Comunica experienta
MonitorulJuridic.ro
ORDONANŢĂ DE URGENŢĂ nr. 130 din 28 decembrie 2023 pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice
EMITENT: Guvernul PUBLICAT: Monitorul Oficial nr. 1196 din 29 decembrie 2023
Una dintre direcţiile de acţiune pentru asigurarea securităţii naţionale prevăzute în Strategia Naţională de Apărare a Ţării pentru perioada 2020-2024, aprobată prin Hotărârea Parlamentului României nr. 22/2020, este reprezentată de realizarea infrastructurii necesare pentru digitalizarea României, cu scopul eficientizării aparatului administrativ şi al creşterii calităţii serviciilor publice. Pentru transpunerea în realitate a acestei direcţii de acţiune este necesară implementarea infrastructurii de cloud guvernamental, cu caracter de maximă urgenţă.
Reglementarea care nu poate fi amânată este cauzată de faptul că în jalonul nr. 153 din Planul naţional de redresare şi rezilienţă (PNNR) se specifică faptul că implementarea unei infrastructuri de tip cloud în sectorul public cuprinde construcţia de centre de date Tier IV de la momentul conceperii pentru cele două centre principale, Tier III de la momentul conceperii pentru cele secundare, infrastructuri specifice găzduirii de sisteme informatice on-premise, iar de construirea urgentă a acestora depinde transferul la timp al finanţării de către Comisia Europeană şi sporirea rezilienţei sistemelor şi reţelelor informatice ale statului român. În acest context, situaţia fiscal-bugetară reclamă accesarea fără întârzieri a finanţărilor disponibile prin PNRR.
Transformarea digitală este un obiectiv de interes strategic naţional, care cuprinde procesul de transformare digitală atât la nivelul serviciilor publice din România, cât şi la nivelul mediului de afaceri, în cazul căruia acest proces se referă la mecanismele de automatizare a proceselor de producţie şi la robotizarea acestora, cu impact asupra competitivităţii şi calităţii produselor şi serviciilor pe piaţa europeană.
În lipsa unor reglementări specifice, imediate şi efective ale pieţei serviciilor de tip cloud se pot genera riscuri de securitate cibernetică a sistemelor informatice, dar şi riscuri de utilizare a informaţiilor specifice de date de către utilizatori neautorizaţi, iar prin aceasta se pot crea prejudicii proprietarilor de date, persoane fizice şi/sau juridice, cu impact asupra fondurilor externe nerambursabile accesate de România atât prin Mecanismul de redresare şi rezilienţă, cât şi prin politica de coeziune.
Mediul de afaceri are nevoie de mecanisme de transformare digitală rapide şi specifice care să îi permită să dezvolte platforme informatice în acord cu nevoile de automatizare şi robotizare specifice pieţei concurenţiale europene pentru a gestiona eficient cheltuielile cu mentenanţa, dar şi cele specifice echipamentelor IT.
Situaţia extraordinara care impune modificarea şi completarea prin ordonanţa de urgenţa a Guvernului a domeniului este generată de conflictul armat de pe teritoriul Ucrainei şi de nevoia urgenta de creştere a rezilienţei capabilităţilor sistemelor şi reţelelor informatice ale statului român, inclusiv prin prisma necesităţii asigurării securităţii datelor personale ale cetăţenilor români.
De asemenea, situaţia extraordinara care impune modificarea şi completarea prin ordonanţa de urgenţa a Ordonanţei de urgenţa a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice este cauzata şi de creşterea volumului informaţiilor din bazele de date critice administrate de statul român, de necesitatea consolidării şi interconectării acestora, precum şi de necesitatea asigurării în mod unitar a securităţii cibernetice a acestora, în contextul conflictelor convenţionale şi neconvenţionale din vecinătatea României şi al revoluţiei digitale care s-a extins în toate statele lumii.
