Standardizarea Revista Organismului Naţional de Standardizare
Standarde pentru securitate și siguranță
06/2021
Editorial
STANDARDIZAREA ISSN 1220-2061 PUBLICAŢIE OFICIALĂ A ASOCIAŢIEI DE STANDARDIZARE DIN ROMÂNIA
COLEGIUL DE REDACŢIE Prof. univ. dr. ing. Lorena Deleanu Prof univ dr. ing. Diana Popescu Conf univ. dr. ing. Camelia Tulcan REDACŢIE Andreea Tărpescu Adina Hațegan Claudiu Baciu Speranţa Stomff
Una dintre cele mai eficiente modalități de a face față pericolelor cu care
DESIGN Ştefania Kraus
ne confruntăm, fie ele de ordin natural sau artificial, este de a utiliza metodele și tehnicile de supraveghere, control și acțiune potrivite. După cum știm, prevenția este întotdeauna cea mai bună soluție, iar acest număr al revistei prezintă o serie de standarde care vin în sprijinul securității și siguranței noastre zilnice, atât în mediul online, cât și în afara acestuia. Printre subiectele abordate se regăsesc: securitatea cibernetică și securitatea la incendiu, protejarea confidențialității în online și cele mai recente inițiative de la nivel european referitoare la managementul crizelor. Dl. Dr. ing. Sorin Calotă, Vicepreședinte al Asociației Române a Inginerilor de Securitate la Incendiu – ARISI – ne oferă o analiză a situației actuale din domeniul securității la incendiu, în special la nivel național, și normativele și standardele de extindere specifice domeniului în discuție. Nu în ultimul rând, secțiunea noastră dedicată noutăților din standardizarea națională și cea europeană aduce în prim-plan cele mai recente standarde elaborate sau adoptate și ultimele tendințe din standardizare. Vă invităm să răsfoiți paginile revistei și să descoperiți răspunsurile la întrebările pe care le aveți cu privire la modul în care standardele sprijină securitatea la incendiu și pe cea din mediul online.
DEPARTAMENTUL STANDARDIZARE Tel: 0374 999 186 SERVICIUL RELAȚII PUBLICE ȘI COOPERARE INTERNAȚIONALĂ Biroul Comunicare- Marketing Tel: 0374 922 020 VÂNZĂRI Birou Vânzări Tel: 021 316 7723 ASRO – Editura STANDARDIZAREA Str. Mihai Eminescu 238 Tel: 021/316 77 24 www.asro.ro www.standardizarea.ro © Toate drepturile rezervate ASRO
Cuprins
2 Securitatea cibernetică a organizațiilor prin standarde
11 Microsoft face din datele voastre o prioritate
4 Rolul standardelor în abordarea securității la incendiu la nivel național
18 STRATEGY – interoperabilitate pentru managementul crizelor
Securitatea cibernetică a organizațiilor prin standarde
2
Rolul standardelor în abordarea securității la incendiu la nivel național – Interviu
4
Microsoft face din datele voastre o prioritate
11
STRATEGY – interoperabilitate pentru managementul crizelor
18
Controlul accesului și securitatea cibernetică
20
Noutăți din standardizare
22
Noutăți de la CEN și CENELEC
26
Noutăți legislative
29
Noutăți Noutăți din standardizare
22
Noutăți de la CEN și CENELEC
26
Noutăți legislative
29
STANDARDIZAREA | 06/2021
1
Securitatea cibernetică a organizațiilor prin standarde Autor: Andreea Tărpescu, redactor ASRO
De mai bine de un an am început să petrecem tot mai mult timp în case și să ne desfășurăm activitățile în mediul digital (împinși de pandemie, a trebuit să ne obișnuim să lucrăm, să învățăm, să socializăm sau să ne facem cumpărăturile online). Așa cum s-a observat, traficul pe internet și tranzacțiile online au atins recorduri fără precedent în anul 2020, însă a crescut, în același timp, și rata atacurilor cibernetice tot mai complexe și cu consecințe mai dăunătoare ca niciodată, care au exploatat teama și incertitudinea cauzate de situația socială și economică creată de izbucnirea pandemiei de coronavirus. Păstrarea în siguranță a informațiilor și a datelor cu caracter personal în cadrul unei organizații, indiferent de domeniul sau dimensiunea acesteia a reprezentat nu numai o practică esențială în această perioadă, ci și o prevedere legală, iar multe dintre companii au apelat la standarde pentru a diminua orice risc de ordin cibernetic care le putea amenința integritatea și securitatea. Securitatea digitală a reprezentat dintotdeauna o prioritate pentru comunitatea de standardizare internațională. Deoarece atacurile rău intenționate din mediul online s-au regăsit printre cele mai mari riscuri cu care se poate confrunta o organizație, elaborarea unor standarde și sisteme de management care să mențină informațiile în siguranță nu se putea să fie mai importantă. Acesta
2
este motivul și pentru care seria de standarde ISO/IEC 27000 dedicată managementului securității informației a fost elaborată și revizuită periodic pentru a ține pasul cu dezvoltarea continuă din domeniul TIC în cadrul unuia dintre cele mai mari și mai prolifice comitete tehnice din domeniul standardizării internaționale, și anume ISO/IEC JTC 1 – Tehnologia informației. Cel mai cunoscut standard al seriei este SR EN ISO/ IEC 27001:2018 privind sistemele de management al securității informației (SMSI). Acesta furnizează cerințele pentru stabilirea, implementarea, întreținerea și îmbunătățirea continuă a unui sistem de management al securități informației într-o organizație. Standardul include, de asemenea, și cerințe pentru evaluarea și tratarea riscurilor de securitate a informației potrivit nevoilor organizației. Adoptarea unui sistem de management al securității este esențială pentru orice fel de organizație și demonstrează angajamentul său pentru protejarea datelor și continuitatea activității. Acest sistem de management este direct influențat de nevoile și obiectivele organizației, de către cerințele sale de securitate, mărimea și structura organizației etc.; Seria este completată și de: • Standardul SR EN ISO/IEC 27002:2018 – Tehnologia informației. Tehnici de securitate. Cod de bună practică pentru managementul securității informației, ce
oferă un set de linii directoare pentru standardele de securitate a informației şi practicile de management al securității informației ale organizației, inclusiv alegerea, implementarea şi managementul mijloacelor de control, cu luarea în considerare a mediului (ilor) de risc de securitate a informației al(le) organizației. Standardul ajută organizațiile să înțeleagă mai bine riscurile cu care se confruntă în mediul digital și să încerce să le atenueze; • SR ISO/CEI 27003:2013 – Tehnologia informației. Tehnici de securitate. Îndrumări privind implementarea unui sistem de management al securității informației, care se concentrează pe aspectele critice ce sprijină elaborarea planului de implementare a unui sistem de management al securității informației într-o organizație, în conformitate cu SR ISO/IEC 27001; • SR ISO/IEC 27007:2020, care furnizează îndrumări pentru conducerea auditului unui sistem de management al securității informației și efectuarea unor audituri interne și externe în conformitate cu SR EN ISO/IEC 27001, precum și îndrumări privind competențele și evaluarea auditorilor SMSI, care se recomandă a fi utilizate împreună cu îndrumări conținute în SR EN ISO 19011.2018 referitor la auditarea sistemelor de management. În plus, există deja elaborate la nivel internațional standarde aplicabile anumitor sectoare de activitate, ca SR EN ISO/IEC 27011:2020, care prezintă un cod de bună practică pentru controalele de securitate a informației bazate pe ISO/IEC 27002 pentru organizațiile de teleSTANDARDIZAREA | 06/2021
comunicații, SR EN ISO/IEC 27017:2021, ce facilitează dezvoltarea și extinderea sistemelor de cloud computing sigure sau ISO/IEC 27019:2017 care privește controlul securității informației pentru sectorul energetic. În prezent, marea majoritate a organizațiilor, companiilor și instituțiilor din întreaga lume utilizează sisteme și produse tehnologice, interconectate și acest fapt este demonstrat de recentele investiții masive în securitatea informației și în tehnologiile digitale. Pandemia de coronavirus a accentuat în ultimul an și jumătate nevoia de securitate și protecție a datelor în cadrul organizațiilor, companiilor și instituțiilor din întreaga lume. Investițiile masive în domeniul securității informației au fost sprijinite de aplicarea standardelor pentru tehnologia informației, dar și a celor referitoare la inteligența artificială, internetul lucrurilor, orașe inteligente, sau la inginere de software și tehnologia Blockchain. Astfel, au fost minimizate, înțelese și contramandate atacuri cibernetice, au fost dezvoltate produse și servicii tehnologie conform celor mai bune practici internaționale, compatibile cu componente și sisteme din întreaga lume, consumatorii s-au bucurat de o protecție sporită a datelor lor și de produse tot mai performante și sigure. Mii de experți din întreaga lume contribuie anual la elaborarea sau revizuirea standardelor publicate de comitetul tehnic comun ISO/IEC JTC 1 pentru ca acestea să rămână competitive, să răspundă nevoilor pieței de tehnologie a informației și să ofere siguranța în online atât de necesară din prezent.
