Prim-ministru

Normele metodologice pentru realizarea/echivalarea/revizuirea planurilor de securitate ale proprietarilor/operatorilor/administratorilor de infrastructură critică națională/europeană din 19.03.2013

Referințe (1)

Text publicat în M.Of. al României.

În vigoare de la 21 martie 2013

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

Cumpără forma actualizată

sau autentifică-te

  •  

CAPITOLUL I Dispoziții generale

Art. 1. -

Prezentele norme metodologice se aplică pentru elaborarea și avizarea planurilor de securitate ale proprietarilor/operatorilor/administratorilor de infrastructuri critice naționale/europene, denumite în continuare PSO, respectiv pentru evaluarea și testarea planurilor de securitate existente în vederea echivalării acestora ca PSO, cât și pentru revizuirea periodică și actualizarea acestora.

Art. 2. -

Scopul prezentelor norme metodologice este de a asigura o concepție unitară de realizare a PSO, conform prevederilor legale aplicabile.

Art. 3. -

Termenii utilizați în cuprinsul prezentelor norme metodologice sunt definiți la art. 3 din Ordonanța de urgență a Guvernului nr. 98/2010 privind identificarea, desemnarea și protecția infrastructurilor critice, aprobată cu modificări prin Legea nr. 18/2011, denumită în continuare OUG nr. 98/2010, iar terminologia generală are sensul conform definițiilor date în cuprinsul documentelor normative aplicabile.

CAPITOLUL II Planurile de securitate ale proprietarilor/operatorilor/administratorilor de infrastructuri critice naționale/europene

SECȚIUNEA 1 Dispoziții comune

Art. 4. -

(1) Proprietarii/Operatorii/Administratorii de infrastructuri critice naționale/europene elaborează, echivalează sau actualizează, după caz, PSO având la bază cel puțin aspectele precizate în anexa nr. 3 la OUG nr. 98/2010.

(2) În acest scop, proprietarii/operatorii/administratorii de infrastructuri critice naționale/europene pot utiliza scenariile de amenințare, acolo unde acestea sunt disponibile, prin procedura de autorizare a operatorului de infrastructură critică.

(3) Echivalarea unor documente existente cu PSO se va realiza respectând principiile ce stau la baza emiterii acestuia, astfel încât acestea să asigure alinierea la cerințele specifice de protecție a infrastructurilor critice.

Art. 5. -

(1) Scenariile de amenințări se întocmesc de către proprietarii/operatorii/administratorii de infrastructuri critice naționale/europene pe baza coordonatelor stabilite de către autoritatea publică responsabilă în domeniu.

(2) Proprietarii/Operatorii/Administratorii de infrastructuri critice naționale din sectorul "tehnologia informației și comunicații" pot utiliza pentru realizarea analizei de risc și alte instrumente sau tehnici din domeniul managementului riscului.

Art. 6. -

La elaborarea scenariilor vor fi avute în vedere, după caz, amenințări de tipul:

a) fenomene meteorologice periculoase;

b) fenomene distructive de origine geologică;

c) accidente, avarii, explozii, incendii;

d) poluări de ape;

e) prăbușiri de construcții, instalații, amenajări;

f) accident nuclear major sau urgență radiologică cu efect transfrontalier;

g) accident major în care sunt implicate substanțe periculoase;

h) boli transmisibile care pot afecta sănătatea publică (epidemii/pandemii);

i) amenințări teroriste;

j) grave tulburări sociale;

k) alte amenințări cu specific sectorial, conform criteriilor aprobate în sectorul respectiv;

l) evenimente internaționale și/sau cu caracter geopolitic sau de natura amenințărilor militare, dacă acestea pot genera amenințări suplimentare la nivelul infrastructurilor critice naționale.

Art. 7. -

Responsabilitatea generală pentru stabilirea unor scenarii de amenințări credibile, în sensul art. 5 și 6 din prezentele norme metodologice, revine autorităților publice responsabile. Pentru stabilirea unor elemente concrete, specifice, ale acestor scenarii, autoritățile publice responsabile se pot consulta asupra aspectelor din domeniile specifice de competență.

