Document embed

DECIZIE nr. 166 din 19 martie 2013 privind aprobarea Normelor metodologice pentru realizarea/echivalarea/revizuirea planurilor de securitate ale proprietarilor/operatorilor/administratorilor de infrastructură critică naţională/europeană, a structurii-cadru a planului de securitate al proprietarului/operatorului/administratorului deţinător de infrastructură critică naţională/europeană şi a atribuţiilor ofiţerului de legătură pentru securitate din cadrul compartimentului specializat desemnat la nivelul autorităţilor publice responsabile şi la nivelul proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană

Având în vedere prevederile art. 4 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 98/2010 privind identificarea, desemnarea şi protecţia infrastructurilor critice, aprobată cu modificări prin Legea nr. 18/2011,

în temeiul art. 19 din Legea nr. 90/2001 privind organizarea şi funcţionarea Guvernului României şi a ministerelor, cu modificările şi completările ulterioare,

prim-ministrul emite prezenta decizie.

Art. 1

Se aprobă Normele metodologice pentru realizarea/echivalarea/revizuirea planurilor de securitate ale proprietarilor/operatorilor/administratorilor de infrastructură critică naţională/europeană prevăzute în anexa nr. 1.

Art. 2

Se aprobă structura-cadru a planului de securitate al proprietarului/operatorului/administratorului deţinător de infrastructură critică naţională/europeană, prevăzută în anexa nr. 2.

Art. 3

Se aprobă atribuţiile ofiţerului de legătură pentru securitate din cadrul compartimentului specializat desemnat la nivelul autorităţilor publice responsabile şi la nivelul proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană prevăzute în anexa nr. 3.

Art. 4

Anexele nr. 1-3 fac parte integrantă din prezenta decizie.

-****-

PRIM-MINISTRU

VICTOR-VIOREL PONTA

Contrasemnează:

Secretarul general al Guvernului,

Ion Moraru

ANEXA nr. 1: NORME METODOLOGICE pentru realizarea/echivalarea/revizuirea planurilor de securitate ale proprietarilor/operatorilor/administratorilor de infrastructură critică naţională/europeană

CAPITOLUL I: Dispoziţii generale

Art. 1

Prezentele norme metodologice se aplică pentru elaborarea şi avizarea planurilor de securitate ale proprietarilor/operatorilor/administratorilor de infrastructuri critice naţionale/europene, denumite în continuare PSO, respectiv pentru evaluarea şi testarea planurilor de securitate existente în vederea echivalării acestora ca PSO, cât şi pentru revizuirea periodică şi actualizarea acestora.

Art. 2

Scopul prezentelor norme metodologice este de a asigura o concepţie unitară de realizare a PSO, conform prevederilor legale aplicabile.

Art. 3

Termenii utilizaţi în cuprinsul prezentelor norme metodologice sunt definiţi la art. 3 din Ordonanţa de urgenţă a Guvernului nr. 98/2010 privind identificarea, desemnarea şi protecţia infrastructurilor critice, aprobată cu modificări prin Legea nr. 18/2011, denumită în continuare OUG nr. 98/2010, iar terminologia generală are sensul conform definiţiilor date în cuprinsul documentelor normative aplicabile.

CAPITOLUL II: Planurile de securitate ale proprietarilor/operatorilor/administratorilor de infrastructuri critice naţionale/europene

SECŢIUNEA 1: Dispoziţii comune

Art. 4

(1)Proprietarii/Operatorii/Administratorii de infrastructuri critice naţionale/europene elaborează, echivalează sau actualizează, după caz, PSO având la bază cel puţin aspectele precizate în anexa nr. 3 la OUG nr. 98/2010.

(2)În acest scop, proprietarii/operatorii/administratorii de infrastructuri critice naţionale/europene pot utiliza scenariile de ameninţare, acolo unde acestea sunt disponibile, prin procedura de autorizare a operatorului de infrastructură critică.

(3)Echivalarea unor documente existente cu PSO se va realiza respectând principiile ce stau la baza emiterii acestuia, astfel încât acestea să asigure alinierea la cerinţele specifice de protecţie a infrastructurilor critice.

Art. 5

(1)Scenariile de ameninţări se întocmesc de către proprietarii/operatorii/administratorii de infrastructuri critice naţionale/europene pe baza coordonatelor stabilite de către autoritatea publică responsabilă în domeniu.

(2)Proprietarii/Operatorii/Administratorii de infrastructuri critice naţionale din sectorul "tehnologia informaţiei şi comunicaţii" pot utiliza pentru realizarea analizei de risc şi alte instrumente sau tehnici din domeniul managementului riscului.

Art. 6

La elaborarea scenariilor vor fi avute în vedere, după caz, ameninţări de tipul:

a)fenomene meteorologice periculoase;

b)fenomene distructive de origine geologică;

c)accidente, avarii, explozii, incendii;

d)poluări de ape;

e)prăbuşiri de construcţii, instalaţii, amenajări;

f)accident nuclear major sau urgenţă radiologică cu efect transfrontalier;

g)accident major în care sunt implicate substanţe periculoase;

h)boli transmisibile care pot afecta sănătatea publică (epidemii/pandemii);

i)ameninţări teroriste;

j)grave tulburări sociale;

k)alte ameninţări cu specific sectorial, conform criteriilor aprobate în sectorul respectiv;

l)evenimente internaţionale şi/sau cu caracter geopolitic sau de natura ameninţărilor militare, dacă acestea pot genera ameninţări suplimentare la nivelul infrastructurilor critice naţionale.

Art. 7

Responsabilitatea generală pentru stabilirea unor scenarii de ameninţări credibile, în sensul art. 5 şi 6 din prezentele norme metodologice, revine autorităţilor publice responsabile. Pentru stabilirea unor elemente concrete, specifice, ale acestor scenarii, autorităţile publice responsabile se pot consulta asupra aspectelor din domeniile specifice de competenţă.

Art. 8

Consultarea între autorităţile publice responsabile şi structurile cu atribuţii, la care se face referire în art. 7, se poate realiza în mod direct sau prin intermediul Centrului de coordonare a protecţiei infrastructurilor critice din cadrul Ministerului Afacerilor Interne, denumit în continuare CCPIC. Consultarea prin intermediul CCPIC este obligatorie pentru aspectele care cad sub incidenţa art. 6 alin. (3) din OUG nr. 98/2010 sau, în cazul în care din motive obiective această consultare tripartită nu s-a putut realiza, autorităţile publice responsabile informează CCPIC, în scris, asupra elementelor de scenarii stabilite, înainte de realizarea analizelor de risc şi vulnerabilitate.

Art. 9

În scopul asigurării unui cadru unitar de realizare a PSO, CCPIC poate organiza şedinţe, ateliere de lucru şi seminare în vederea armonizării acestuia la nivel naţional.

SECŢIUNEA 2: Cadrul de management al riscului

Art. 10

(1)PSO este documentul de planificare la nivel strategic, cu caracter operativ prin procedurile asociate, destinat realizării managementului riscurilor de la nivelul infrastructurilor critice naţionale/europene.

(2)Structura-cadru a PSO este prezentată în anexa nr. 2 la decizie.

Art. 11

(1)Cadrul general aplicabil pentru managementul riscurilor este stabilit atât prin standarde internaţionale (ISO), ce definesc principii şi linii directoare, cât şi prin diverse tehnici de evaluare a riscurilor existente, pentru fiecare sector de activitate la nivel naţional şi internaţional.

(2)Pentru efectuarea analizelor de risc, proprietarii/operatorii/administratorii de infrastructuri critice naţionale/europene pot utiliza orice metodă sau tehnică de analiză, atât timp cât aceasta este acceptată de autorităţile publice responsabile, astfel:

a)una dintre metodele sau tehnicile descrise de standardele internaţionale în materie;

b)o altă metodă de analiză standardizată pe plan internaţional, cu indicarea standardului public aplicabil;

c)o metodă sau tehnică nestandardizată de analiză ori un procedeu nestandardizat de estimare a consecinţelor, în măsura în care operatorul de infrastructură critică poate să ofere documentaţie detaliată cu privire la modul de aplicare a acesteia/acestuia, să justifice necesitatea şi avantajele alegerii acestei abordări, iar autoritatea publică responsabilă să îşi exprime, în scris, avizul pentru utilizarea respectivei metode sau respectivului procedeu.