3
INTERVIU |
Rolul standardelor în abordarea securității la incendiu la nivel național Dr. ing. Sorin Calotă Vicepreședinte – Asociația Română a Inginerilor de Securitate la Incendiu – ARISI Președinte – Comitetul Tehnic „Securitate la incendiu în construcții” – ASRO Președinte – Comitetul Tehnic „Echipament de protecție împotriva incendiilor” – ASRO Președinte – Comitetul Tehnic „Securitate” – ASRO Asociația Română a Inginerilor de Securitate la Incendiu – ARISI este asociația profesională reprezentativă la nivel național a specialiștilor din domeniul securității la incendiu. Conform statutului, Asociația asigură cadrul organizatoric pentru promovarea măsurilor, conceptelor şi acțiunilor care să conducă la susținerea intereselor profesionale, precum şi la perfecționarea activității specialiștilor de securitate la incendiu din învățământ, cercetare, proiectare, execuție şi exploatare, intervenții de stingere şi salvare, pentru asigurarea unei securități sporite a cetățenilor. Asociația reunește printre membrii săi cadre didactice de la Universitatea Tehnică de Construcții din București, Universitățile Tehnice din Iași, ClujNapoca, Timișoara, de la Facultatea de Pompieri din cadrul Academiei de Poliție „Al. I. Cuza” din București, specialiști din cercetare, proiectare şi execuție, care s-au afirmat cu realizări deosebite în domeniul securității la incendiu. 4
Revista Standardizarea: Securitatea la incendiu are un rol important în proiectarea și execuția clădirilor. Puteți să ne oferiți mai multe detalii despre provocările întâmpinate în acest domeniu la nivel național și despre activitatea ARISI? Sorin Calotă: Securitatea la incendiu a clădirilor și implicit, cea a utilizatorilor aflați în acestea este o problemă actuală, cu unele incidente grave care au avut loc recent, larg mediatizate, dar a căror analiză nu a fost încă finalizată de către autorități. În domeniul securității la incendiu există disfuncționalități, unele semnificative, dar nu toate sunt neapărat specifice domeniului. O analiză a situației din domeniul securității la incendiu implică următoarele faze: introducerea pe piață a produselor specifice, proiectarea, execuția și exploatarea. Referitor la aspectul introducerii pe piață a produselor, ca stat membru UE, România asigură libera circulație a produselor. Sunt preluate ca standarde române toate standardele europene armonizate din domeniul de aplicare al Regulamentului 305/2011 de stabilire a unor condiții armonizate pentru comercializarea produselor pentru construcții, cu modificările și completările ulterioare, care precizează cerințele pentru aplicarea marcajului CE produselor pentru construcții, inclusiv a celor cu rol în securitatea la incendiu. Dar structura actuală (personal, fonduri) a celor două autorități de supraveghere a pieței (ISC și IGSU) pe care o apreciez subdimensionată, face ca un important atribut al oricărui stat membru – controlul produselor cu
STANDARDIZAREA | 06/2021
marcaj CE introduse și distribuite pe piață – să fie nesemnificativ, în detrimentul securității cetățenilor. Ar fi de dorit întărirea autorităților de supraveghere a pieței (personal competent, fonduri suficiente etc.) pentru a asigura un control riguros și eficient al respectării cerințelor europene și naționale în toate etapele realizării construcțiilor și pentru toți factorii implicați. Proiectarea, ca atribut specific al fiecărui stat membru, trebuie să asigure preluarea cerințelor europene în condițiile naționale specifice. Normativele de proiectare trebuie actualizate periodic. Noile ediții ale standardelor europene armonizate, uneori cu capitole întregi noi, alteori cu modificări esențiale, nu pot fi incluse prompt în normativele aprobate, ceea ce implică, desigur, dezavantaje pentru proiectanți, constructori și utilizatori. Progresul tehnic permanent în acest domeniu implică și elaborarea unor normative specifice, care să asigure cadrul legal de aplicare a unor modalități de proiectare actuale și din ce în ce mai des utilizate pe plan european și mondial: proiectarea bazată pe ingineria securității la incendiu, proiectarea bazată pe risc ș.a. Este îndeobște recunoscut, în plan european și internațional, că prevenirea este cu mult mai puțin costisitoare (de opt ori mai puțin) decât reacția la evenimentele produse. Strategia de securitate la incendiu detaliată în Documentul Interpretativ nr. 2 la Directiva 89/106 elaborat de Comisia Europeană are la bază prevenirea inițierii incendiului în construcții. Ca urmare, prevenirea incendiilor ar trebui să fie prioritară atât la nivelul au-
5
torităților, centrale și locale, cât și al administratorilor, conducătorilor instituțiilor, proprietarilor de clădiri ș.a. Există reglementări detaliate în vigoare pentru multe sectoare de activitate, inclusiv pentru unități de sănătate şi cele de îngrijire şi cazare bătrâni și persoane cu dizabilități, dar acestea trebuie cunoscute și, mai ales, aplicate. De prea multe ori, fondurile necesare sunt realocate către alte destinații, considerate mai profitabile. Analiza riscului de incendiu și a măsurilor optime de protecție și prevenire a incendiilor ar trebui individualizată în funcție de particularitățile construcției și ar trebui să însemne nu un control al aplicării reglementărilor, ci un management proactiv al riscului, o cointeresare a managementului pentru a adopta măsuri eficiente și eficace de scădere a riscului de incendiu pentru minimizarea eventualelor pierderi. În alte țări, accentul se pune pe evaluarea riscului încă din faza de proiectare, bazată pe obiectivele stabilite (securitatea vieții, protecția proprietății, continuitatea activității, conservarea patrimoniului cultural ș.a.), pe baza unor date statistice serioase și credibile. Metodologia de evaluare a riscului de incendiu elaborată de IGSU trebuie actualizată pentru a oferi cadrul legal și instrumentele moderne de lucru necesare unei evaluări proactive, cu adevărat utile pentru orice manager interesat în succesul firmei proprii. În ceea ce privește un alt aspect important, cel al exploatării, există și cauze generale importante de natură economică, generate de situația de criză și de contextul legislativ.
Este bine cunoscut și larg discutat aspectul legat de situația unor licitații, care se câștigă uneori la un preț sub bugetul estimat. Ca urmare, antreprenorii generali pun presiune pe subcontractori pentru reducerea prețurilor. Această reducere se face, de obicei, prin utilizarea unor echipamente, materiale, soluții mai ieftine, prin utilizarea unor lucrători mai „ieftini” (deci fără a utiliza specialiști cu calificarea necesară – evident mai „scumpi”), firește, cu consecințe negative asupra calității lucrărilor efectuate și asupra securității utilizatorilor. În marea majoritate a metodelor de evaluare a riscului de incendiu un aspect important este legat de evaluarea modului în care se realizează mentenanța instalațiilor de protecție la incendiu (detectare, stingere ș.a.) montate în obiectivul respectiv. Conform legii, managementul oricărei organizații trebuie să acționeze proactiv pentru asigurarea funcționării instalațiilor de protecție la parametrii proiectați. Însă un aspect negativ, cu urmări uneori dezastruoase, este modul superficial în care această problemă importantă este tratată de beneficiari. Nu se alocă fonduri pentru mentenanță, deseori se apelează, contrar legii, la improvizații, la firme sau personal fără autorizările necesare sau la firme care efectuează verificări formale pentru prețuri minimale, mult sub prețul corect care ar acoperi o verificare tehnică conform reglementărilor în vigoare. Prețurile oferite pentru lucrările de mentenanță sunt uneori sub valoarea costului efectiv al lucrărilor necesare. În prea multe cazuri, nu există astfel certitudinea că instalațiile de protecție vor funcționa la parametrii proiectați atunci când va fi nevoie. Astfel, de multe ori, deviza „profit cu orice preț” produce, din păcate, victime și pagube însemnate. Un rol important în Europa îl au societățile de asigurare, care, pentru a proteja valorile asigurate și a evita plata unor despăgubiri majore, exercită o presiune permanentă asupra pieței, care reprezintă motorul implementării în practică a unor soluții de securitate la incendiu din ce în ce mai performante. Din păcate, în România în domeniul asigurărilor de incendiu, aceste societăți sunt practic inexistente, limitându-se la asigurări formale, fără o abordare fermă și coerentă. Lipsa unei culturi de securitate (inclusiv securitatea la incendiu), lipsa interesului factorilor responsabili de a o promova (cu excepția unor asociații profesionale), are urmări directe în scăderea masivă a interesului pentru competență și profesionalism. Informarea corectă a cetățenilor nu are un caracter proactiv. Nu se cunosc (sau se cunosc prea puțin) de către toți factorii interesați standardele europene de conformitate pentru produse, standardele și normativele de proiectare, standardele de mentenanță.
6
Probleme sunt multe și se acumulează, intențiile de rezolvare fiind încă firave. Este necesară o abordare constructivă și coerentă a tuturor factorilor implicați, în interesul asigurării securității construcțiilor și al utilizatorilor. În acest moment, această abordare pare destul de îndepărtată. De aceea este de dorit creșterea rolului asociațiilor profesionale, în măsura în care acestea sunt cu adevărat reprezentative prin competența membrilor lor. Asociația Română a Inginerilor de Securitate la Incendiu – ARISI continuă tradiția științifică a Societății Române de Protecția la Incendiu – SORPINC, prima asociație de acest fel înființată în România, în anul 1992. ARISI poate furniza autorităților expertiza tehnică și competența necesară în elaborarea actelor normative specifice domeniului, firește în măsura în care aceasta este dorită. Desigur, situația generată de pandemie a restrâns mult activitățile preconizate. ARISI acționează însă în continuare pentru crearea și dezvoltarea unei culturi de securitate și pentru creșterea profesionalismului specialiștilor din domeniu. În acest sens, ARISI colaborează cu UTCB – Facultatea de Inginerie a Instalațiilor în desfășurarea primului curs de masterat în domeniul securității la incendiu din România – programul Ingineria sistemelor de securitate la incendiu şi de securitate fizică în clădiri (ISSISFC) care urmărește crearea unui cadru organizat de formare a specialiștilor în domeniul securității, promovând o abordare integrată a problematicii specifice în două direcții principale: securitatea la incendiu şi securitatea în clădiri. Având în vedere modificările semnificative apărute în reglementările europene și internaționale referitoare la securitatea la incendiu, progresul tehnic important în realizarea unor echipamente specifice performante, dar și unele evenimente negative din ultima perioadă, Asociația Română a Inginerilor de Securitate la Incendiu – ARISI a semnat un protocol de colaborare cu celelalte două asociații reprezentative din domeniu, Asociația Română pentru Tehnică de Securitate – ARTS și Asociația pentru Securitate la Incendiu – ASI. Cele trei asociații doresc să sprijine autoritățile din domeniu: Ministerul Lucrărilor Publice, Dezvoltării şi Administrației și Ministerul Afacerilor Interne prin furnizarea promptă a unor puncte de vedere unitare și competente asupra problematicii tot mai complexe a securității la incendiu, firește, în măsura în care autoritățile doresc aceasta. Totodată, cele trei asociații vor acționa împreună pentru promovarea noilor concepte de securitate la incendiu și a noilor echipamente și tehnologii specifice pentru a asigura o siguranță sporită cetățenilor.
