

ISO/IEC 18033-5 – Information technology – Security techniques – Encryption

algorithms – Part 5: Identity-based ciphers

Auditing standards

ISO/IEC 27006 – Information technology – Security techniques – Requirements

for bodies providing audit and certification of information security

management systems

ISO/IEC 27007 – Information technology – Security techniques – Guidelines for

information security management systems

auditing

BDS EN ISO 19011 –

Guidelines for auditing management systems

БДС EN ISO/IEC 17020 – Conformity assessment –

Requirements for the activity of different types of control bodies

Security assessment standards

ISO/IEC 15408-1 – Information technology – Security techniques – Evaluation criteria for IT security

– Part 1: Introduction and general model

ISO/IEC 15408-2 – Information technology – Security techniques – Evaluation criteria for IT security

– Part 2: Security functional components

ISO/IEC 15408-3 – Information technology – Security techniques – Evaluation criteria for IT security

– Part 3: Security assurance components

ISO/IEC 18045 – Information technology – Security techniques – Methodology for IT security

evaluation

ISO/IEC TS 19608 – Guidance for developing security and privacy functional requirements based on ISO/ IEC

15408

ISO/IEC TR 20004:2015 – Information technology – Security techniques – Refining software vulnerability analysis under ISO/IEC 15408 and

ISO/IEC 18045 ISO/IEC 18045)

ISO/IEC 29134 – Information technology – Security techniques – Guidelines for

privacy impact

assessment

ISO/IEC 29190 – Information technology – Security techniques – Privacy capability assessment

model

Security standards under development in 2019.

ISO/IEC CD 20009-3 – Information techno-logy – Security techniques – Anonymous entity authentication

– Part 3: Mechanisms based on blind signatures concepts for hidden signatures)

ISO/IEC 27551 – Information technology – Security techniques – Requirements

for attribute-based

unlinkable entity authentication

ISO/IEC PDTR 27550 – Information technology – Security techniques – Privacy

engineering

ISO/IEC DIS 27552 – Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management

– Requirements and guidelines requirements and guidelines)

ISO/IEC 27030 – Information technology – Security techniques – Guidelines for security and privacy in Internet of Things

(IoT)

ISO/IEC 29184 – Information technology – Online privacy notices and

consent

Note . The numbers of the standards are unique and uniquely associated with their names. The abbreviations of the organizations that have approved the standard are written in front of the standard number. After the number of the standard is written the year in which it was adopted. The general writing is of the type ISO/IEC 27001:2013 or BDS ISO/IEC 27001:2018, and in this case it is the same standard. The standards are reviewed by the relevant organizations and updated as necessary every five years, with the new version superseding the previous one. In order to achieve relative stability of this regulation and independence from the standard revision cycle, the regulation does not indicate the years of issuance of the standards.

Appendix No. 2 to

Art. 6, para. 1 and 7

CLASSIFICATIONS OF INFORMATION

In order to guarantee sufficient, adequate and threat-proportional protection of the information, an assessment is made of the importance and sensitivity, as well as of the regulatory requirements for it. Based on this judgment, the information is divided into several categories. Where applicable, this classification is also applied to all resources involved in the creation, processing, storage, transfer, dissemination and destruction of information, and appropriate security measures commensurate with the threats are applied to them.

1. TLP (traffic light protocol) – used for information exchange

[TLP-RED] – For specific recipients only : in the context of a meeting, for example, the information is limited to those present at the meeting. In most cases, this information is passed on verbally or in person.

[TLP-AMBER] – Restricted distribution : the recipient can share this information with other people in the organization, but only if the “need to know” principle is met. It is common practice for the source of the information to specify immediately after the mark to whom the information can be shared or to provide for limitations on this sharing. If the recipient of the information wants to distribute it, he must consult the source.

[TLP-GREEN] – Wide Community: Information in this category can be widely distributed within a given community. However, the information may not be published or posted on the Internet, nor may it be taken outside the community.

[TLP-WHITE] – Unlimited: subject to standard copyright rules; this information may be distributed freely without restriction.

2. Recommended classification of information and requirements for information and communication systems to ensure access to information:

2.1. “Level 0” covers open and generally available information (for example, published on the Internet pages); implies anonymous use of information and lack of privacy protections and; corresponds to TLP-WHITE ;

2.1.1. disclosure of information classified as “Level 0” is not restricted;

2.1.2. sources may use a “Level 0” classification when the information carries minimal or no foreseeable risk of misuse, in accordance with applicable rules and procedures for public disclosure;

2.1.3. subject to standard copyright rules, information classified as “Level 0” may be distributed without restriction.