(3)Analizele de risc precizează în cuprinsul acestora, în mod obligatoriu, denumirea/tipul metodei utilizate, presupunerile iniţiale avute în vedere, valorile parametrilor iniţiali sau intermediari introduşi în algoritmi şi aproximările realizate, astfel încât, exclusiv pe baza informaţiilor disponibile, o terţă parte să poată expertiza, în cazul în care se consideră necesar, nivelul de conformitate.

Art. 12

Proprietarii/Operatorii/Administratorii de infrastructuri critice naţionale/europene şi autorităţile publice responsabile vor realiza activităţile organizatorice şi administrative necesare pentru respectarea prevederilor ISO aplicabile, atât pentru desfăşurarea activităţilor interne legate de managementul riscurilor, cât şi pentru a asigura interfaţa în procesele de consultare şi comunicare externă.

Art. 13

(1)În realizarea prevederilor art. 12, proprietarii/operatorii/administratorii de infrastructuri critice naţionale/europene şi autorităţile publice responsabile vor acorda o atenţie deosebită următoarelor etape ale managementului riscului:

a)stabilirea contextului;

b)identificarea riscurilor/ameninţărilor;

c)analiza riscurilor;

d)evaluarea riscurilor;

e)modalitatea de abordare a riscurilor;

f)măsuri de protecţie, compensare şi recuperare post-incident;

g)evaluare globală.

(2)Etapele prevăzute la alin. (1) lit. a) "stabilirea contextului" şi lit. b) "identificarea riscurilor/ameninţărilor" sunt definitorii pentru realizarea, în bune condiţii şi la un nivel de calitate comparabil pentru toate părţile vizate, a scenariilor de ameninţări şi a condiţiilor de realizare a analizelor de risc şi vulnerabilitate, după cum se precizează în cuprinsul secţiunii 1 - "Dispoziţii comune".

(3)Efectuarea analizelor de risc se realizează în conformitate cu prevederile secţiunii 1 "Dispoziţii comune" şi cu cerinţele art. 2 lit. b) din anexa nr. 3 "Procedură privind planul de securitate pentru operator" la OUG nr. 98/2010; estimarea impacturilor potenţiale este descrisă la etapa prevăzută la alin. (1) lit. c) "analiza riscurilor".

(4)Aplicarea etapelor prevăzute la alin. (1) lit. d) "evaluarea riscurilor" şi lit. e) "modalitatea de abordare a riscurilor" este destinată să completeze cadrul general de management al riscurilor şi să ofere planificatorilor şi factorilor decizionali implicaţi informaţiile necesare pentru întocmirea PSO.

SECŢIUNEA 3: Elaborarea şi avizarea PSO

Art. 14

(1)Pentru a facilita elaborarea unitară a PSO, autorităţile publice responsabile emit ordine sau formulează recomandări, aplicabile la nivel de sector ori subsector, cu privire la forma, structura şi cuprinsul planurilor de securitate ale operatorilor.

(2)Ordinele emise de autorităţile publice responsabile nu pot intra în vigoare mai târziu de 6 (şase) luni înainte de termenul prevăzut la art. 11 alin. (1) din OUG nr. 98/2010.

Art. 15

PSO se elaborează şi se transmit, spre avizare, în 2 (două) exemplare originale, autorităţilor publice responsabile.

Art. 16

Proprietarii/Operatorii/Administratorii de infrastructuri critice naţionale/europene transmit, în 2 (două) exemplare originale, autorităţilor publice responsabile documentele ce urmează a fi echivalate cu PSO, prezentând într-un memoriu sau într-o notă justificativă elementele de echivalenţă şi analiza de suficienţă, din care să reiasă satisfacerea necesităţilor PSO, fără elaborarea unui document distinct în acest sens.

Art. 17

(1)În termen de 30 (treizeci) de zile de la primirea de la proprietarii/operatorii/administratorii de infrastructură critică naţională/europeană a PSO sau a documentelor de echivalare, autorităţile publice responsabile vor realiza, după caz, una dintre următoarele acţiuni:

a)avizarea şi returnarea unui exemplar original avizat, cu comunicarea îndeplinirii de către proprietarul/operatorul/administratorul de infrastructură critică naţională/europeană a cerinţei prevăzute la art. 11 alin. (3) din OUG nr. 98/2010;

b)avizarea şi returnarea unui exemplar original, cu obiecţii, motivaţia obiecţiilor, măsurile de corectare şi termenele de conformare;

c)neavizarea şi returnarea ambelor exemplare, cu precizarea motivelor neavizării şi a termenelor de conformare şi retransmitere a documentelor pentru avizare.

(2)În cazurile prevăzute la alin. (1) lit. a) sau b), autorităţile publice responsabile vor transmite către CCPIC, în termen de 30 de zile, un raport-sinteză cu privire la evaluarea riscurilor şi ameninţărilor, inclusiv propuneri cu privire la necesitatea îmbunătăţirii protecţiei infrastructurilor critice naţionale/europene, în conformitate cu prevederile art. 6 alin. (1) din OUG nr. 98/2010.

Art. 18

Documentele transmise de către proprietarii/operatorii/administratorii de infrastructură critică naţională/europeană către autorităţile publice responsabile, în conformitate cu prevederile art. 15 şi 16, vor fi clasificate în raport cu conţinutul acestora, conform prevederilor legale.

SECŢIUNEA 4: Evaluarea, testarea, revizuirea şi actualizarea PSO şi a planurilor sau documentelor echivalente PSO

Art. 19

(1)PSO şi planurile sau documentele echivalente PSO se evaluează, cu ocazia procesului de avizare la care se face referire în art. 17, de către o comisie compusă din minimum 3 persoane, din care una trebuie să fie ofiţerul de legătură pentru securitate, denumit în continuare OLS, de la nivelul autorităţii publice responsabile, prevăzut la art. 8 alin. (2) din OUG nr. 98/2010.

(2)Pentru analizarea conţinutului capitolelor de specialitate din cuprinsul PSO sau al documentelor echivalente PSO care necesită un înalt nivel de expertiză tehnico-ştiinţifică ori cunoştinţe detaliate despre natura proceselor analizate, autorităţile publice responsabile pot coopta şi reprezentanţi ai altor structuri specializate din România ori pot angaja experţi, persoane fizice şi/sau juridice, cu rol consultativ, fără ca aceştia să facă parte din comisia de evaluare prevăzută la alin. (1). Pentru angajare, reprezentanţii structurilor specializate din România sau experţii, persoane fizice şi/sau juridice, trebuie să obţină în prealabil de la autoritatea naţională competentă un certificat de acces la date şi documente clasificate.

(3)Procesul de evaluare se încheie prin întocmirea unui raport de evaluare, document semnat de toţi membrii comisiei.

Art. 20

(1)PSO şi planurile sau documentele echivalente PSO se testează prin exerciţii (interne, naţionale, internaţionale - numai pentru ICE), organizate şi desfăşurate cu o periodicitate de minimum un exerciţiu pe an.

(2)Anumite componente ale PSO sau ale documentelor echivalente PSO se vor testa atât prin exerciţii parţiale (în teren, în punctele de comandă, exerciţii simulate, exerciţii tematice cu forţe şi mijloace etc.), cât şi prin exerciţii de alertare, desfăşurate în mod periodic şi astfel încât să acopere, în timp, o gamă variată de condiţii (anunţate/neanunţate, cu scenariul cunoscut/parţial cunoscut/necunoscut, ziua/noaptea, iarna/vara, în timpul/în afara programului, în weekend/în timpul săptămânii etc.).

(3)Normele de organizare, desfăşurare şi evaluare a exerciţiilor sunt elaborate de către fiecare autoritate publică responsabilă şi aprobate prin ordin sau dispoziţie al/a conducătorului acesteia.

(4)Normele prevăzute la alin. (3) vor preciza modul de evaluare a exerciţiilor, utilizându-se în acest scop metodologii şi sisteme organizatorice deja consacrate pe plan internaţional (evaluatori-controlori etc.)

(5)Exerciţiile organizate şi desfăşurate în conformitate cu prevederile alin. (1) şi (2) se vor finaliza prin elaborarea unui raport de evaluare a fiecărui exerciţiu.

Art. 21

(1)PSO şi planurile sau documentele echivalente PSO se revizuiesc şi se actualizează la intervale de cel mult 2 ani, în conformitate cu prevederile art. 11 alin. (6) din OUG nr. 98/2010.

