HOTĂRÂRE nr. 494 din 11 mai 2011privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO
EMITENT
  • GUVERNUL
  • Publicat în  MONITORUL OFICIAL nr. 388 din 2 iunie 2011



    În temeiul art. 108 din Constituția României, republicată, și al art. 11 alin. (1) și (2) din Ordonanța Guvernului nr. 57/2002 privind cercetarea științifică și dezvoltarea tehnologică, aprobată cu modificări și completări prin Legea nr. 324/2003, cu modificările și completările ulterioare,Guvernul României adoptă prezenta hotărâre.  +  Articolul 1(1) Se înființează Centrul Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO, ca structură independentă de expertiză și cercetare-dezvoltare în domeniul protecției infrastructurilor cibernetice, denumit în continuare CERT-RO, cu sediul în bd. Mareșal Averescu nr. 8-10, sectorul 1, București.(1^1) CERT-RO este autoritate competentă la nivel național pentru securitatea rețelelor și sistemelor informatice care asigură furnizarea de servicii esențiale ori furnizează servicii digitale în sensul prevăzut de Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, cu atribuții de reglementare, autorizare, atestare, monitorizare și control, cuprinzând în structura sa o echipă națională de răspuns la incidente de securitate informatică și un punct unic de contact la nivel național. (la 13-08-2019, Articolul 1 a fost completat de Punctul 1, ARTICOLUL UNIC din HOTĂRÂREA nr. 584 din 8 august 2019, publicată în MONITORUL OFICIAL nr. 673 din 13 august 2019 ) (2) CERT-RO este instituție publică cu personalitate juridică, în coordonarea Ministerului Comunicațiilor și Societății Informaționale, denumit în continuare MCSI, finanțată conform prevederilor Legii nr. 362/2018, cu modificările și completările ulterioare. (la 13-08-2019, Alineatul (2) din Articolul 1 a fost modificat de Punctul 2, ARTICOLUL UNIC din HOTĂRÂREA nr. 584 din 8 august 2019, publicată în MONITORUL OFICIAL nr. 673 din 13 august 2019 ) (3) CERT-RO nu va prelua nicio parte din activitatea desfășurată în prezent de Institutul Național de Cercetare-Dezvoltare în Informatică - ICI București.(4) CERT-RO nu are competențe în domeniul infrastructurilor cibernetice destinate procesării, stocării sau transmiterii informațiilor clasificate.  +  Articolul 2În înțelesul prezentei hotărâri, termenii și expresiile de mai jos au următoarea semnificație:a) CERT - centru de răspuns la incidente de securitate cibernetică - entitate organizațională specializată care dispune de capacitatea necesară pentru prevenirea, analiza, identificarea și reacția la incidentele cibernetice;b) Comunitatea CERT din România - ansamblul centrelor de tip CERT care funcționează în cadrul autorităților și instituțiilor publice ori al altor persoane juridice de drept public sau privat din România și care relaționează cu CERT-RO pe baza unor proceduri și protocoale de cooperare;c) infrastructuri cibernetice - infrastructuri de tehnologia informației și comunicații, constând în sisteme informatice, aplicații aferente, rețele și servicii de comunicații electronice;d) spațiul cibernetic - mediul virtual, generat de infrastructurile cibernetice, incluzând conținutul informațional procesat, stocat sau transmis, precum și acțiunile derulate de utilizatori în acesta;e) securitate cibernetică - starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive prin care se asigură confidențialitatea, integritatea, disponibilitatea, autenticitatea și nonrepudierea informațiilor în format electronic, a resurselor și serviciilor publice sau private din spațiul cibernetic. Măsurile proactive și reactive pot include: politici, concepte, standarde și ghiduri de securitate, managementul riscului, activități de instruire și conștientizare, implementarea de soluții tehnice de protejare a infrastructurilor cibernetice, managementul identității, managementul