STANDARDIZAREA | 06/2021
Ce ne puteți spune despre normativele naționale privind securitatea la incendiu a construcțiilor, ținând cont de faptul că specialiști ai ARISI au luat parte la elaborarea acestora. Experiența și competența în domeniul securității la incendiu a membrilor ARISI s-a concretizat în elaborarea normativelor specifice, urmărind preluarea cerințelor aplicabile din standardele europene în condițiile naționale specifice. Pentru domeniul instalațiilor de stingere și cel al instalațiilor de detectare această preluare s-a realizat prompt: au fost publicate normativele P118/22013, respectiv P 118/3-2015, ambele actualizate în anul 2018. Elaborarea normativului P118/3 a fost efectuată împreună cu specialiști ai ARTS. Pentru ambele normative a existat o colaborare foarte bună cu specialiștii IGSU. Concentrarea competențelor a permis o elaborare unitară, coerentă, eficace și eficientă. În ambele normative sunt menționate detaliat standardele europene armonizate de produs care precizează caracteristicile esențiale ale produselor respective, avute în vedere la elaborarea cerințelor de proiectare. Însă normativul de bază P 118/1 – pentru domeniul construcții, nu a fost încă publicat. Este încă în vigoare ediția din anul 1999, nearmonizată și total depășită, ceea ce constituie o barieră majoră în proiectarea clădirilor conform reglementărilor europene. De-a lungul a (prea) multor ani, numirea succesivă a unor echipe de elaborare diferite, cu competență, pregătire și concepții diferite, nu a dus la rezultatele așteptate. Uneori abordări subiective sau încercări de promovare a unor soluții particulare în dauna unor soluții generale sau specifice, armonizate cu prevederi similare din normativele altor state membre, au generat întârzieri mari cu consecințe negative. Normativul P 118-99 în vigoare nu are ca referențiale documentele CE actuale și nici standardele europene armonizate. Un singur exemplu: referirile la clasele de comportare la foc fac trimitere la reglementări depășite de peste 20 de ani, fără să țină seama de regulamentele delegate ale CE și deciziile CE publicate în ultimii ani și nici de standardele europene în vigoare peste tot în UE. În prezent membri ai ARISI elaborează o nouă variantă a normativului P118/1 care va aduce prevederi armonizate cu reglementările europene actuale. Ce reprezintă standardele de extindere? Standardele de extindere a domeniului de aplicare sau standardele EXAP sunt specifice domeniului securității la incendiu.
7
durata încercărilor și va elabora un raport de extindere a domeniului de aplicare inclus în declarația de performanță pentru variante care vor putea fi comercializate pe piața UE. Prin urmare, cunoașterea standardelor EXAP este foarte utilă pentru proiectanți, arhitecți, constructori, utilizatori, deoarece aceștia pot avea în vedere o gamă mult mai largă de tipodimensiuni ale unui produs încercat și clasificat pe baza unei încercări. După cum se cunoaște, clasificarea europeană a produselor pentru construcții din punctul de vedere al comportării la foc este definită în Regulamentul delegat (UE) 2016/364 privind clasificarea comportamentului la foc al produselor pentru construcții în conformitate cu Regulamentul (UE) nr. 305/2011, în decizii ale Comisiei Europene și în seria de standarde de clasificare SR EN 13501, care cuprinde șase părți. Inițial, această clasificare impunea ca odată încadrate într-o clasă de reacție la foc, produsele trebuie utilizate numai în condițiile de utilizare finală pentru care au fost testate. Condițiile de utilizare finală sunt definite în SR EN ISO 13943 drept condiții de exploatare prevăzute la care un produs va fi supus pe timpul duratei sale de utilizare normală, dacă este folosit conform recomandărilor producătorului, de exemplu, o singură orientare a produsului, un unic tip de adeziv ș.a. Fabricanții trebuiau să adapteze documentațiile tehnice de produs prin stabilirea precisă încă din faza de proiectare a condițiilor de utilizare finală. În realitate, majoritatea produselor destinate securității la incendiu furnizate de către fabricanți sunt diferite de cele încercate inițial. Produsele sunt furnizate într-o mare varietate de mărimi, de forme, de materiale și de finisaje pentru a satisface cerințele pieței. Nu este realist să se încerce fiecare variantă de formă, de mărime sau de material pentru fiecare produs. În același timp, nu este acceptabil pentru variații mari ale produselor ca fabricantul să le furnizeze fără o formă de aprobare recunoscută în UE. De aceea, pentru a înlătura cheltuielile exagerate ale fabricanților, dar și pentru a permite utilizarea practicilor inginerești, Comisia Europeană, prin CEN, a dezvoltat sistemul de standarde de extindere a domeniului de aplicare, doar pentru securitatea la incendiu. Standardele EXAP precizează reguli, bazate pe metode de calcul sau pe avizul experților, pentru extinderea rezultatelor încercării inițiale a produsului pentru modificări dimensionale, de construcție (orientări, îmbinări ș.a.) sau de materiale ale componentelor. Acesta implică ideea că un organism, de exemplu un organism notificat pentru acest scop, pe baza judecăților profesionale riguroase, va examina performanța unui produs particular pe 8
În ultimele decenii au apărut progrese semnificative în domeniul ingineriei securității la incendiu. Ce beneficii aduc standardele acestui domeniu? În contextul dezvoltărilor imobiliare actuale: clădiri inteligente, clădiri unicat etc. cerințele de securitate la incendiu se modifică și trebuie să se modifice continuu. Este necesară o actualizare permanentă a concepției de proiectare și exploatare: proiectare pe baza ingineriei securității la incendiu, proiectare bazată pe evaluarea riscului de incendiu, o proiectare prescriptivă (de tip P118/1) mai flexibilă și actualizată la noile cerințe europene. Îndeosebi, ingineria securității la incendiu – încă prea puțin cunoscută și studiată în România – permite soluții adecvate în situațiile particulare în care soluțiile prescriptive nu sunt aplicabile. De asemenea, standardele specifice ingineriei securității la incendiu oferă soluții pentru modelarea unor fenomene ale incendiului și adoptarea unor soluții eficiente pentru protecția utilizatorilor, de exemplu pentru evacuarea persoanelor. Un alt domeniu de mare interes, cu o dezvoltare rapidă a standardelor specifice, este asigurarea rezilienței. Pentru o securitate la incendiu eficientă, se impune integrarea riscului de incendiu în managementul general al riscului pentru clădirea respectivă – de exemplu, luarea în considerare a unei analize a riscului și din punctul de vedere al standardului SR EN ISO 22301 – Securitate şi reziliență. Sisteme de management al continuității activității. Cerințe, care prezintă principiile pentru asigurarea continuității activității, în condițiile vulnerabilităților crescute ale sistemelor informatice/electrice la atacuri informatice (pentru clădirile inteligente, dar nu numai) sau a eșecului furnizării utilităților (energie electrică, gaze, apă etc.). Dependența de aceste sisteme poate crea vulnerabilități importante, având în vedere că acestea înfruntă deja amenințări asimetrice semnificative. Însă, pentru aplicarea acestor standarde este necesară elaborarea unor normative specifice, care să asigure cadrul legal de aplicare a modalităților de proiectare actuale și din ce în ce mai des utilizate pe plan european și mondial.
Sunteți președintele comitetelor tehnice ASRO/CT 216 privind echipamentele de protecție contra incendiilor, ASRO/CT 217 – Securitatea la incendiu în construcții și ASRO/CT 376 referitor la securitate. Care sunt avantajele participării la nivelul structurilor de standardizare? Beneficiile generale ale participării la activitatea de standardizare sunt cunoscute. Dar în domeniul securității la incendiu, al construcțiilor în general, sunt și aspecte și avantaje specifice. Așa cum se cunoaște, conform reglementărilor europene, New Approach și The New Legislative Framework, directivele și regulamentele includ cerințele esențiale ale produselor din domeniul lor, care asigură utilizarea lor fără riscuri. Armonizarea legislativă se limitează numai la cerinţele esențiale de securitate ale produselor, cerințe care trebuie să asigure protecția sănătății, a mediului, securitatea muncii şi a persoanelor, pe care acestea trebuie să le satisfacă pentru a beneficia de libera circulație în cadrul UE. Cerințele esențiale au rolul de a asigura un înalt nivel de protecție, fiind rezultatul evaluării unor riscuri asociate produsului sau performanțelor acestuia. Organizațiile europene de standardizare (CEN, CENELEC) primesc mandat din partea Comisiei Europene pentru a furniza producătorilor un set de specificații tehnice în conformitate cu cerinţele esențiale definite în directive, în standardele europene armonizate. Produsele fabricate în conformitate cu standardele armonizate beneficiază de prezumția de conformitate cu cerinţele esențiale corespunzătoare. Spre deosebire de toate celelalte directive și regulamente, Regulamentul 305/2011 pentru produse pentru construcții definește cerințele fundamentale aplicabile construcțiilor, printre care și securitatea la incendiu, care asigură conformitatea construcției atât în ansamblu, cât și pe părți separate, cu utilizarea preconizată, ținând seama mai ales de sănătatea și securitatea persoanelor implicate, de-a lungul întregului ciclu de viață al construcțiilor. Caracteristicile esențiale ale produselor pentru construcții se stabilesc în standardele europene armonizate și, pentru cele noi, în evaluările tehnice europene față de cerințele fundamentale aplicabile construcțiilor, astfel încât produsele odată incluse în construcție să asigure respectarea cerinței fundamentale respective. Spre deosebire de celelalte directive și regulamente, în domeniul produselor pentru construcții standardele armonizate sunt obligatorii. Nu există căi alternative de evaluare a performanței produselor.
