Comunica experienta
MonitorulJuridic.ro
────────── Aprobată prin ORDINUL nr. 601 din 21 iunie 2019, publicat în Monitorul oficial, Partea I, nr. 590 din 18 iulie 2019.────────── CAP. I Date generale ART. 1 (1) Prezenta metodologie de stabilire a efectului perturbator semnificativ al incidentelor la nivelul reţelelor şi sistemelor informatice ale operatorilor de servicii esenţiale, denumită în continuare metodologie, are ca obiect evaluarea gradului de perturbare a furnizării serviciului esenţial şi se utilizează în procedura de identificare a operatorilor de servicii esenţiale, denumiţi în continuare OSE. (2) Evaluarea şi stabilirea gradului de perturbare a furnizării serviciului esenţial reprezintă o fază a primei etape a procesului de identificare a OSE, şi anume etapa 1) pasul 3). (3) La elaborarea prezentei metodologii au fost avute în vedere, în principal, următoarele acte normative: a) Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare, denumită în continuare Legea NIS; b) Hotărârea Guvernului nr. 494/2011 privind înfiinţarea Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO; c) Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr. 599/2019 privind aprobarea Normelor metodologice de identificare a operatorilor de servicii esenţiale şi furnizorilor de servicii digitale. ART. 2 (1) În conformitate cu art. 5 din Legea NIS, pentru asigurarea unui nivel ridicat de securitate, operatorii de servicii esenţiale se identifică şi se înscriu în Registrul operatorilor de servicii esenţiale. (2) În procesul de identificare a serviciilor esenţiale, operatorii economici şi alte entităţi care operează ori furnizează servicii în cadrul sectoarelor şi subsectoarelor definite în anexa la Legea NIS ori furnizează servicii esenţiale din lista prevăzută la art. 20 lit. r) din aceeaşi lege, denumiţi în continuare OENIS, îşi evaluează toate serviciile furnizate prin prisma prevederilor art. 6 alin. (1) din Legea NIS. (3) În conformitate cu art. 6 alin. (1) lit. c) din Legea NIS, un serviciu este considerat esenţial dacă furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident. ART. 3 (1) În procesul de identificare ca operator de servicii esenţiale, prima etapă este identificarea serviciilor esenţiale. (2) În paşii parcurşi de OENIS pentru evaluarea unui serviciu în vederea identificării ca serviciu esenţial în accepţiunea Legii NIS, denumit în continuare SENIS, stabilirea gradului de perturbare a serviciului în cazul producerii unui incident este ultimul pas şi în funcţie de acesta se finalizează identificarea serviciilor esenţiale. ART. 4 Dacă în urma procesului de identificare ca OSE rezultă un grad de perturbare semnificativ şi serviciul esenţial îndeplineşte condiţiile prevăzute la art. 6 alin. (1) din Legea NIS, prin raportare la criteriile intersectoriale de stabilire a impactului unui incident prevăzute la art. 6 alin. (2), respectiv la criteriile sectoriale, precum şi la valorile de prag prevăzute la art. 6 alin. (3) din aceeaşi lege, serviciul furnizat este unul esenţial, iar OENIS va fi declarat OSE. CAP. II Metodologia de stabilire a efectului perturbator semnificativ SECŢIUNEA 1 Dispoziţii generale ART. 5 Procesul de stabilire a efectului perturbator semnificativ presupune existenţa a două faze de evaluare a gradului de perturbare a furnizării unui serviciu esenţial, şi anume: a) faza 1 - evaluarea gradului de perturbare a furnizării SENIS în funcţie de criteriile intersectoriale identificate la art. 6 alin. (2) din Legea NIS; b) faza a 2-a - evaluarea gradului de perturbare a furnizării SENIS în funcţie de criteriile sectoriale specifice şi valorile de prag stabilite pentru fiecare sector/subsector - se aplică dacă prima fază s-a încheiat cu un rezultat negativ, grad de impact scăzut sau fără identificarea gradului de perturbare a serviciului furnizat. ART. 6 (1) Evaluarea gradului de perturbare a furnizării SENIS presupune: a) identificarea şi determinarea valorilor de prag specifice (VI) de