Art. 8. -

Consultarea între autoritățile publice responsabile și structurile cu atribuții, la care se face referire în art. 7, se poate realiza în mod direct sau prin intermediul Centrului de coordonare a protecției infrastructurilor critice din cadrul Ministerului Afacerilor Interne, denumit în continuare CCPIC. Consultarea prin intermediul CCPIC este obligatorie pentru aspectele care cad sub incidența art. 6 alin. (3) din OUG nr. 98/2010 sau, în cazul în care din motive obiective această consultare tripartită nu s-a putut realiza, autoritățile publice responsabile informează CCPIC, în scris, asupra elementelor de scenarii stabilite, înainte de realizarea analizelor de risc și vulnerabilitate.

Art. 9. -

În scopul asigurării unui cadru unitar de realizare a PSO, CCPIC poate organiza ședințe, ateliere de lucru și seminare în vederea armonizării acestuia la nivel național.

SECȚIUNEA a 2-a Cadrul de management al riscului

Art. 10. -

(1) PSO este documentul de planificare la nivel strategic, cu caracter operativ prin procedurile asociate, destinat realizării managementului riscurilor de la nivelul infrastructurilor critice naționale/europene.

(2) Structura-cadru a PSO este prezentată în anexa nr. 2 la decizie.

Art. 11. -

(1) Cadrul general aplicabil pentru managementul riscurilor este stabilit atât prin standarde internaționale (ISO), ce definesc principii și linii directoare, cât și prin diverse tehnici de evaluare a riscurilor existente, pentru fiecare sector de activitate la nivel național și internațional.

(2) Pentru efectuarea analizelor de risc, proprietarii/operatorii/administratorii de infrastructuri critice naționale/europene pot utiliza orice metodă sau tehnică de analiză, atât timp cât aceasta este acceptată de autoritățile publice responsabile, astfel:

a) una dintre metodele sau tehnicile descrise de standardele internaționale în materie;

b) o altă metodă de analiză standardizată pe plan internațional, cu indicarea standardului public aplicabil;

c) o metodă sau tehnică nestandardizată de analiză ori un procedeu nestandardizat de estimare a consecințelor, în măsura în care operatorul de infrastructură critică poate să ofere documentație detaliată cu privire la modul de aplicare a acesteia/acestuia, să justifice necesitatea și avantajele alegerii acestei abordări, iar autoritatea publică responsabilă să își exprime, în scris, avizul pentru utilizarea respectivei metode sau respectivului procedeu.

(3) Analizele de risc precizează în cuprinsul acestora, în mod obligatoriu, denumirea/tipul metodei utilizate, presupunerile inițiale avute în vedere, valorile parametrilor inițiali sau intermediari introduși în algoritmi și aproximările realizate, astfel încât, exclusiv pe baza informațiilor disponibile, o terță parte să poată expertiza, în cazul în care se consideră necesar, nivelul de conformitate.

Art. 12. -

Proprietarii/Operatorii/Administratorii de infrastructuri critice naționale/europene și autoritățile publice responsabile vor realiza activitățile organizatorice și administrative necesare pentru respectarea prevederilor ISO aplicabile, atât pentru desfășurarea activităților interne legate de managementul riscurilor, cât și pentru a asigura interfața în procesele de consultare și comunicare externă.

Art. 13. -

(1) În realizarea prevederilor art. 12, proprietarii/operatorii/administratorii de infrastructuri critice naționale/europene și autoritățile publice responsabile vor acorda o atenție deosebită următoarelor etape ale managementului riscului:

a) stabilirea contextului;

b) identificarea riscurilor/amenințărilor;

c) analiza riscurilor;

d) evaluarea riscurilor;

e) modalitatea de abordare a riscurilor;

f) măsuri de protecție, compensare și recuperare postincident;

g) evaluare globală.

