NORME METODOLOGICE din 13 martie 2014 privind elementele tehnice şi de securitate ale sistemului de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească
CAPITOLUL I: Dispoziţii generale
Art. 1
(1)Prezentele norme metodologice stabilesc elementele tehnice şi de securitate ale sistemului de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească, conform Regulamentului (UE) nr. 211/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 privind iniţiativa cetăţenească, cu modificările ulterioare, denumit în continuare Regulamentul (UE) nr. 211/2011.
(2)Normele metodologice vizează declaraţiile de susţinere a propunerilor de iniţiativă cetăţenească colectate printr-un sistem de colectare online, a cărui bază de date este stocată într-o locaţie aflată pe teritoriul României.
Art. 2
(1)În înţelesul prezentelor norme metodologice, termenii utilizaţi au următoarele definiţii:
a)iniţiativă cetăţenească - iniţiativa prezentată Comisiei Europene (Comisia) în conformitate cu Regulamentul (UE) nr. 211/2011, prin care Comisia este invitată să prezinte, în limitele atribuţiilor sale, orice propunere corespunzătoare privind chestiuni pentru care cetăţenii consideră că este necesar un act juridic al Uniunii Europene în vederea punerii în aplicare a tratatelor, care a fost susţinută de cel puţin un milion de semnatari eligibili provenind din cel puţin un sfert din toate statele membre;
b)semnatar - cetăţean al Uniunii Europene care a sprijinit o anumită iniţiativă cetăţenească prin completarea unui formular de declaraţie de susţinere a iniţiativei respective;
c)organizator - persoana fizică ce formează un comitet al cetăţenilor responsabil de pregătirea unei iniţiative cetăţeneşti şi de prezentarea acesteia Comisiei;
d)sistem de colectare online - sistem informaţional constând în programe, echipamente, mediu de găzduire, procese operaţionale şi personal, destinat colectării online a declaraţiilor de susţinere;
e)plan de securitate - documentul ce descrie totalitatea măsurilor tehnice şi administrative care sunt luate de către organizator pentru utilizarea în condiţii de siguranţă a sistemului de colectare online a declaraţiilor de susţinere;
f)certificat de confirmare a conformităţii - documentul semnat de autoritatea naţională responsabilă care certifică faptul că sistemul de colectare online a declaraţiilor de susţinere este conform cu dispoziţiile relevante din Regulamentul (UE) nr. 211/2011.
(2)În înţelesul prezentelor norme metodologice, abrevierile utilizate au următoarele semnificaţii:
a)MSI - Ministerul pentru Societatea Informaţională;
b)AADR - Agenţia pentru Agenda Digitală a României;
c)ISACA - Information Systems Audit and Control Association (organizaţie care acordă certificări de securitate informatică);
d)CISA - Certified Information Systems Auditor (tip de certificare pentru auditorul de sisteme informatice, acordat de ISACA);
e)XML - Extensible Markup Language.
CAPITOLUL II: Autoritatea naţională responsabilă
Art. 3
(1)Autoritatea naţională responsabilă (Autoritatea) pentru eliberarea certificatelor de confirmare a conformităţii sistemelor de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească este MSI.
(2)Autoritatea îşi exercită atribuţiile de certificare a conformităţii sistemelor de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească prin intermediul AADR.
(3)Organizatorii vor solicita Autorităţii certificarea sistemului de colectare online a declaraţiilor de susţinere dacă baza de date a sistemului este stocată într-o locaţie aflată pe teritoriul României.
(4)Organizatorii vor solicita Autorităţii certificarea conformităţii sistemului de colectare online cu 30 de zile înainte de începerea colectării declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească.
Art. 4
(1)Sistemul de colectare online utilizat pentru o iniţiativă cetăţenească ce conţine declaraţii de susţinere din mai multe state membre va fi certificat doar de statul membru în care vor fi stocate datele obţinute prin sistemul de colectare online.
(2)Autoritatea recunoaşte certificatele eliberate de celelalte autorităţi competente din alte state membre.
Art. 5
Organizatorii au responsabilitatea întocmirii planului de securitate al sistemului utilizat şi sunt obligaţi să solicite Autorităţii certificarea sistemului chiar dacă utilizează soluţia software pusă la dispoziţie de către Comisie. În cazul în care software-ul nu este modificat, se va verifica doar siguranţa infrastructurii - aspectele legate de partea hardware, mediul de găzduire etc.