STANDARDIZAREA | 06/2021
Ca urmare, pentru proiectanți, arhitecți, constructori, utilizatori, personalul organismelor notificate, specialiștii autorităților de reglementare, cunoașterea detaliată și înțelegerea corespunzătoare a standardelor europene de produs nu este numai foarte utilă, dar și obligatorie, pentru a putea identifica toate caracteristicile tehnice ale produsului analizat. Totodată, cunoașterea prevederilor standardelor armonizate permite analiza în cunoștință de cauză a documentelor de conformitate prezentate pe piață de fabricanți, distribuitori, importatori sau reprezentanți autorizați. Din cauza specificității produselor pentru construcții și orientării speciale a sistemului lor de evaluare, procedurile de evaluare a conformității prevăzute în Decizia nr. 768/2008/CE și modulele definite în respectiva decizie nu sunt adecvate, ca urmare sunt utilizate proceduri specifice, de evaluare și verificare a constanței performanțelor produsului, care sunt specificate în decizii CE și în standardul armonizat de produs. Cercetarea susținută și dezvoltarea tehnologiilor specifice implică apariția pe piață a multor produse, sisteme, soluții noi, a căror performanțe sunt precizate în noile standarde de conformitate/aplicare. Participarea la activitățile de standardizare relevante în cadrul comitetelor tehnice ASRO asigură, în plus, o informare promptă despre tendințele avute în vedere la noile ediții ale standardelor, care pot fi avute în vedere, pe de o parte, în elaborarea unor actualizări ale reglementărilor și, pe de altă parte, în pregătirea de producție sau de proiectare a construcțiilor viitoare, dar și pentru pregătirea personalului față de cerințele viitoarelor standarde. 9
10
Microsoft face din datele voastre o prioritate Protejarea confidențialității este o nevoie majoră a societății într-o lume care devine din ce în ce mai conectată. Luând în considerare faptul că cerințele pentru protecția datelor cu caracter personal au devenit tot mai stricte, ISO/IEC 27701 poate ajuta companiile să își gestioneze cu încredere riscurile de confidențialitate. Microsoft ne destăinuie modul în care protejează confidențialitatea datelor stocate în cloud. Indiferent de afacerea în care activezi, te afli în domeniul confidențialității datelor. Aceasta nu mai este o problemă care afectează doar responsabilii cu protecția datelor sau departamentele de securitate IT, ci se întinde peste organizații, afectând departamentele de resurse umane, reprezentanții serviciilor de relații cu clienții și, în general, pe oricine intră în contact cu datele personale. Având în vedere că numărul atacurilor cibernetice împotriva companiilor se află în continuă creștere, securitatea cibernetică reprezintă o preocupare principală. În aceste condiții, apare întrebarea: Cum pot organizațiile să gestioneze informațiile personale ale oamenilor? Noile reglementări referitoare la confidențialitatea datelor, introduse recent de autorități, precum Regulamentul general privind protecția datelor (GDPR) din Uniunea Europeană sau Legea STANDARDIZAREA | 06/2021
privind confidențialitatea consumatorilor din California (CCPA), impun un răspuns prompt din partea companiilor. Ba mai mult, ținând cont de faptul că țările elaborează reglementări distincte pentru confidențialitatea datelor, cum pot companiile globale, cum ar fi Microsoft, să asigure o protecție infailibilă a datelor? Publicarea standardului ISO/IEC 27701 – Tehnici de securitate. Extindere la ISO/IEC 27001 și ISO/ IEC 27002 pentru managementul informațiilor de confidențialitate. Cerințe și linii directoare ajută companiile să gestioneze riscurile de confidențialitate pentru informațiile de identificare personală. De asemenea, standardul poate ajuta companiile în aplicarea GDPR-ului, dar și a altor regulamente de protecție a datelor. Elaborat în cadrul unei inițiative comune dintre ISO și Comisia Electrotehnică Internațională (IEC), acesta este primul standard internațional care 11
Foto: Jason Matusow
Indiferent de afacerea în care activezi, te afli în domeniul confidențialității datelor. Jason Matusow, Director General al Grupului de standarde corporative de la Microsoft.
abordează confidențialitatea datelor. Jason Matusow, Director General al Grupului de standarde corporative de la Microsoft, ne oferă detalii inedite cu privire la acest standard revoluționar. ISOfocus: ISO/IEC 27701 este primul standard pentru sistemul de management al informațiilor privind confidențialitatea datelor sau PIMS prescurtat. Puteți să ne oferiți mai multe detalii despre standard? Ce îl face așa extraordinar? Jason Matusow: Primul lucru despre ISO/IEC 27701 – este un mod ușor și eficient de a aborda problema răspândirii practicilor consecvente de procesare a datelor într-o organizație. Deși securitatea cibernetică și confidențialitatea sunt interdependente, în multe organizații acestea sunt tratate în continuare ca proiecte diferite. Anexarea lui ISO/IEC 27701 la lumea securității cibernetice, prin seria ISO/IEC 27000 privind sistemele de management ale securității informației, pe care mii de companii sunt deja auditate anual, a fost o mișcare inteligentă – aduc, cu această ocazie, complimentele mele experților care l-au elaborat. Prin adăugarea standardului PIMS la această structură, comunitatea de securitate cibernetică dintr-o organizație poate acum coopera mai ușor cu comunitatea de confidențialitate, pentru a stabili practici de prelucrare a datelor care să acopere atât aspectele legate de securitate, cât și pe cele de confidențialitate. 12
PIMS ia în considerare necesitatea de a aborda protecția datelor într-un mod holistic. În GDPR, la fel ca în multe alte legi privind confidențialitatea datelor din întreaga lume, există o cerință pentru companii de a avea un responsabil cu protecția datelor. Una dintre marile provocări pentru aceste persoane este reprezentată de modul în care pot crea o documentație eficientă; cu alte cuvinte, cum pot ei acționa în întreaga organizație pentru a demonstra că gestionează corect prelucrarea datelor cu caracter personal? Procesul PIMS le permite să construiască operațiuni mai cuprinzătoare pentru confidențialitate, iar mai apoi să stabilească documentația și comportamentele de pe plan extern. Există o dinamică predominantă în confidențialitatea datelor – toată lumea este foarte concentrată pe autoritățile de reglementare. Dar bazele de afaceri sunt relațiile de tip business-to-business – convenții. Microsoft are mii de companii în lanțul său de aprovizionare și ne aflăm în lanțul de aprovizionare a altor mii de companii, astfel că reprezentarea comportamentelor bune de prelucrare a datelor devine un adevărat semn al întrebării în întregul lanț. PIMS facilitează prezentarea unei dovezi de comportament bun. Încrederea vine cu verificarea și verificarea se bazează pe bunele practici PIMS.
STANDARDIZAREA | 06/2021
Poate acest standard să ajute companiile să se conformeze, spre exemplu, la GDPR sau la Actul californian? În acest moment, nu există niciun standard care să fie identificat ca o reprezentare a conformității juridice în privința confidențialității datelor, prin urmare, în Europa există o mare putere discreționară în ceea ce privește modul în care regulamentul este interpretat de către companii, printre care se află și Microsoft. Standardul nu înseamnă a avea un drum clar care duce la conformitatea juridică – care nici nu există în prezent; este vorba, mai degrabă, despre practici puternice, îngrijire adecvată, stabilirea unor comportamente responsabile documentate, care sunt repetabile și care au capacitatea să se îmbunătățească în timp, întrucât unul dintre principalele aspecte ale unui sistem de management al procesării este reprezentat de accentul pus pe îmbunătățirea continuă. Este important de reținut că nu există o singură lege a confidențialității; ar putea exista peste 30... GDPRul, Actul californian, iar țări ca Australia sau Japonia au propriile lor legi. Unul dintre elementele care fac ca PIMS să fie atât de interesant este că înglobează un set consecvent de practici de confidențialitate (controale) care pot fi aplicate în opoziție cu orice lege privind confidențialitatea.
13
Tehnologia evoluează continuu, iar companiile trebuie să se adapteze. Credeți că ISO/IEC 27701 va fi util și peste câțiva ani? Faptul că tehnologia evoluează înseamnă că nu vom spune vreodată „am terminat, putem merge mai departe”. Pur și simplu nu funcționează în acest fel. Fiecare afacere se dezvoltă constant. Un standard precum ISO/IEC 27701 creează oportunitatea unei consecvențe a abordării, fiind în același timp suficient de flexibil pentru a se adapta la modificările care se produc în interiorul fiecărei companii. O noțiune importantă care trebuie stăpânită este evaluarea impactului asupra confidențialității, care este un proces sistematic de evaluare a efectelor potențiale ale sistemului dvs. asupra protecției datelor. Deși aceasta nu este o caracteristică a standardului în sine, ISO/IEC 27701 are o cerință pentru situațiile în care o companie este nevoită să măsoare impactul prelucrării datelor sale într-un context dat. Standardul oferă apoi o serie de controale pentru a contracara acest impact, care pot fi aplicate în opoziție cu legile existente, fie GDPR, în mod specific, fie cele referitoare la confidențialitatea datelor din Australia, Japonia sau California. Este vorba despre o combinație între aceste piese puse împreună, care vă poate duce de-a lungul liniei de practici responsabile pentru protecția datelor. Gândiți-vă la ea ca la o călătorie, nu ca la o destinație! Care este miza pentru Microsoft? De ce a fost un susținător atât de mare al standardului?