2.2. “Level 1”

2.2.1. the sharing of information with a “Level 1” classification is limited to a given community only; corresponds to TLP-GREEN ;

2.2.2. sources may use a Level 1 classification when the information is useful for the awareness of all participating organizations as well as wider community or sector partners;

2.2.3. recipients may share Level 1 information with partner organizations within their sector or community, but not through publicly available channels; information in this category may be widely disseminated within a given community, but not outside of it;

2.2.4. requirements for information and communication systems :

2.2.4.1. access to precisely defined objects should be allowed to precisely defined users;

2.2.4.2. users to identify themselves before performing any actions controlled by the access system; an identifier/password security mechanism must be used to establish identity; no proof of identity requirements upon registration;

2.2.4.3. identifying information must be protected from unauthorized access;

2.2.4.4. the trusted computing system, i.e. the functionality of the information system that manages access to resources, must maintain an area for its own execution, protected from external influences and from attempts to monitor the progress of work;

2.2.4.5. the information system must have technical and/or software tools allowing to periodically check the correctness of the components of the trust computing system;

2.2.4.6. the security mechanisms must have passed a test to confirm that an unauthorized user does not have an obvious opportunity to gain access to the trusted computing system.

2.3. “Level 2”

2.3.1. dissemination of information classified as “Level 2” is permitted only within the organizations of the participants processing, storing or exchanging the information; corresponds to TLP-AMBER with an additional access restriction specification;

2.3.2. sources may use a “Level 2” classification when the information requires protection to be effectively shared and poses a risk to privacy, reputation or operations if shared outside the relevant organizations;

2.3.3. recipients may share Level 2 information with members of their own organization and with users or customers who need to be aware of it to protect themselves or prevent further harm; sources have the right to set additional planned sharing limits that must be observed;

2.3.4. requirements for information and communication systems – in addition to the requirements for the previous level:

2.3.4.1. to use an electronic signature certificate as an identity verification mechanism, regardless of whether it is issued for internal departmental needs within an internal public key infrastructure or issued by an external certificate service provider;

2.3.4.2. when issuing the certificate, the issuing authority verifies the essential data about the user’s personality, without the need for his personal presence;

2.3.4.3. the trusted computing system must ensure the implementation of forced management of access to all objects;

2.3.4.4. the trusted computing system must provide mutual isolation of processes by separating their address spaces.

2.4. “Level 3”

2.4.1. information classified “Level 3” is not for disclosure and distribution and is limited only to the participants processing, storing or exchanging the information; corresponds to TLP-RED ;

2.4.2. sources may use a Level 3 classification when the information cannot be effectively shared with other parties and could result in impacts to a party’s privacy, reputation or operations if misused;

2.4.3. recipients may not share information marked “Level 3” with any party outside of the specific exchange, processing or storage; access to the information classified “Level 3” is limited only to the persons involved in the processing and; in most cases, information classified as “Level 3” must be transmitted in person;

2.4.4. requirements for ICT systems – in addition to the requirements for the previous level:

2.4.4.1. to use a single universal electronic signature certificate as an identification mechanism;

2.4.4.2. when issuing the certificate, the physical identity of the person is guaranteed;

2.4.4.3. the trusted computing system must be of proven resistance to intrusion attempts;

2.4.4.4. the communication between the user and the system is carried out over encrypted channels using the Transport Layer Security (TLS) protocol at least 1.2, and the minimum length of the encryption key must be at least 256 bits;

2.4.4.5. the trusted computing system to have a mechanism for registering attempts to violate the security policy.

Appendix No. 3 to

Art. 7, para. 3

ANALYSIS AND ASSESSMENT OF RISK FOR THE SECURITY OF INFORMATION AND COMMUNICATION SYSTEMS

I. INTRODUCTION

Risk management for the security of information and communication systems is part of the network and information security management policy.

In its essence, risk management is a set of processes for identifying potential threats to information carriers and assets involved in the provision of electronic services, analysis and assessment of the risks posed by these threats.

II. DEFINITIONS

Confidentiality – the property of information not being provided or disclosed to unauthorized persons (item 2.12 ISO/IEC 27000).

Integrity – quality of information for accuracy and completeness (item 2.40 ISO/IEC 27000).