(2) Etapele prevăzute la alin. (1) lit. a) "stabilirea contextului" și lit. b) "identificarea riscurilor/amenințărilor" sunt definitorii pentru realizarea, în bune condiții și la un nivel de calitate comparabil pentru toate părțile vizate, a scenariilor de amenințări și a condițiilor de realizare a analizelor de risc și vulnerabilitate, după cum se precizează în cuprinsul secțiunii 1 - "Dispoziții comune".

(3) Efectuarea analizelor de risc se realizează în conformitate cu prevederile secțiunii 1 "Dispoziții comune" și cu cerințele art. 2 lit. b) din anexa nr. 3 "Procedură privind planul de securitate pentru operator" la OUG nr. 98/2010; estimarea impacturilor potențiale este descrisă la etapa prevăzută la alin. (1) lit. c) "analiza riscurilor".

(4) Aplicarea etapelor prevăzute la alin. (1) lit. d) "evaluarea riscurilor" și lit. e) "modalitatea de abordare a riscurilor" este destinată să completeze cadrul general de management al riscurilor și să ofere planificatorilor și factorilor decizionali implicați informațiile necesare pentru întocmirea PSO.

SECȚIUNEA a 3-a Elaborarea și avizarea PSO

Art. 14. -

(1) Pentru a facilita elaborarea unitară a PSO, autoritățile publice responsabile emit ordine sau formulează recomandări, aplicabile la nivel de sector ori subsector, cu privire la forma, structura și cuprinsul planurilor de securitate ale operatorilor.

(2) Ordinele emise de autoritățile publice responsabile nu pot intra în vigoare mai târziu de 6 (șase) luni înainte de termenul prevăzut la art. 11 alin. (1) din OUG nr. 98/2010.

Art. 15. -

PSO se elaborează și se transmit, spre avizare, în 2 (două) exemplare originale, autorităților publice responsabile.

Art. 16. -

Proprietarii/Operatorii/Administratorii de infrastructuri critice naționale/europene transmit, în 2 (două) exemplare originale, autorităților publice responsabile documentele ce urmează a fi echivalate cu PSO, prezentând într-un memoriu sau într-o notă justificativă elementele de echivalență și analiza de suficiență, din care să reiasă satisfacerea necesităților PSO, fără elaborarea unui document distinct în acest sens.

Art. 17. -

(1) În termen de 30 (treizeci) de zile de la primirea de la proprietarii/operatorii/administratorii de infrastructură critică națională/europeană a PSO sau a documentelor de echivalare, autoritățile publice responsabile vor realiza, după caz, una dintre următoarele acțiuni:

a) avizarea și returnarea unui exemplar original avizat, cu comunicarea îndeplinirii de către proprietarul/operatorul/administratorul de infrastructură critică națională/europeană a cerinței prevăzute la art. 11 alin. (3) din OUG nr. 98/2010;

b) avizarea și returnarea unui exemplar original, cu obiecții, motivația obiecțiilor, măsurile de corectare și termenele de conformare;

c) neavizarea și returnarea ambelor exemplare, cu precizarea motivelor neavizării și a termenelor de conformare și retransmitere a documentelor pentru avizare.

(2) În cazurile prevăzute la alin. (1) lit. a) sau b), autoritățile publice responsabile vor transmite către CCPIC, în termen de 30 de zile, un raport-sinteză cu privire la evaluarea riscurilor și amenințărilor, inclusiv propuneri cu privire la necesitatea îmbunătățirii protecției infrastructurilor critice naționale/europene, în conformitate cu prevederile art. 6 alin. (1) din OUG nr. 98/2010.

Art. 18. -

Documentele transmise de către proprietarii/operatorii/administratorii de infrastructură critică națională/europeană către autoritățile publice responsabile, în conformitate cu prevederile art. 15 și 16, vor fi clasificate în raport cu conținutul acestora, conform prevederilor legale.