ISO/IEC 27701 joacă un rol central în crearea unei conversații armonizate între organizații.
Această discuție începe, în esență, cu clienții noștri. Realitatea este că standardul permite persoanelor care lucrează în serviciile cloud și care utilizează tehnologiile noastre să își unească forțele cu Microsoft, să înaintăm împreună și să facem afirmații cu privire la bunele practici de gestionare a datelor în mod colectiv. ISO/IEC 27701 joacă acest rol central în construirea unei conversații armonizate între organizații. Este esențial în conversația pe care o puteți avea cu autoritățile de reglementare, dar este și vorba despre relațiile business-to-business. PIMS este un bun valoros în utilizarea tehnologiei informației în orice afacere, astfel încât interesul nostru principal a fost să avem acea abordare solidă a confidențialității de care clienții noștri au nevoie. Următorul pas este reprezentat de propriile noastre comportamente și vă informez, cu această ocazie, că operațiunile noastre de confidențialitate au ajuns, într-un anumit punct, mai presus de procesul de calificare pentru un audit PIMS. Acesta este un lucru pe care ne angajăm să îl îndeplinim, iar ISO/IEC 27701 face parte din procesul nostru de audit. Microsoft a extins protecția GDPR la toți cetățenii din lume care le utilizează tehnologiile. Dacă vrem să realizăm lu-
14
crări de inginerie esențiale și îmbunătățiri permanente pentru a ne face sistemele să respecte datele cetățenilor, atunci trebuie să le abordăm într-un mod constructiv, holistic. Ce înseamnă pentru o afacere adoptarea lui ISO/IEC 27701? Ne puteți spune mai multe despre ce implică acesta? Așa cum am menționat anterior, acest standard are la bază seria ISO/IEC 27000, astfel că PIMS implică luarea acelei rute holistice și acceptarea faptului că va necesita implicarea unui sistem de management al securității informațiilor, care ulterior poate fi extins la confidențialitatea datelor. Este vorba despre a te uita mai întâi la sistemele și procesele tale, iar mai apoi de a stabili controale. Gândește-te la un control ca la un comportament prescriptiv pe care te-ai angajat să îl urmezi; în timp, acesta va deveni un comportament repetabil pe care îl poți documenta. Aceasta este sarcina responsabilului cu protecția datelor, a cărui răspundere principală este să se asigure că STANDARDIZAREA | 06/2021
organizația sa respectă evaluările de impact. Cu toate acestea, marile companii vor solicita, în cele din urmă, unei organizații externe de conformitate să îi ajute să ia în calcul toate sistemele de care au nevoie. Pe scurt, totuși, controalele pe care le-ai pus în aplicare ar trebui să acopere totul, de la colectarea de date, utilizarea acestora, eliminarea lor, modul în care te ocupi de încălcări ale datelor, modul în care notifici clienții, și orice altceva care ar putea exista în acel lanț de gândire. Care este viitorul companiei Microsoft în ceea ce privește standardizarea? Voi aborda puțin diferit această întrebare în răspunsul meu și voi face referire la două concepte diferite. În primul rând, nu toată activitatea de standardizare este aceeași. Pe de o parte, avem specificații tehnice precum Bluetooth sau Wi-Fi sau alte protocoale de acest gen. Acestea sunt realizate în cadrul Grupurilor de produse de la Microsoft pe baza necesităților. Și în acest spațiu, unul dintre cele mai interesante lucruri care s-au conturat în ultimii cinci ani a fost creșterea masivă a software-ului „open source” (cu sursă deschisă). Modul 15
6 lucruri despre ISO/IEC 27701 Încălcarea securității datelor reprezintă coșmarul oricărui afacerist. Iată de ce ar trebui să iei în considerare gestionarea riscurilor de confidențialitate cu ajutorul ISO/IEC 27701.
...este primul sistem de management privind securitatea informației (PIMS)
... este un mod ușor și eficient de a face cunoscute practici consecvente de prelucrare a datelor în cadrul unei organizații
... se bazează pe seria de standarde ISO/IEC 27000, extinzând principiile de securitate ale informației către confidențialitate ... stabilește evidențe documentate care demonstrează prelucrarea corectă a datelor
... oferă consecvență în abordare și este în același timp suficient de flexibil pentru a se adapta la modificări continue
... este un activ valoros în utilizarea tehnologiei informației în orice afacere
16
Microsoft a extins protecția GDPR la toți cetățenii din lume care le utilizează tehnologiile.
în care oamenii rezolvă problemele de colaborare nu a fost pus neapărat în contextul standardelor tradiționale, ci prin elaborarea colaborativă într-un context „open source”. Acest lucru nu înseamnă că standardizarea dispare, dar peisajul se schimbă semnificativ. În ceea ce privește standardele internaționale, de tipul celor elaborate de ISO și organizațiile sale partenere Comisia Electrotehnică Internațională (IEC) și Uniunea Internațională a Telecomunicațiilor (ITU), consider că oamenii se uită cu adevărat la dezvoltarea reglementărilor și la modul în care standardele acționează ca „o legislație voluntară” în ceea ce privește reglementarea. Care este rolul PIMS între legile existente și comportamentul unei organizații? Este nevoie de ceva între ele, iar standardele pot juca un rol central în reducerea acestui decalaj. Ele sunt deosebit de utile în diseminarea abordărilor normative, de exemplu, prin reconcilierea legilor privind confidențialitatea datelor din Australia cu cele ale GDPR. Prin urmare, rolul incredibil de important pe care îl poate juca ISO/ IEC 27701 este de a acționa ca piatra de la Rosetta1 între diferitele abordări de reglementare. Este un factor extrem de puternic! Tradus de Andreea Tărpescu, redactor ASRO, din ISOfocus, nr. 139.
1 N.E. Piatra de la Rosetta (Rosetta Stone) – un fragment dintr-o stelă egipteană care datează din anul 196 î.Hr., ce a stat la baza descifrării scrierii hieroglifice. STANDARDIZAREA | 06/2021
17
STRATEGY – interoperabilitate pentru managementul crizelor Autor: Andreea Tărpescu, redactor ASRO
Trăim într-o lume a crizelor, iar abordarea acestora este esențială. Doar în ultimul an am fost martorii unor evenimente de ordin medical, financiar, politic sau de mediu care au avut efecte devastatoare asupra societăților, în general, iar în multe dintre situațiile create de acestea, s-a observat necesitatea unor soluții care să ajute părțile implicate în managementul crizelor să facă față mai eficient provocărilor cu care se confruntă – în plus, aceste soluții au și rolul de a crea un limbaj comun care să faciliteze, în momentele critice, colaborarea transfrontalieră și să favorizeze recuperarea și revenirea la normal. Managementul crizelor face referire, în fapt, la strategia de răspuns în fața unor evenimente negative, ca cele provocate de om, dezastrele naturale, accidentele tehnologice sau alte situații de urgență neprevăzute, precum pandemiile. Gestionarea eficientă a crizelor necesită o comunicare eficientă și acces la informații esențiale înainte, în timpul și după o intervenție. Interconectarea și cooperarea între diferitele echipe de salvare sunt esențiale pentru a salva vieți sau pentru a limita eventualele consecințe negative asupra mediului, organizațiilor sau societăților. 18
Printre provocările actuale cu care se confruntă cei care activează în domeniul managementului crizelor se regăsesc: • Schimbările climatice; • Breșele de securitate; • Utilizarea unor practici, standarde și politici diferite pentru managementul crizelor de la o țară la altă, fapt care poate cauza conflicte într-o eventuală colaborare transfrontalieră. România, prin ASRO, s-a alăturat în 2020 celor 22 de organizații din 14 țări UE în cadrul unui proiect finanțat de către Comisia Europeană (CE) prin programul Horizon 2020 pentru a asigura o abordare armonizată a răspunsului la dezastru în întreaga UE. STRATEGY reunește industriile dezvoltatoare de produse și soluții pentru prevenirea și managementul crizelor chimice, biologice, radiologice, nucleare și explozive (CBRN-E), institutele de cercetare conexe, experți în standardizare, organismele naționale de standardizare și se desfășoară pe o perioadă de trei ani (2020-2023). Proiectul își propune să testeze și să valideze un nou cadru de pre-standardizare pentru sisteme, soluții și
Managementul crizelor este, de fapt, un mecanism de răspuns la toate nivelurile unei societăți/organizații (strategic, operațional și tactic).