către OENIS - valori care diferă în funcţie de operatorul economic; b) compararea VI cu valorile de prag stabilite (P) prin hotărâre a Guvernului; c) stabilirea gradului de impact al incidentului în funcţie de grilele de impact specifice fiecărui criteriu intersectorial sau, după caz, sectorial. (2) Valorile pentru indicatorul P folosite în procesul de evaluare pentru criteriile intersectoriale şi sectoriale sunt stabilite prin hotărâre a Guvernului privind aprobarea valorilor de prag, criteriilor intersectoriale şi sectoriale, precum şi metodei de stabilire a efectului perturbator semnificativ al incidentelor la nivelul reţelelor şi sistemelor informatice ale operatorilor de servicii esenţiale. (3) În procesul de stabilire a gradului de perturbare se va avea în vedere următoarea scală*): (a se vedea imaginea asociată) *) Scala este reprodusă în facsimil. SECŢIUNEA a 2-a Faza 1. Evaluarea gradului de perturbare în funcţie de criteriile intersectoriale ART. 7 (1) În această fază se va proceda la evaluarea gradului de perturbare (GP) în funcţie de criteriile intersectoriale şi valorile de prag stabilite pentru acestea. (2) Procedura de evaluare este una în trepte, se analizează efectul perturbator pentru fiecare criteriu intersectorial, în funcţie de indicatorii metrici şi valorile de prag stabilite. Descrierea procedurii este detaliată în subsecţiunile 1-6. SUBSECŢIUNEA 1 Treapta 1. Numărul de utilizatori care se bazează pe serviciul furnizat - CI1 ART. 8 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de numărul beneficiarilor afectaţi, în baza datelor şi informaţiilor deţinute de OENIS (contracte, rapoarte, alte documente etc.) pentru anul precedent. (2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI1 este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) ART. 9 (1) În funcţie de indicatorii metrici (I), OENIS identifică şi determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P), după cum urmează: a) Pentru determinarea valorii VI(I11), OENIS va stabili numărul utilizatorilor/beneficiarilor finali. a.1. În cazul în care nu este posibilă stabilirea acestora în funcţie de contracte, se va utiliza formula: Număr utilizatori = (Număr contracte PF * cm) + Total număr angajaţi PJ. a1.1.1. Coeficientul de multiplicare (cm) = 2,21. Pentru determinare s-au folosit date statistice furnizate de Institutul Naţional de Statistică, şi anume: populaţia rezidentă (19.760.314); număr locuinţe/gospodării (8.929.000). cm = Populaţia rezidentă/Număr locuinţe ≈ 2,21. b) Pentru determinarea valorii VI(I12), OENIS va avea în vedere stabilirea numărului de contracte în derulare (în anul precedent). (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(I1x) pentru criteriul intersectorial CI1 conform tabelului 11-1. SUBSECŢIUNEA a 2-a Treapta 2. Dependenţa altor sectoare de serviciul furnizat - CI2 ART. 10 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de beneficiarii acestui serviciu, pe baza datelor şi informaţiilor deţinute de OENIS (contracte, rapoarte, alte documente etc.) pentru anul precedent. (2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI2 este prezentată în tabelul de mai jos*). (a se vedea imaginea asociată) (a se vedea imaginea asociată) *) Tabelul este reprodus în facsimil. ART. 11 (1) În funcţie de indicatorii metrici (I), OENIS identifică şi determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P), după cum urmează: a) Pentru determinarea valorii VI(I21), numărul de sectoare/subsectoare afectate, OENIS va consulta datele deţinute, precum şi graficul interdependenţei sectoriale din figura 12-1. b) Pentru determinarea valorii VI(I22), OENIS va identifica, mai întâi, toţi beneficiarii care sunt OSE. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(I2x) pentru criteriul intersectorial CI2 conform tabelului 12-1. (a se vedea imaginea asociată) Figură 12-1.