NORME METODOLOGICE din 13 martie 2014 privind elementele tehnice si de securitate ale sistemului de colectare online a declaratiilor de sustinere a propunerilor de initiativa cetateneasca
EMITENT: MINISTERUL PENTRU SOCIETATEA INFORMATIONALA
PUBLICAT: MONITORUL OFICIAL nr. 227 din 31 martie 2014
CAP. I
Dispozitii generale
ART. 1
(1) Prezentele norme metodologice stabilesc elementele tehnice si de securitate ale sistemului de colectare online a declaratiilor de sustinere a propunerilor de initiativa cetateneasca, conform Regulamentului (UE) nr. 211/2011 al Parlamentului European si al Consiliului din 16 februarie 2011 privind initiativa cetateneasca, cu modificarile ulterioare, denumit in continuare Regulamentul (UE) nr. 211/2011.
(2) Normele metodologice vizeaza declaratiile de sustinere a propunerilor de initiativa cetateneasca colectate printr-un sistem de colectare online, a carui baza de date este stocata intr-o locatie aflata pe teritoriul Romaniei.
ART. 2
(1) In intelesul prezentelor norme metodologice, termenii utilizati au urmatoarele definitii:
a) initiativa cetateneasca - initiativa prezentata Comisiei Europene (Comisia) in conformitate cu Regulamentul (UE) nr. 211/2011, prin care Comisia este invitata sa prezinte, in limitele atributiilor sale, orice propunere corespunzatoare privind chestiuni pentru care cetatenii considera ca este necesar un act juridic al Uniunii Europene in vederea punerii in aplicare a tratatelor, care a fost sustinuta de cel putin un milion de semnatari eligibili provenind din cel putin un sfert din toate statele membre;
b) semnatar - cetatean al Uniunii Europene care a sprijinit o anumita initiativa cetateneasca prin completarea unui formular de declaratie de sustinere a initiativei respective;
c) organizator - persoana fizica ce formeaza un comitet al cetatenilor responsabil de pregatirea unei initiative cetatenesti si de prezentarea acesteia Comisiei;
d) sistem de colectare online - sistem informational constand in programe, echipamente, mediu de gazduire, procese operationale si personal, destinat colectarii online a declaratiilor de sustinere;
e) plan de securitate - documentul ce descrie totalitatea masurilor tehnice si administrative care sunt luate de catre organizator pentru utilizarea in conditii de siguranta a sistemului de colectare online a declaratiilor de sustinere;
f) certificat de confirmare a conformitatii - documentul semnat de autoritatea nationala responsabila care certifica faptul ca sistemul de colectare online a declaratiilor de sustinere este conform cu dispozitiile relevante din Regulamentul (UE) nr. 211/2011.
(2) In intelesul prezentelor norme metodologice, abrevierile utilizate au urmatoarele semnificatii:
a) MSI - Ministerul pentru Societatea Informationala;
b) AADR - Agentia pentru Agenda Digitala a Romaniei;
c) ISACA - Information Systems Audit and Control Association (organizatie care acorda certificari de securitate informatica);
d) CISA - Certified Information Systems Auditor (tip de certificare pentru auditorul de sisteme informatice, acordat de ISACA);
e) XML - Extensible Markup Language.
CAP. II
Autoritatea nationala responsabila
ART. 3
(1) Autoritatea nationala responsabila (Autoritatea) pentru eliberarea certificatelor de confirmare a conformitatii sistemelor de colectare online a declaratiilor de sustinere a propunerilor de initiativa cetateneasca este MSI.
(2) Autoritatea isi exercita atributiile de certificare a conformitatii sistemelor de colectare online a declaratiilor de sustinere a propunerilor de initiativa cetateneasca prin intermediul AADR.
(3) Organizatorii vor solicita Autoritatii certificarea sistemului de colectare online a declaratiilor de sustinere daca baza de date a sistemului este stocata intr-o locatie aflata pe teritoriul Romaniei.
(4) Organizatorii vor solicita Autoritatii certificarea conformitatii sistemului de colectare online cu 30 de zile inainte de inceperea colectarii declaratiilor de sustinere a propunerilor de initiativa cetateneasca.
ART. 4
(1) Sistemul de colectare online utilizat pentru o initiativa cetateneasca ce contine declaratii de sustinere din mai multe state membre va fi certificat doar de statul membru in care vor fi stocate datele obtinute prin sistemul de colectare online.