(2)Baza pentru revizuirea şi actualizarea PSO o constituie rapoartele de evaluare a exerciţiilor, elaborate de autorităţile publice responsabile în conformitate cu prevederile art. 20 alin. (5).

(3)Actualizarea PSO implică aducerea la zi a unor informaţii, denumiri, cantităţi, valori etc. din cuprinsul PSO, fără modificarea substanţială a conţinutului acestuia şi fără necesitatea de reluare a procesului de avizare a PSO. Modificările aduse PSO în timpul actualizărilor sunt aprobate de conducătorii operatorilor de infrastructuri critice şi sunt comunicate autorităţilor publice responsabile.

(4)Revizuirea PSO constă în reanalizarea şi modificarea substanţială a uneia sau mai multora dintre elementele componente ale PSO şi necesită reluarea procesului de avizare prevăzut în cuprinsul prezentelor norme metodologice.

CAPITOLUL III: Dispoziţii finale

Art. 22

Prezentele norme metodologice intră în vigoare de la data publicării în Monitorul Oficial al României, Partea I.

ANEXA nr. 2: STRUCTURA-CADRU a planului de securitate al proprietarului/operatorului/administratorului deţinător de infrastructură critică naţională/europeană

- Structura-cadru -
	Avizat Conducătorul Autorităţii Publice Responsabile
Aprob, (proprietar/operator/administrator)	Verificat (ofiţer de legătură al APR)
PLANUL DE SECURITATE
al ................... (proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană) pentru ................... (infrastructura critică naţională/europeană)
Versiunea: ............ (după completare documentul se clasifică la nivelul corespunzător)
	Întocmit (ofiţer de legătură pentru securitate al proprietarului/operatorului/administratorului)

CAPITOLUL I: Dispoziţii generale

SUBCAPITOLUL 1: 1.1. Rolul planului de securitate al proprietarului/operatorului/administratorului deţinător de infrastructură critică naţională/europeană

NOTĂ:

Planul de securitate este un document strategic care:

- defineşte scopul şi obiectivele de securitate ale proprietarului/operatorului/administratorului, pe baza unei evaluări a riscurilor de securitate;

- stabileşte cadrul general de lucru, cu acoperirea întregului spectru de securitate (prevenire, diminuare, răspuns şi revenire la starea de normalitate), fundamentat pe baza concluziilor rezultate în urma evaluării riscurilor şi ameninţărilor la adresa securităţii;

- reflectă o abordare coordonată a securităţii sistemelor unui proprietar/operator/administrator care integrează toate resursele disponibile pentru asigurarea unei mai bune protecţii a infrastructurii critice;

- identifică elementele-cheie care necesită protecţie (ca rezultat al evaluării riscurilor de securitate);

- stabileşte măsurile de diminuare a riscurilor identificate în urma evaluării riscurilor de securitate, inclusiv măsurile aplicabile pentru fiecare nivel de alertare;

- identifică cu exactitate planurile cu incidenţă în domeniul securităţii (Plan de analiză şi acoperire a riscurilor - PAAR, Plan de evacuare în situaţii de urgenţă, Plan de apărare împotriva incendiilor etc.), procedurile, protocoalele, acordurile şi responsabilităţile operatorului în acest domeniu;

- defineşte un parcurs sau un plan de acţiune pentru stabilirea de noi măsuri care vizează contracararea riscurilor tratate prioritar, în funcţie de impact (măsuri imediate sau pe termen mediu şi lung, după necesitate);

- stabileşte acţiunile şi resursele necesare pentru sprijinirea procesului de implementare a măsurilor pe care le conţine (de exemplu: măsuri de îndepărtare a surselor de risc, de diminuare a consecinţelor, de asigurare a securităţii cibernetice, securitatea tehnologiei informaţiei, pentru controlul documentelor clasificate, pentru gestionarea alertelor etc.).

Prin planul de securitate pentru operator vor fi identificate soluţiile de securitate existente sau care sunt puse în aplicare pentru protecţia elementelor de infrastructură critică naţională/europeană.

Această structură-cadru a PSO este aplicabilă tuturor categoriilor de proprietari/operatori/administratori de infrastructură critică naţională/europeană şi se adresează tuturor tipurilor de riscuri care ameninţă funcţionarea corespunzătoare a proprietarilor/operatorilor/administratorilor deţinători de infrastructură critică naţională/europeană.

SUBCAPITOLUL 2: 1.2. Scop şi obiective

SECŢIUNEA 1: 1.2.1. Scop

Scopul PSO este de a contribui la îmbunătăţirea protecţiei infrastructurii critice naţionale/europene aflate în responsabilitatea proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană, prin coordonarea măsurilor de protecţie/securitate existente şi instituirea unor măsuri noi în baza unui proces de management al riscului.

PSO identifică elementele de infrastructură critică ale infrastructurii critice naţionale/europene şi soluţiile de securitate existente sau care urmează să fie puse în aplicare pentru protecţia acestora.

PSO contribuie la îmbunătăţirea nivelului existent al securităţii şi protecţiei infrastructurii critice naţionale/europene, nivel care poate fi afectat de diferite tipuri de ameninţări sau vulnerabilităţi.

SECŢIUNEA 2: 1.2.2. Obiective

PSO trebuie să asigure îndeplinirea a cel puţin următoarelor obiective:

- îmbunătăţirea abilităţii operatorului de planificare, prevenire, răspuns şi restaurare a stării de normalitate, în urma producerii unui eveniment ce a afectat infrastructura critică pentru protecţia căreia se elaborează PSO;

- descrierea elementelor componente ale planului de securitate şi definirea măsurilor de control al riscurilor, pentru asigurarea securităţii infrastructurii critice naţionale/europene;

- definirea rolurilor şi responsabilităţilor personalului cu atribuţii în domeniul securităţii infrastructurii critice naţionale/europene;

- fundamentarea necesităţii includerii măsurilor de securitate în activităţile curente ale operatorului;

- stabilirea proceselor pentru elaborarea, menţinerea, actualizarea, evaluarea şi modificarea PSO;

- stabilirea proceselor de identificare şi primire a feedbackului de la părţile interesate (angajaţi, contractanţi, populaţie ş.a.), privind aspectele legate de securitate, incidentele de securitate, activităţile periculoase etc.;

- stabilirea modalităţii de interacţionare cu părţile externe interesate;

- identificarea cerinţelor de pregătire a personalului/partenerilor în ceea ce priveşte implementarea planului de securitate şi planificarea activităţilor de instruire;

- stabilirea modalităţii de investigare a tuturor incidentelor de securitate sau activităţilor care pot genera astfel de evenimente;

- instituirea unui proces de evaluare a eventualelor implicaţii de securitate atunci când se iau decizii în ceea ce priveşte activităţile operatorului;

- reprezentarea clară şi sistematică asupra componentelor infrastructurii critice naţionale/europene din responsabilitatea operatorilor de infrastructură critică;

- reprezentarea ameninţărilor şi vulnerabilităţilor la adresa infrastructurii critice naţionale/europene din responsabilitatea operatorilor de infrastructură critică şi a riscurilor induse de acestea;

- identificarea măsurilor de securitate existente şi a celor necesare suplimentar pentru controlul riscurilor la adresa infrastructurii critice naţionale/europene aflate în responsabilitatea operatorilor de infrastructură critică;

- instituirea capabilităţilor de răspuns şi recuperare a infrastructurii critice naţionale/europene la nivelul operatorilor de infrastructură critică, corelat cu scenariile de ameninţare şi cooperarea cu autorităţile relevante;

- reprezentarea cadrului organizatoric relevant pentru protecţia infrastructurii critice în cadrul operatorilor de infrastructură critică, inclusiv a proceselor necesare pentru funcţionarea acestuia;

- planificarea activităţilor relevante pentru protecţia infrastructurii critice pe perioada de valabilitate;

- stabilirea cadrului de dialog şi cooperare pe probleme de protecţia infrastructurii critice.

SUBCAPITOLUL 3: 1.3. Întocmire, avizare şi aprobare

În termen de 9 luni de la desemnarea unei infrastructuri drept infrastructură critică naţională/europeană, proprietarul/operatorul/administratorul deţinător al acesteia elaborează PSO şi îl transmite spre avizare autorităţilor publice responsabile.