SECȚIUNEA a 4-a Evaluarea, testarea, revizuirea și actualizarea PSO și a planurilor sau documentelor echivalente PSO

Art. 19. -

(1) PSO și planurile sau documentele echivalente PSO se evaluează, cu ocazia procesului de avizare la care se face referire în art. 17, de către o comisie compusă din minimum 3 persoane, din care una trebuie să fie ofițerul de legătură pentru securitate, denumit în continuare OLS, de la nivelul autorității publice responsabile, prevăzut la art. 8 alin. (2) din OUG nr. 98/2010.

(2) Pentru analizarea conținutului capitolelor de specialitate din cuprinsul PSO sau al documentelor echivalente PSO care necesită un înalt nivel de expertiză tehnico-științifică ori cunoștințe detaliate despre natura proceselor analizate, autoritățile publice responsabile pot coopta și reprezentanți ai altor structuri specializate din România ori pot angaja experți, persoane fizice și/sau juridice, cu rol consultativ, fără ca aceștia să facă parte din comisia de evaluare prevăzută la alin. (1). Pentru angajare, reprezentanții structurilor specializate din România sau experții, persoane fizice și/sau juridice, trebuie să obțină în prealabil de la autoritatea națională competentă un certificat de acces la date și documente clasificate.

(3) Procesul de evaluare se încheie prin întocmirea unui raport de evaluare, document semnat de toți membrii comisiei.

Art. 20. -

(1) PSO și planurile sau documentele echivalente PSO se testează prin exerciții (interne, naționale, internaționale - numai pentru ICE), organizate și desfășurate cu o periodicitate de minimum un exercițiu pe an.

(2) Anumite componente ale PSO sau ale documentelor echivalente PSO se vor testa atât prin exerciții parțiale (în teren, în punctele de comandă, exerciții simulate, exerciții tematice cu forțe și mijloace etc.), cât și prin exerciții de alertare, desfășurate în mod periodic și astfel încât să acopere, în timp, o gamă variată de condiții (anunțate/neanunțate, cu scenariul cunoscut/parțial cunoscut/necunoscut, ziua/noaptea, iarna/vara, în timpul/în afara programului, în weekend/în timpul săptămânii etc.).

(3) Normele de organizare, desfășurare și evaluare a exercițiilor sunt elaborate de către fiecare autoritate publică responsabilă și aprobate prin ordin sau dispoziție al/a conducătorului acesteia.

(4) Normele prevăzute la alin. (3) vor preciza modul de evaluare a exercițiilor, utilizându-se în acest scop metodologii și sisteme organizatorice deja consacrate pe plan internațional (evaluatori-controlori etc.)

(5) Exercițiile organizate și desfășurate în conformitate cu prevederile alin. (1) și (2) se vor finaliza prin elaborarea unui raport de evaluare a fiecărui exercițiu.

Art. 21. -

(1) PSO și planurile sau documentele echivalente PSO se revizuiesc și se actualizează la intervale de cel mult 2 ani, în conformitate cu prevederile art. 11 alin. (6) din OUG nr. 98/2010.

(2) Baza pentru revizuirea și actualizarea PSO o constituie rapoartele de evaluare a exercițiilor, elaborate de autoritățile publice responsabile în conformitate cu prevederile art. 20 alin. (5).

(3) Actualizarea PSO implică aducerea la zi a unor informații, denumiri, cantități, valori etc. din cuprinsul PSO, fără modificarea substanțială a conținutului acestuia și fără necesitatea de reluare a procesului de avizare a PSO. Modificările aduse PSO în timpul actualizărilor sunt aprobate de conducătorii operatorilor de infrastructuri critice și sunt comunicate autorităților publice responsabile.

(4) Revizuirea PSO constă în reanalizarea și modificarea substanțială a uneia sau mai multora dintre elementele componente ale PSO și necesită reluarea procesului de avizare prevăzut în cuprinsul prezentelor norme metodologice.

CAPITOLUL III Dispoziții finale

Art. 22. -

Prezentele norme metodologice intră în vigoare de la data publicării în Monitorul Oficial al României, Partea I.

;
se încarcă...