**) Interdependenţă NIS **) Figura 12-1 este reprodusă în facsimil. SUBSECŢIUNEA a 3-a Treapta 3. Impactul pe care l-ar putea avea incidentele, în ceea ce priveşte intensitatea şi durata, asupra activităţilor economice şi societale sau asupra siguranţei publice - CI3 ART. 12 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de durata şi intensitatea incidentului şi se fundamentează pe date procesate la nivelul structurilor de monitorizare şi asigurare a securităţii informatice. (2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI3 este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) (a se vedea imaginea asociată) ART. 13 (1) În funcţie de indicatorii metrici (I), OENIS identifică şi determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P). Pentru determinarea valorilor VI(I31), respectiv VI(I32), OENIS va consulta datele şi informaţiile deţinute de structurile IT, date analistice şi statistice. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(I3x) pentru criteriul intersectorial CI3 conform tabelului 13-1. SUBSECŢIUNEA a 4-a Treapta 4. Cota de piaţă - CI4 ART. 14 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de datele deţinute de OENIS (contracte, documente, rapoarte, situaţii financiare etc.) pentru anul precedent. (2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI4 este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) (a se vedea imaginea asociată) ART. 15 (1) În funcţie de indicatorii metrici (I), OENIS identifică şi determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P). Pentru determinarea valorii VI(I41), procentul din cota de piaţă corespunzătoare codului CAEN principal/sectoarelor prevăzute în anexa la Legea nr. 362/2018, cu modificările şi completările ulterioare, OENIS va analiza datele şi informaţiile financiare din anul precedent. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(I41) pentru criteriul intersectorial CI4 conform tabelului 14-1. SUBSECŢIUNEA a 5-a Treapta 5. Distribuţia geografică în ceea ce priveşte zona care ar putea fi afectată de un incident - CI5 ART. 16 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de zona de răspândire a beneficiarilor acestui serviciu, pe baza datelor şi informaţiilor OENIS pentru anul precedent. (2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI5 este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) *) Tabelul este reprodus în facsimil. ART. 17 (1) În funcţie de indicatorii metrici (I), OENIS identifică şi determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P), după cum urmează: a) Pentru determinarea valorii VI(I51), respectiv zona geografică afectată, OENIS va analiza datele şi informaţiile cu privire la serviciul furnizat pe raza unui judeţ sau sector. a.1. Se va avea în vedere afectarea serviciilor pe întreaga suprafaţă a unui judeţ sau a unui sector al municipiului Bucureşti. b) Pentru determinarea valorii VI(I52), OENIS va analiza/evalua informaţiile deţinute cu privire la beneficiari/utilizatori, ţinând cont de localizarea sediilor/domiciliului acestora. b.1. Se va avea în vedere una dintre cele două variante de valori de prag, stabilite în funcţie de nivelul UAT, şi anume situaţia când nu sunt afectate municipii/oraşe (5) sau este afectat inclusiv un municipiu/oraş (3). c) Pentru determinarea valorii VI(I53), OENIS va avea în vedere interconectarea reţelelor şi sistemelor informatice, precum şi localizarea serviciului în alte state/ţări. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(I5x) pentru criteriul intersectorial CI5 conform tabelului 15-1. SUBSECŢIUNEA a 6-a Treapta 6. Importanţa entităţii pentru menţinerea unui nivel suficient al serviciului, ţinând cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului - CI6 ART. 18 (1) Gradul de perturbare a furnizării SENIS se stabileşte de OENIS în funcţie de modul de asigurare a continuităţii furnizării serviciului şi se fundamentează pe datele şi informaţiile deţinute. (2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI6 este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) *) Tabelul este reprodus în facsimil. ART. 19 (1) În funcţie de serviciul esenţial analizat, OENIS identifică şi determină valoarea de prag specifică (VI), iar apoi o compară cu valorile de prag stabilite (P). Pentru determinarea valorii VI(I61), OENIS va avea în vedere asigurarea disponibilităţii serviciului furnizat, folosind mijloace alternative, chiar şi în cazul unor incidente de securitate cibernetică. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(I61) pentru criteriul intersectorial CI5 conform tabelului 16-1. SUBSECŢIUNEA a 7-a Concluzii privind evaluarea gradului de perturbare în funcţie de criteriile intersectoriale ART. 20 (1) Dacă pe parcursul procesului de evaluare, corespunzător fazei 1, gradul de perturbare a furnizării SENIS rezultat este semnificativ, şi anume MEDIU sau RIDICAT, indiferent în ce treaptă, procesul se încheie, iar serviciul evaluat este unul esenţial şi, în consecinţă, OENIS îndeplineşte condiţiile de a fi OSE şi va notifica, în termenul stabilit de Legea NIS, ANSRSI din cadrul CERT-RO. (2) Dacă la sfârşitul fazei 1 nu a putut fi stabilit un grad de perturbare sau GP(Ixx) rezultat a fost unul nesemnificativ, şi anume SCĂZUT, metodologia continuă cu faza a 2-a. (3) Documentele care au stat la baza evaluării gradului de perturbare a furnizării SENIS în funcţie de criteriile intersectoriale, din subsecţiunile 1-6, vor fi puse la dispoziţia ANSRSI din cadrul CERT-RO, la solicitarea acesteia, cu respectarea prevederilor art. 8 alin. (7) din Legea NIS. SECŢIUNEA a 3-a Faza 2. Evaluarea gradului de perturbare în funcţie de criteriile sectoriale specifice ART. 21 (1) În această fază se va proceda la evaluarea gradului de perturbare (GP) în funcţie de criteriile sectoriale specifice şi valorile de prag stabilite pentru fiecare sector şi subsector. (2) Procedura de evaluare este una sectorială, în funcţie de sector/subsector, prin care se analizează efectul perturbator pentru fiecare indicator metric şi valorile de prag stabilite. Descrierea procedurii este detaliată în subsecţiunile 1-7. SUBSECŢIUNEA 1 Sectorul energie - A-C ART. 22 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de datele şi informaţiile deţinute de OENIS (contracte, rapoarte, situaţii financiare, alte documente etc.) corespunzător sectorului/subsectoarelor A-C pentru fiecare SENIS în parte. (2) Grilele de stabilire a efectului perturbator semnificativ pentru subsectoarele A, B şi C sunt prezentate în tabelele*) de mai jos. (a se vedea imaginea asociată) *) Tabelele sunt reproduse în facsimil. ART. 23 (1) Evaluarea se realizează pe baza apartenenţei OENIS şi în funcţie de sectorul/subsectorul de activitate. (2) În funcţie de serviciul esenţial analizat se identifică şi determină valorile VI şi se compară cu valorile de prag stabilite (P), acolo unde e cazul, pentru fiecare caz în parte, după cum urmează: a) În cazul în care pentru un anumit indicator metric (I) este stabilită o valoare de prag „Listă nominală“, se va compara OENIS sau locaţia cu lista de valori şi se va stabili gradul de perturbare în funcţie de aceasta. a.1. Listă nominală: E-Distribuţie Muntenia, E-Distribuţie Banat, E-Distribuţie Dobrogea, Distribuţie Energie Oltenia, Delgaz Grid, Electrica Distribuţie Muntenia Nord, Electrica Distribuţie Transilvania Nord şi Electrica Distribuţie Transilvania Sud. a.2. Dacă OENIS se regăseşte în lista de la pct. a.1, gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT. b) Dacă pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT. (3) În urma evaluării, în funcţie de rezultate, se stabileşte GP[I(A-C)xx] pentru criteriul sectorial/ subsectorial CS(A-C), la nivel serviciu esenţial, conform tabelelor 21-1-21-3. SUBSECŢIUNEA a 2-a Sectorul transport - D-G ART. 24 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de datele şi informaţiile deţinute de OENIS (contracte, rapoarte, situaţii financiare, alte documente etc.) corespunzător sectorului/subsectoarelor D-G pentru fiecare SENIS în parte. (2) Grilele de stabilire a efectului