pentru realizarea/echivalarea/revizuirea planurilor de securitate ale proprietarilor/operatorilor/administratorilor de infrastructură critică naţională/europeană
+
Capitolul IDispoziţii generale +
Articolul 1Prezentele norme metodologice se aplică pentru elaborarea şi avizarea planurilor de securitate ale proprietarilor/operatorilor/administratorilor de infrastructuri critice naţionale/europene, denumite în continuare PSO, respectiv pentru evaluarea şi testarea planurilor de securitate existente în vederea echivalării acestora ca PSO, cât şi pentru revizuirea periodică şi actualizarea acestora. +
Articolul 2Scopul prezentelor norme metodologice este de a asigura o concepţie unitară de realizare a PSO, conform prevederilor legale aplicabile. +
Articolul 3Termenii utilizaţi în cuprinsul prezentelor norme metodologice sunt definiţi la art. 3 din Ordonanţa de urgenţă a Guvernului nr. 98/2010 privind identificarea, desemnarea şi protecţia infrastructurilor critice, aprobată cu modificări prin Legea nr. 18/2011, denumită în continuare OUG nr. 98/2010, iar terminologia generală are sensul conform definiţiilor date în cuprinsul documentelor normative aplicabile. +
Capitolul IIPlanurile de securitate ale proprietarilor/operatorilor/administratorilor de infrastructuri critice naţionale/europene +
Secţiunea 1Dispoziţii comune +
Articolul 4(1) Proprietarii/Operatorii/Administratorii de infrastructuri critice naţionale/europene elaborează, echivalează sau actualizează, după caz, PSO având la bază cel puţin aspectele precizate în anexa nr. 3 la OUG nr. 98/2010. … (2) În acest scop, proprietarii/operatorii/administratorii de infrastructuri critice naţionale/europene pot utiliza scenariile de ameninţare, acolo unde acestea sunt disponibile, prin procedura de autorizare a operatorului de infrastructură critică. … (3) Echivalarea unor documente existente cu PSO se va realiza respectând principiile ce stau la baza emiterii acestuia, astfel încât acestea să asigure alinierea la cerinţele specifice de protecţie a infrastructurilor critice. … +
Articolul 5(1) Scenariile de ameninţări se întocmesc de către proprietarii/operatorii/administratorii de infrastructuri critice naţionale/europene pe baza coordonatelor stabilite de către autoritatea publică responsabilă în domeniu. … (2) Proprietarii/Operatorii/Administratorii de infrastructuri critice naţionale din sectorul "tehnologia informaţiei şi comunicaţii" pot utiliza pentru realizarea analizei de risc şi alte instrumente sau tehnici din domeniul managementului riscului. … +
Articolul 6La elaborarea scenariilor vor fi avute în vedere, după caz, ameninţări de tipul:a) fenomene meteorologice periculoase; … b) fenomene distructive de origine geologică; … c) accidente, avarii, explozii, incendii; … d) poluări de ape; … e) prăbuşiri de construcţii, instalaţii, amenajări; … f) accident nuclear major sau urgenţă radiologică cu efect transfrontalier; … g) accident major în care sunt implicate substanţe periculoase; … h) boli transmisibile care pot afecta sănătatea publică (epidemii/pandemii); … i) ameninţări teroriste; … j) grave tulburări sociale; … k) alte ameninţări cu specific sectorial, conform criteriilor aprobate în sectorul respectiv; … l) evenimente internaţionale şi/sau cu caracter geopolitic sau de natura ameninţărilor militare, dacă acestea pot genera ameninţări suplimentare la nivelul infrastructurilor critice naţionale. … +
Articolul 7Responsabilitatea generală pentru stabilirea unor scenarii de ameninţări credibile, în sensul art. 5 şi 6 din prezentele norme metodologice, revine autorităţilor publice responsabile. Pentru stabilirea unor elemente concrete, specifice, ale acestor scenarii, autorităţile publice responsabile se pot consulta asupra aspectelor din domeniile specifice de competenţă. +
