INTEGRAL: Normele metodologice de organizare si functionare a Registrului operatorilor de servicii esentiale, din 21 iunie 2019

CAPITOLUL I
Dispozitii generale

Articolul 1
(1) Prezentele norme metodologice privind modul de organizare si functionare a Registrului operatorilor de servicii esentiale, denumite in continuare norme, au ca obiect stabilirea procedurilor pe care le implica organizarea si functionarea Registrului operatorilor de servicii esentiale, denumit in continuare ROSE.
(2) ROSE constituie instrumentul unitar de evidenta a operatorilor de servicii esentiale, denumiti in continuare OSE, entitati care desfasoara activitati in domeniul securitatii retelelor si sistemelor informatice, denumite in continuare NIS.
(3) Operatorii de servicii esentiale, asa cum sunt definiti la art. 3 lit. h) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, cu modificarile si completarile ulterioare, sunt supusi obligatiei de inregistrare in ROSE potrivit legii mentionate.
(4) La elaborarea prezentelor norme au fost avute in vedere, in principal, urmatoarele acte normative:
a) Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, cu modificarile si completarile ulterioare, denumita in continuare Legea NIS;
b) Legea nr. 182/2002 privind protectia informatiilor clasificate;
c) Hotararea Guvernului nr. 494/2011 privind infiintarea Centrului National de Raspuns la Incidente de Securitate Cibernetica - CERT-RO;
d) Hotararea Guvernului nr. 585/2002 pentru aprobarea Standardelor nationale de protectie a informatiilor clasificate in Romania, cu modificarile si completarile ulterioare;
e) Hotararea Guvernului nr. 781/2002 privind protectia informatiilor secrete de serviciu.

CAPITOLUL II
Organizarea registrului operatorilor de servicii esentiale

SECTIUNEA 1
Constituirea registrului

Articolul 2
(1) ROSE este infiintat si gestionat in baza art. 7 alin. (2) din Legea NIS, fiind actualizat in functie de solicitarile OSE, din oficiu sau la termen.
(2) ROSE este constituit, in format hartie, in cadrul Centrului National de Raspuns la Incidente de Securitate Cibernetica - CERT-RO, denumit in continuare CERT-RO, la nivelul Autoritatii competente la nivel national pentru securitatea retelelor si sistemelor informatice, denumita in continuare ANSRSI.
(3) ROSE este alcatuit pe sectoarele si subsectoarele identificate in anexa la Legea NIS.

Articolul 3
(1) CERT-RO la nivelul ANSRSI elaboreaza/tipareste registrul, pe suport hartie, respectand structura si tipologia datelor/informatiilor stabilite in anexa nr. 1 la ordin.
(2) In ansamblu, ROSE face parte din categoria documentelor clasificate, din clasa Secrete de Serviciu.
(3) Documentele si datele care stau la baza completarii ROSE sunt neclasificate.

Articolul 4
In ROSE sunt consemnate date privind notificarile OSE cu privire la inscrierea, modificarea sau radierea acestora.

SECTIUNEA a 2-a
Utilizarea registrului

Articolul 5
(1) Utilizarea ROSE este asigurata de catre personalul ANSRSI cu respectarea principiului nevoii de a cunoaste.
(2) Persoanele prevazute la alin. (1) vor fi avizate pentru lucrul cu documente clasificate si vor utiliza ROSE numai in exercitarea atributiilor de serviciu, in baza fisei postului.
(3) Procedura privind accesul si modul de lucru, in ceea ce priveste ROSE, va fi elaborata in cadrul CERT-RO si aprobata prin decizie a directorului general.

Articolul 6
ROSE se actualizeaza periodic, cel putin o data la doi ani de la data intrarii in vigoare a Legii NIS, de catre ANSRSI din cadrul CERT-RO.

CAPITOLUL III
Functionarea registrului operatorilor de servicii esentiale

SECTIUNEA 1
Reguli generale privind inscrierea

Articolul 7
(1) Inscrierea operatorilor de servicii esentiale in ROSE se realizeaza, dupa caz, la notificarea persoanelor fizice si/sau juridice supuse obligatiei de inscriere si/sau din oficiu, din initiativa CERT-RO.
(2) Inscrierea operatorilor de servicii esentiale in ROSE se face olograf, iar atribuirea numarului curent pentru fiecare operatiune se face consecutiv, pe parcursul unui an calendaristic, incepand cu 001.

Articolul 8
(1) Completarea ROSE se face dupa evaluarea de catre ANSRSI a documentelor transmise de OSE la CERT-RO si in baza deciziei directorului general al CERT-RO.
(2) Toate documentele care stau la baza inscrierii operatiunilor in ROSE se pastreaza la ANSRSI in mape individualizate in format hartie si/sau electronic.

SECTIUNEA a 2-a
Reguli generale privind modificarea si radierea

Articolul 9
(1) Modificarea datelor inscrise in ROSE se face in baza notificarii operatorului de servicii esentiale sau a unor erori constatate in procesul de revizuire de catre ANSRSI.
(2) Radierea OSE din ROSE se face in baza notificarii operatorului de servicii esentiale sau din oficiu de catre ANSRSI si in urma evaluarii documentelor relevante privind neindeplinirea calitatii de operator de servicii esentiale.
(3) Notificarile prevazute la alin. (1) si (2) vor fi insotite de documente justificative.

Articolul 10
In procesul de modificare, respectiv de radiere se tine cont de regulile prevazute in sectiunea 1.

SECTIUNEA a 3-a
Reguli privind protectia informatiilor inscrise

Articolul 11
In procesele de inscriere si modificare date in ROSE, precum si radiere date din ROSE, CERT-RO protejeaza interesele de securitate si comerciale ale operatorului de servicii esentiale, precum si confidentialitatea informatiilor furnizate.

Articolul 12
Accesul la inscrierile din ROSE se face cu respectarea principiului conform caruia accesul la informatii clasificate se acorda in mod individual numai persoanelor care, pentru indeplinirea indatoririlor de serviciu, trebuie sa lucreze cu astfel de informatii sau sa aiba acces la acestea conform art. 5 din Standardele nationale de protectie a informatiilor clasificate in Romania, aprobate prin Hotararea Guvernului nr. 585/2002, cu modificarile si completarile ulterioare.