PSO este întocmit de OLS al proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană, aprobat de proprietarul/operatorul/administratorul acesteia, verificat de OLS al autorităţii publice responsabile şi avizat de conducătorul acesteia.

SUBCAPITOLUL 4: 1.4. Confidenţialitate

Informaţiile sensibile privind protecţia infrastructurilor critice se clasifică la un nivel adecvat, în condiţiile legii. Diseminarea acestor informaţii se face potrivit principiului nevoii de a cunoaşte, atât în relaţia cu proprietarii/operatorii/administratorii de infrastructură critică naţională/europeană, cât şi cu celelalte state membre în condiţiile legislaţiei privind protecţia informaţiilor clasificate, şi se supune în totalitate dispoziţiilor acesteia.

CAPITOLUL II: Descriere organizaţională

SUBCAPITOLUL 1: 2.1. Structura organizaţională

Autoritatea publică responsabilă:

.......

Compartiment specializat în domeniul infrastructurii critice naţionale/europene al autorităţii publice responsabile:

.......

OLS al autorităţii publice responsabile:

.......

Compartiment specializat în domeniul infrastructurii critice naţionale/europene al proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană:

.......

OLS al operatorului/proprietarului/administratorului de infrastructură critică naţională/europeană:

.......

Organigrama proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană:

.......

SUBCAPITOLUL 2: 2.2. Cadrul legislativ

Legi:

.......

Ordonanţe de urgenţă ale Guvernului

.......

Ordonanţe ale Guvernului

.......

Hotărâri ale Guvernului

.......

Ordine ale ministrului

.......

Standarde naţionale/internaţionale (în funcţie de fiecare caz în parte)

.......

Acorduri internaţionale/naţionale

.......

Alte documente

.......

SUBCAPITOLUL 3: 2.3. Caracteristici ale unităţii administrativ-teritoriale pe raza căreia este amplasată infrastructura critică

Pentru stabilirea caracteristicilor unităţii administrativ-teritoriale pot fi utilizate informaţiile din planul judeţean de analiză şi acoperire a riscurilor aprobat de prefect şi întocmit în conformitate cu Ordinul ministrului administraţiei şi internelor nr. 132/2007 pentru aprobarea Metodologiei de elaborare a Planului de analiză şi acoperire a riscurilor şi a Structurii-cadru a Planului de analiză şi acoperire a riscurilor.

SUBCAPITOLUL 4: 2.4. Sisteme de operare

Tipul sistemului:

.......

Harta sistemului

.......

Tipul serviciului furnizat/serviciilor furnizate

.......

Statistici privind serviciul furnizat

.......

SUBCAPITOLUL 5: 2.5. Descrierea infrastructurii, facilităţilor şi echipamentelor din infrastructura critică naţională/europeană

Se vor menţiona elementele fizice, organizaţionale şi facilităţile necesare funcţionării serviciului esenţial.

Infrastructuri, facilităţi şi echipamente (în acest tabel se vor menţiona elementele fizice, organizaţionale şi facilităţile necesare funcţionării serviciului esenţial, date tehnice etc.)
Staţii de alimentare
Hub-uri
Servere
Depozite
Ateliere de întreţinere
Clădiri administrative
Puncte de comandă
.......
Alţi proprietari

SUBCAPITOLUL 6: 2.6. Personal

Se introduc informaţii referitoare la numărul şi categoriile de personal care lucrează în cadrul infrastructurii critice naţionale/europene. Acest lucru permite atât furnizarea unui indicator al dimensiunilor relative şi al semnificaţiei activităţii desfăşurate de operator, cât şi un indicator privind riscurile asociate şi provocările existente legate de îmbunătăţirea securităţii globale a respectivei infrastructuri critice naţionale/europene.

Personal	Număr
Angajaţi "part-time"
Angajaţi "full-time"
Personal contractant ("part-time")
Personal contractant ("full-time")
TOTAL PERSONAL

Personal în funcţie de rol şi loc de muncă	Număr
Personal operativ (şoferi, personal la tură etc.)
Personal administrativ (financiar, logistică)
Personal de securitate
Personal de serviciu (portari, administratori, paznici etc.)
Personal .......
TOTAL PERSONAL

CAPITOLUL III: Analiza mediilor de securitate

SUBCAPITOLUL 1: 3.1. Aspecte generale privind analiza riscurilor legate de securitate

Analiza riscurilor la adresa securităţii se bazează pe scenariile de ameninţări, identificarea punctelor vulnerabile ale fiecărui element al infrastructurii critice naţionale/europene şi impactul asupra acesteia în cazul producerii unui eveniment nedorit (în cazul exploatării unei vulnerabilităţi de către o ameninţare).

SUBCAPITOLUL 2: 3.2. Istoricul incidentelor

Nr. crt.	Data	Locaţia şi ora incidentului	Tipul incidentului	Scurtă descriere	Cauzele incidentului	Pagube	Echipa care a investigat incidentul
1
2
3
4
5
...
n

SUBCAPITOLUL 3: 3.3. Facilităţile şi operaţiunile cu grad ridicat de risc

PSO trebuie să identifice acele facilităţi sau aspecte operaţionale care se confruntă cu riscurile cele mai mari. În acest mod măsurile de securitate sunt direcţionate acolo unde pot avea cel mai bun efect.

PSO trebuie să identifice acele surse de risc (facilităţi şi operaţiuni interne sau externe) şi vulnerabilităţi care ar putea genera ori favoriza riscul perturbării sau distrugerii infrastructurii critice naţionale/europene pentru care se elaborează PSO.

Pentru a se realiza acest lucru, trebuie să se ia în considerare toate sursele plauzibile şi semnificative de risc, precum şi o gamă cât mai largă de consecinţe ale riscului.

SUBCAPITOLUL 4: 3.4. Elementele planului de securitate

SECŢIUNEA 1: 3.4.1. Generalităţi

Se vor preciza descriptiv unele aspecte privind capacităţile de securitate ale operatorului (politici, proceduri de securitate, sisteme tehnice şi/sau informatice de securitate etc.).

SECŢIUNEA 2: 3.4.2. Securitatea fizică a infrastructurii critice naţionale/europene şi controlul accesului

Se identifică punctele vulnerabile ale infrastructurii critice naţionale/europene şi se menţionează documentele în care sunt menţionate/stabilite măsurile: de prevenire a evenimentelor, de diminuare a impactului, de facilitare a intervenţiei sau de restabilire a serviciilor furnizate de infrastructura critică naţională/europeană în cazul în care acestea devin indisponibile.

Vor fi precizate pe scurt elementele de protecţie perimetrală, sistemele de detecţie şi semnalizare a efracţiei, sistemele de control al accesului, de management al identităţii, de management al vizitatorilor, de detecţie şi stingere a incendiilor, de supraveghere video perimetrală şi a căilor de acces ş.a.

Nr. crt.	Infrastructura critică naţională/europeană (componenta critică)	Elemente de securitate (controlul accesului, managementul identităţii, elemente de protecţie la explozie, ieşiri de urgenţă, căi de evacuare, sisteme de detecţie a efracţiei, sisteme de supraveghere video etc.)	Rolul elementelor de securitate (detectare/descurajare/întârziere atac, reducere vulnerabilitate sau ameninţare, alarmare eveniment ş.a.)	Informaţii suplimentare (nr. de înregistrare şi documentele care conţin detalii privind securitatea acesteia)
1
2
...
n

SECŢIUNEA 3: 3.4.3. Inspecţii privind securitatea fizică

Se descriu facilităţile, vehiculele şi alte elemente care necesită inspecţie periodică, precum şi modul în care se efectuează verificările. Se vor preciza deficienţele constatate cu ocazia inspecţiilor şi frecvenţa lor, precum şi aspectele referitoare la viabilitatea procedurilor de raportare a constatărilor.

Constatările inspecţiilor de securitate trebuie să se refere la:

- elementele mecanice de protecţie perimetrală (bariere, garduri, porţi de acces auto şi persoane, mijloace de iluminat perimetral ş.a.);

- elemente de protecţie cu echipamente de detecţie şi semnalizare a efracţiei sau cu camere de supraveghere video, după caz;

- elemente de blocare, restricţionare, identificare şi autentificare;

- sisteme de urmărire şi control al accesului;

- sisteme de detectare rapidă a debutului de incendiu şi de stingere a incendiului.