perturbator semnificativ pentru subsectoarele D, E, F şi G sunt prezentate în tabelele*) de mai jos. (a se vedea imaginea asociată) (a se vedea imaginea asociată) (a se vedea imaginea asociată) (a se vedea imaginea asociată) *) Tabelele sunt reproduse în facsimil. ART. 25 (1) Evaluarea se realizează pe baza apartenenţei OENIS şi în funcţie de sectorul/subsectorul de activitate. (2) În funcţie de serviciul esenţial analizat se identifică şi se determină valorile VI şi se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte, după cum urmează: a) În cazul în care pentru un anumit indicator metric (I) este stabilită o valoare de prag „Listă nominală“, se va compara OENIS sau locaţia cu lista de valori şi se va stabili impactul în funcţie de aceasta. a.1. Lista nominală pentru aeroporturi este întocmită în conformitate cu „Secţiunea 2 din anexa II la Regulamentul (UE) nr. 1.315/2013“, şi anume: 1) Centrale - Bucureşti, Timişoara; 2) Globale - Bacău, Baia Mare, Cluj-Napoca, Constanţa, Craiova, Iaşi, Oradea, Sibiu, Suceava şi Tulcea. a.2. Dacă OENIS se regăseşte în lista de la pct. a.1, gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT. b) Pentru determinarea valorii VI(ID21), respectiv VI(ID22), OENIS va raporta numărul de pasageri, respectiv tonaj marfă la volumul total la nivel naţional de persoane, respectiv mărfuri transportate pe calea aerului într-un an (anul precedent). c) În cazul identificării şi determinării valorilor VI(ID32) şi VI(ID33), se va avea în vedere că pentru serviciile esenţiale corespunzătoare, SE(D32) şi SE(D33), desfăşurate în una dintre locaţiile prevăzute la pct. a.1, gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT şi, implicit, acestea sunt SENIS. d) Pentru determinarea valorii VI(IE21), VI(IF12) şi VI(IF24), OENIS va avea în vedere că mărfurile pot fi transportate în două variante, iar oricare dintre variante poate fi abordată în evaluarea GP(IXnn). e) Pentru determinarea valorii VI(IG24), OENIS va analiza serviciile de transport efectuate de toate maşinile din flotă într-un an, iar distanţa totală efectuată se va contoriza în km/an. f) Dacă pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT. (3) În urma evaluării, în funcţie de rezultate, se stabileşte [I(D-G)xx] pentru criteriul sectorial/subsectorial CS(D-G), la nivel serviciu esenţial, conform tabelelor 22-1-22-4. SUBSECŢIUNEA a 3-a Sectorul bancar - H ART. 26 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de datele şi informaţiile deţinute de OENIS (contracte, rapoarte, situaţii financiare, alte documente etc.) corespunzător sectorului H pentru fiecare SENIS în parte. (2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul H este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) *) Tabelul este reprodus în facsimil. ART. 27 (1) În funcţie de serviciul esenţial analizat se identifică şi se determină valorile VI şi se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte. Având în vedere faptul că pentru sectorul H nu au fost prevăzute praguri/limite şi, în consecinţă, pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(IHxx) pentru criteriul sectorial CSH, la nivel serviciu esenţial, conform tabelului 23-1. În condiţiile date, având în vedere că nu au fost stabilite valori de praguri, toate serviciile identificate sunt SENIS, iar operatorii din sectorul H care furnizează aceste servicii sunt OSE. SUBSECŢIUNEA a 4-a Sectorul infrastructuri ale pieţei financiare - I ART. 28 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de datele şi informaţiile deţinute de OENIS (contracte, rapoarte, situaţii financiare, alte documente etc.) corespunzător sectorului I pentru fiecare SENIS în parte. (2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul I este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) ART. 29 (1) În funcţie de serviciul esenţial analizat se identifică şi se determină valorile VI şi se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte. Având în vedere faptul că pentru