Articolul 8Consultarea între autorităţile publice responsabile şi structurile cu atribuţii, la care se face referire în art. 7, se poate realiza în mod direct sau prin intermediul Centrului de coordonare a protecţiei infrastructurilor critice din cadrul Ministerului Afacerilor Interne, denumit în continuare CCPIC. Consultarea prin intermediul CCPIC este obligatorie pentru aspectele care cad sub incidenţa art. 6 alin. (3) din OUG nr. 98/2010 sau, în cazul în care din motive obiective această consultare tripartită nu s-a putut realiza, autorităţile publice responsabile informează CCPIC, în scris, asupra elementelor de scenarii stabilite, înainte de realizarea analizelor de risc şi vulnerabilitate. +
Articolul 9În scopul asigurării unui cadru unitar de realizare a PSO, CCPIC poate organiza şedinţe, ateliere de lucru şi seminare în vederea armonizării acestuia la nivel naţional. +
Secţiunea a 2-aCadrul de management al riscului +
Articolul 10(1) PSO este documentul de planificare la nivel strategic, cu caracter operativ prin procedurile asociate, destinat realizării managementului riscurilor de la nivelul infrastructurilor critice naţionale/europene. … (2) Structura-cadru a PSO este prezentată în anexa nr. 2 la decizie. … +
Articolul 11(1) Cadrul general aplicabil pentru managementul riscurilor este stabilit atât prin standarde internaţionale (ISO), ce definesc principii şi linii directoare, cât şi prin diverse tehnici de evaluare a riscurilor existente, pentru fiecare sector de activitate la nivel naţional şi internaţional. … (2) Pentru efectuarea analizelor de risc, proprietarii/operatorii/administratorii de infrastructuri critice naţionale/europene pot utiliza orice metodă sau tehnică de analiză, atât timp cât aceasta este acceptată de autorităţile publice responsabile, astfel: … a) una dintre metodele sau tehnicile descrise de standardele internaţionale în materie; … b) o altă metodă de analiză standardizată pe plan internaţional, cu indicarea standardului public aplicabil; … c) o metodă sau tehnică nestandardizată de analiză ori un procedeu nestandardizat de estimare a consecinţelor, în măsura în care operatorul de infrastructură critică poate să ofere documentaţie detaliată cu privire la modul de aplicare a acesteia/acestuia, să justifice necesitatea şi avantajele alegerii acestei abordări, iar autoritatea publică responsabilă să îşi exprime, în scris, avizul pentru utilizarea respectivei metode sau respectivului procedeu. … (3) Analizele de risc precizează în cuprinsul acestora, în mod obligatoriu, denumirea/tipul metodei utilizate, presupunerile iniţiale avute în vedere, valorile parametrilor iniţiali sau intermediari introduşi în algoritmi şi aproximările realizate, astfel încât, exclusiv pe baza informaţiilor disponibile, o terţă parte să poată expertiza, în cazul în care se consideră necesar, nivelul de conformitate. … +
Articolul 12Proprietarii/Operatorii/Administratorii de infrastructuri critice naţionale/europene şi autorităţile publice responsabile vor realiza activităţile organizatorice şi administrative necesare pentru respectarea prevederilor ISO aplicabile, atât pentru desfăşurarea activităţilor interne legate de managementul riscurilor, cât şi pentru a asigura interfaţa în procesele de consultare şi comunicare externă. +