SECŢIUNEA 4: 3.4.4. Tehnologia informaţiilor şi reţele de comunicaţii

Se identifică şi se descriu succint măsurile sau tehnologiile existente pentru protejarea sistemelor IT împotriva atacurilor cibernetice, intruziunilor electronice sau distrugerilor fizice.

SECŢIUNEA 5: 3.4.5. Controlul documentelor

Se indică succint măsurile şi tehnologiile existente pentru protecţia, păstrarea, distrugerea, multiplicarea, arhivarea, ţinerea evidenţei şi limitarea accesului la documente clasificate (planuri de securitate, evaluări de risc, rapoarte de "intelligence", alte documente legate de infrastructuri critice).

SECŢIUNEA 6: 3.4.6. Personalul de securitate aferent infrastructurii critice naţionale/europene

Nr. crt.	Numele şi prenumele	Locul de muncă	Tipologia (gardian, paznic, operator echipament de securitate ş.a.)	Pregătire în domeniu/Atestat profesional	Nivel acces/Responsabilităţi
Angajaţii operatorului
1
2
...
n
Personal contractant din afara operatorului
1
2
...
n
Alte situaţii
1
2
...
n
TOTAL

SECŢIUNEA 7: 3.4.7. Echipamente şi tehnologii legate de securitate

Se identifică şi se descriu succint tehnologiile deţinute şi programele instalate pe echipamentele operatorului (de exemplu, butoanele de alarmare, de pornire/oprire a instalaţiilor de stingere a incendiilor ş.a.).

Nr. crt.	Tehnologii şi programe	Modelul echipamentului	Echipamentele dotate	Informaţii suplimentare
1
2
...
n

SECŢIUNEA 8: 3.4.8. Tehnologia comunicaţiilor

Se identifică şi se descriu succint tehnologia şi procesele utilizate pentru comunicare în situaţie de urgenţă atât cu personalul operatorului, cât şi cu poliţia, pompierii, ambulanţa şi alte servicii publice. De asemenea, trebuie menţionate şi eventualele redundanţe ale sistemelor de comunicaţii prevăzute pentru evitarea defecţiunilor echipamentelor de bază.

SECŢIUNEA 9: 3.4.9. Resurse şi instrumente mixte

Suplimentar aspectelor precizate în celelalte secţiuni, această secţiune trebuie să identifice şi să descrie succint celelalte instrumente şi resurse utilizate de operator pentru îmbunătăţirea abilităţii acestuia de a preveni, de a reduce, de a interveni sau de a restabili starea de normalitate în urma producerii unui eveniment (diferite planuri, proceduri şi procese pentru îmbunătăţirea securităţii; planuri de urgenţă; planuri de intervenţie în diferite situaţii; echipamente speciale precum camerele de luat vederi, detectoarele de fum, dispozitivele electronice de control al accesului ş.a.; proceduri de manipulare a unei bombe; identificarea şi manipularea pachetelor suspecte; proceduri de urmat în cazul unei explozii sau al unui incendiu etc.).

CAPITOLUL IV: Managementul PSO, responsabilităţi şi atribuţii

SUBCAPITOLUL 1: 4.1. Revizuirea şi actualizarea PSO

Responsabilităţi	Funcţia/Structura	Numele şi prenumele
Întocmit	OLS
	Compartimentul specializat în domeniul infrastructurii critice naţionale/europene al autorităţii publice responsabile
Avizat
	Conducător al autorităţii publice responsabile
Aprobat	Conducătorul proprietarului/operatorului/administratorului deţinător de infrastructură critică naţională/europeană

Întocmit revizuire/actualizare	OLS
	Compartimentul specializat al autorităţii publice responsabile
Avizat revizuire/actualizare
	Autoritatea publică responsabilă
Aprobat revizuire/actualizare	Conducătorul proprietarului/operatorului/administratorului deţinător de infrastructură critică naţională/europeană

Responsabil distribuire la sau extrase

Alte responsabilităţi (verificare, avizare, autorizare etc.)

Pentru ca PSO să reflecte cu acurateţe capabilităţile mediilor de securitate ale operatorului, acesta trebuie revizuit şi modificat, dacă este necesar, în fiecare an sau ori de câte ori situaţia o impune. Analiza de risc trebuie revizuită periodic.

SUBCAPITOLUL 2: 4.2. Rolul şi responsabilităţile angajaţilor

SECŢIUNEA 1: 4.2.1. Generalităţi

PSO trebuie să conţină responsabilităţile tuturor structurilor operatorului (departamente, direcţii, servicii, birouri compartimente etc.) cu atribuţii în domeniul securităţii infrastructurii critice naţionale/europene.

De exemplu, structurile cu atribuţii de planificare, de management financiar, al resurselor umane, de securitate a muncii, de mentenanţă, de management al riscului, de asigurare logistică etc.

SECŢIUNEA 2: 4.2.2. Rolul şi responsabilităţile OLS

Vor fi specificate rolul şi responsabilităţile ofiţerului de legătură pentru securitate în domeniul protecţiei infrastructurilor critice.

SECŢIUNEA 3: 4.2.3. Roluri-cheie şi responsabilităţi - Personalul de securitate

În această secţiune vor fi specificate rolurile şi responsabilităţile ce revin personalului de securitate şi care vor fi atribuite poziţiilor corespunzătoare din statul de funcţiuni al operatorului. Trebuie menţionat că la anumiţi operatori mai mici poate exista şi cumul de funcţii.

SECŢIUNEA 4: 4.2.4. Alte categorii de personal

Se vor specifica rolurile şi responsabilităţile ce revin şi altor categorii de personal ale operatorului, în domeniul securităţii infrastructurilor critice.

CAPITOLUL V: Managementul riscului

SUBCAPITOLUL 1: 5.1. Evaluarea riscurilor de securitate

SECŢIUNEA 1⁰:

(1)În această secţiune vor fi incluse informaţii referitoare la măsuri de ordin general, cum sunt:

1.măsuri organizatorice

- proceduri documentate (de exemplu pentru gestionarea alertelor, comunicare, conştientizare şi sensibilizare personal ş.a.);

- acţiuni de control/verificare periodică al/a funcţionalităţii sistemelor tehnice de securitate şi al/a capacităţii de răspuns şi revenire;

- planificare şi realizare de activităţi de formare şi perfecţionare a personalului în domeniul securităţii infrastructurilor critice;

2.măsuri de control şi verificare, comunicare, sensibilizare şi formare;

3.măsuri de securitate graduale, care pot fi activate în funcţie de diferitele niveluri ale riscurilor şi ameninţărilor;

4.măsuri în domeniul securităţii sistemelor de informaţii;

5.măsuri tehnice care includ instalarea de:

- sisteme de protecţie fizică perimetrală (garduri, bariere, porţi de acces ş.a.);

- sisteme de protecţie şi alarmare împotriva efracţiei (cu senzori în infraroşu, microunde, magnetici, de vibraţii sau acustici);

- sisteme de control al accesului (biometrie, smart card, proximitate);

- sisteme de management al vizitatorilor;

- sisteme de supraveghere video pe timp de zi şi noapte (camere TVCI);

- dispecerate de monitorizare, comandă şi control;

- sisteme de detecţie şi stingere a incendiului;

- sisteme de securitate cibernetică (pentru infrastructuri IT şi de comunicaţii).

(2)Lista privind tipurile de riscuri, ameninţările şi punctele vulnerabile identificate în urma analizei de risc efectuate la ICN/ICE desemnată se găseşte în anexa nr. 1, care face parte integrantă din prezentul plan de securitate.

SECŢIUNEA 1: 5.1.1. Prevenire, control şi diminuare a riscului

Identificarea, selectarea şi stabilirea priorităţilor în ceea ce priveşte contramăsurile şi procedurile, realizându-se distincţie între măsurile permanente - măsurile permanente de securitate (de natură tehnică), care identifică investiţiile de securitate indispensabile, şi măsurile nepermanente de securitate (de natură organizatorică), care pot fi activate gradual în funcţie de diferitele niveluri ale riscurilor şi ameninţărilor identificate.

Măsurile de prevenire şi diminuare a riscului derivă din evaluarea de risc efectuată. În cuprinsul acestei secţiuni trebuie precizată şi modalitatea de implementare a acestor măsuri.

Măsurile de control al riscului trebuie stabilite pentru fiecare dintre elementele care fac parte din spectrul securităţii.