sectorul I nu au fost prevăzute praguri/limite şi, în consecinţă, pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(IIxx) pentru criteriul sectorial CSI, la nivel serviciu esenţial, conform tabelului 24-1. În condiţiile date, având în vedere că nu au fost stabilite valori de praguri, toate serviciile identificate sunt SENIS, iar operatorii din sectorul I care furnizează aceste servicii sunt OSE. SUBSECŢIUNEA a 5-a Sectorul sănătate - J ART. 30 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de datele şi informaţiile deţinute de OENIS (contracte, rapoarte, situaţii financiare, alte documente etc.) corespunzător sectorului J pentru fiecare SENIS în parte. (2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul J este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) *) Tabelul este reprodus în facsimil. ART. 31 (1) În funcţie de serviciul esenţial analizat se identifică şi se determină valorile VI şi se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte. Având în vedere faptul că pentru sectorul J nu au fost prevăzute praguri/limite şi, în consecinţă, pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(IJxx) pentru criteriul sectorial CSJ, la nivel serviciu esenţial, conform tabelului 25-1. În condiţiile date, având în vedere că nu au fost stabilite valori de praguri, toate serviciile identificate sunt SENIS, iar operatorii din sectorul J care furnizează aceste servicii sunt OSE. SUBSECŢIUNEA a 6-a Sectorul furnizarea şi distribuirea de apă potabilă - K ART. 32 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de datele şi informaţiile deţinute de OENIS (contracte, rapoarte, situaţii financiare, alte documente etc.) corespunzător sectorului K pentru fiecare SENIS în parte. (2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul K este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) *) Tabelul este reprodus în facsimil. ART. 33 (1) În funcţie de serviciul esenţial analizat se identifică şi se determină valorile VI şi se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte, după cum urmează: a) Pentru determinarea valorii VI(IK11), OENIS se va raporta la întreaga suprafaţă a bazinului hidrografic, care stă la baza acumulării şi captării apei brute pentru a fi tratată şi folosită ca apă potabilă. b) Pentru determinarea valorii VI(IK14), OENIS va avea în vedere numărul beneficiarilor finali şi numărul contractelor de furnizare şi distribuire apă potabilă. b.1. În cazul în care nu este posibilă stabilirea acestora în funcţie de contracte, se va utiliza formula: Număr beneficiari = (Număr contracte PF * cm) + Total număr angajaţi PJ. b.1.1. Coeficientul de multiplicare (cm) = 2,21. Pentru determinare s-au folosit date statistice furnizate de Institutul Naţional de Statistică, şi anume: populaţia rezidentă (19.760.314); număr locuinţe/gospodării (8.929.000) => cm = Populaţia rezidentă/Număr locuinţe ≈ 2,21. c) Pentru determinarea valorii VI(IK16), OENIS va analiza toate datele de producţie şi informaţiile necesare în vederea identificării corecte a numărului de recipiente - indiferent de materialul din care au fost realizate, de forma şi volumul acestora - îmbuteliate cu apă potabilă, naturală, plată, minerală etc. d) Dacă pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(IKxx) impact pentru criteriul sectorial CSK, la nivel serviciu esenţial, conform tabelului 26-1. SUBSECŢIUNEA a 7-a Sectorul infrastructură digitală - L ART. 34 (1) Gradul de perturbare a furnizării SENIS se stabileşte în funcţie de datele şi informaţiile deţinute de OENIS (contracte, rapoarte, situaţii financiare, alte documente etc.) corespunzător sectorului L pentru fiecare SENIS în parte. (2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul L este prezentată în tabelul*) de mai jos. (a se vedea imaginea asociată) *) Tabelul este reprodus în facsimil. ART. 35 (1) În funcţie de serviciul esenţial analizat se identifică şi se determină valorile VI şi se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte. Având