Articolul 13(1) În realizarea prevederilor art. 12, proprietarii/operatorii/administratorii de infrastructuri critice naţionale/europene şi autorităţile publice responsabile vor acorda o atenţie deosebită următoarelor etape ale managementului riscului: … a) stabilirea contextului; … b) identificarea riscurilor/ameninţărilor; … c) analiza riscurilor; … d) evaluarea riscurilor; … e) modalitatea de abordare a riscurilor; … f) măsuri de protecţie, compensare şi recuperare post- incident; … g) evaluare globală. … (2) Etapele prevăzute la alin. (1) lit. a) "stabilirea contextului" şi lit. b) "identificarea riscurilor/ameninţărilor" sunt definitorii pentru realizarea, în bune condiţii şi la un nivel de calitate comparabil pentru toate părţile vizate, a scenariilor de ameninţări şi a condiţiilor de realizare a analizelor de risc şi vulnerabilitate, după cum se precizează în cuprinsul secţiunii 1 – "Dispoziţii comune". … (3) Efectuarea analizelor de risc se realizează în conformitate cu prevederile secţiunii 1 "Dispoziţii comune" şi cu cerinţele art. 2 lit. b) din anexa nr. 3 "Procedură privind planul de securitate pentru operator" la OUG nr. 98/2010; estimarea impacturilor potenţiale este descrisă la etapa prevăzută la alin. (1) lit. c) „analiza riscurilor”. … (4) Aplicarea etapelor prevăzute la alin. (1) lit. d) "evaluarea riscurilor" şi lit. e) "modalitatea de abordare a riscurilor" este destinată să completeze cadrul general de management al riscurilor şi să ofere planificatorilor şi factorilor decizionali implicaţi informaţiile necesare pentru întocmirea PSO. … +
Secţiunea a 3-aElaborarea şi avizarea PSO +
Articolul 14(1) Pentru a facilita elaborarea unitară a PSO, autorităţile publice responsabile emit ordine sau formulează recomandări, aplicabile la nivel de sector ori subsector, cu privire la forma, structura şi cuprinsul planurilor de securitate ale operatorilor. … (2) Ordinele emise de autorităţile publice responsabile nu pot intră în vigoare mai târziu de 6 (şase) luni înainte de termenul prevăzut la art. 11 alin. (1) din OUG nr. 98/2010. … +
Articolul 15PSO se elaborează şi se transmit, spre avizare, în 2 (două) exemplare originale, autorităţilor publice responsabile. +
Articolul 16Proprietarii/Operatorii/Administratorii de infrastructuri critice naţionale/europene transmit, în 2 (două) exemplare originale, autorităţilor publice responsabile documentele ce urmează a fi echivalate cu PSO, prezentând într-un memoriu sau într-o notă justificativă elementele de echivalenţă şi analiza de suficienţă, din care să reiasă satisfacerea necesităţilor PSO, fără elaborarea unui document distinct în acest sens. +
Articolul 17(1) În termen de 30 (treizeci) de zile de la primirea de la proprietarii/operatorii/administratorii de infrastructură critică naţională/europeană a PSO sau a documentelor de echivalare, autorităţile publice responsabile vor realiza, după caz, una dintre următoarele acţiuni: … a) avizarea şi returnarea unui exemplar original avizat, cu comunicarea îndeplinirii de către proprietarul/operatorul/administratorul de infrastructură critică naţională/europeană a cerinţei prevăzute la art. 11 alin. (3) din OUG nr. 98/2010; … b) avizarea şi returnarea unui exemplar original, cu obiecţii, motivaţia obiecţiilor, măsurile de corectare şi termenele de conformare; … c) neavizarea şi returnarea ambelor exemplare, cu precizarea motivelor neavizării şi a termenelor de conformare şi retransmitere a documentelor pentru avizare. … (2) În cazurile prevăzute la alin. (1) lit. a) sau b), autorităţile publice responsabile vor transmite către CCPIC, în termen de 30 de zile, un raport-sinteză cu privire la evaluarea riscurilor şi ameninţărilor, inclusiv propuneri cu privire la necesitatea îmbunătăţirii protecţiei infrastructurilor critice naţionale/europene, în conformitate cu prevederile art. 6 alin. (1) din OUG nr. 98/2010. … +
Articolul 18Documentele transmise de către proprietarii/operatorii/administratorii de infrastructură critică naţională/europeană către autorităţile publice responsabile, în conformitate cu prevederile art. 15 şi 16, vor fi clasificate în raport cu conţinutul acestora, conform prevederilor legale. +
Secţiunea a 4-aEvaluarea, testarea, revizuirea şi actualizarea PSO şi a planurilor sau documentelor echivalente PSO +