proceduri, pentru managementul situațiilor de criză și capacitatea de rezistență la dezastre. Viziunea proiectului este de a materializa activitățile menționate mai sus într-un set de acorduri (CWA) sporind interoperabilitatea în domeniul managementului crizelor în UE. Acesta se va concentra asupra următoarelor aspecte: • Să identifice standardele existente pentru managementul crizelor, cu scopul de a evidenția domeniile care trebuie îmbunătățite; • Să valideze eficacitatea standardelor selectate în scenarii de criză simulate cu primii respondenți; • Să elaboreze articole de pre-standardizare și acorduri CEN-CENELEC (CWA-uri) pe baza rezultatelor obținute; • Să îmbunătățească interoperabilitatea sistemelor de management al crizelor, al instrumentelor și procedurilor operaționale;
STANDARDIZAREA | 06/2021
• Să mențină valori sociale europene și drepturi fundamentale. Partenerii consorțiului vor valida eficacitatea anumitor politici și proceduri de management al crizelor în cadrul a nouă exerciții complexe și vor fi validate, de asemenea, soluțiile și instrumentele rezultate din proiectele anterioare ale Horizon 2020. Pentru început, în cadrul proiectului a fost identificat peisajul actual al standardizării în managementul crizelor – inițiative, utilizatori finali, standarde existente precum și eventualele lacune și domenii care necesită îmbunătățiri și au fost elaborate, de asemenea, cazuri de utilizare care servesc la definirea unor contexte specifice în care standardele prevăzute ar trebui să fie aplicate. STRATEGY își dorește ca pe final să mărească reziliența UE în fața dezastrelor naturale și a celor cauzate de om și să sporească siguranța publică prin îmbunătățirea considerabilă a capacităților unităților UE de management al crizelor. 19
Controlul accesului și securitatea cibernetică Autor: Michael A. Mullane, IEC
O glumă veche spune că „albăcazăpadașicei7pitici” este o parolă ideală, deoarece conține mai mult de 8 caractere și o cifră. Ne face să zâmbim, tocmai pentru că fiecare dintre noi am fost nemulțumiți măcar o dată în viață din cauza faptului că trebuia să ne verificăm datele de autentificare. Dar nu este de glumă cu controlul accesului. Importanța adoptării unor măsuri adecvate și a unei culturi puternice a securității cibernetice a fost subliniată de faptul că cele mai recente atacuri cibernetice au pornit de la o parolă slabă și date furate. Oamenii sunt cauza majoră a breșelor de securitate, fie pentru că accesează un link dintr-un e-mail de tip ”Phishing”, fie pentru că țin o ușă deschisă unui intrus care îi urmărește într-o clădire de birouri. De aceea, controlul accesului se află chiar în centrul securității cibernetice: organizațiile se asigură că utilizatorii sunt cei care afirmă că sunt și au permisiunea de a utiliza resurse de rețea specifice sau de a intra în zone restricționate. Controlul accesului nu numai că servește la securizarea activelor, dar în cazul unei încercări, poate ajuta, de asemenea, la urmărirea acțiunilor și la determinarea cauzei. Există două tipuri de control al accesului: cel fizic și cel logic. Controalele fizice limitează accesul în anumite spații, stații de lucru și echipamente informatice, în timp ce controalele logice vizează restricționarea accesului la activele cibernetice esențiale. Ambele sunt 20
importante pentru securitatea cibernetică și pornesc de la premisa că utilizatorii, dispozitivele și orice alte entități care solicită acces sunt necunoscute până când sistemul le poate verifica. Ca acest lucru să fie posibil, fiecare entitate în parte trebuie să dețină un ID unic și cunoscut, cum ar fi un nume de utilizator, o adresă de e-mail sau MAC, spre exemplu, pe care să le identifice atunci când solicită accesul.
Principiul privilegiilor minime Măsurile ineficiente și insuficiente sunt pur și simplu un dezastru iminent. Agenția Națională de Securitate (NSA) din Statele Unite a descoperit acest lucru atunci când fostul consultant Edward Snowden a divulgat presei americane documente secrete ale NSA. Pe lângă faptul că a trebuit să se ocupe de opinia publică creată de scandalul supravegherii, agenția s-a confruntat și cu critici referitoare la politicile sale de securitate cibernetică și, în special, de controlul accesului. În consecință,
NSA limitează stric accesul la rețea la un nivel necesar pentru ca persoanele să își poată îndeplini activitățile. Una dintre măsurile principale pe care standardul IEC 62433-2-1 le recomandă pentru menținerea în siguranță a infrastructurii critice și a altor sisteme industriale de automatizare și control (IACS) împotriva accesului neautorizat este reprezentată de principiul privilegiilor minime. În mod similar, ISO/IEC 27001 recomandă acest principiu pentru păstrarea datelor în siguranță: „Utilizatorii trebuie să aibă acces la rețea și la serviciile de rețea numai dacă au fost autorizați în mod expres să le utilizeze.” Punerea în aplicare a unei astfel de politici necesită o abordare cuprinzătoare a principiilor de identitate și de management al activelor. În plus, față de gestionarea privilegiilor cu prudență este de asemenea vital să fie înregistrate toate acțiunile utilizatorilor pentru a putea crea piste de auditare în cazul unei breșe de securitate. În cele din urmă, adăugarea și eliminarea drepturilor nu trebuie să aibă un impact negativ asupra productivității. Trebuie să existe politici care să aducă privilegii, pe măsură ce apar necesități și care să le elimine, atunci când proiectele sunt finalizate sau când contractele de muncă se încheie.
Autentificare și autorizare O serie de standarde internaționale se ocupă de procesul de autentificare – atunci când un dispozitiv și identitatea utilizatorului sunt verificate – și de autorizare – care stabilește dacă un utilizator poate accesa un anumit activ în funcție de nivelul său de privilegii. STANDARDIZAREA | 06/2021
Acestea includ, spre exemplu, seria IEC 62443 și seria ISO/IEC 27000 citate anterior. IEC 60839-11-5 acoperă sistemele electronice de control al accesului fizic, inclusiv cele biometrice, cum ar fi amprenta digitală și scanarea irisului, ori controlul cardurilor de acces. Un raport tehnic IEC aflat în curs de elaborare va oferi îndrumări privind controlul accesului bazat pe roluri (RBAC)1 pentru dispozitivele electronice inteligente și aplicațiile la substațiile electrice. Scopul este de a lega controlul accesului și permisiunile bazate pe roluri – definite în standardul IEC 62351 – de dispozitivele și aplicațiile IEC 61850. Standardele IEC adoptă o abordare holistică în privința reducerii riscurilor deoarece se adresează nu numai tehnologiilor și procedurilor, ci și oamenilor. Activitățile de formare și de consolidare a capacităților sunt considerate esențiale pentru creșterea gradului de conștientizare și pentru crearea unei culturi sănătoase a securității cibernetice. Acest lucru este deosebit de important într-un moment în care acum, mai mult decât oricând înainte, oamenii lucrează remote, ca o consecință a pandemiei de coronavirus. Situația actuală se adaugă complexității controlului accesului, deoarece utilizatorii se conectează la mai multe aplicații și subrețele de întreprindere de acasă. Standardele IEC ajută organizațiile să gestioneze rolurile și să distribuie drepturile de rețea în mod eficient, obținând în același timp un compromis satisfăcător între utilizare și securitate. Traducere de Andreea Tărpescu, redactor ASRO din IEC e-tech 2/2021.
1 N.E. Sistemele de control al accesului bazate pe roluri (RBAC) atribuie accesul și acțiunile în funcție de rolul unei persoane în cadrul sistemului. 21
NOUTĂȚI DIN STANDARDIZARE
Un nou raport tehnic pentru aplicațiile feroviare Substațiile reversibile sunt capabile să preia energia rezultată prin frânarea recuperativă a trenurilor și să o injecteze înapoi în rețeaua de distribuție de curent alternativ de înaltă tensiune, în timp ce își menține capabilitatea de schimb de energie între trenuri pe o linie în curent continuu. Raportul tehnic SR CLC/TR 50646:2021 – Aplicații feroviare – Instalații fixe – Specificație pentru substații de curent continuu reversibile furnizează recomandări pentru substații de curent continuu reversibile. Aceste recomandări prezintă, printre altele, funcțiile necesare pentru recuperarea energiei de frânare și este destinat a fi utilizat în instalațiile electrice fixe cu tensiune nominală care nu depășește 3.000 V tensiune continuă, care furnizează energie electrică vehiculelor utilizate în sistemele de transport ghidat public (vehicule feroviare, tramvaie, vehicule subterane și troleibuze). Acest raport tehnic are ca scop îmbunătățirea eficienței energetice a sistemului de transport în curent continuu, reducând consumul de energie și contribuind la un mediu mai curat. 22
Analiza amenințărilor și vulnerabilităților RFID În prezent, tehnologia RFID este utilizată în numeroase domenii pentru a îmbunătăți eficiența diverselor procese și servicii. Noul raport tehnic SR CEN/TR 16670:2021 – Tehnologia informației. Analiza amenințărilor și vulnerabilităților RFID abordează anumite tehnologii RFID prezentate în specificațiile privind interfața aeriană ale acestora. Amenințările, vulnerabilitățile și metodele de atenuare ale acestora sunt prezentate sub forma unui set de instrumente, făcând posibilă luarea în considerare a utilizării caracteristicilor specifice ale tehnologiei RFID în cadrul unei aplicații Acesta vine cu informații suplimentare aferente aplicației RFID și se recomandă a fi un instrument esențial pentru integratorii de sisteme RFID, în scopul îmbunătățirii aspectelor legate de siguranță care implică utilizarea unei abordări de tipul confidențialitate prin proiectare.
Reducerea zgomotului prin standarde În domeniul sănătății și securității în muncă au apărut de-a lungul timpului diverse reglementări și practici care fac referire la protecția omului împotriva zgomotului și vibrațiilor și la măsurile ce trebuie luate pentru a preveni riscurile generate de expunerea la zgomot la locul de muncă, în special în cazul în care sursele sonore sunt amplasate în apropierea urechii. Noua ediție a standardului SR EN ISO 11904-2:2021 – Acustică. Determinarea expunerii sonore datorate surselor amplasate în apropierea urechii. Partea 2: Tehnica utilizând un manechin specifică metode de măsurare a sunetului emis din surse sonore situate în apropierea urechii. Aceste măsurători se efectuează cu ajutorul unui manechin, echipat cu amplificatoare de sunet pentru urechi, inclusiv microfoane. Standardul se aplică expunerii la sunetele emise din surse apropiate urechii, cum ar fi cele din timpul testării echipamentelor sau cele de la locul de muncă, ori la sunetele emise prin căști și alte dispozitive de protecție auditivă cu facilități de comunicare audio.