Având în vedere dispoziţiile art. 6 din Ordonanţa de urgenţa a Guvernului nr. 124/2021 privind stabilirea cadrului instituţional şi financiar pentru gestionarea fondurilor europene alocate României prin Mecanismul de redresare şi rezilienţa, precum şi pentru modificarea şi completarea Ordonanţei de urgenţa a Guvernului nr. 155/2020 privind unele masuri pentru elaborarea Planului naţional de redresare şi rezilienţa necesar României pentru accesarea de fonduri externe rambursabile şi nerambursabile în cadrul Mecanismului de redresare şi rezilienţa, aprobata cu modificări şi completări prin Legea nr. 178/2022, cu modificările şi completările ulterioare,
în temeiul art. 115 alin. (4) din Constituţia României, republicata,
Guvernul României adopta prezenta ordonanţa de urgenţa.
ART. I
Ordonanţa de urgenţa a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, publicata în Monitorul Oficial al României, Partea I, nr. 638 din 28 iunie 2022, aprobata cu modificări şi completări prin Legea nr. 180/2023, se modifica şi se completează după cum urmează:
1. La articolul 1, după alineatul (2) se introduce un nou alineat, alin. (2^1), cu următorul cuprins:
"(2^1) Cloudul privat guvernamental este compus din doua componente: componenta de cloud intern, denumita în continuare cloud intern, şi componenta de cloud dedicat, denumita în continuare cloud dedicat."
2. La articolul 1, după alineatul (5) se introduc trei noi alineate, alin. (5^1)-(5^3), cu următorul cuprins:
"(5^1) Cloudul intern include infrastructura de baza, astfel cum aceasta este definita la art. 2 lit. k), asigura furnizarea de servicii de tip IaaS, PaaS, SaaS, printr-un ansamblu de resurse informatice, de comunicaţii şi de securitate cibernetica, se afla în proprietatea statului român şi este interconectat la nivel de servicii cu cloudul dedicat şi cu alte clouduri publice şi/sau private din Platforma.
(5^2) Cloudul dedicat asigura furnizarea de servicii de tip IaaS, PaaS, SaaS, inclusiv licenţele necesare, de pe o infrastructura informatica distincta de cea a cloudului intern, ce utilizeaza din infrastructura de baza, în limita resurselor disponibile, clădirile, instalaţiile, dotările şi echipamentele tehnologice aferente şi comunicaţiile necesare asigurării transportului de date şi interconectării cu reţelele publice de comunicaţii electronice.
(5^3) Cloudul dedicat se interconecteaza la nivel de servicii cu cloudul intern în vederea utilizării de resurse de comunicaţii şi tehnologia informaţiei, prin API-uri, de catre sistemele informatice din Cloudul privat guvernamental, în conformitate cu prevederile art. 17 alin. (5)."
3. La articolul 2, după litera w) se introduc trei noi litere, lit. x)-z), cu următorul cuprins:
"x) cloud intern - model de cloud privat scalabil şi elastic, care permite accesul la cerere, prin reţea, la resurse fizice şi/sau virtuale, în mod partajat, necesare utilizatorilor, sub forma de servicii de cloud, respectiv IaaS, PaaS şi SaaS, şi care dispune de o platforma de monitorizare unitara a resurselor;
y) cloud dedicat - model de cloud privat care permite accesul prin reţea la un grup scalabil şi elastic de resurse fizice şi/sau virtuale care pot fi folosite de catre utilizatori, în mod partajat, la cerere, în sistem self-service, sub forma de servicii de cloud, respectiv IaaS, PaaS şi SaaS, şi care dispune de o platforma de management unitara a resurselor la nivel de CPG, asigurata de ADR;
z) API - interfaţa de programare a aplicaţiei, respectiv un set de funcţii, proceduri, definiţii şi protocoale pentru comunicarea dintre maşini şi schimbul fara sincope de date."
4. La articolul 3, după alineatul (5) se introduce un nou alineat, alin. (5^1), cu următorul cuprins:
"(5^1) Guvernul României, prin MCID, încheie cu producătorii de tehnologie software acorduri guvernamentale de stabilire a condiţiilor de licenţiere pentru nevoile statului român, necesare implementării şi utilizării Cloudului privat guvernamental, în condiţiile stabilite prin hotarâre a Guvernului."
