Notă …
Aprobate prin ORDINUL nr. 600 din 21 iunie 2019, publicat în Monitorul Oficial, Partea I, nr. 542 din 2 iulie 2019. +
Capitolul IDispoziții generale +
Articolul 1(1)Prezentele norme metodologice privind modul de organizare și funcționare a Registrului operatorilor de servicii esențiale, denumite în continuare norme, au ca obiect stabilirea procedurilor pe care le implică organizarea și funcționarea Registrului operatorilor de servicii esențiale, denumit în continuare ROSE.(2)ROSE constituie instrumentul unitar de evidență a operatorilor de servicii esențiale, denumiți în continuare OSE, entități care desfășoară activități în domeniul securității rețelelor și sistemelor informatice, denumite în continuare NIS.(3)Operatorii de servicii esențiale, așa cum sunt definiți la art. 3 lit. h) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, sunt supuși obligației de înregistrare în ROSE potrivit legii menționate.(4)La elaborarea prezentelor norme au fost avute în vedere, în principal, următoarele acte normative:a)Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, denumită în continuare Legea NIS; … b)Legea nr. 182/2002 privind protecția informațiilor clasificate; … c)Hotărârea Guvernului nr. 494/2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO; … d)Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naționale de protecție a informațiilor clasificate în România, cu modificările și completările ulterioare; … e)Hotărârea Guvernului nr. 781/2002 privind protecția informațiilor secrete de serviciu. … +
Capitolul IIOrganizarea registrului operatorilor de servicii esențiale +
Secţiunea 1Constituirea registrului +
Articolul 2(1)ROSE este înființat și gestionat în baza art. 7 alin. (2) din Legea NIS, fiind actualizat în funcție de solicitările OSE, din oficiu sau la termen.(2)ROSE este constituit, în format hârtie, în cadrul Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, denumit în continuare CERT-RO, la nivelul Autorității competente la nivel național pentru securitatea rețelelor și sistemelor informatice, denumită în continuare ANSRSI.(3)ROSE este alcătuit pe sectoarele și subsectoarele identificate în anexa la Legea NIS. +
Articolul 3(1)CERT-RO la nivelul ANSRSI elaborează/ tipărește registrul, pe suport hârtie, respectând structura și tipologia datelor/informațiilor stabilite în anexa nr. 1 la ordin.(2)În ansamblu, ROSE face parte din categoria documentelor clasificate, din clasa Secrete de Serviciu.(3)Documentele și datele care stau la baza completării ROSE sunt neclasificate. +
Articolul 4În ROSE sunt consemnate date privind notificările OSE cu privire la înscrierea, modificarea sau radierea acestora. +
Secţiunea a 2-aUtilizarea registrului +
Articolul 5(1)Utilizarea ROSE este asigurată de către personalul ANSRSI cu respectarea principiului nevoii de a cunoaște.(2)Persoanele prevăzute la alin. (1) vor fi avizate pentru lucrul cu documente clasificate și vor utiliza ROSE numai în exercitarea atribuțiilor de serviciu, în baza fișei postului.(3)Procedura privind accesul și modul de lucru, în ceea ce privește ROSE, va fi elaborată în cadrul CERT-RO și aprobată prin decizie a directorului general. +
Articolul 6ROSE se actualizează periodic, cel puțin o dată la doi ani de la data intrării în vigoare a Legii NIS, de către ANSRSI din cadrul CERT-RO. +
Capitolul IIIFuncționarea registrului operatorilor de servicii esențiale +
Secţiunea 1Reguli generale privind înscrierea +
Articolul 7(1)Înscrierea operatorilor de servicii esențiale în ROSE se realizează, după caz, la notificarea persoanelor fizice și/sau juridice supuse obligației de înscriere și/sau din oficiu, din inițiativa CERT-RO.(2)Înscrierea operatorilor de servicii esențiale în ROSE se face olograf, iar atribuirea numărului curent pentru fiecare operațiune se face consecutiv, pe parcursul unui an calendaristic, începând cu 001. +
Articolul 8(1)Completarea ROSE se face după evaluarea de către ANSRSI a documentelor transmise de OSE la CERT-RO și în baza deciziei directorului general al CERT-RO.(2)Toate documentele care stau la baza înscrierii operațiunilor în ROSE se păstrează la ANSRSI în mape individualizate în format hârtie și/sau electronic. +
Secţiunea a 2-aReguli generale privind modificarea și radierea +
Articolul 9(1)Modificarea datelor înscrise în ROSE se face în baza notificării operatorului de servicii esențiale sau a unor erori constatate în procesul de revizuire de către ANSRSI.(2)Radierea OSE din ROSE se face în baza notificării operatorului de servicii esențiale sau din oficiu de către ANSRSI și în urma evaluării documentelor relevante privind neîndeplinirea calității de operator de servicii esențiale.(3)Notificările prevăzute la alin. (1) și (2) vor fi însoțite de documente justificative. +
Articolul 10În procesul de modificare, respectiv de radiere se ține cont de regulile prevăzute în secțiunea 1. +
Secţiunea a 3-aReguli privind protecția informațiilor înscrise +
Articolul 11În procesele de înscriere și modificare date în ROSE, precum și radiere date din ROSE, CERT-RO protejează interesele de securitate și comerciale ale operatorului de servicii esențiale, precum și confidențialitatea informațiilor furnizate. +
Articolul 12Accesul la înscrierile din ROSE se face cu respectarea principiului conform căruia accesul la informații clasificate se acordă în mod individual numai persoanelor care, pentru îndeplinirea îndatoririlor de serviciu, trebuie să lucreze cu astfel de informații sau să aibă acces la acestea conform art. 5 din Standardele naționale de protecție a informațiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările și completările ulterioare.