Pentru achiziționarea standardelor, accesați magazinul online sau luați legătura cu departamentul Vânzări (vanzari@asro.ro). Membrilor ASRO li se acordă o reducere de 15% din prețul standardului. STANDARDIZAREA | 06/2021
23
Reciclarea materialelor plastice este standardizată
Reguli revizuite pentru securitatea scărilor și trotuarelor rulante
Având în vedere că interesul pentru compostaj (reciclare biologică sau organică) este în creștere, a devenit esențial să putem identifica materialele și produsele din material plastic care pot fi recuperate prin reciclare organică, respectiv care se dezintegrează satisfăcător în condiții de compostaj, fără a rezulta reziduuri toxice sau persistente.
Scările și trotuarele rulante au fost și continuă să fie proiectate și fabricate pentru a sprijini fluxul de trafic din diversele spații publice (comerciale, industriale, transport etc.) într-o gamă largă de finisaje și materiale. Totodată, securitatea acestora nu trebuie pusă la îndoială, iar din acest motiv, la nivel european a apărut o nouă ediție a standardului SR EN 115-2:2021 – Securitatea scărilor și trotuarelor rulante. Partea 2: Reguli pentru creșterea securității scărilor și trotuarelor rulante existente.
Standardul SR ISO 17088:2021 – Materiale plastice. Reciclarea organică. Specificații pentru materiale plastice compostabile stabilește procedurile și cerințele pentru materialele plastice și produsele din material plastic care sunt apte pentru recuperarea prin reciclare organică. În cadrul standardului sunt abordate următoarele aspecte: dezintegrarea în timpul compostajului, biodegradarea aerobă finală, absența oricăror efecte adverse ale compostului asupra organismelor terestre și efectele negative asupra calității compostului rezultat, inclusiv prezența, la niveluri ridicate, a metalelor reglementate și a altor compuși nocivi. Acest standard poate fi utilizat ca bază pentru sistemele de etichetare și declarațiile pentru produse și materiale plastice compostabile. 24
Acesta stabilește reguli pentru îmbunătățirea securității scărilor și trotuarelor rulante existente, în scopul atingerii unui nivel echivalent de securitate cu acela al scărilor și trotuarelor rulante nou montate, prin aplicarea stadiului actual de securitate. Standardul clasifică, printre altele, diferite pericole și situații periculoase și este destinat să furnizeze acțiuni corective pentru îmbunătățirea progresivă și selectivă și se adresează în mod special: autorităților, deținătorilor de scări/trotuare rulante, firmelor de întreținere și/sau organismelor de inspecție.
Noua versiune a standardului pentru întreruptoare de comandă de validare cu trei poziții SR EN IEC 60947-5-8:2021 – Aparataj de joasă tensiune. Partea 5-8: Aparate și elemente de comutație pentru circuite de comandă. Întreruptoare de comandă de validare cu trei poziții înlocuiește ediția anterioară a standardului, apărută în anul 2007. Acesta stabilește prescripțiile pentru întreruptoarele de comandă de validare cu trei poziții utilizate ca părți componente pentru aparatele de comandă de validare pentru a furniza semnale după cum urmează: când sunt activate, permit pornirea mașinii dintr-o comandă separată de pornire și când sunt dezactivate, inițiază o funcție de oprire sau previne pornirea mașinii. SR EN IEC 60947-5-8 nu se aplică întreruptoarelor de comandă de validare cu trei poziții pentru circuite de comandă care nu sunt electrice, precum cele hidraulice, pneumatice, a celor fără mecanism cu trei poziții sau a aparatelor de oprire de urgență.
Noi modificări ale standardului SR EN ISO 22898 Înainte de introducerea pe piață a unei mașini, producătorul trebuie să se asigure că aceasta satisface cerințele de sănătate și securitate aplicabile, să întocmească dosarul tehnic al mașinii, să pună la dispoziție informațiile necesare, să aplice proceduri de evaluare a conformității, să întocmească declarația CE de conformitate și să aplice marcajul CE. Standardele reprezintă cea mai ușoară cale de a demonstra conformitatea cu cerințele esențiale în directivele referitoare la securitatea mașinilor și la limitarea nivelului emisiilor de zgomot în mediu produse de echipamentele destinate utilizării în exteriorul clădirilor, adoptate la nivel european. Standardul SR EN ISO 22868:2021 – Mașini forestiere și mașini de grădinărit. Cod de încercare acustică pentru mașinile portabile, ținute cu mâna, echipate cu motor cu ardere internă. Metodă tehnică (clasa de exactitate 2) prezintă un cod de încercare acustică pentru a determina, cu eficiență și în condiții standardizate, caracteristicile acustice ale emisiei la mașinile forestiere și la mașinile pentru grădinărit portabile, ținute cu mâna, echipate cu motor cu ardere internă, precum fierăstraiele cu lanț, mașinile pentru tăiat tufișuri, mașinile de tuns iarbă, mașinile de tăiat garduri vii și mașinile de împrăștiat/aspirat frunze pentru grădină. Caracteristicile acustice ale emisiei includ nivelul de presiune acustică al emisiei, ponderat A, la postul de lucru și nivelul de putere acustică, ponderat A. Determinarea caracteristicilor acustice ale emisiei este utilă pentru: declarația producătorilor privind zgomotul emis, compararea zgomotului emis de mașinile specifice unui anumit grup, necesitatea reducerii zgomotului la sursă, în faza de proiectare. Standardul se adresează producătorilor, utilizatorilor și laboratoarelor de încercări, în vederea determinării nivelurilor de putere acustică la mașinile portabile ținute cu mâna, echipate cu motor cu ardere internă. STANDARDIZAREA | 06/2021
25
NOUTĂȚI DE LA CEN ȘI CENELEC
CEN și ASD-STAN au lansat în anchetă publică un nou standard pentru drone La începutul lunii iunie 2021, CEN și ASD-STAN – Organismul dedicat standardizării în sectorul aerospațial – au lansat în anchetă publică prEN 4709-001 – Aerospace series – Unmanned Aircraft Systems – Part 001: Product requirments and verification. Acest document de standardizare va veni în sprijinul Regulamentului delegat (UE) 2019/945 al Comisiei din 12 martie 2019 privind sistemele de aeronave fără pilot la bord (UAS, cunoscute sub nume de drone) și operatorii de sisteme de aeronave fără pilot la bord din țări terțe. prEN 4709-001, elaborat de ASD-STAN este al patrulea standard referitor la drone care este supus unei anchete publice în acest an. Proiectul de standard stabilește specificațiile tehnice și metodele de verificare care asigură conformitatea cu cerințele stabilite în Regulamentul UE 2019/945. Elaborarea recentă a standardelor privind sistemele de aeronave fără pilot la bord are loc în contextul unei atenții specifice din partea Comisiei Europene de a realiza un cadru propice dezvoltării în siguranță a unui ecosistem de drone în Europa: ca parte a strategiei sale de mobilitate durabilă și inteligentă, Comisia se așteaptă să adopte în 2022 o strategie 2.0 privind dronele cu scopul de a transforma dronele într-un vector pentru mobilitatea inteligentă și durabilă a viitorului. Din acest motiv, standardele care fac referire la drone, elaborate de CEN și ASD-STAN, pot oferi un sprijin valoros obiectivelor Comisiei Europene în acest sector. 26
Produsele de origine biologică în standardizare Produsele de origine biologică sunt acele produse care sunt parțial sau integral fabricate din componente de origine biologică. Acestea înfățișează în prezent o cotă relativ mică din piață, însă pot avea o contribuție semnificativă la rezolvarea problemelor climatice, cum ar fi reducerea emisiilor de carbon. Acest tip de produse trebuie să beneficieze de o mai mare vizibilitate pe piață și să li se explice potențialele beneficii. Comisia Europeană pune un accent mare pe produsele de origine biologică, descriind metode de determinare a conținutului, cerințe pentru evaluarea sustenabilității și modalități de comunicare despre acestea în lanțul valoric, printre care se regăsesc și standardele. Comitetul tehnic european CEN/TC 411 – Bio-based products a elaborat în ultimii ani o serie de standarde care privesc terminologia produselor de origine biologică (EN 16575), determinarea conținutului de origine biologică și a conținutului de carbon de origine biologică (EN 16670, EN 16785-1/2, CEN/TR 16721, EN 17351), standarde care fac referire la cerințele pentru comunicarea de tip „business-to-business” a caracteristicilor cu ajutorul unei fișe de date a produselor de origine biologică (EN 16848 și EN 16935) sau privind cerințele și metodele de încercare a solvenților de origine biologică (EN 16766).* *Standardele menționate au fost adoptate și la nivel național și se regăsesc în magazinul online al ASRO (magazin.asro.ro), cu excepția CEN/TR 16721.
