Normele metodologice de identificare a operatorilor de servicii esentiale si furnizorilor de servicii digitale, din 21.06.2019

TITLUL I
Dispozitii generale

Articolul 1
(1) Prezentele norme metodologice de identificare a operatorilor de servicii esentiale si furnizorilor de servicii digitale, denumite in continuare norme, au ca obiect stabilirea procedurilor pe care le implica identificarea atat a operatorilor de servicii esentiale, denumiti in continuare OSE, cat si a furnizorilor de servicii digitale, denumiti in continuare FSD, pentru inscrierea in Registrul operatorilor de servicii esentiale, denumit in continuare ROSE, respectiv in Registrul de evidenta a furnizorilor de servicii digitale.
(2) Procesul de identificare a OSE si FSD este una dintre componentele importante ale asigurarii unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, denumite in continuare NIS.
(3) La elaborarea prezentelor norme au fost avute in vedere, in principal, urmatoarele acte normative:
a) Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, cu modificarile si completarile ulterioare;
b) Hotararea Guvernului nr. 494/2011 privind infiintarea Centrului National de Raspuns la Incidente de Securitate Cibernetica - CERT-RO;
c) Ordinul ministrului comunicatiilor si societatii informationale nr. 600/2019 privind aprobarea Normelor metodologice de organizare si functionare a Registrului operatorilor de servicii esentiale.

TITLUL II
Identificarea operatorilor de servicii esentiale

CAPITOLUL I
Date generale

Articolul 2
(1) Operatorii economici si celelalte entitati care opereaza ori furnizeaza servicii in cadrul sectoarelor si subsectoarelor definite in anexa la Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, cu modificarile si completarile ulterioare, denumita in continuare Legea NIS, ori furnizeaza servicii esentiale din lista prevazuta la art. 20 lit. r) din aceeasi lege, denumiti in continuare OENIS, identifica serviciile esentiale care sunt folosite in procesul de evaluare a indeplinirii conditiilor si criteriilor prevazute la art. 6 din Legea NIS.
(2) Procesul de identificare a operatorilor de servicii esentiale este prevazut in anexa nr. 1 la prezentele norme.

Articolul 3
(1) In procesul de identificare ca operator de servicii esentiale sunt parcurse urmatoarele etape:
- Etapa 1. Identificarea serviciilor esentiale
- Etapa 2. Notificarea CERT-RO de catre operatorii de servicii esentiale
- Etapa 3. Evaluarea si inscrierea operatorilor de servicii esentiale.
(2) Etapele 1 si 2 se adreseaza OENIS, iar etapa 3 se adreseaza Autoritatii competente la nivel national pentru securitatea retelelor si sistemelor informatice, denumita in continuare ANSRSI, din cadrul Centrului National de Raspuns la Incidente de Securitate Cibernetica - CERT-RO.

CAPITOLUL II
Identificarea serviciilor esentiale

Articolul 4
(1) Pentru identificarea serviciilor esentiale, OENIS isi evalueaza toate serviciile furnizate prin prisma prevederilor de la art. 6 alin. (1) din Legea NIS.
(2) Un serviciu care satisface cumulativ cerintele impuse de art. 6 alin. (1) din Legea NIS este declarat serviciu esential in contextul securitatii retelelor si sisteme informatice, denumit in continuare SENIS.
(3) In cazul in care una dintre conditiile stabilite nu este indeplinita, serviciul nu este considerat SENIS si nu va face obiectul procesului de evaluare.
(4) Daca nu este identificat niciun SENIS, procesul de evaluare se finalizeaza, iar OENIS nu este declarat OSE.

Articolul 5
Pentru evaluarea unui serviciu in vederea identificarii ca SENIS, OENIS parcurge urmatorii pasi:
- Pasul 1) Catalogarea importantei serviciului
- Pasul 2) Identificarea modului de furnizare a serviciului
- Pasul 3) Stabilirea efectului de perturbare a serviciului in cazul producerii unui incident .

Articolul 6
(1) Catalogarea importantei serviciului presupune examinarea de catre OENIS daca respectivul serviciu furnizat este inclus in Lista serviciilor esentiale. In caz afirmativ se continua evaluarea .
(2) Daca serviciul furnizat nu este inclus in Lista de servicii esentiale, OENIS va proceda la o analiza interna a importantei respectivului serviciu asupra activitatii entitatii din punct de vedere societal si/sau economic.
(3) In cazul in care OENIS ajunge la concluzia ca serviciul furnizat, desi nu se gaseste in Lista serviciilor esentiale, este unul de cea mai mare importanta/critic va continua procesul de evaluare.
(4) Daca OENIS nu identifica niciun serviciu de cea mai mare importanta/critic, procesul de evaluare se intrerupe.

Articolul 7
(1) Identificarea modului de furnizare a serviciului catalogat la art. 6 presupune ca OENIS sa analizeze daca respectivul serviciu depinde de retele si sisteme informatice. In caz afirmativ se continua evaluarea .
(2) Daca serviciul furnizat nu depinde de retele si sisteme informatice, OENIS fundamenteaza analiza si relationeaza cu ANSRSI pentru continuarea procesului, iar, in cazul in care se confirma, serviciul nu este SENIS si se trece la analiza urmatoarelor servicii identificate la art. 6.
(3) Daca OENIS nu identifica nicio retea sau sistem informatic de care sa depinda serviciile identificate la art. 6, procesul de evaluare se intrerupe.
(4) In aceasta etapa, OENIS poate intocmi si documentatia prin care se stabilesc interdependenta si interconectarile retelelor si sistemelor informatice conform art. 8 alin. (7) lit. c) din Legea NIS.

Articolul 8
(1) Stabilirea efectului de perturbare a serviciului in cazul producerii unui incident presupune ca OENIS sa analizeze riscul producerii, incidentul tinand cont de factori intersectoriali, precum si, dupa caz, de factorii sectoriali.
(2) La stabilirea efectului/gradului de perturbare a serviciului esential se vor avea in vedere criteriile intersectoriale precizate la art. 6 alin. (2) din Legea NIS si, dupa caz, criteriile si valorile de prag sectoriale stabilite conform art. 6 alin. (3) din aceeasi lege.
(3) Pentru stabilirea efectului de perturbare a serviciului esential se va aplica metodologia de stabilire a efectului perturbator semnificativ al incidentelor la nivelul retelelor si sistemelor informatice ale operatorilor de servicii esentiale, aprobata prin ordin al ministrului comunicatiilor si societatii informationale.
(4) Pentru o evaluare corecta si sigura a gradului de perturbare, valorile si informatiile introduse/folosite in stabilirea efectului perturbator vor fi asumate de OENIS si puse la dispozitia CERT-RO, la cererea ANSRSI cu respectarea art. 8 alin. (7) din Legea NIS.