Măsurile de prevenire şi diminuare a riscului pentru fiecare tip de risc identificat sunt precizate în anexa nr. 2, care face parte integrantă din prezentul plan de securitate.

SECŢIUNEA 2: 5.1.2. Intervenţia sau răspunsul în cazul apariţiei riscului de securitate

Măsurile de securitate referitoare la faza de intervenţie sau de răspuns trebuie să fie prevăzute în planurile specifice de intervenţie în situaţii de urgenţă. PSO trebuie să precizeze cum şi de unde se pot obţine anumite informaţii din planurile specifice de intervenţie, în cazul producerii anumitor incidente de securitate.

SECŢIUNEA 3: 5.1.3. Reconstrucţia sau restabilirea stării de normalitate după manifestarea riscului de securitate

Măsurile de securitate în faza de reconstrucţie trebuie să fie prevăzute în planurile de asigurare a continuităţii serviciului. PSO trebuie să precizeze cum şi de unde se pot obţine anumite informaţii din planurile de asigurare a continuităţii serviciului.

SUBCAPITOLUL 2: 5.2. Punctul de comandă şi control (dispeceratul)

Intervenţia efectivă în cazul producerii unui eveniment cu urmări pentru securitatea ICN/ICE necesită luarea unor decizii complexe, spre deosebire de operaţiunile care se desfăşoară în mod curent la nivelul operatorului. PSO trebuie să conţină informaţii despre sistemul de management al crizelor, documentat la nivelul operatorului de infrastructură critică naţională/europeană, dacă există un astfel de sistem, iar dacă nu, să facă trimitere la modul de acţiune şi la persoanele care dispun de autoritatea de decizie în astfel de situaţii, conform planului de intervenţie specific.

În anexa nr. 9, care face parte integrantă din prezentul plan de securitate, este precizat Fluxul informaţional-decizional în cazul producerii unui incident de securitate care poate perturba sau distruge o infrastructură critică naţională/europeană.

Diagrama procesului de schimb de informaţii în domeniul securităţii ICN/ICE

În anexa nr. 7, care face parte integrantă din prezentul plan de securitate, sunt precizate datele de contact ale persoanelor cu responsabilităţi în domeniul securităţii ICN/ICE.

CAPITOLUL VI: Niveluri de alertă

SUBCAPITOLUL 1: 6.1. Generalităţi

Măsurile preventive sunt luate pentru a menţine un nivel acceptabil de securitate a infrastructurii critice naţionale/europene în cauză, precum şi pentru a permite asigurarea unui nivel minim de funcţionare corespunzătoare a serviciilor esenţiale pe care le furnizează populaţiei pe timpul crizei respective.

Nivelurile de alertă trebuie stabilite pentru punerea în aplicare a măsurilor de securitate în momentul producerii unui eveniment cu impact asupra infrastructurii critice naţionale/europene. Măsurile preventive sunt întreprinse pentru a menţine la un nivel acceptabil securitatea infrastructurii critice naţionale/europene, precum şi pentru a permite furnizarea continuă către populaţie a serviciului esenţial asigurat de respectiva infrastructură critică naţională/europeană.

SUBCAPITOLUL 2: 6.2. Stabilirea nivelurilor de alertă

Operatorii trebuie să stabilească un sistem de alertare pe niveluri. PSO trebuie să descrie acest sistem şi să stabilească măsurile de securitate ce trebuie puse în aplicare la fiecare nivel de alertă. În mod normal, nivelurile cele mai ridicate de alertă corespund ameninţărilor care pot genera evenimente cu consecinţe foarte grave.

Sistemul de alertare pe niveluri trebuie să conţină următoarele elemente:

- definirea fiecărui nivel de alertă;

- criterii pentru declanşarea alertei şi nivelul acesteia;

- stabilirea persoanelor cu drept de alertare pe tipuri şi pe niveluri de alertă;

- măsurile de securitate care corespund fiecărui nivel de alertă;

- un element care să indice dacă trebuie pus în aplicare planul de intervenţie pentru situaţii de urgenţă (în general, acest plan este pus în aplicare atunci când este necesară activarea punctului de comandă care permite cooperarea cu alte autorităţi cu responsabilităţi de intervenţie);

- detalierea aspectelor referitoare la diseminarea informaţiei privind nivelul de alertă (mecanisme de diseminare a informaţiei, destinatarul informaţiei, nivelul de urgenţă al transmiterii informaţiei), precum şi măsurile ce trebuie întreprinse pentru fiecare nivel de alertă în parte.

SUBCAPITOLUL 3: 6.3. Comunicarea şi armonizarea

Dacă există un sistem de alertare extern în aria de desfăşurare a activităţii operatorului de infrastructură critică naţională/europeană, acesta trebuie să ia în considerare că este necesară armonizarea propriului sistem cu cel extern, pentru a evita conflictele de interese şi confuziile.

SUBCAPITOLUL 4: 6.4. Cadrul legal

În situaţia în care legislaţia obligă operatorul să utilizeze un anumit sistem de alertare, acest aspect trebuie specificat în PSO. În această secţiune vor fi specificate actele normative care reglementează sistemul de alertare.

SUBCAPITOLUL 5: 6.5. Procedurile de alertare

În această secţiune trebuie specificat cum sunt declanşate, anulate sau modificate alertele. În anexa nr. 11 care face parte integrantă din prezentul plan de securitate este descris un model de sistem de alertare pe niveluri.

CAPITOLUL VII: Anexe

- Anexa nr. 1	- Date generale privind riscurile, ameninţările şi punctele vulnerabile la adresa infrastructurii critice naţionale/europene
- Anexa nr. 2	- Lista cu măsurile de prevenire a producerii evenimentelor nedorite şi de diminuare a riscurilor identificate ca fiind prioritare pentru infrastructura critică naţională/europeană
- Anexa nr. 3	- Lista cu revizuirile PSO
- Anexa nr. 4	- Glosar de termeni şi definiţii în domeniul protecţiei infrastructurilor critice
- Anexa nr. 5	- Acronime
- Anexa nr. 6	- Fişă raportare incident de securitate
- Anexa nr. 7	- Lista cu datele de contact ale persoanelor cu responsabilităţi în domeniul securităţii
- Anexa nr. 8	- Organigrama proprietarului/operatorului/administratorului deţinător de infrastructură critică naţională/europeană
- Anexa nr. 9	- Fluxul informaţional-decizional în cazul producerii unui incident de securitate
- Anexa nr. 10	- Relaţia între PSO şi alte documente în domeniul securităţii
- Anexa nr. 11	- Sistem de alertare pe niveluri

NOTĂ:

- Anexele nr. 3, 4, 5, 6, 8 şi 10 se completează de către deţinătorul de ICN/ICE în funcţie de situaţie, ţinând cont de specificul domeniului de responsabilitate.

ANEXA nr. 2¹: DATE GENERALE privind riscurile, ameninţările şi punctele vulnerabile la adresa infrastructurii critice naţionale/europene

"............................................"

INFRASTRUCTURA CRITICĂ NAŢIONALĂ/EUROPEANĂ

1. Autoritatea publică iresponsabilă: .......	Date: zz-ll-aaaa
2. Administrator/proprietar/operator de ICN/ICE: .......
3. Conducător: .......
4. Ofiţer de legătură pentru securitate: .......
5. Adresa: .......
6. Telefon: .......
7. E-mail: .......

PUNCTE VULNERABILE ALE ICN/ICE

		Estimarea nivelurilor de vulnerabilitate din cadrul PSO (Se indică nivelul de vulnerabilitate)
Puncte vulnerabile	Introduceţi punctul vulnerabil
	Introduceţi punctul vulnerabil
	Introduceţi punctul vulnerabil
	Introduceţi punctul vulnerabil
	Introduceţi punctul vulnerabil
	Introduceţi punctul vulnerabil
	Introduceţi punctul vulnerabil

AMENINŢĂRILE

Nr. crt.	Tipuri de ameninţări
1	Introduceţi ameninţarea
2	Introduceţi ameninţarea
3	Introduceţi ameninţarea
4	Introduceţi ameninţarea
5	Introduceţi ameninţarea
6	Introduceţi ameninţarea
...
n	Introduceţi ameninţarea

RISCURI DE SECURITATE

Nr. crt.	Tipuri de risc
1	Introduceţi riscul
2	Introduceţi riscul
3	Introduceţi riscul
4	Introduceţi riscul
5	Introduceţi riscul
6	Introduceţi riscul
...
n	Introduceţi riscul

NIVELUL AFERENT PENTRU FIECARE TIP DE RISC

NOTĂ:

Fiecare tip de risc va fi trecut în matricea riscului în căsuţa aferentă după stabilirea nivelului impactului şi a probabilităţii de producere.