Articolul 19(1) PSO şi planurile sau documentele echivalente PSO se evaluează, cu ocazia procesului de avizare la care se face referire în art. 17, de către o comisie compusă din minimum 3 persoane, din care una trebuie să fie ofiţerul de legătură pentru securitate, denumit în continuare OLS, de la nivelul autorităţii publice responsabile, prevăzut la art. 8 alin. (2) din OUG nr. 98/2010. … (2) Pentru analizarea conţinutului capitolelor de specialitate din cuprinsul PSO sau al documentelor echivalente PSO care necesită un înalt nivel de expertiză tehnico-ştiinţifică ori cunoştinţe detaliate despre natura proceselor analizate, autorităţile publice responsabile pot coopta şi reprezentanţi ai altor structuri specializate din România ori pot angaja experţi, persoane fizice şi/sau juridice, cu rol consultativ, fără ca aceştia să facă parte din comisia de evaluare prevăzută la alin. (1). Pentru angajare, reprezentanţii structurilor specializate din România sau experţii, persoane fizice şi/sau juridice, trebuie să obţină în prealabil de la autoritatea naţională competentă un certificat de acces la date şi documente clasificate. … (3) Procesul de evaluare se încheie prin întocmirea unui raport de evaluare, document semnat de toţi membrii comisiei. … +
Articolul 20(1) PSO şi planurile sau documentele echivalente PSO se testează prin exerciţii (interne, naţionale, internaţionale – numai pentru ICE), organizate şi desfăşurate cu o periodicitate de minimum un exerciţiu pe an. … (2) Anumite componente ale PSO sau ale documentelor echivalente PSO se vor testa atât prin exerciţii parţiale (în teren, în punctele de comandă, exerciţii simulate, exerciţii tematice cu forţe şi mijloace etc.), cât şi prin exerciţii de alertare, desfăşurate în mod periodic şi astfel încât să acopere, în timp, o gamă variată de condiţii (anunţate/neanunţate, cu scenariul cunoscut/parţial cunoscut/necunoscut, ziua/noaptea, iarna/vara, în timpul/în afara programului, în weekend/în timpul săptămânii etc.). … (3) Normele de organizare, desfăşurare şi evaluare a exerciţiilor sunt elaborate de către fiecare autoritate publică responsabilă şi aprobate prin ordin sau dispoziţie al/a conducătorului acesteia. … (4) Normele prevăzute la alin. (3) vor preciza modul de evaluare a exerciţiilor, utilizându-se în acest scop metodologii şi sisteme organizatorice deja consacrate pe plan internaţional (evaluatori-controlori etc.) … (5) Exerciţiile organizate şi desfăşurate în conformitate cu prevederile alin. (1) şi (2) se vor finaliza prin elaborarea unui raport de evaluare a fiecărui exerciţiu. … +
Articolul 21(1) PSO şi planurile sau documentele echivalente PSO se revizuiesc şi se actualizează la intervale de cel mult 2 ani, în conformitate cu prevederile art. 11 alin. (6) din OUG nr. 98/2010. … (2) Baza pentru revizuirea şi actualizarea PSO o constituie rapoartele de evaluare a exerciţiilor, elaborate de autorităţile publice responsabile în conformitate cu prevederile art. 20 alin. (5). … (3) Actualizarea PSO implică aducerea la zi a unor informaţii, denumiri, cantităţi, valori etc. din cuprinsul PSO, fără modificarea substanţială a conţinutului acestuia şi fără necesitatea de reluare a procesului de avizare a PSO. Modificările aduse PSO în timpul actualizărilor sunt aprobate de conducătorii operatorilor de infrastructuri critice şi sunt comunicate autorităţilor publice responsabile. … (4) Revizuirea PSO constă în reanalizarea şi modificarea substanţială a uneia sau mai multora dintre elementele componente ale PSO şi necesită reluarea procesului de avizare prevăzut în cuprinsul prezentelor norme metodologice. … +
Capitolul IIIDispoziţii finale +
Articolul 22Prezentele norme metodologice intră în vigoare de la data publicării în Monitorul Oficial al României, Partea I.