5. La articolul 4, alineatul (3) se modifică şi va avea următorul cuprins:
"(3) ADR asigura implementarea, administrarea tehnica şi operaţionala, mentenanţa, precum şi dezvoltarea ulterioara pentru serviciile SaaS specifice cloudului intern, inclusiv asigurarea, prin acorduri-cadru, conform legislaţiei achiziţiilor publice, a licenţelor necesare migrării în Cloudul privat guvernamental a sistemelor informatice şi serviciilor publice electronice."
6. La articolul 4, după alineatul (3) se introduce un nou alineat, alin. (3^1), cu următorul cuprins:
"(3^1) ADR este responsabila de proiectarea şi achiziţionarea cloudului dedicat şi de asigurarea implementării, administrării tehnice şi operaţionale, securităţii cibernetice, mentenanţei, precum şi dezvoltării ulterioare a serviciilor specifice acestuia."
7. La articolul 5, alineatele (1), (2) şi (4) se modifică şi vor avea următorul cuprins:
"ART. 5
(1) Infrastructura de baza a cloudului intern este asigurata de STS.
(2) STS asigura implementarea, administrarea tehnica şi operaţionala, securitatea cibernetica, mentenanţa, precum şi dezvoltarea ulterioara a infrastructurii de baza şi a serviciilor de cloud de tip IaaS şi PaaS furnizate de cloudul intern.
...............................
(4) STS asigura securitatea cibernetica a cloudului intern prin prevenirea şi contracararea atacurilor cibernetice îndreptate împotriva infrastructurii de baza şi a serviciilor de cloud de tip IaaS şi PaaS furnizate de cloudul intern, inclusiv a atacurilor de tip DDoS, în conformitate cu atribuţiile prevăzute prin actele normative în vigoare."
8. La articolul 6, alineatele (1), (2) şi (4) se modifică şi vor avea următorul cuprins:
"ART. 6
(1) SRI asigura securitatea cibernetica a serviciilor de cloud de tip SaaS furnizate entităţilor găzduite din cloudul intern prin cunoaşterea, prevenirea şi contracararea atacurilor, ameninţărilor, riscurilor şi vulnerabilităţilor cibernetice, inclusiv a celor complexe, de tip APT.
(2) SRI cooperează cu STS, conform competenţelor fiecărei instituţii, pentru cunoaşterea, prevenirea şi contracararea atacurilor cibernetice complexe, de tip APT, îndreptate împotriva serviciilor IaaS şi PaaS furnizate din cloudul intern, prin schimbul nemijlocit şi automat al informaţiilor referitoare la incidentele de securitate, fără a transfera date de conţinut.
(4) SRI asigură implementarea, administrarea tehnică şi operaţională, mentenanţa, precum şi dezvoltarea ulterioară a serviciilor de securitate cibernetică din cloudul intern, prevăzute la alin. (1), şi sprijină ADR, la cerere, în realizarea securităţii cibernetice a cloudului dedicat din Cloudul privat guvernamental."
9. La articolul 6, după alineatul (4) se introduce un nou alineat, alin. (5), cu următorul cuprins:
"(5) SRI asigură securitatea cibernetică a Cloudului privat guvernamental prin cunoaşterea, prevenirea şi contracararea atacurilor, ameninţărilor, riscurilor şi vulnerabilităţilor cibernetice, inclusiv a celor complexe, de tip APT, îndreptate împotriva serviciilor Cloudului privat guvernamental şi a entităţilor găzduite şi nominalizarea de experţi în comisiile de recepţie ale ADR şi STS, care să valideze recepţia calitativă şi cantitativă a echipamentelor şi soluţiilor destinate securităţii cibernetice, pentru cloudul intern şi cloudul dedicat."
10. La articolul 10, alineatele (1), (3) şi (6) se modifică şi vor avea următorul cuprins:
"ART. 10
(1) Infrastructura de bază, laaS şi PaaS aferente cloudului intern sunt proprietate a statului şi în administrarea STS, care le achiziţionează conform prevederilor legale în vigoare privind achiziţiile publice.
................................
(3) Software-ul şi licenţele aferente migrării în Cloudul privat guvernamental a sistemelor informatice sunt proprietate privată a statului şi în administrarea ADR, care le achiziţionează sau le preia, după caz, conform prevederilor legale în vigoare privind achiziţiile publice, prin intermediul unor proceduri competitive, transparente, necondiţionate şi nediscriminatorii şi le pune la dispoziţia utilizatorilor de servicii cloud, în condiţiile stabilite în acordul de migrare prevăzut la art. 4 alin. (4).