consecințelor;f) atac cibernetic - orice acțiune ostilă desfășurată în spațiul cibernetic de natură să afecteze securitatea cibernetică;g) incident cibernetic - orice eveniment survenit în spațiul cibernetic de natură să afecteze securitatea cibernetică;h) serviciile publice de tip preventiv:1. anunțuri privind evenimente în domeniu;2. anunțuri privind amenințări nou-identificate pe plan național și internațional;3. cercetare și informare privind noutățile tehnologice în domeniu;4. realizarea, la cerere, de auditări și evaluări de securitate sau teste de penetrare;5. estimarea vulnerabilităților și punerea la dispoziție de situații actualizate privind încercările de intruziune și servicii de localizare a surselor atacurilor, pe baza informațiilor transmise de furnizorii de rețele și servicii de comunicații electronice;6. diseminarea informațiilor de securitate cibernetică;i) serviciile publice de tip reactiv:1. alerte și atenționări privind apariția unor activități premergătoare atacurilor;2. gestiunea incidentelor la nivel național, în cooperare cu celelalte echipe CERT;3. diseminarea rezultatelor investigațiilor incidentelor de securitate cibernetică, cu respectarea prevederilor acordurilor de cooperare încheiate cu partenerii CERT-RO;j) serviciile publice de consultanță pentru managementul calității serviciilor de securitate cibernetică:1. analize de risc aplicate la nivel local și la nivel național privind infrastructurile cibernetice;2. planificarea asigurării funcționării continue și a recuperării în caz de dezastre;3. atestarea managementului securității cibernetice și a incidentelor cibernetice;4. pregătirea echipelor de tip CERT, a echipelor de audit în domeniul securității rețelelor, cu prioritate a celor incluse în infrastructura critică națională;k) sistem de alertă timpurie și informare în timp real privind incidentele cibernetice - ansamblul de proceduri și sisteme tehnice care au rolul de a identifica premisele de apariție a incidentelor cibernetice și de a avertiza în cazul producerii acestora. Sistemul include și conexiuni de date ce vor transporta informații referitoare la incidentele cibernetice identificate de senzori dedicați, precum și informații statistice referitoare la valorile de trafic înregistrate în nodurile de rețea ale infrastructurilor cibernetice ce asigură funcționalități de utilitate publică ori asigură servicii ale societății informaționale.  +  Articolul 3(1) CERT-RO își desfășoară activitatea în conformitate cu legislația în vigoare și cu regulamentul propriu de organizare și funcționare, în scopul realizării prevenirii, analizei, identificării și reacției la incidente în cadrul infrastructurilor cibernetice ce asigură funcționalități de utilitate publică ori asigură servicii ale societății informaționale, precum și în scopul asigurării unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice în conformitate cu prevederile Legii nr. 362/2018, cu modificările și completările ulterioare. (la 13-08-2019, Alineatul (1) din Articolul 3 a fost modificat de Punctul 3, ARTICOLUL UNIC din HOTĂRÂREA nr. 584 din 8 august 2019, publicată în MONITORUL OFICIAL nr. 673 din 13 august 2019 ) (2) Pentru infrastructurile cibernetice aflate în administrarea instituțiilor din domeniul apărării, ordinii publice și siguranței naționale, CERT-RO îndeplinește doar atribuțiile de cooperare, în baza unor acorduri dedicate, încheiate cu structurile de tip CERT ale acestora.(3) CERT-RO reprezintă un punct național de contact cu structurile de tip CERT care funcționează în cadrul instituțiilor sau autorităților publice ori al altor persoane juridice de drept public sau privat, naționale ori internaționale, cu respectarea competențelor ce revin celorlalte autorități și instituții publice cu atribuții în domeniu, potrivit legii.