Availability of information – quality of being accessible and usable upon request by an authorized person (item 2.9 ISO/IEC 27000).

III. GOALS

1. Purpose of the risk management process

To minimize losses from potential adverse events that occurred as a result of the realization of threats to the security of networks and information systems that would affect the confidentiality, integrity and accessibility of information created, processed, transmitted and destroyed through them.

2. Purpose of the risk analysis and assessment methodology

The methodology aims to provide a common approach to the analysis and assessment of the security risk of information and communication systems provided by different administrations, with the aim of obtaining measurable, relatively objective and repeatable results through:

2.1. regulation of activities and their sequence in the analysis and assessment of risk for electronic services;

2.2. defining the criteria;

2.3. risk prioritization.

RECOMMENDED METHODOLOGY

I. STAGES OF RISK ANALYSIS AND ASSESSMENT

Risk analysis and assessment are part of the risk management process and are based on knowledge of all components relevant to the objectives.

For the purposes of managing the security of networks and information systems, you must:

a) to know all objects and entities that participate directly or indirectly in the activities falling within the scope of this regulation (information and communication systems with their associated hardware, software and documentation, their supporting systems (power supply, air conditioning, etc.), operational processes/activities, employees and external organizations), referred to for short as “information assets”;

b) to identify and analyze all potential unwanted events with them, called “threats” for short, which would lead to the loss of confidentiality, integrity and accessibility of the electronic services and/or the information therein;

c) to assess the probability of the occurrence of these events, taking into account the weaknesses (vulnerabilities) of the information assets and the measures taken to deal with them;

d) to assess the impact (losses of resources (time, people and money), non-compliance with normative and regulatory requirements, damage to image, failure to fulfill strategic and operational goals, etc.) of the possible occurrence of these undesirable events despite the measures taken;

e) to assess the security risk;

f) identify high priority risk mitigation measures.

A risk register (risk register) is used in risk analysis and assessment. An example risk register is given at the end of this appendix.

1. Identification of information assets

All information assets relevant to the scope of this regulation shall be entered in the risk register:

a) information systems;

b) hardware devices with which information systems are implemented;

c) software with which the information systems are implemented;

d) databases, including personal data within the meaning of the GDPR;

e) records of the events (logs, journals) of the information systems;

f) documentation of information systems (operational and user);

g) communication systems;

h) hardware devices with which the communication systems are implemented;

i) the firmware of these devices;

k) communication systems software;

l) event records (logs, journals);

m) documentation (operational and user);

n) supporting systems (power supply, air conditioning);

o) physical access and environmental control systems ;

p) processes/activities related to the management, operation and maintenance of information and communication systems;

r) documentation of these processes and activities;

c) employees having responsibilities for the management, operation and maintenance of information and communication systems;

t) external organizations related to the management, operation and maintenance of information and communication systems;

c) other.

2. Identification of threats

For each of the information assets in the risk register, the threats/unwanted events that would lead to violation of the confidentiality, integrity and availability of the information are applied.

All potential threats, whether internal or external to the administration, whether accidental or intentional, should be considered, taking into account the vulnerability of the information asset to the respective threat.

Sample threats are listed at the end of this appendix.

In the risk register for each threat it is recorded what measures have been taken against it.

3. Impact assessment

In the risk register for each threat, the assessment of its impact is entered – the damage (material and immaterial) that a given threat may cause if it is realized.

A five-point scale from 1 to 5 is used to assess the impact, with 1 being the least damage and 5 the most damage.

4. Probability assessment

The probability of occurrence of a given threat is determined, taking into account the measures already taken. The more protective measures are taken, the lower the likelihood of the threat occurring. The following factors are taken into account when assessing the probability:

a) for the realization of deliberate threats: level of necessary skills, ease of access, incentive and necessary resource;

b) for the realization of accidental threats: year of production of the hardware and software, level of their support, qualification of the support staff, departmental provision of operational processes, control over them, etc.

In the risk register for each threat, the assessment of its impact is made.

A five-point scale from 1 to 5 is used to assess the impact and considering a specific period, for example one year:

1 – the probability of the realization of the threat is below 10%;

2 – the probability of realizing the threat is from 10% to 30%;

3 – the probability of realizing the threat is from 30% to 50%;

4 – the probability of realizing the threat is from 50% to 70%;

5 – the probability of realizing the threat is over 70%.