CAPITOLUL III: Sisteme de colectare online
Art. 6
Sistemul de colectare online trebuie să îndeplinească condiţiile tehnice stabilite prin Regulamentul (UE) nr. 211/2011 şi Regulamentul de punere în aplicare (UE) nr. 1.179/2011 al Comisiei din 17 noiembrie 2011 de stabilire a unor specificaţii tehnice pentru sistemele de colectare online în conformitate cu Regulamentul (UE) nr. 211/2011 al Parlamentului European şi al Consiliului privind iniţiativa cetăţenească, astfel încât să fie îndeplinite următoarele cerinţe:
a)formularele de declaraţie de susţinere online pot fi depuse doar de persoanele fizice;
b)datele furnizate online vor fi colectate şi stocate astfel încât să se asigure, printre altele, că acestea nu pot fi modificate sau utilizate în orice alt scop decât cel indicat, şi anume susţinerea unei anumite iniţiative cetăţeneşti, şi vor fi protejate datele cu caracter personal;
c)asigură împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, divulgării neautorizate sau accesului neautorizat;
d)sistemul va genera formulare de declaraţii de susţinere într-o formă care să respecte modelele prevăzute în anexa III la Regulamentul (UE) nr. 211/2011.
Art. 7
Cerinţele minime de securitate pe care trebuie să le îndeplinească sistemul de colectare online a declaraţiilor de susţinere sunt:
a)asigurarea confidenţialităţii şi integrităţii comunicaţiilor electronice;
b)asigurarea securităţii bazei de date şi a integrităţii datelor;
c)asigurarea autenticităţii datelor;
d)asigurarea protecţiei datelor cu caracter personal;
e)detectarea, monitorizarea şi împiedicarea accesului neautorizat în sistem;
f)restaurarea informaţiilor gestionate de sistem în cazul unor calamităţi naturale şi evenimente imprevizibile;
g)gestionarea şi administrarea sistemului informatic;
h)orice alte activităţi sau măsuri tehnice întreprinse pentru operarea în siguranţă a sistemului.
Art. 8
(1)Organizatorul are obligaţia întocmirii unui plan de securitate care va avea următoarea structură:
1.Informaţii de identificare:
a)numele şi prenumele organizatorului sistemului de colectare online a declaraţiilor de susţinere;
b)titlul propunerii de iniţiativă cetăţenească;
c)numărul de înregistrare atribuit de Comisie;
d)statutul operaţional al sistemului de colectare online a declaraţiilor de susţinere;
e)descrierea generală a soluţiei tehnice;
f)locaţia bazei de date a sistemului de colectare online a declaraţiilor de susţinere;
g)datele de contact ale persoanelor responsabile.
2.Senzitivitatea sistemului:
a)norme de siguranţă a informaţiilor;
b)cerinţe funcţionale;
c)securitatea la nivelul aplicaţiei informatice;
d)securitatea bazei de date şi integritatea datelor;
e)siguranţa infrastructurilor - amplasamentul fizic, infrastructura de reţea şi mediul serverului.
Art. 9
Autoritatea, prin personal desemnat, îndeplineşte următoarele atribuţii:
a)verifică dacă sistemul permite depunerea formularelor de declaraţie de susţinere online doar de către persoanele fizice;
b)se asigură că sistemul generează formulare de susţinere conform anexei III la Regulamentul (UE) nr. 211/2011 sau oferă posibilitatea de exportare a declaraţiilor de susţinere într-un format interoperabil, cum ar fi XML;
c)primeşte notificările aferente declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească la adresa de e-mail ice@aadr.ro care funcţionează ca punct unic de contact în relaţia cu organizatorii.
CAPITOLUL IV: Eliberarea certificatului de confirmare a conformităţii
Art. 10
Autoritatea eliberează, în urma verificării respectării condiţiilor de la art. 6, un certificat de confirmare a conformităţii sistemelor de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească (anexa nr. 2), conform modelului prezentat în anexa IV la Regulamentul (UE) nr. 211/2011.