Franța investește 1,2 milioane de euro pentru a sprijini standardizarea în domeniul inteligenței artificiale Autoritățile franceze intenționează să sprijine actorii naționali de pe piața domeniului inteligenței artificiale (IA) prin crearea – cu ajutorul standardizării voluntare – a condițiilor de acces a soluțiilor și produselor lor în Franța și pe plan internațional. Această acțiune face parte din planul național „Investiții pentru viitor” și din planul de redresare al Franței în urma pandemiei de COVID-19. Inteligența artificială va avea un impact puternic asupra sistemului medical francez, a agriculturii, rețelelor de telefonie mobilă, echipamentelor de securitate, industriei vehiculelor și a celei aviatice, ori asupra industriei dronelor, având în vedere că aceasta deja este utilizată în multe procese existente. În viitor, toate sistemele care utilizează IA vor fi certificate, iar Franța înțelege acest lucru încă de acum și importanța securității serviciilor și proceselor care utilizează IA. Tocmai din acest motiv, autoritățile franceze s-au decis să investească 1,2 milioane de euro pentru a facilita elaborarea unor standarde unanim acceptate la nivel global în cadrul AFNOR – Organismul Național de Standardizare din Franța. STANDARDIZAREA | 06/2021
27
ECOS sărbătorește 20 de ani! Cu ocazia sărbătoririi celor 20 de ani de susținere a unor standarde și politici ecologice la nivel european, ECOS a organizat o conferință pe data de 17 iunie 2021 prin intermediul căreia a analizat modul în care Inițiativa pentru produse sustenabile poate transforma modul în care sunt concepute produsele. În cadrul sesiunilor care au avut loc, s-a discutat despre rolul pe care îl ocupă UE în promovarea producției și a consumului sustenabil, ca element fundamental în lupta împotriva schimbărilor climatice și a economiei circulare, și a fost oferită, de asemenea, o perspectivă internațională asupra planurilor UE de a extinde proiectarea ecologică la mai multe produse. În plus, a fost analizat și rolul standardelor în sprijinirea politicilor și a legislației UE, ca răspuns la provocările globale de mediu. Mai multe detalii, precum și înregistrarea evenimentului „Making Sustainable Products the Norm – 20 years of ECOS” le puteți găsi pe website-ul: www.ecostandard.org.
UNE se consolidează ca punct de referință social și economic după răspunsul său esențial în lupta contra pandemiei de COVID-19 În anul 2020, UNE – Organismul Național de Standardizare din Spania – și-a concentrat eforturile în atenuarea situației de urgență din domeniul sănătății și sprijinirea redresării economiei spaniole în fața crizei cauzate de COVID-19. Printre inițiativele anului trecut, se numără: punerea la dispoziție, în mod gratuit, a unor standarde esențiale privind echipamentele și dispozitivele medicale, dar și a altor documente de standardizare care facilitează producția acestora; elaborarea, în timp record, a unei serii de standarde de management al afacerilor, de calitate a produselor și de reducere a riscurilor împotriva coronavirusului (care acoperă măștile chirurgicale, serviciile turistice, pe cele funerare, lămpile bactericide UV-C etc.). Această contribuție remarcabilă i-a adus organismului spaniol de standardizare atenție și recunoaștere din partea organismelor și organizațiilor de standardizare de la nivel internațional. În plus, recent, Adunarea Generală a UNE și-a aprobat Planul strategic până în anul 2025, care are în centrul său trei obiective: furnizarea de soluții fiabile la provocările cu care se confruntă societatea, sprijinirea transformării digitale și obținerea recunoașterii ca organizație exemplară în societatea spaniolă și în structura de producție a țării. Aceste obiective stabilesc pașii care vor ajuta UNE să-și îndeplinească misiunea, contribuind la promovarea competitivității companiilor și la dezvoltarea societății cu standarde care generează încredere. 28
NOUTĂțI LEGISLATIVE Mihaela Vorovenci, consilier juridic ASRO
Prezentul articol conține, în prima parte, noutățile legislative publicate în Jurnalul Oficial al Uniunii Europene şi, în a doua parte, pe cele publicate în Monitorul Oficial al României, care fac referire la standarde, din luna mai 2021.
Partea I – Legislație comunitară
1.1
Acte comunitare care conțin referiri la standarde
1.1.1 Regulamentul (UE) 2021/690 al Parlamentului European și al Consiliului din 28 aprilie 2021 de instituire a unui program privind piața internă, competitivitatea întreprinderilor, inclusiv a întreprinderilor mici și mijlocii, domeniul plantelor, animalelor, produselor alimentare și hranei pentru animale și statisticile europene (Programul privind piața unică) și de abrogare a Regulamentelor (UE) nr. 99/2013, (UE) nr. 1287/2013, (UE) nr. 254/2014 și (UE) nr. 652/2014 (Text cu relevanță pentru SEE), publicat în JOUE L 153/1 din 03.05.2021. 1.1.2 Decizia (UE) 2021/727 a Consiliului din 29 aprilie 2021 privind prezentarea, în numele Uniunii Europene, a unor propuneri de modificare a anexelor A și B la Convenția de la Minamata privind mercurul, în ceea ce privește produsele cu adaos de mercur și procesele de fabricație în care se utilizează mercur sau compuși ai mercurului, publicată în JOUE L 155/23 din 05.05.2021. 1.1.3 Decizia de punere în aplicare (UE) 2021/736 a Comisiei din 4 mai 2021 care permite Poloniei să autorizeze produsele biocide care constau din azot generat in situ pentru protejarea patrimoniului cultural [notificată cu numărul C(2021) 3014], publicată în JOUE L 159/1 din 06.05.2021. 1.1.4 Avizul Comitetului European al Regiunilor pe tema „Un val de renovări pentru Europa – ecologizarea clădirilor, crearea de locuri de muncă, îmbunătățirea condițiilor de trai” (2021/C 175/05), publicat în JOUE C 175/23 din 07.05.2021. 1.1.5 Regulamentul de punere în aplicare (UE) 2021/808 al Comisiei din 22 martie 2021 privind performanța metodelor analitice pentru reziduurile de substanțe farmacologic active utilizate la animalele de la care se obțin produse STANDARDIZAREA | 06/2021
29
alimentare și privind interpretarea rezultatelor, precum și privind metodele care trebuie utilizate pentru prelevarea de probe și de abrogare a Deciziilor 2002/657/CE și 98/179/CE (Text cu relevanță pentru SEE), publicat în JOUE L 180/84 din 21.05.2021. 1.1.6 Regulamentul O.N.U. nr. 158 – Dispoziții uniforme privind omologarea dispozitivelor pentru mersul înapoi și a autovehiculelor în ceea ce privește detectarea de către conducătorul auto a utilizatorilor vulnerabili ai drumurilor aflați în spatele vehiculului [2021/828], publicat în JOUE L 184/20 din 25.05.2021. 1.1.7 Regulamentul O.N.U. nr. 159 – Dispoziții uniforme referitoare la omologarea autovehiculelor în ceea ce privește sistemul de informare la demarare pentru detectarea pietonilor și a bicicliștilor [2021/829], publicat în JOUE L 184/62 din 25.05.2021. 1.1.8 Decizia de punere în aplicare (UE) 2021/845 a Comisiei din 26 mai 2021 de modificare a Deciziei de punere în aplicare (UE) 2019/1202 în ceea ce privește determinarea comportării la autoaprindere a acumulărilor de praf, publicată în JOUE L 186/28 din 27.05.2021. 1.1.9 Decizia de punere în aplicare (UE) 2021/867 a Comisiei din 28 mai 2021 privind standardele armonizate pentru jucării elaborate în sprijinul Directivei 2009/48/CE a Parlamentului European și a Consiliului, publicată în JOUE L 190/96 din 31.05.2021.
Partea a II-a - Legislație națională
2
Acte normative care conțin referiri la standarde
2.1 Decizia Prim Ministrului nr. 331/2021 privind constituirea şi atribuțiile Comitetului pentru e-guvernare şi reducerea birocrației, publicată în Monitorul Oficial, Partea I nr. 537 din 24 mai 2021. Referire la standarde: Art. 2. - „În domeniul e-guvernării, Comitetul are următoarele atribuții: […] b) oferirea cadrului de dezbatere a principalelor inițiative, măsuri şi proiecte privind e-guvernarea pentru asigurarea respectării standardelor şi reglementărilor tehnice comune în domeniul guvernării electronice, asigurând forumul pentru dezbaterea la nivel interinstituțional a inițiativelor cuprinse în politica publică de e-guvernare şi în celelalte documente programatice, cadre strategice sau de reglementare în domeniu, de la nivel național şi european;”.
30
CURS ONLINE ACADEMIA TURISM ȘI SERVICII CONEXE. CERINȚE ȘI ÎNDRUMĂRI PENTRU A REDUCE RĂSPÂNDIREA COVID-19 ÎN INDUSTRIA TURISMULUI. PAȘII NECESARI PENTRU OBȚINEREA ETICHETEI EUROPENE DE SIGURANȚĂ FAȚĂ DE COVID-19 ÎN TURISM ÎN CONFORMITATE CU DOCUMENTUL DE STANDARDIZARE EUROPEAN SR CWA 5643
4 MOTIVE PENTRU A PARTICIPA LA CURS Motivul #1
Motivul #3
Măsurile de reducere a riscului de infectare cu SARS-CoV-2 sunt armonizate într-un protocol unic menit să faciliteze redresarea domeniul dvs. de activitate.
SR CWA 5643-1:2021 stabilește cerințele și recomandările necesare protejării sănătății angajaților și asigurării serviciilor turistice în condiții de siguranță.
Motivul #2
Motivul #4
Domeniu larg de aplicare îi va ajuta pe toți furnizorii din sector (cazare, muzee, transport, activități etc.) să asigure servicii mai sigure și să prevină răspândirea virusului.
SR CWA 5643-2:2021 oferă o etichetă europeană (însoțită de un cod QR) și clarifică cerințele minime pentru asigurarea calității și siguranței în sectorul turistic.
ȘTIAȚI CĂ... Potrivit UNWTO (2021), din cauza pandemiei de COVID-19, lumea a asistat în anul 2020 la o scădere cu 74% a turismului internațional?*
A sprijini industria în a fi adaptabilă și prudentă, înseamnă a întâmpina clienții în cele mai bune condiții posibile, ca mijloc de reconstruire a încrederii și de menținere a siguranței și securității tuturor?
*comparativ cu anul 2019.
Este suficient de flexibil și de exhaustiv pentru a fi adaptat la orice tip de organizație, inclusiv IMM-uri?
Identitatea vizuală oferă un avantaj competitiv Europei pe piața turistică globală?
Mai multe detalii: www.standardizarea.ro