5. Risk assessment

The following formula is used to obtain the risk assessment:

(Impact Score x Likelihood Score) = Risk Score

6. Prioritization of risks

In order to apply threat-proportional protection mechanisms, risks are prioritized based on their assessment and the following thresholds:

Risk priority	Risk Assessment
1	from 17 to 25
2	from 8 to 17
3	from 1 to 8

7. Mitigation of risks

Priority 3 risks are assumed to require no additional measures to mitigate the threats that give rise to them.

For risks with priority 2, an analysis is made of the possible measures that could be taken to mitigate them, and it is assessed whether the expenditure of resources for their implementation is proportional to the damage from the realization of the threat. In case the damages are more than the costs, a responsible person and a deadline for implementing these measures are determined.

For all risks with priority 1, responsible persons are determined, measures are planned that would reduce the risk of the specific threat being realized, and deadlines for their implementation are determined.

II. SUBSEQUENT ACTIONS

The persons responsible for the relevant risks organize the implementation of the planned protection measures and monitor the incidents and damages related to them. If necessary, initiate a new analysis and risk assessment for this threat.

The management of the administration organizes periodic, but not less than once a year, risk analysis and assessment, as well as any change in the information and/or communication infrastructure, a change in the administrative structure and functions.

RECOMMENDED RISK REGISTER

no in order	Information asset	Threats/Adverse Events	Protection measures applied	Impact assessment (from 1 to 5)	Likelihood rating (from 1 to 5)	Risk Assessment	Risk priority (from 1 to 3)	Planned risk mitigation measures (for priority 3 and 2)	Required resources	Responsible for implementing the planned measures	Deadline for implementing the planned measures

LIKELY THREATS

• Deterioration of storage media

• Maintenance error

• Transmission errors

• Electromagnetic radiation

• Malicious program code

• Misuse of resources

• Use of unauthorized programs and data

• Theft

• Masking user identification (illegal intrusion)

• Unauthorized access to computers, data, services and applications

• Unauthorized access to storage media

• Incorrect (wrong) routing/forwarding of messages

• Denial (provability)

• Damage to communications equipment and services

• Eavesdropping

• Fire, flood

• User error

• Admin error

• Power outage/failure (electricity and air conditioning)

• Traffic congestion

• Natural disasters

• Cyber attack

• Software problems

• Technical failure (network, system hardware)

Appendix No. 4 to

Art. 22, para. 6

CONFIGURATION REQUIREMENTS 1. To prohibit macros in office packages. 2. To prohibit pop-ups in browsers. 3. Configure the auto play function to always ask for user confirmation. 4. User Account Control to be configured to the highest level so that it always issues warnings. 5. When sharing files and printers, do not use the Everyone setting, but specify exactly which accounts should have access to them. 6. To disable the TRACE/TRACK method. 7. To prohibit anonymous authentication. 8. To use Unicast Reverse-Path Forwarding (uRPF) to prevent the use of fake IP addresses and rate-limiting to limit the number of requests per IP address. 9. Disable TLS renegotiation on systems using TLS, or configure a rate-limiter to limit the number of renegotiations per session. 10. Error messages in systems should not provide redundant information. 11. Not to use AutoComplete. 12. To use applications (add-ons) to browsers to block advertising content.

Appendix No. 5 to

Art. 24, item 13

WEBSITE REQUEST RESPONSE HEADERS REQUIREMENTS 1. Headers of responses to requests should not contain information about the platforms and versions of the software used. 2. Headers of responses to requests to contain the following options: a) HTTP Strict Transport Security (HSTS) – a policy according to the 2012 IETF RFC 6797 that forces the client’s web browser to connect directly via HTTPS when browsing the website; a recommended value of HSTS cache validity period (max-age) is at least six months; b) X-Content-Type-Options – instructs the user browser to strictly follow the MIME type defined in the Content header; the only valid value for this header is “X-Content-Type-Options-nosniff”; c) X-XSS-Protection – sets the configuration for the XSS filter built into most browsers, which prevents some categories of XSS attacks; recommended value “X-XSS-Protection: 1; mode=block”; d) X-Frame-Options – instructs the browser not to insert the web page into the frame/iframe of other web pages; recommended value “x-frame-options: SAMEORIGIN”; e) Content-Security-Policy – prevents a wide range of attacks, including Cross-site scripting and other cross-site injections; f) Referrer-Policy Header – allows the site to control how much navigational information to include in the browser outside of the document; g) Feature-Policy Header – allows the site to control which features and APIs can be used in the browser; h) HTTP Public Key Pinning (HPKP) – a security mechanism that allows HTTPS websites to resist impersonation by attackers using improperly issued or fraudulent certificates.