Art. 11
Un sistem poate fi certificat doar pentru o singură iniţiativă cetăţenească. În cazul în care organizatorii doresc să utilizeze acelaşi sistem pentru o nouă iniţiativă, ei au obligaţia de a-şi certifica sistemul încă o dată pentru această iniţiativă.
Art. 12
Documentele necesare pentru certificarea sistemului utilizat sunt:
a)cererea adresată în acest scop Autorităţii (anexa nr. 1);
b)dovada calităţii de operator de date cu caracter personal;
c)copie de pe înregistrarea propunerii de iniţiativă cetăţenească în registrul Comisiei;
d)descrierea funcţională a sistemului informatic;
e)planul de securitate al sistemului informatic, semnat de către organizator;
f)opinia de audit asupra planului de securitate prevăzut la art. 8 şi a soluţiei informatice prin intermediul căreia este oferit sistemul de colectare online a declaraţiilor de susţinere;
g)o declaraţie în care este exprimată independenţa auditorului faţă de sistemul informatic auditat.
Art. 13
(1)Opinia de audit prevăzută la art. 12 lit. f) va fi întocmită de către o persoană certificată ca auditor de sisteme informatice (auditor). În procesul de auditare, auditorul poate solicita concursul unor experţi.
(2)La cererea expresă a Autorităţii, precum şi în cazul opiniilor de audit exprimate cu rezerve, organizatorul va pune la dispoziţie raportul de audit rezultat în urma auditării sistemului.
(3)Documentele enumerate la art. 12 vor fi întocmite într-un singur exemplar, în limba română.
(4)În cazul în care se constată îndeplinirea condiţiilor legale, Autoritatea eliberează un certificat de confirmare a conformităţii sistemului de colectare online a declaraţiilor de susţinere în termen de 30 de zile de la data la care organizatorii iniţiativei cetăţeneşti au solicitat certificarea sistemului şi au prezentat toate documentele necesare pentru certificarea acestuia.
Art. 14
(1)După eliberarea certificatului de confirmare a conformităţii, în termen de 3 zile calendaristice, Autoritatea va remite organizatorului un exemplar al certificatului (anexa 2), în conformitate cu anexa nr. IV la Regulamentul (UE) nr. 211/2011.
(2)Certificatul de confirmare a conformităţii este valabil pe o perioadă de 12 luni de la data emiterii sale.
(3)Certificatul de confirmare a conformităţii eliberat nu este transmisibil.
CAPITOLUL V: Alte prevederi
Art. 15
Instituţiile desemnate vor duce la îndeplinire aceste norme şi vor aduce la cunoştinţa părţilor interesate conţinutul prezentelor norme metodologice prin respectarea prevederilor principiului european al transparenţei decizionale.
Art. 16
(1)Prezentele norme metodologice vor intra în vigoare în termen de 15 zile de la data publicării în Monitorul Oficial al României, Partea I.
(2)Prezentul ordin se publică în Monitorul Oficial al României, Partea I.
Art. 17
Anexele nr. 1-2 fac parte integrantă din prezentele norme metodologice.
-****-
ANEXA nr. 1: CERERE-TIP
- model -
1.Numele complete (inclusiv adresele poştale şi adresele de e-mail): ....................
2.Titlul propunerii de iniţiativă cetăţenească: ....................
3.Numărul de înregistrare atribuit de Comisia Europeană: ....................
4.Data înregistrării: ....................
5.Soluţia software utilizată ....................
6.Anexe: ....................
7.Data şi semnăturile persoanelor de contact: ....................
ANEXA nr. 2: CERTIFICAT de confirmare a conformităţii sistemelor de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească
- model -
Agenţia pentru Agenda Digitală a României, în numele Ministerului pentru Societatea Informaţională, în calitate de autoritate competentă din România, certifică prin
prezenta că sistemul de colectare online .................... (adresa de internet) utilizat pentru colectarea declaraţiilor de susţinere pentru .................... (titlul propunerii de iniţiativă cetăţenească) este conform cu dispoziţiile relevante din Regulamentul (UE) nr. 211/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 privind iniţiativa cetăţenească.
Data, semnătura şi parafa oficială a autorităţii competente
....................
Publicat în Monitorul Oficial cu numărul 227 din data de 31 martie 2014