(2) Autoritatea recunoaste certificatele eliberate de celelalte autoritati competente din alte state membre.
ART. 5
Organizatorii au responsabilitatea intocmirii planului de securitate al sistemului utilizat si sunt obligati sa solicite Autoritatii certificarea sistemului chiar daca utilizeaza solutia software pusa la dispozitie de catre Comisie. In cazul in care software-ul nu este modificat, se va verifica doar siguranta infrastructurii - aspectele legate de partea hardware, mediul de gazduire etc.
CAP. III
Sisteme de colectare online
ART. 6
Sistemul de colectare online trebuie sa indeplineasca conditiile tehnice stabilite prin Regulamentul (UE) nr. 211/2011 si Regulamentul de punere in aplicare (UE) nr. 1.179/2011 al Comisiei din 17 noiembrie 2011 de stabilire a unor specificatii tehnice pentru sistemele de colectare online in conformitate cu Regulamentul (UE) nr. 211/2011 al Parlamentului European si al Consiliului privind initiativa cetateneasca, astfel incat sa fie indeplinite urmatoarele cerinte:
a) formularele de declaratie de sustinere online pot fi depuse doar de persoanele fizice;
b) datele furnizate online vor fi colectate si stocate astfel incat sa se asigure, printre altele, ca acestea nu pot fi modificate sau utilizate in orice alt scop decat cel indicat, si anume sustinerea unei anumite initiative cetatenesti, si vor fi protejate datele cu caracter personal;
c) asigura impotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificarii, divulgarii neautorizate sau accesului neautorizat;
d) sistemul va genera formulare de declaratii de sustinere intr-o forma care sa respecte modelele prevazute in anexa III la Regulamentul (UE) nr. 211/2011.
ART. 7
Cerintele minime de securitate pe care trebuie sa le indeplineasca sistemul de colectare online a declaratiilor de sustinere sunt:
a) asigurarea confidentialitatii si integritatii comunicatiilor electronice;
b) asigurarea securitatii bazei de date si a integritatii datelor;
c) asigurarea autenticitatii datelor;
d) asigurarea protectiei datelor cu caracter personal;
e) detectarea, monitorizarea si impiedicarea accesului neautorizat in sistem;
f) restaurarea informatiilor gestionate de sistem in cazul unor calamitati naturale si evenimente imprevizibile;
g) gestionarea si administrarea sistemului informatic;
h) orice alte activitati sau masuri tehnice intreprinse pentru operarea in siguranta a sistemului.
ART. 8
Organizatorul are obligatia intocmirii unui plan de securitate care va avea urmatoarea structura:
1. Informatii de identificare:
a) numele si prenumele organizatorului sistemului de colectare online a declaratiilor de sustinere;
b) titlul propunerii de initiativa cetateneasca;
c) numarul de inregistrare atribuit de Comisie;
d) statutul operational al sistemului de colectare online a declaratiilor de sustinere;
e) descrierea generala a solutiei tehnice;
f) locatia bazei de date a sistemului de colectare online a declaratiilor de sustinere;
g) datele de contact ale persoanelor responsabile.
2. Senzitivitatea sistemului:
a) norme de siguranta a informatiilor;
b) cerinte functionale;
c) securitatea la nivelul aplicatiei informatice;
d) securitatea bazei de date si integritatea datelor;
e) siguranta infrastructurilor - amplasamentul fizic, infrastructura de retea si mediul serverului.
ART. 9
Autoritatea, prin personal desemnat, indeplineste urmatoarele atributii:
a) verifica daca sistemul permite depunerea formularelor de declaratie de sustinere online doar de catre persoanele fizice;
b) se asigura ca sistemul genereaza formulare de sustinere conform anexei III la Regulamentul (UE) nr. 211/2011 sau ofera posibilitatea de exportare a declaratiilor de sustinere intr-un format interoperabil, cum ar fi XML;
c) primeste notificarile aferente declaratiilor de sustinere a propunerilor de initiativa cetateneasca la adresa de e-mail ice@aadr.ro care functioneaza ca punct unic de contact in relatia cu organizatorii.
CAP. IV
Eliberarea certificatului de confirmare a conformitatii
ART. 10
Autoritatea elibereaza, in urma verificarii respectarii conditiilor de la art. 6, un certificat de confirmare a conformitatii sistemelor de colectare online a declaratiilor de sustinere a propunerilor de initiativa cetateneasca (anexa nr. 2), conform modelului prezentat in anexa IV la Regulamentul (UE) nr. 211/2011.