Appendix No. 6 to

Art. 3, para. 2, item 2

RECOMMENDED FUNCTIONS OF THE OFFICER/UNIT RESPONSIBLE FOR NETWORK AND INFORMATION SECURITY 1. Manages the activities related to achieving a high level of network and information security, and the goals set in the Subject’s policy under

Art. 4 . 2. Participates in the preparation of policies and documented information. 3. Monitors compliance with internal rules within the meaning of

Art. 5, para. 1, item 6 and the application of laws, by-laws, standards, policies and rules for network and information security. 4. Advises the Subject’s management in relation to information security. 5. Leads periodic assessments of network and information security risks. 6. Periodically (not less than once a year) prepares reports on the state of network and information security in the administrative unit and presents them to the manager. 7. Coordinates training related to network and information security. 8. Organizes checks on the up-to-dateness of incident response plans and action plans in the event of accidents, natural disasters or other force majeure circumstances. Analyzes their results and organizes changes to plans if necessary. 9. Maintains relations with other administrations, organizations and experts working in the field of information security. 10. Monitors the accurate keeping of the incident register. 11. Notifies of incidents to the relevant sector team for responding to computer security incidents in accordance with the requirement of

Art. 31, para. 1 (incident notification) of this regulation. 12. Organizes the analysis of network and information security incidents to discover their causes and take measures to eliminate them in order to reduce the same type of incidents and reduce losses from them. 13. Tracks to update the software and firmware used. 14. Monitors the emergence of new cyber threats (viruses, malicious code, spam, attacks, etc.) and offers adequate countermeasures. 15. Organizes tests to detect vulnerabilities in information and communication systems and proposes measures for their removal. 16. Organizes and cooperates in conducting audits, inspections and surveys and in sending their results to the relevant national competent authority. 17. Proposes sanctions for persons who have violated network and information security measures.

Appendix No. 7 to

Art. 31, para. 2

INCIDENT NOTICE to the sectoral ERICS
Necessary information	Details	Data
(up to 2 hours)
Person submitting the notification	Name, surname
Your phone number	(GSM)
Your e-mail
Organization	Name of the organization affected by the incident
Contact Person (for incident resolution purposes)	Name, telephone number and e-mail of a competent person from the enterprise, who can provide additional information if necessary
Date and time	Enter the date and time of the occurrence of the incident, if not possible – the date and time of its discovery
Incident type		0 Virus 0 Trojan 0 Botnet 0 Dos/DDos 0 Malware 0 Port Scan 0 Spam 0 Phishing 0 Pharming 0 Probe 0 Crack 0 Copyright 0 Ransomware 0 Defacement 0 Exploiting known Vulnerabilities 0 Application Compromise 0 Login Attempts 0 SQL injections 0 Unknown0 Other
Brief description of the incident	Enter a brief description of the incident, including any practical/technical information (this information is provided if available)
Transboundary impact	• Enter information about possible cross-border impact and indicate the countries • Enter information about the services that are affected
Impact on other essential services	Enter information on which other essential services may be affected
Affected system (to be filled in if the information is available)	IP Address: DNS: Operating System:
Source of the attack (to be filled in if the information is available)	IP Address: DNS:
Actions taken	The initial actions taken up to now – up to 2 hours after the incident was detected – are described
Public disclosure	According to the communication strategy of the administration
up to 5 working days
Mechanism of attack	The attack mechanism is described
Actions taken	The actions taken to resolve the incident are described in detail
Need for corrective action	Is there a need to change the settings of firewalls, WAF or other. Change the security policy if necessary Personnel training
Artifact analysis	The results of artifact analysis, if any identified, and the tools used to do so are described. A copy of the artifacts is sent
Public disclosure	According to the communication strategy of the administration

Note. Additional information is filled in if necessary.

Appendix No. 8 to

Art. 31, para. 3

SUMMARY OF INCIDENT STATISTICS from the sectoral ERICS to the national ERICS
	I/II/III/IV quarter for the current year	Total for the current year
Signals received
IP addresses affected
Emails sent
Registered on the site

Not all alerts are registered as incidents
Priority of registered incidents	I/II/III/IV quarter for the current year	Total for the current year
Tall
Average
Short
Total	0	0

Determining the priority of incidents is carried out according to Appendix No. 7
Types of incidents	I/II/III/IV quarter for the current year	Total for the current year
Fraud
Malicious code
Abusive Content (Spam)
Availability (DDoS)
Intrusion Attempts
Information Gathering
Intrusions
Information Security
Vulnerable
Other
Botnet
Total:	0	0

The classification of incidents is carried out according to the ENISA taxonomy set out in Annex No. 7
Affected IP addresses by incident type	I/II/III/IV quarter for the current year	Total for the current year
Fraud
Malicious code
Spam
Botnet
Availability (DDoS)
Intrusion Attempts
Information Gathering
Intrusions
Vulnerable
Other
IP addresses affected	0	0

Appendix No. 9

INCIDENT CLASSIFICATION AND PRIORITY
Class	Incident type	Priority	Description/example
Abusive Content	Spam	Short	“Spam”. The use of an electronic communications medium (the Internet) for mass sending of unsolicited messages. Spam messages are sent as part of a larger collection of messages, all with identical content.
	Harassment	Short	Harassment or discrimination against someone (eg cyberstalking).
	Child/sexual/violence/…	Tall	Child pornography, glorification of violence, …
Malicious Code	Virus	Average	Software that is deliberately installed on systems for malicious purposes. User action is required to activate the code.
	Worm	Average
	Trojan	Average
	Spyware	Average
	Dialer	Average
Information Gathering	Scanning	Average	Attacks that send requests to a system to find vulnerabilities. This also includes some types of testing to gather information about hosts, services and accounts. Examples: fingerd, DNS requests, ICMP, SMTP (EXPN, RCPT, …).
	Sniffing	Short	Monitoring and recording of network traffic (wiretapping)
	Social engineering	Short	Collecting information from individuals without using technical means (eg, lies, tricks, bribes or threats).
Intrusion Attempts	Exploiting known vulnerabilities	Average	An attempt to compromise a system or violate the integrity of a service by exploiting a vulnerability with a standardized identifier such as a CVE name (eg, buffer overflow, backdoors, cross site scripting, etc.).
	Login attempts	Average	Multiple attempts to log into a system (eg guessing/cracking of passwords, brute force).
	New attack signature	Short	Attack attempt using new techniques.
Intrusions	Privileged account compromise	Average	Successful breach of a system or application (service). This can be caused remotely by exploiting a known or new vulnerability, as well as locally by an unauthorized person.
	Unprivileged account compromise	Average
	Application compromise	Average
Availability	DoS	Tall	In this type of attack, the system is bombarded with so many packets that processes slow down or the system crashes. Examples of remote DoS are SYN- and PING-flooding, e-mail bombing, etc. (DDoS: TFN, Trinity, etc.) However, the availability of services can also be affected by actions at the local level (destruction, power outage, etc.)
	DDoS	Tall
	Sabotage	Tall
Information Security	Unauthorized access to information	Average	In addition to local abuses of data and systems, information security can also be threatened by the successful compromise of accounts and applications. In addition to this, attacks that intercept and access information during its transmission (eavesdropping, tampering or interception) are also possible.
Information Security	Unauthorized modification of information	Average
Fraud	Unauthorized use of resources	Average	Use of resources for unauthorized purposes, including monetary gain (for example, the use of e-mail to participate in illegal distribution of letters for the purpose of gain or participation in pyramid schemes to siphon data and funds).
	Copyright	Short	Sale and installation of unlicensed copies of commercial software or other copyrighted commercial materials (Warez).
	Masquerade	Tall	Types of attacks in which one person illegally assumes the identity of another in order to benefit from it.
	Phishing	Tall	An attack in which a copy of a legitimate WEB page is created through which victims are tricked into entering personal data or other confidential information. The data entered is further used for illegal activities.
Other	Everyone else	Short	For all incidents that do not fall into the above classification scheme.

News

YOU: Although a SRS judge was rude to an employee, he did not commit an ethical violation 02/08/2023 09:08

The prosecutor’s office sent the former policeman who shot the psychologist Ivan Vladimirov to court 02/08/2023 15:45

A man has been arrested after beating his wife and father-in-law in front of their daughter 02/08/2023 10:33

Spectrum

The BDB will manage budget funds of the European Union 2023-08-02

Work

Job: Senior Associate/ Lawyer / Senior Lawyer Sofia, Rokas Law Firm, Bulgaria branch, Ioannis Rokas, 25.07.2023
Work: Registration Officer Sofia, Registration Agency, 21.07.2023

See all Post more