(4) CERT-RO asigură elaborarea și diseminarea politicilor publice de prevenire și contracarare a incidentelor din cadrul infrastructurilor cibernetice, potrivit ariei de competență.(5) CERT-RO analizează disfuncționalitățile procedurale și tehnice la nivelul infrastructurilor cibernetice, potrivit ariei de competență, și transmite instituțiilor sau autorităților publice ori altor persoane juridice de drept public sau privat aspectele de interes.  +  Articolul 4(1) În vederea îndeplinirii atribuțiilor ce îi revin, CERT-RO încheie protocoale de cooperare/colaborare cu instituțiile publice sau alte persoane juridice de drept public sau privat, naționale sau internaționale, respectând competențele ce revin celorlalte autorități și instituții publice cu atribuții în domeniu, putând dezvolta și parteneriate publice-private.(2) CERT-RO cooperează cu entitățile și persoanele prevăzute la alin.(1) pentru asigurarea disponibilității, confidențialității, integrității, autenticității și nonrepudierii informațiilor în format electronic, în scopul prevenirii, analizei, identificării și reacției la incidente cibernetice.(3) Criteriile și cerințele minime pe care trebuie să le îndeplinească un centru de tip CERT pentru a fi inclus în Comunitatea CERT din România, precum și procedurile de colaborare se stabilesc și se actualizează prin decizie a directorului general CERT-RO, cu avizul Comitetului de coordonare.  +  Articolul 5CERT-RO realizează și administrează un portal propriu, dedicat securității cibernetice, prin care sunt publicate noutăți din domeniu, alerte privind amenințările cele mai probabile, precum și cele mai bune practici de protecție recomandate.  +  Articolul 6CERT-RO are următoarele atribuții:a) oferă servicii publice de tip preventiv, de tip reactiv și de consultanță;b) organizează și întreține un sistem de baze de date privind amenințările, vulnerabilitățile și incidentele de securitate cibernetică identificate sau raportate, tehnici și tehnologii folosite pentru atacuri, precum și bune practici pentru protecția infrastructurilor cibernetice;c) asigură cadrul organizatoric și suportul tehnic necesar schimbului de informații dintre diverse echipe de tip CERT, utilizatori, autorități, producători de echipamente și soluții de securitate cibernetică, precum și furnizori de servicii în domeniu;d) organizează, desfășoară sau participă la activități de instruire în domeniul securității cibernetice;e) organizează simpozioane, dezbateri pe teme de securitate cibernetică și asigură diseminarea unor informații specifice prin mass-media;f) desfășoară activități de cercetare-dezvoltare în domeniu și elaborează proceduri și recomandări privind securitatea cibernetică, potrivit prevederilor legale privind cercetarea științifică și dezvoltarea tehnologică;g) asigură MCSI suportul tehnic și de specialitate pentru elaborarea politicilor de securitate cibernetică necesar a fi respectate de furnizorii de rețele și servicii de comunicații electronice publice pentru obținerea autorizării de funcționare a acestora, precum și la evaluarea modului de implementare a acestora;h) asigură consultanță de specialitate autorităților publice responsabile, stabilite conform Ordonanței de urgență a Guvernului nr. 98/2010 privind identificarea, desemnarea și protecția infrastructurilor critice, aprobată cu modificări prin Legea nr. 18/2011, cu privire la produsele și sistemele de securitate cibernetică care deservesc infrastructurile critice naționale și europene;i) asigură puncte de contact pentru colectarea sesizărilor și a informațiilor despre incidente de securitate cibernetică atât automatizat, cât și prin comunicare directă securizată, după caz;j) identifică, analizează și clasifică incidentele de securitate din cadrul infrastructurilor cibernetice, conform ariei de competență;k) elaborează propuneri pe care le