în vedere faptul că pentru sectorul L nu au fost prevăzute praguri/limite şi, în consecinţă, pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, şi anume RIDICAT. (2) În urma evaluării, în funcţie de rezultate, se stabileşte GP(ILxx) pentru criteriul sectorial CSL, la nivel serviciu esenţial, conform tabelului 27-1. În condiţiile date, având în vedere că nu au fost stabilite valori de praguri, toate serviciile identificate sunt SENIS, iar operatorii din sectorul L care furnizează aceste servicii sunt OSE. SUBSECŢIUNEA a 8-a Concluzii privind evaluarea gradului de perturbare în funcţie de criteriile sectoriale specifice ART. 36 (1) Procesul de evaluare se desfăşoară individualizat, pentru fiecare sector şi subsector, pe baza criteriilor sectoriale şi a valorilor de prag, acolo unde este cazul. (2) Dacă pe parcursul procesului de evaluare, corespunzător fazei a 2-a, gradul de perturbare a furnizării SENIS rezultat este semnificativ, şi anume MEDIU sau RIDICAT, procesul se închide, iar serviciul evaluat este unul esenţial şi, în consecinţă, OENIS îndeplineşte condiţiile de a fi OSE şi va notifica, în termenul stabilit de Legea NIS, ANSRSI din cadrul CERT-RO. (3) Dacă la sfârşitul fazei a 2-a GP rezultat a fost unul nesemnificativ, şi anume SCĂZUT, metoda se încheie, iar serviciul evaluat de OENIS, deşi face parte din LSE, nu îndeplineşte condiţiile de a fi declarat SENIS şi, în consecinţă, OENIS nu îndeplineşte condiţiile de OSE. (4) Documentele care au stat la baza evaluării gradului de perturbare a furnizării SENIS în funcţie de criteriile sectoriale, din subsecţiunile 1-7, vor fi puse la dispoziţia ANSRSI din cadrul CERT-RO, la solicitarea acesteia, cu respectarea prevederilor art. 8 alin. (7) din Legea NIS. CAP. III Glosar de termeni folosiţi
┌─────┬────────────────────────────────┐
│CI │- criteriu intersectorial │
├─────┼────────────────────────────────┤
│CSE │- codul de identificare a │
│ │serviciului esenţial │
├─────┼────────────────────────────────┤
│CS │- criterii sectoriale specifice │
│(A÷L)│ │
├─────┼────────────────────────────────┤
│EPS │- efect perturbator semnificativ│
├─────┼────────────────────────────────┤
│ │- gradul de perturbare a │
│ │furnizării serviciului esenţial.│
│ │Reprezintă efectul perturbator, │
│ │semnificativ sau nesemnificativ,│
│GP │în cazul producerii unui │
│ │incident la nivelul reţelelor şi│
│ │sistemelor informatice ale │
│ │operatorilor de servicii │
│ │esenţiale │
├─────┼────────────────────────────────┤
│I │- indicator metric │
├─────┼────────────────────────────────┤
│ │- Legea nr. 362/2018 privind │
│ │asigurarea unui nivel comun │
│Legea│ridicat de securitate a │
│NIS │reţelelor şi sistemelor │
│ │informatice, cu modificările şi │
│ │completările ulterioare │
├─────┼────────────────────────────────┤
│LSE │- lista serviciilor esenţiale │
├─────┼────────────────────────────────┤
│NIS │- reţele şi sisteme informatice │
├─────┼────────────────────────────────┤
│ │- operatorii economici şi alte │
│ │entităţi care operează ori │
│ │furnizează servicii în cadrul │
│OENIS│sectoarelor şi subsectoarelor │
│ │definite în anexa la Legea NIS │
│ │ori furnizează servicii │
│ │esenţiale din lista prevăzută la│
│ │art. 20 lit. r) din aceeaşi lege│
├─────┼────────────────────────────────┤
│OSE │- operator de servicii esenţiale│
├─────┼────────────────────────────────┤
│P │- valoare de prag stabilită prin│
│ │hotărâre a Guvernului │
├─────┼────────────────────────────────┤
│SENIS│- serviciu esenţial în │
│ │accepţiunea Legii NIS │
├─────┼────────────────────────────────┤
│ │- valoarea de prag specifică │
│ │identificată şi determinată de │
│ │OENIS, valoare ce stă la baza │
│ │stabilirii gradului de │
│VI │perturbare a furnizării │
│ │serviciului esenţial. Această │
│ │valoare se fundamentează în baza│
│ │informaţiilor şi datelor │
│ │deţinute de OENIS. │
└─────┴────────────────────────────────┘
----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.