ANEXA nr. 2²: LISTA cu măsurile de prevenire a producerii evenimentelor nedorite şi de diminuare a riscurilor identificate ca fiind prioritare pentru infrastructura critică naţională/europeană

Nr. crt.	Riscul de securitate identificat	Măsuri de prevenire	Măsuri de diminuare (reducere)	Costuri aproximative	Data implementării	Responsabil implementare măsură şi raportare rezultate	Stadiul de îndeplinire
1	...	...	...				...
2	...	...	...				...
3	...	...	...				...
4	...	...	...				...
5	...	...	...				...
6	...	...	...				...
7	...	...	...				...
...
n	...	...	...				...

ANEXA nr. 2³: LISTA cu revizuirile PSO

Nr. crt.	Numărul de înregistrare	Secţiunile revizuite	Data revizuirii	Observaţii
1
2
3
4
5
6
7
8
9
10
...
n

ANEXA nr. 2⁴: GLOSAR de termeni şi definiţii în domeniul protecţiei infrastructurilor critice

ANEXA nr. 2⁵: ACRONIME

Acronime	Detaliere
ICE	Infrastructură critică europeană
ICN	Infrastructură critică naţională
PIC	Protecţia infrastructurilor critice
OLS	Ofiţer de legătură pentru securitate
APR	Autoritate publică responsabilă
PSO	Plan de securitate pentru operator
TIC	Tehnologia informaţiei şi comunicaţiilor
...

ANEXA nr. 2⁶: Fişă raportare incident de securitate

1.Secţiunea A. Informaţii generale de contact ale raportorului incidentului

Nume:

.......

Prenume:

.......

Structura:

.......

Funcţia:

.......

Telefon fix:

.......

Telefon mobil:

.......

Fax:

.......

E-mail:

.......

2.Secţiunea B. Informaţii generale privind incidentul de securitate

Data producerii incidentului:

zz-ll-aaaa

Data detecţiei incidentului:

zz-ll-aaaa

Ora producerii incidentului:

hh:mm

Ora detecţiei incidentului:

hh:mm

Dara încetării incidentului:

zz-ll-aaaa

Ora încetării incidentului:

hh:mm

Zona incidentului:

.......

Locaţia specifică:

.......

Descrierea incidentului

Observaţii

3.Secţiunea C. Informaţii privind impactul incidentului de securitate

4.Secţiunea D. Informaţii privind persoanele implicate

Nr. crt.	Nume şi prenume	Data naşterii/vârstă/sex	Adresa	Localitate	Nr. de telefon	E-mail
1	...	...	...	...	...	...
...	...	...	...	...	...	...
n	...	...	...	...	...	...

5.Secţiunea E. Informaţii generale privind infrastructura critică naţională/europeană afectată

Situaţia infrastructurii critice naţionale/europene	Distrusă	...
	Avariată	...
	Vandalizată	...
	Activitate suspectă	...
	Breşă	...
Denumire ICN: .......	Locaţia: .......
Suprafaţă: .......	Nr. angajaţi: .......
Daune interne: .......	Daune externe: .......

6.Secţiunea F. Informaţii privind notificarea producerii incidentului

Nr. crt.	Serviciul anunţat	Data şi ora anunţării	Data şi ora sosirii	Persoana	Alte informaţii
1	Poliţia	...	...	...	...
2	Poliţia locală	...	...	...	...
3	Firmă de pază	...	...	...	...
4	Jandarmerie	...	...	...	...
5	Pompieri	...	...	...	...
6	Ambulanţă	...	...	...	...
7	Alte servicii de salvare	...	...	...	...

ANEXA nr. 2⁷: Listă cu datele de contact ale persoanelor cu responsabilităţi în domeniul securităţii

Nr. crt.	Nume şi prenume	Structura	Funcţia	Telefon fix	Telefon mobil	E-mail	Fax
1	...	...	...	...	...	...	...
2	...	...	...	...	...	...	...
3	...	...	...	...	...	...	...
4	...	...	...	...	...	...	...
5	...	...	...	...	...	...	...
6	...	...	...	...	...	...	...
7	...	...	...	...	...	...	...
8	...	...	...	...	...	...	...
9	...	...	...	...	...	...	...
10	...	...	...	...	...	...	...
...	...	...	...	...	...	...	...
n	...	...	...	...	...	...	...

ANEXA nr. 2⁸: ORGANIGRAMA proprietarului/operatorului/administratorului deţinător de infrastructură critică naţională/europeană

ANEXA nr. 2⁹: FLUXUL INFORMAŢIONAL-DECIZIONAL în cazul producerii unui incident de securitate

ANEXA nr. 2¹⁰: Relaţia dintre PSO şi alte documente în domeniul securităţii

* Pentru situaţiile în care instituţia/operatorul economic gestionează informaţii clasificate în condiţiile Legii nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare, la acest punct trebuie menţionat ca document distinct "Programul de prevenire a scurgerii de informaţii clasificate".

ANEXA nr. 2¹¹: Sistem de alertare pe niveluri

Nivelul 1 de alertă - "Conştientizare crescută" - COD VERDE
Criterii de alertare	Punerea în aplicare a planului de intervenţie în situaţii de urgenţă	Informare	Măsuri	Interdependenţe	Alte specificaţii
Introducere criterii	DA/NU/PROBABIL	Introducere informări (Ex.: Informarea tuturor angajaţilor privind necesitatea unei atenţii sporite)	Introducere măsuri (Ex.: sunt trimise în plus echipe de cercetare în zonele expuse riscului, se întruneşte conducerea pentru analiza potenţialelor ameninţări)	Introducere infrastructuri critice naţionale potenţial afectate
Nivelul 2 de alertă - "Securitate crescută" - COD GALBEN
Criterii de alertare	Punerea în aplicare a planului de intervenţie în situaţii de urgenţă	Informare	Măsuri	Interdependenţe	Alte specificaţii
Introducere criterii	DA/NU/PROBABIL	Introducere informări (Ex.: Nivel 1 de informare + informarea populaţiei deservită ce urmează să fie afectată)	Introducere masuri (Ex.: măsuri de nivel 1 + întărirea capacităţii de prevenire a apariţiei tipului de risc)	Introducere infrastructuri critice naţionale potenţial afectate
Nivelul 3 de alertă - "Securitate maximă" - COD ROŞU
Criterii de alertare	Punerea în aplicare a planului de intervenţie în situaţii de urgenţă	Informare	Măsuri	Interdependenţe	Alte specificaţii
Introducere criterii	DA/NU/PROBABIL	Introducere informări (Ex.: Nivel 2 de informare + punerea în aplicare a tuturor prevederilor celorlalte planuri de intervenţie şi răspuns privind informarea)	Introducere masuri (Ex.: măsuri de nivel 2 + punerea în aplicare a măsurilor stabilite prin planurile specifice pentru tipurile de risc specifice)	Introducere infrastructuri critice naţionale potenţial afectate

ANEXA nr. 3: ATRIBUŢIILE ofiţerului de legătură pentru securitate din cadrul compartimentului specializat desemnat la nivelul autorităţilor publice responsabile şi la nivelul proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană

I.Ofiţerul de legătură pentru securitate este şeful compartimentului specializat (constituit din minimum 3 persoane) desemnat la nivelul autorităţilor publice responsabile sau la nivelul proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană, se află în directa subordonare a conducătorului autorităţii publice responsabile sau a proprietarului/operatorului/administratorului deţinător de infrastructură critică naţională/europeană şi este:

- persoana responsabilă cu activitatea în domeniul protecţiei infrastructurilor critice/şeful compartimentului, la nivelul autorităţilor publice responsabile;

- şeful compartimentului specializat în domeniul infrastructurii critice naţionale/europene, la nivelul proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană. Atribuţiile compartimentului desemnat se stabilesc pe baza şi în concordanţă cu prevederile legislaţiei în domeniul protecţiei infrastructurilor critice în vigoare.