ART. 11
Un sistem poate fi certificat doar pentru o singura initiativa cetateneasca. In cazul in care organizatorii doresc sa utilizeze acelasi sistem pentru o noua initiativa, ei au obligatia de a-si certifica sistemul inca o data pentru aceasta initiativa.
ART. 12
Documentele necesare pentru certificarea sistemului utilizat sunt:
a) cererea adresata in acest scop Autoritatii (anexa nr. 1);
b) dovada calitatii de operator de date cu caracter personal;
c) copie de pe inregistrarea propunerii de initiativa cetateneasca in registrul Comisiei;
d) descrierea functionala a sistemului informatic;
e) planul de securitate al sistemului informatic, semnat de catre organizator;
f) opinia de audit asupra planului de securitate prevazut la art. 8 si a solutiei informatice prin intermediul careia este oferit sistemul de colectare online a declaratiilor de sustinere;
g) o declaratie in care este exprimata independenta auditorului fata de sistemul informatic auditat.
ART. 13
(1) Opinia de audit prevazuta la art. 12 lit. f) va fi intocmita de catre o persoana certificata ca auditor de sisteme informatice (auditor). In procesul de auditare, auditorul poate solicita concursul unor experti.
(2) La cererea expresa a Autoritatii, precum si in cazul opiniilor de audit exprimate cu rezerve, organizatorul va pune la dispozitie raportul de audit rezultat in urma auditarii sistemului.
(3) Documentele enumerate la art. 12 vor fi intocmite intr-un singur exemplar, in limba romana.
(4) In cazul in care se constata indeplinirea conditiilor legale, Autoritatea elibereaza un certificat de confirmare a conformitatii sistemului de colectare online a declaratiilor de sustinere in termen de 30 de zile de la data la care organizatorii initiativei cetatenesti au solicitat certificarea sistemului si au prezentat toate documentele necesare pentru certificarea acestuia.
ART. 14
(1) Dupa eliberarea certificatului de confirmare a conformitatii, in termen de 3 zile calendaristice, Autoritatea va remite organizatorului un exemplar al certificatului (anexa 2), in conformitate cu anexa nr. IV la Regulamentul (UE) nr. 211/2011.
(2) Certificatul de confirmare a conformitatii este valabil pe o perioada de 12 luni de la data emiterii sale.
(3) Certificatul de confirmare a conformitatii eliberat nu este transmisibil.
CAP. V
Alte prevederi
ART. 15
Institutiile desemnate vor duce la indeplinire aceste norme si vor aduce la cunostinta partilor interesate continutul prezentelor norme metodologice prin respectarea prevederilor principiului european al transparentei decizionale.
ART. 16
(1) Prezentele norme metodologice vor intra in vigoare in termen de 15 zile de la data publicarii in Monitorul Oficial al Romaniei, Partea I.
(2) Prezentul ordin se publica in Monitorul Oficial al Romaniei, Partea I.
ART. 17
Anexele nr. 1-2 fac parte integranta din prezentele norme metodologice.
ANEXA 1
CERERE-TIP
- model -
1. Numele complete (inclusiv adresele postale si adresele de e-mail):
.........................................................................
.........................................................................
2. Titlul propunerii de initiativa cetateneasca:
.........................................................................
.........................................................................
3. Numarul de inregistrare atribuit de Comisia Europeana:
.........................................................................
4. Data inregistrarii:
.........................................................................
5. Solutia software utilizata
.........................................................................
.........................................................................
6. Anexe:
.........................................................................
.........................................................................
.........................................................................
.........................................................................
7. Data si semnaturile persoanelor de contact:
.........................................................................
ANEXA 2
CERTIFICAT
de confirmare a conformitatii sistemelor de colectare online a
declaratiilor de sustinere a propunerilor de initiativa cetateneasca
- model -
Agentia pentru Agenda Digitala a Romaniei, in numele Ministerului pentru Societatea Informationala, in calitate de autoritate competenta din Romania, certifica prin prezenta ca sistemul de colectare online ......................../(adresa de internet)................. utilizat pentru colectarea declaratiilor de sustinere pentru ........................../(titlul propunerii de initiativa cetateneasca)........................... este conform cu dispozitiile relevante din Regulamentul (UE) nr. 211/2011 al Parlamentului European si al Consiliului din 16 februarie 2011 privind initiativa cetateneasca.
Data, semnatura si parafa oficiala a autoritatii competente
...................................................
------