privind desemnarea Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO ca autoritate de avizare, verificare şi control, organism de analiză, evaluare şi intervenţie în domeniul securităţii cibernetice
În temeiul prevederilor art. 4 alin. (1) pct. 54-59 şi art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, şi ale art. 6 lit. g) şi n) din Hotărârea Guvernului nr. 494/2011 privind înfiinţarea Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO,ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin. +
Articolul 1La data intrării în vigoare a prezentului ordin, Ministerul Comunicaţiilor şi Societăţii Informaţionale, în calitate de autoritate de reglementare în domeniu, desemnează Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO ca autoritate de avizare, verificare şi control, organism de analiză, evaluare şi intervenţie în domeniul securităţii cibernetice, pentru furnizorii de servicii electronice, pentru Registrul Naţional RoTLD, pentru furnizorii de servicii de înregistrare de resurse internet, de tip registru local internet, precum şi pentru operatorii sistemelor prin care se prestează servicii e-guvernare şi servicii de informare în cadrul portalului e-România din subordinea Ministerului Comunicaţiilor şi Societăţii Informaţionale. +
Articolul 2În înţelesul prezentului ordin, următorii termeni se definesc astfel:a) MCSI – Ministerul Comunicaţiilor şi Societăţii Informaţionale; … b) CERT-RO – Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică; … c) furnizor de servicii – orice persoană, fizică sau juridică, ce oferă servicii electronice (comerţ electronic, semnătură electronică, marcă temporală, activitate electronică notarială, arhivarea documentelor în formă electronică, emiterea facturilor în formă electronică sau instrumente de plată cu acces la distanţă); … d) CNMSI – Centrul Naţional de Management pentru Societatea Informaţională; … e) CNRD – Centrul Naţional "România Digitală"; … f) verificare – activitate în baza căreia se emite/nu se emite avizul de specialitate; … g) control – activităţi desfăşurate de personal anume desemnat în vederea constatării modului de îndeplinire a obligaţiilor stabilite. … +
Articolul 3Pentru îndeplinirea prevederilor art. 1, directorul general CERT-RO, la solicitarea ministrului comunicaţiilor şi societăţii informaţionale, emite ordinul cu privire la persoanele care au dreptul de a participa la misiunile de control. +
Articolul 4(1) Activitatea de control se desfăşoară numai la solicitarea MCSI, pe baza unui mandat clar. … (2) Controlul se realizează la solicitarea ministrului comunicaţiilor şi societăţii informaţionale, pe baza ordinului de control emis de directorul general CERT-RO, aprobat de ministrul comunicaţiilor şi societăţii informaţionale. … (3) Controlul tematic se realizează pe baza Planului de control anual elaborat de CERT-RO şi aprobat de ministrul comunicaţiilor şi societăţii informaţionale. … (4) Concluziile controalelor, precum şi măsurile stabilite vor fi prezentate ministrului comunicaţiilor şi societăţii informaţionale. … (5) În situaţia în care în urma controlului sunt identificate fapte care depăşesc sfera contravenţională, raportul de control va fi prezentat ministrului comunicaţiilor şi societăţii informaţionale pentru luarea măsurilor legale. … +
Articolul 5În vederea exercitării atribuţiilor de control, personalul împuternicit în acest scop este autorizat în limitele legii:a) să aibă acces liber, permanent, în orice loc în care se află echipamentele necesare furnizării serviciilor; … b) să solicite orice document sau informaţie necesară în vederea verificării respectării obligaţiilor ce incumbă furnizorului de servicii; … c) să verifice punerea în aplicare a oricăror proceduri utilizate de către furnizorul de servicii supus controlului; … d) să sigileze orice echipamente necesare furnizării de servicii sau să reţină orice document care are legătură cu această activitate, pe o perioadă care nu poate depăşi 15 zile, dacă aceste măsuri se impun; … e) să propună ministerului comunicaţiilor şi societăţii informaţionale, în calitate de autoritate de reglementare în domeniu, aplicarea sancţiunilor contravenţionale prevăzute în legislaţia specifică acestora; … f) să propună MCSI suspendarea activităţii furnizorului de servicii până la încetarea cauzelor care au determinat luarea măsurii; … g) să propună măsuri de îmbunătăţire a activităţii furnizorului de servicii. … +
Articolul 6(1) În baza prevederilor prezentului ordin, CERT-RO este împuternicit să efectueze toate activităţile de verificare a operatorilor care solicită MCSI aviz de funcţionare în oricare dintre domeniile la care face referire acest ordin. … (2) Avizul CERT-RO este obligatoriu pentru primirea dreptului de operare în domeniu, solicitat MCSI, cu excepţia semnăturii digitale. … +
Articolul 7(1) CERT-RO are obligaţia de a păstra confidenţialitatea tuturor informaţiilor primite de la furnizorul de servicii sau operatorii de servicii, cu excepţia celor prevăzute de legislaţia aplicabilă fiecărui domeniu menţionat în art. 1 şi de prezentul ordin ca fiind publice. … (2) CERT-RO poate încheia acorduri de confidenţialitate asupra informaţiilor primite de la furnizorul de servicii sau operatorii de servicii, la cererea acestora. … (3) Personalul cu atribuţii de control din cadrul CERT-RO este obligat să păstreze confidenţialitatea datelor de care a luat cunoştinţă cu ocazia exercitării atribuţiilor de analiză, evaluare şi constatare. … +
Articolul 8(1) În termen de 10 zile de la intrarea în vigoare a prezentului ordin, operatorii de sisteme prin care se prestează servicii e-guvernare şi servicii de informare din cadrul portalului e-România, aflate în subordinea MCSI, sunt obligaţi să prezinte la cabinetul ministrului comunicaţiilor şi societăţii informaţionale un set de parole şi chei de acces la sistemele pe care le operează, informaţiile respective fiind păstrate în condiţii de maximă securitate. … (2) În caz de incident cibernetic, care duce la întreruperea activităţilor de operare sau de risc iminent legat de activitatea de operare, ministrul comunicaţiilor şi societăţii informaţionale poate asigura accesul CERT-RO la parole şi la chei în vederea remedierii situaţiei şi asigurării continuităţii funcţionării sistemelor, în raport cu procedura de intervenţie stabilită. … +
Articolul 9Prezentul ordin se publică în Monitorul Oficial al României, Partea I.Ministrul comunicaţiilorşi societăţii informaţionale,Valerian VremeBucureşti, 19 octombrie 2011.Nr. 1.062._________