înaintează către MCSI sau Consiliului Suprem de Apărare a Țării, denumit în continuare CSAT, privind modificarea cadrului legislativ în vederea stimulării dezvoltării securității infrastructurilor cibernetice ce asigură funcționalități de utilitate publică ori asigură servicii ale societății informaționale;l) planifică și programează în proiectul de buget propriu resursele financiare necesare în vederea realizării politicilor în domeniile sale de competență;m) coordonează derularea proiectelor, ale căror beneficiari sunt MCSI și/sau instituțiile din subordinea acestuia, cu finanțare națională sau internațională în domeniul securității infrastructurilor cibernetice ce asigură funcționalități de utilitate publică, ori asigură servicii ale societății informaționale, care vizează capacitatea instituțională operațională a CERT-RO;n) asigură MCSI suportul tehnic și de specialitate pentru urmărirea și controlul aplicării prevederilor cuprinse în actele normative în vigoare sau în acordurile internaționale în domeniul de competență și notifică organele competente pentru demararea procedurilor legale în vederea cercetării și sancționării, după caz.  +  Articolul 7(1) În cadrul CERT-RO se constituie Sistemul de alertă timpurie și informare în timp real privind incidentele cibernetice.(2) Datele primite în Sistemul de alertă timpurie și informare în timp real privind incidentele cibernetice vor fi centralizate și prelucrate de către CERT-RO, în scopul:a) avertizării în timp real și emiterii de rapoarte cu privire la distribuția și natura incidentelor;b) colaborării cu autoritățile naționale responsabile în asigurarea securității cibernetice, în vederea prevenirii și înlăturării efectelor incidentelor.  +  Articolul 8Furnizorii de rețele și servicii de comunicații electronice publice, precum și alte persoane juridice de drept public sau privat, care dețin sau administrează infrastructuri cibernetice ce susțin funcționalități de utilitate publică ori servicii ale societății informaționale, asigură, în condițiile legii, resursele tehnice și funcționale necesare dezvoltării componentei proprii de securitate în conformitate cu cerințele și specificațiile furnizate de CERT-RO și interconectării cu Sistemul de alertă timpurie și informare în timp real cu privire la atacurile cibernetice.  +  Articolul 9(1) CERT-RO cooperează cu institute de cercetare, instituții de învățământ superior și persoane juridice de drept privat în realizarea unor proiecte de cercetare și pregătirea unor specialiști în domeniu.(2) CERT-RO formulează tematici și proiecte de cercetare și dezvoltare în domeniul securității cibernetice, independent sau în cooperare cu autorități naționale ori cu alte persoane fizice sau juridice, la nivel național sau internațional.  +  Articolul 10CERT-RO participă cu specialiști la grupurile de lucru din țară și străinătate în domeniul de competență, pe bază de mandat aprobat de către directorul general.  +  Articolul 11Pentru îndeplinirea atribuțiilor ce îi revin, CERT-RO gestionează și utilizează următoarele categorii de informații:a) informații publice;b) informații nedestinate publicității; (la 13-08-2019, Litera b) din Articolul 11 a fost modificată de Punctul 4, ARTICOLUL UNIC din HOTĂRÂREA nr. 584 din 8 august 2019, publicată în MONITORUL OFICIAL nr. 673 din 13 august 2019 ) c) informații clasificate.  +  Articolul 12(1) CERT-RO este condus de un director general și de un director general adjunct, sprijiniți de Comitetul de coordonare.(2) Directorul general este numit prin ordinul ministrului comunicațiilor și societății informaționale și își desfășoară activitatea în baza unui contract de mandat pe o perioadă de 5 (cinci) ani, cu posibilitatea de prelungire a mandatului.(3) Contractul de mandat este asimilat contractului individual de muncă și conferă titularului vechime în muncă și în specialitate.