(6) Administratorii cloudului intern şi cloudului dedicat din care sunt furnizate serviciile de laaS, PaaS şi SaaS în Cloudul privat guvernamental, precum şi administratorii de securitate cibernetică menţionaţi la art. 5-7 asigură jurnalizarea evenimentelor şi accesului la datele entităţilor găzduite în Cloudul privat guvernamental, conform responsabilităţilor prevăzute de prezenta ordonanţă de urgenţă, în scopul efectuării unor activităţi de audit de conformitate periodice pe linia protecţiei, calităţii, securităţii şi trasabilităţii datelor, în vederea asigurării transparenţei utilizării acestora."
11. La articolul 10, după alineatul (1) se introduce un nou alineat, alin. (1^1), cu următorul cuprins:
"(1^1) Cloudul dedicat este proprietate privată a statului şi este achiziţionat şi administrat de ADR, conform prevederilor legale în vigoare privind achiziţiile publice, cu excepţia acelor componente pentru care se achiziţionează dreptul de utilizare."
12. La articolul 10, după alineatul (10) se introduc şase noi alineate, alin. (11)-(16), cu următorul cuprins:
"(11) STS achiziţionează pe bază de acorduri-cadru, încheiate în conformitate cu legislaţia în vigoare privind achiziţiile publice, în limita resurselor disponibile, licenţele de sisteme de operare şi baze de date necesare funcţionării sistemelor informatice aparţinând utilizatorilor de servicii de cloud din cloudul intern.
(12) Încheierea de către STS a contractelor subsecvente având ca obiect licenţele prevăzute la alin. (1) se realizează în baza unei solicitări scrise transmise de ADR către STS, în urma analizei de migrare a utilizatorilor de servicii de cloud în cloudul intern.
(13) În termen de 5 zile lucrătoare de la recepţionare, licenţele prevăzute la alin. (2) se transferă fără plată către ADR, pe bază de proces-verbal de predare-preluare, care constituie document justificativ pentru înregistrarea acestora în contabilitate.
(14) Prevederile alin. (11)-(13) se aplică exclusiv pe perioada de implementare a cloudului intern, obligaţia de asigurare a acestor licenţe ulterior finalizării implementării cloudului intern revenind utilizatorilor de servicii de cloud de tip laaS şi PaaS furnizate din Cloudul privat guvernamental sau ADR.
(15) ADR achiziţionează, în conformitate cu legislaţia în vigoare privind achiziţiile publice, resurse necesare funcţionării sistemelor informatice aparţinând utilizatorilor de servicii de cloud din cloudul dedicat.
(16) Ulterior finalizării implementării Cloudului privat guvernamental, costurile generate de utilizarea resurselor necesare funcţionării sistemelor informatice găzduite în Cloudul privat guvernamental sunt suportate de către utilizatorii de servicii de cloud, în conformitate cu prevederile acordului încheiat în acest sens cu ADR."
ART. II
Hotărârea Guvernului prevăzută la art. 3 alin. (5^1) din Ordonanţa de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, aprobată cu modificări şi completări prin Legea nr. 180/2023, cu modificările şi completările aduse prin prezenta ordonanţă de urgenţă, se adoptă în termen de 90 de zile de la intrarea în vigoare a prezentei ordonanţe de urgenţă.
PRIM-MINISTRU
ION-MARCEL CIOLACU
Contrasemnează:
Viceprim-ministru,
Marian Neacşu
Ministrul cercetării, inovării şi digitalizării,
Bogdan-Gruia Ivan
p. Preşedintele Autorităţii pentru Digitalizarea României,
Bogdan-Ionel Floricel
Directorul Serviciului de Telecomunicaţii Speciale,
Ionel-Sorin Bălan
p. Directorul Serviciului Român de Informaţii,
Răzvan Ionescu
Secretarul general al Guvernului,
Mircea Abrudean
p. Ministrul investiţiilor şi proiectelor europene,
Teodora-Elena Preoteasa,
secretar de stat
Bucureşti, 28 decembrie 2023.
Nr. 130.
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect: