Capitolul 6 - Digitalizarea, securitatea cibernetică şi protecţia datelor - Rezolutia 1601/07-mai-2025 conţinând observaţiile care fac parte integrantă din decizia privind descărcarea de gestiune pentru execuţia bugetului general al Uniunii Europene aferent exerciţiului financiar 2023, secţiunea V - Curtea de Conturi
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 8 Octombrie 2025
CAPITOLUL 6:Digitalizarea, securitatea cibernetică şi protecţia datelor
60.felicită Curtea pentru progresele semnificative înregistrate în ultimii doi ani în punerea în aplicare a planului său de securitate cibernetică pentru perioada 2022-2024; ia act de faptul că şapte dintre sarcinile cu prioritate ridicată au fost finalizate, şase sunt în desfăşurare, iar una este suspendată; constată că două dintre sarcinile cu prioritate medie au fost finalizate, patru sunt în desfăşurare, iar trei nu au început încă;
61.apreciază faptul că următoarele sarcini se numără printre cele finalizate:
1.implementarea unei soluţii mobile de detectare şi răspuns la punctul terminal (Endpoint Detection and Response - EDR) şi adoptarea unei soluţii XDR bazate pe cloud care să coreleze telemetria trimisă de agenţii EDR cu date operative privind ameninţările din surse variate pentru a detecta indicatorii de compromis;
2.o revizuire a arhitecturii şi a configuraţiei platformei SIEM, care a îmbunătăţit performanţa şi fiabilitatea sistemului, împreună cu surse suplimentare de jurnale care au fost adăugate pentru a îmbunătăţi monitorizarea securităţii mediului informatic;
3.înlocuirea dispozitivelor VPN pentru acces de la distanţă cu un serviciu SASE bazat pe cloud cu încredere zero, ceea ce reduce suprafaţa de atac şi permite accesul granular de la distanţă la aplicaţii;
4.consolidarea protecţiei împotriva ameninţărilor legate de e-mail, prin activarea de noi funcţii ale filtrelor de securitate a poştei electronice care permit o mai bună detectare atât a mesajelor spam, cât şi a fişierelor ataşate periculoase;
5.efectuarea de teste de penetrare în serviciile Curţii expuse la internet;
6.implementarea unui instrument software pentru a proteja confidenţialitatea informaţiilor sensibile transmise în cadrul partajărilor de fişiere;
62.îndeamnă Curtea să elaboreze un cadru de audit în materie de securitate cibernetică pentru instituţiile şi agenţiile UE, asigurând standarde de securitate şi măsuri de rezilienţă armonizate împotriva ameninţărilor cibernetice;
63.constată cu satisfacţie că Curtea efectuează cel puţin trei simulări de tentative de phishing pe an pentru a sensibiliza utilizatorii cu privire la această ameninţare cibernetică; constată, de asemenea, că Curtea efectuează o evaluare cuprinzătoare a riscurilor în materie de securitate cibernetică o dată la trei ani; sugerează Curţii să organizeze în mod regulat cursuri obligatorii de formare a personalului cu privire la ameninţările cibernetice, inclusiv privind bune practici pentru utilizarea IA în condiţii de siguranţă;
64.ia act cu uşurare de faptul că nu a existat nicio urmă de exfiltrare de date sau de deplasare laterală a intrusului către alte sisteme informatice ale Curţii în timpul incidentului cibernetic din iulie 2023, în cursul căruia una dintre pasarelele (gateways) de securitate a perimetrului a fost compromisă de exploatarea unei vulnerabilităţi a software-ului; ia act de faptul că vulnerabilitatea software-ului a fost dezvăluită de vânzător cu doar două zile înainte de incident;
65.salută activitatea Serviciului de securitate cibernetică pentru instituţiile, organele, oficiile şi agenţiile Uniunii (CERT-UE), care a informat Curtea cu privire la incident, a contribuit la investigarea amplorii acestuia şi a efectuat analiza criminalistică; ia act de faptul că, în urma incidentului, Curtea a restabilit o copie de rezervă curată a sistemului şi a aplicat actualizarea software-ului care a remediat vulnerabilităţile exploatate de atacator; constată, de asemenea, că, în săptămânile care au urmat, Curtea a aplicat treptat câteva măsuri preventive suplimentare recomandate de CERT-UE pentru echipamentele informatice cu scopul de a se asigura că orice posibilă urmă nedetectată a programelor malware a fost eradicată;
66.ia act cu satisfacţie de faptul că Curtea şi-a revizuit şi actualizat Planul de răspuns la incidente de securitate cibernetică în 2023 şi a creat un formular pentru înregistrarea unor astfel de incidente în instrumentul de gestionare a serviciilor informatice; subliniază faptul că formularul în cauză a luat în considerare lecţiile învăţate în urma incidentului din iulie 2023, deoarece urmăreşte colectarea tuturor informaţiilor care ar putea fi utile pentru gestionarea unui incident de securitate cibernetică;