(4) Pot ocupa funcțiile de director general și director general adjunct persoanele care îndeplinesc cumulativ următoarele condiții:a) au cetățenia română;b) cunosc limba română, scris și vorbit;c) au capacitate deplină de exercițiu;d) au o stare de sănătate corespunzătoare, atestată pe bază de examen medical de specialitate;e) au studii universitare de licență, respectiv studii superioare de lungă durată, absolvite cu diplomă;f) nu au fost condamnate pentru săvârșirea unei infracțiuni săvârșite cu intenție, cu excepția situației în care a intervenit reabilitarea;g) nu se încadrează în dispozițiile art. 2 lit. a) și b) din Ordonanța de urgență a Guvernului nr. 24/2008 privind accesul la propriul dosar și deconspirarea Securității, aprobată cu modificări și completări prin Legea nr. 293/2008.(5) Directorul general este ordonator de credite, în condițiile legii.(6) Directorul general al CERT-RO este președintele Comitetului de coordonare, care are atribuțiile stabilite prin Regulamentul de organizare și funcționare al CERT-RO.(7) Comitetul de coordonare este format din reprezentanți ai:a) MCSI;b) Ministerului Apărării Naționale;c) Ministerului Administrației și Internelor;d) Serviciului Român de Informații;e) Serviciului de Informații Externe;f) Serviciului de Telecomunicații Speciale;g) Serviciului de Protecție și Pază;h) Oficiului Registrului Național al Informațiilor Secrete de Stat;i) Autorității Naționale pentru Administrare și Reglementare în Comunicații.(8) În vederea îndeplinirii atribuțiilor ce revin CERT-RO, directorul general emite decizii și instrucțiuni.  +  Articolul 13(1) Activitatea CERT-RO este analizată semestrial în Comitetul de coordonare, pe baza raportului elaborat în acest sens de către directorul general.(2) CERT-RO prezintă CSAT un raport anual privind activitatea sa.  +  Articolul 14(1) Numărul maxim de posturi este de 149. (la 13-08-2019, Alineatul (1) din Articolul 14 a fost modificat de Punctul 5, ARTICOLUL UNIC din HOTĂRÂREA nr. 584 din 8 august 2019, publicată în MONITORUL OFICIAL nr. 673 din 13 august 2019. ) (2) Personalul CERT-RO este format din personal contractual sau detașat de la alte instituții sau alte autorități publice, în condițiile legii.(2^1) În cadrul instituției se pot desfășura și activități de voluntariat, practică și internship. (la 13-08-2019, Articolul 14 a fost completat de Punctul 6, ARTICOLUL UNIC din HOTĂRÂREA nr. 584 din 8 august 2019, publicată în MONITORUL OFICIAL nr. 673 din 13 august 2019 ) (3) Organizarea și desfășurarea examenelor sau concursurilor vizând personalul contractual se realizează în condițiile stabilite de directorul general al CERT-RO.  +  Articolul 15Finanțarea cheltuielilor curente și de capital ale CERT-RO se asigură în conformitate cu prevederile Legii nr. 362/2018, cu modificările și completările ulterioare. (la 13-08-2019, Articolul 15 a fost modificat de Punctul 7, ARTICOLUL UNIC din HOTĂRÂREA nr. 584 din 8 august 2019, publicată în MONITORUL OFICIAL nr. 673 din 13 august 2019 )  +  Articolul 16(1) CERT-RO administrează, exploatează, dezvoltă, modernizează și întreține patrimoniul său.(2) CERT-RO își desfășoară activitatea într-un spațiu din imobilul situat în bd. Mareșal Averescu nr. 8-10, sectorul 1, București, în baza unui contract de comodat încheiat cu Institutul Național de Cercetare-Dezvoltare în Informatică - ICI București, proprietarul imobilului.(3) Bunurile mobile necesare desfășurării obiectului de activitate vor fi preluate pe baza unui proces-verbal de predare-primire și vor constitui patrimoniul CERT-RO, fiind înregistrate la valoarea de inventar din contabilitatea Institutului Național de Cercetare-Dezvoltare în Informatică - ICI București.(4) Patrimoniul Institutului Național de Cercetare-Dezvoltare în Informatică - ICI București se va diminua, în mod corespunzător, cu valoarea bunurilor predate.