II.În îndeplinirea responsabilităţilor, ofiţerul de legătură pentru securitate al autorităţilor publice responsabile are următoarele atribuţii principale:

a)reprezintă punctul de contact al autorităţii publice responsabile în relaţia cu Centrul de coordonare a protecţiei infrastructurilor critice, cu proprietarii/operatorii/administratorii de infrastructură critică naţională/europeană din sectorul/subsectorul aflat în responsabilitate şi celelalte autorităţi publice responsabile, pentru aspectele care ţin de securitatea infrastructurilor critice;

b)organizează, coordonează şi răspunde de activitatea de reevaluare şi actualizare periodică a documentelor specifice domeniului protecţiei infrastructurilor critice elaborate la nivelul compartimentului de specialitate aflat în responsabilitate;

c)răspunde de actualizarea bazei de date aferente mecanismului de comunicare naţional în domeniul protecţiei infrastructurilor critice, privind riscurile, ameninţările şi vulnerabilităţile identificate la adresa infrastructurii critice naţionale/europene din responsabilitate;

d)asigură monitorizarea permanentă a evoluţiei riscurilor, ameninţărilor şi vulnerabilităţilor la adresa infrastructurii critice naţionale/europene din responsabilitate;

e)informează, în dinamică, Centrul de coordonare a protecţiei infrastructurilor critice şi celelalte structuri interdependente asupra evoluţiei riscurilor, ameninţărilor şi vulnerabilităţilor la adresa infrastructurii critice naţionale/europene din aria de responsabilitate;

f)propune măsurile cu caracter imediat în situaţia identificării unor riscuri la nivelul infrastructurii critice naţionale/europene din responsabilitate;

g)participă, în calitate de reprezentant desemnat al autorităţii publice responsabile, la procesul de stabilire a criteriilor şi pragurilor critice pentru infrastructura critică naţională/europeană din responsabilitate;

h)coordonează activitatea de elaborare a planurilor anuale de verificare prin exerciţii şi activităţi specifice a viabilităţii PSO sau a documentelor echivalente, existente la nivelul proprietarilor/operatorilor/administratorilor de infrastructură critică naţională/europeană din aria de responsabilitate;

i)propune conducerii autorităţii publice responsabile avizarea PSO elaborate la nivelul proprietarilor/operatorilor/administratorilor de infrastructură critică naţională/europeană;

j)propune nominalizarea de către conducătorul autorităţii publice responsabile a unui expert responsabil din cadrul compartimentului desemnat la nivelul autorităţii publice responsabile pe problematica protecţiei infrastructurilor critice, pentru a asigura consiliere operatorilor de infrastructuri critice, inclusiv în faza de elaborare a scenariilor de ameninţări şi de stabilire a condiţiilor de realizare a analizelor de risc;

k)participă, de regulă, la şedinţele Grupului de lucru interinstituţional pentru protecţia infrastructurilor critice;

l)propune spre aprobare conducătorului autorităţii publice responsabile componenţa nominală a Comisiei de evaluare a PSO;

m)informează periodic Centrul de coordonare a protecţiei infrastructurilor critice cu privire la existenţa/actualizarea PSO;

n)urmăreşte respectarea de către proprietarii/operatorii/administratorii de infrastructură critică naţională/europeană a prevederilor legale privind protecţia infrastructurilor critice;

o)asigură, la solicitarea ofiţerului de legătură al proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană, consultarea celorlalte autorităţi publice responsabile/institute de profil, în vederea elaborării scenariilor de ameninţări;

p)cooperează cu Centrul de coordonare a protecţiei infrastructurilor critice în vederea realizării schimbului de informaţii în domeniul protecţiei infrastructurilor critice;

q)coordonează elaborarea şi transmiterea, la solicitarea Centrului de coordonare a protecţiei infrastructurilor critice, a informărilor, analizelor, materialelor documentare privind infrastructurile critice din sfera de responsabilitate;

r)participă, la solicitarea Centrului de coordonare a protecţiei infrastructurilor critice, la activităţi specifice domeniului (workshopuri, simpozioane, exerciţii de verificare şi testare a PSO etc.);

s)propune, în condiţiile legii, măsuri pentru asigurarea pregătirii personalului desemnat să îndeplinească funcţia de ofiţer de legătură pentru securitatea infrastructurilor critice de la nivelul proprietarilor/operatorilor/administratorilor de infrastructură critică naţională/europeană;

t)organizează şi coordonează activitatea de elaborare şi transmitere a documentelor clasificate, aferente infrastructurii critice naţionale/europene din aria de responsabilitate, asigurând respectarea normelor în vigoare;

u)verifică modul de îndeplinire de către proprietarii/operatorii/administratorii de infrastructură critică naţională/europeană din sectorul de responsabilitate a obligaţiilor stabilite de legislaţia în vigoare şi propune conducătorului autorităţii publice responsabile aplicarea, în condiţiile legii, de sancţiuni pentru nerespectarea acestora;

v)elaborează rapoartele de evaluare a exerciţiilor desfăşurate;

w)coordonează procesul anual de actualizare a listei cu infrastructurile critice din sectorul aflat în competenţă şi informează Centrul de coordonare a protecţiei infrastructurilor critice cu privire la necesitatea actualizării anexei la Hotărârea Guvernului nr. 1.198/2012 privind desemnarea infrastructurilor critice naţionale;

x)urmăreşte permanent îndeplinirea, potrivit competenţelor, a obligaţiilor prevăzute de legislaţia naţională în domeniu.

III.În îndeplinirea responsabilităţilor, ofiţerul de legătură pentru securitate al proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană are următoarele atribuţii principale:

a)reprezintă punctul de contact al proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană în relaţia cu autoritatea publică responsabilă, cu Centrul de coordonare a protecţiei infrastructurilor critice, precum şi alte structuri cu care se află în relaţie de interdependenţă, pentru aspectele care ţin de securitatea infrastructurilor critice;

b)elaborează şi/sau actualizează analiza de risc şi identifică punctele vulnerabile privind infrastructura critică naţională/europeană din responsabilitate sau propune iniţierea demersurilor, în condiţiile legii, pentru desemnarea unei persoane fizice/juridice atestate, care să execute aceste activităţi;

c)elaborează scenariile de ameninţări la adresa infrastructurii critice naţionale/europene din responsabilitate;

d)răspunde de actualizarea periodică a documentelor elaborate la nivelul compartimentului de specialitate al proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană;

e)răspunde de actualizarea bazei de date aferente mecanismului de comunicare naţional în domeniul protecţiei infrastructurilor critice, privind riscurile, ameninţările şi vulnerabilităţile identificate la adresa infrastructurii critice naţionale/europene din responsabilitate;

f)asigură monitorizarea permanentă a evoluţiei situaţiei privind riscurile, ameninţările şi vulnerabilităţile la adresa infrastructurii critice naţionale/europene din responsabilitate;

g)informează, în dinamică, autorităţile publice responsabile şi celelalte structuri interdependente asupra evoluţiei riscurilor, ameninţărilor şi vulnerabilităţilor la adresa infrastructurii critice naţionale/europene;

h)propune măsurile cu caracter imediat în situaţia producerii unor riscuri la nivelul infrastructurii critice naţionale/europene din responsabilitate;

i)participă, la solicitarea autorităţii publice responsabile, la procesul de stabilire a criteriilor şi pragurilor critice pentru infrastructura critică naţională/europeană din responsabilitate;

j)răspunde de evaluarea, testarea şi, după caz, actualizarea şi revizuirea PSO la termenele stabilite de legislaţia în vigoare;

k)organizează şi conduce exerciţiile şi activităţile specifice cu ocazia testării PSO sau a documentelor echivalente;

l)asigură întocmirea şi înaintarea către autoritatea publică responsabilă, în vederea avizării, a PSO elaborat la nivelul compartimentului de specialitate al proprietarului/operatorului/administratorului de infrastructură critică naţională/europeană;

m)planifică şi asigură, în condiţiile legii, participarea personalului din subordine la activităţi de pregătire de specialitate;

n)asigură elaborarea/transmiterea documentelor clasificate, aferente infrastructurii critice naţionale/europene din aria de responsabilitate, urmărind respectarea prevederilor legale privind accesul la documentele clasificate;

o)urmăreşte permanent îndeplinirea obligaţiilor prevăzute de legislaţia naţională în domeniu.

Publicat în Monitorul Oficial cu numărul 150 din data de 21 martie 2013