(5) Rezultatele cercetărilor concretizate în active corporale sau necorporale, obținute în baza unor contracte finanțate din fonduri private, precum și rezultatele obținute din activități desfășurate în asociere în participațiune sau în entități cu personalitate juridică născute în urma unor alte forme de asociere rămân proprietatea Institutului Național de Cercetare-Dezvoltare în Informatică - ICI București, CERT-RO având dreptul de a le utiliza și/sau administra conform dispozițiilor legale.  +  Articolul 17Regulamentul de organizare și funcționare al CERT-RO se aprobă și se revizuiește de către CSAT la propunerea ministrului comunicațiilor și societății informaționale.  +  Articolul 18(1) În termen de 90 de zile de la data intrării în vigoare a prezentei hotărâri, MCSI promovează normele de aplicare elaborate cu sprijinul CERT-RO prin ordin al ministrului comunicațiilor și societății informaționale.(2) Pentru instituțiile publice, termenul de implementare a obligațiilor prevăzute de prezenta hotărâre va curge de la data identificării în bugetul propriu a sumelor necesare, iar achiziția echipamentelor se va realiza cu respectarea dispozițiilor Ordonanței de urgență a Guvernului nr. 34/2006 privind atribuirea contractelor de achiziție publică, a contractelor de concesiune de lucrări publice și a contractelor de concesiune de servicii, aprobată cu modificări și completări prin Legea nr. 337/2006, cu modificările și completările ulterioare.  +  Articolul 19Hotărârea Guvernului nr. 12/2009 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, publicată în Monitorul Oficial al României, Partea I, nr. 51 din 28 ianuarie 2009, cu modificările și completările ulterioare, se modifică după cum urmează:1. Articolul 15 va avea următorul cuprins:  +  Articolul 15Ministerul Comunicațiilor și Societății Informaționale are în subordine Centrul Național de Management pentru Societatea Informațională, Centrul Național «România Digitală» și Centrul Național de Supercomputing și în coordonare directă Institutul Național de Cercetare-Dezvoltare în Informatică - ICI București, Institutul Național de Studii și Cercetări pentru Comunicații - I.N.S.C.C. București și Centrul Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO, instituții prevăzute în anexele nr. 2 și 3.2. Anexa nr. 3 se modifică și se înlocuiește cu anexa la prezenta hotărâre.
    PRIM-MINISTRU
    EMIL BOC
    Contrasemnează:
    Ministrul comunicațiilor
    și societății informaționale,
    Valerian Vreme
    Președintele Autorității Naționale pentru
    Administrare și Reglementare în Comunicații,
    Cătălin Marinescu
    Ministrul apărării naționale,
    Gabriel Oprea
    p. Ministrul administrației și internelor,
    Gheorghe Emacu,
    secretar de stat
    Ministrul muncii, familiei și
    protecției sociale, interimar,
    Emil Boc
    Ministrul educației, cercetării, tineretului și sportului,
    Daniel Petru Funeriu
    Directorul Serviciului Român de Informații,
    George Cristian Maior
    Directorul Serviciului de Telecomunicații Speciale,
    Marcel Opriș
    Directorul Serviciului de Informații Externe,
    Mihai Răzvan Ungureanu
    p. Directorul Oficiului Registrului Național
    al Informațiilor Secrete de Stat,
    Mihai Ion
    Ministrul finanțelor publice,
    Gheorghe Ialomițianu
    București, 11 mai 2011.Nr. 494.  +  Anexă(Anexa nr. 3 la Hotărârea Guvernului nr. 12/2009)UNITĂȚIcare funcționează în coordonareaMinisterului Comunicațiilor și Societății Informaționale
    Nr. crt. Denumirea unității
    1. Institutul Național de Cercetare-Dezvoltare în Informatică - ICI București
    2. Institutul Național de Studii și Cercetări pentru Comunicații - I.N.S.C.C. București
    3. Centrul Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO