METODOLOGIE din 21 iunie 2019de stabilire a efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale
EMITENT
  • MINISTERUL COMUNICAȚIILOR ȘI SOCIETĂȚII INFORMAȚIONALE
  • Publicat în  MONITORUL OFICIAL nr. 590 din 18 iulie 2019 Notă
    Aprobată prin ORDINUL nr. 601 din 21 iunie 2019, publicat în Monitorul oficial, Partea I, nr. 590 din 18 iulie 2019.


    Capitolul I Date generale

    Articolul 1
    (1) Prezenta metodologie de stabilire a efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale, denumită în continuare metodologie, are ca obiect evaluarea gradului de perturbare a furnizării serviciului esențial și se utilizează în procedura de identificare a operatorilor de servicii esențiale, denumiți în continuare OSE.(2) Evaluarea și stabilirea gradului de perturbare a furnizării serviciului esențial reprezintă o fază a primei etape a procesului de identificare a OSE, și anume etapa 1) pasul 3).(3) La elaborarea prezentei metodologii au fost avute în vedere, în principal, următoarele acte normative:
    a) Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, denumită în continuare Legea NIS;
    b) Hotărârea Guvernului nr. 494/2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO;
    c) Ordinul ministrului comunicațiilor și societății informaționale nr. 599/2019 privind aprobarea Normelor metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale.


    Articolul 2
    (1) În conformitate cu art. 5 din Legea NIS, pentru asigurarea unui nivel ridicat de securitate, operatorii de servicii esențiale se identifică și se înscriu în Registrul operatorilor de servicii esențiale.(2) În procesul de identificare a serviciilor esențiale, operatorii economici și alte entități care operează ori furnizează servicii în cadrul sectoarelor și subsectoarelor definite în anexa la Legea NIS ori furnizează servicii esențiale din lista prevăzută la art. 20 lit. r) din aceeași lege, denumiți în continuare OENIS, își evaluează toate serviciile furnizate prin prisma prevederilor art. 6 alin. (1) din Legea NIS.(3) În conformitate cu art. 6 alin. (1) lit. c) din Legea NIS, un serviciu este considerat esențial dacă furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.


    Articolul 3
    (1) În procesul de identificare ca operator de servicii esențiale, prima etapă este identificarea serviciilor esențiale.(2) În pașii parcurși de OENIS pentru evaluarea unui serviciu în vederea identificării ca serviciu esențial în accepțiunea Legii NIS, denumit în continuare SENIS, stabilirea gradului de perturbare a serviciului în cazul producerii unui incident este ultimul pas și în funcție de acesta se finalizează identificarea serviciilor esențiale.


    Articolul 4

    Dacă în urma procesului de identificare ca OSE rezultă un grad de perturbare semnificativ și serviciul esențial îndeplinește condițiile prevăzute la art. 6 alin. (1) din Legea NIS, prin raportare la criteriile intersectoriale de stabilire a impactului unui incident prevăzute la art. 6 alin. (2), respectiv la criteriile sectoriale, precum și la valorile de prag prevăzute la art. 6 alin. (3) din aceeași lege, serviciul furnizat este unul esențial, iar OENIS va fi declarat OSE.


    Capitolul II Metodologia de stabilire a efectului perturbator semnificativ

    Secţiunea 1 Dispoziții generale

    Articolul 5

    Procesul de stabilire a efectului perturbator semnificativ presupune existența a două faze de evaluare a gradului de perturbare a furnizării unui serviciu esențial, și anume:
    a) faza 1 - evaluarea gradului de perturbare a furnizării SENIS în funcție de criteriile intersectoriale identificate la art. 6 alin. (2) din Legea NIS;
    b) faza a 2-a - evaluarea gradului de perturbare a furnizării SENIS în funcție de criteriile sectoriale specifice și valorile de prag stabilite pentru fiecare sector/subsector - se aplică dacă prima fază s-a încheiat cu un rezultat negativ, grad de impact scăzut sau fără identificarea gradului de perturbare a serviciului furnizat.


    Articolul 6
    (1) Evaluarea gradului de perturbare a furnizării SENIS presupune:
    a) identificarea și determinarea valorilor de prag specifice (VI) de către OENIS - valori care diferă în funcție de operatorul economic;
    b) compararea VI cu valorile de prag stabilite (P) prin hotărâre a Guvernului;
    c) stabilirea gradului de impact al incidentului în funcție de grilele de impact specifice fiecărui criteriu intersectorial sau, după caz, sectorial.
    (2) Valorile pentru indicatorul P folosite în procesul de evaluare pentru criteriile intersectoriale și sectoriale sunt stabilite prin hotărâre a Guvernului privind aprobarea valorilor de prag, criteriilor intersectoriale și sectoriale, precum și metodei de stabilire a efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale.(3) În procesul de stabilire a gradului de perturbare se va avea în vedere următoarea scală*):
    *) Scala este reprodusă în facsimil.


    Secţiunea a 2-a Faza 1. Evaluarea gradului de perturbare în funcție de criteriile intersectoriale

    Articolul 7
    (1) În această fază se va proceda la evaluarea gradului de perturbare (GP) în funcție de criteriile intersectoriale și valorile de prag stabilite pentru acestea.(2) Procedura de evaluare este una în trepte, se analizează efectul perturbator pentru fiecare criteriu intersectorial, în funcție de indicatorii metrici și valorile de prag stabilite. Descrierea procedurii este detaliată în subsecțiunile 1-6.


    Articolul 8
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de numărul beneficiarilor afectați, în baza datelor și informațiilor deținute de OENIS (contracte, rapoarte, alte documente etc.) pentru anul precedent.(2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI1 este prezentată în tabelul*) de mai jos.


    Articolul 9
    (1) În funcție de indicatorii metrici (I), OENIS identifică și determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P), după cum urmează:
    a) Pentru determinarea valorii VI(I11), OENIS va stabili numărul utilizatorilor/beneficiarilor finali.
    a.1. În cazul în care nu este posibilă stabilirea acestora în funcție de contracte, se va utiliza formula:
    Număr utilizatori = (Număr contracte PF * cm) + Total număr angajați PJ.

    a1.1.1. Coeficientul de multiplicare (cm) = 2,21. Pentru determinare s-au folosit date statistice furnizate de Institutul Național de Statistică, și anume: populația rezidentă (19.760.314); număr locuințe/gospodării (8.929.000).
    cm = Populația rezidentă/Număr locuințe ≈ 2,21.

    b) Pentru determinarea valorii VI(I12), OENIS va avea în vedere stabilirea numărului de contracte în derulare (în anul precedent).
    (2) În urma evaluării, în funcție de rezultate, se stabilește GP(I1x) pentru criteriul intersectorial CI1 conform tabelului 11-1.


    Articolul 10
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de beneficiarii acestui serviciu, pe baza datelor și informațiilor deținute de OENIS (contracte, rapoarte, alte documente etc.) pentru anul precedent.(2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI2 este prezentată în tabelul de mai jos*).
    *) Tabelul este reprodus în facsimil.


    Articolul 11
    (1) În funcție de indicatorii metrici (I), OENIS identifică și determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P), după cum urmează:
    a) Pentru determinarea valorii VI(I21), numărul de sectoare/subsectoare afectate, OENIS va consulta datele deținute, precum și graficul interdependenței sectoriale din figura 12-1.
    b) Pentru determinarea valorii VI(I22), OENIS va identifica, mai întâi, toți beneficiarii care sunt OSE.
    (2) În urma evaluării, în funcție de rezultate, se stabilește GP(I2x) pentru criteriul intersectorial CI2 conform tabelului 12-1.
    Figură 12-1.**) Interdependență NIS
    **) Figura 12-1 este reprodusă în facsimil.


    Articolul 12
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de durata și intensitatea incidentului și se fundamentează pe date procesate la nivelul structurilor de monitorizare și asigurare a securității informatice.(2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI3 este prezentată în tabelul*) de mai jos.


    Articolul 13
    (1) În funcție de indicatorii metrici (I), OENIS identifică și determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P). Pentru determinarea valorilor VI(I31), respectiv VI(I32), OENIS va consulta datele și informațiile deținute de structurile IT, date analistice și statistice.(2) În urma evaluării, în funcție de rezultate, se stabilește GP(I3x) pentru criteriul intersectorial CI3 conform tabelului 13-1.


    Articolul 14
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de datele deținute de OENIS (contracte, documente, rapoarte, situații financiare etc.) pentru anul precedent.(2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI4 este prezentată în tabelul*) de mai jos.


    Articolul 15
    (1) În funcție de indicatorii metrici (I), OENIS identifică și determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P). Pentru determinarea valorii VI(I41), procentul din cota de piață corespunzătoare codului CAEN principal/sectoarelor prevăzute în anexa la Legea nr. 362/2018, cu modificările și completările ulterioare, OENIS va analiza datele și informațiile financiare din anul precedent.(2) În urma evaluării, în funcție de rezultate, se stabilește GP(I41) pentru criteriul intersectorial CI4 conform tabelului 14-1.


    Articolul 16
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de zona de răspândire a beneficiarilor acestui serviciu, pe baza datelor și informațiilor OENIS pentru anul precedent.(2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI5 este prezentată în tabelul*) de mai jos.
    *) Tabelul este reprodus în facsimil.


    Articolul 17
    (1) În funcție de indicatorii metrici (I), OENIS identifică și determină valorile de prag specifice (VI) pentru a fi comparate cu valorile de prag stabilite (P), după cum urmează:
    a) Pentru determinarea valorii VI(I51), respectiv zona geografică afectată, OENIS va analiza datele și informațiile cu privire la serviciul furnizat pe raza unui județ sau sector.
    a.1. Se va avea în vedere afectarea serviciilor pe întreaga suprafață a unui județ sau a unui sector al municipiului București.

    b) Pentru determinarea valorii VI(I52), OENIS va analiza/evalua informațiile deținute cu privire la beneficiari/utilizatori, ținând cont de localizarea sediilor/domiciliului acestora.
    b.1. Se va avea în vedere una dintre cele două variante de valori de prag, stabilite în funcție de nivelul UAT, și anume situația când nu sunt afectate municipii/orașe (5) sau este afectat inclusiv un municipiu/oraș (3).

    c) Pentru determinarea valorii VI(I53), OENIS va avea în vedere interconectarea rețelelor și sistemelor informatice, precum și localizarea serviciului în alte state/țări.
    (2) În urma evaluării, în funcție de rezultate, se stabilește GP(I5x) pentru criteriul intersectorial CI5 conform tabelului 15-1.


    Articolul 18
    (1) Gradul de perturbare a furnizării SENIS se stabilește de OENIS în funcție de modul de asigurare a continuității furnizării serviciului și se fundamentează pe datele și informațiile deținute.(2) Grila de stabilire a efectului perturbator semnificativ pentru criteriul intersectorial CI6 este prezentată în tabelul*) de mai jos.
    *) Tabelul este reprodus în facsimil.


    Articolul 19
    (1) În funcție de serviciul esențial analizat, OENIS identifică și determină valoarea de prag specifică (VI), iar apoi o compară cu valorile de prag stabilite (P). Pentru determinarea valorii VI(I61), OENIS va avea în vedere asigurarea disponibilității serviciului furnizat, folosind mijloace alternative, chiar și în cazul unor incidente de securitate cibernetică.(2) În urma evaluării, în funcție de rezultate, se stabilește GP(I61) pentru criteriul intersectorial CI5 conform tabelului 16-1.


    Articolul 20
    (1) Dacă pe parcursul procesului de evaluare, corespunzător fazei 1, gradul de perturbare a furnizării SENIS rezultat este semnificativ, și anume MEDIU sau RIDICAT, indiferent în ce treaptă, procesul se încheie, iar serviciul evaluat este unul esențial și, în consecință, OENIS îndeplinește condițiile de a fi OSE și va notifica, în termenul stabilit de Legea NIS, ANSRSI din cadrul CERT-RO.(2) Dacă la sfârșitul fazei 1 nu a putut fi stabilit un grad de perturbare sau GP(Ixx) rezultat a fost unul nesemnificativ, și anume SCĂZUT, metodologia continuă cu faza a 2-a.(3) Documentele care au stat la baza evaluării gradului de perturbare a furnizării SENIS în funcție de criteriile intersectoriale, din subsecțiunile 1-6, vor fi puse la dispoziția ANSRSI din cadrul CERT-RO, la solicitarea acesteia, cu respectarea prevederilor art. 8 alin. (7) din Legea NIS.


    Secţiunea a 3-a Faza 2. Evaluarea gradului de perturbare în funcție de criteriile sectoriale specifice

    Articolul 21
    (1) În această fază se va proceda la evaluarea gradului de perturbare (GP) în funcție de criteriile sectoriale specifice și valorile de prag stabilite pentru fiecare sector și subsector.(2) Procedura de evaluare este una sectorială, în funcție de sector/subsector, prin care se analizează efectul perturbator pentru fiecare indicator metric și valorile de prag stabilite. Descrierea procedurii este detaliată în subsecțiunile 1-7.


    Articolul 22
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de datele și informațiile deținute de OENIS (contracte, rapoarte, situații financiare, alte documente etc.) corespunzător sectorului/subsectoarelor A-C pentru fiecare SENIS în parte.(2) Grilele de stabilire a efectului perturbator semnificativ pentru subsectoarele A, B și C sunt prezentate în tabelele*) de mai jos.
    *) Tabelele sunt reproduse în facsimil.


    Articolul 23
    (1) Evaluarea se realizează pe baza apartenenței OENIS și în funcție de sectorul/subsectorul de activitate.(2) În funcție de serviciul esențial analizat se identifică și determină valorile VI și se compară cu valorile de prag stabilite (P), acolo unde e cazul, pentru fiecare caz în parte, după cum urmează:
    a) În cazul în care pentru un anumit indicator metric (I) este stabilită o valoare de prag „Listă nominală“, se va compara OENIS sau locația cu lista de valori și se va stabili gradul de perturbare în funcție de aceasta.
    a.1. Listă nominală: E-Distribuție Muntenia, E-Distribuție Banat, E-Distribuție Dobrogea, Distribuție Energie Oltenia, Delgaz Grid, Electrica Distribuție Muntenia Nord, Electrica Distribuție Transilvania Nord și Electrica Distribuție Transilvania Sud.
    a.2. Dacă OENIS se regăsește în lista de la pct. a.1, gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT.

    b) Dacă pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT.
    (3) În urma evaluării, în funcție de rezultate, se stabilește GP[I(A-C)xx] pentru criteriul sectorial/ subsectorial CS(A-C), la nivel serviciu esențial, conform tabelelor 21-1-21-3.


    Articolul 24
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de datele și informațiile deținute de OENIS (contracte, rapoarte, situații financiare, alte documente etc.) corespunzător sectorului/subsectoarelor D-G pentru fiecare SENIS în parte.(2) Grilele de stabilire a efectului perturbator semnificativ pentru subsectoarele D, E, F și G sunt prezentate în tabelele*) de mai jos.
    *) Tabelele sunt reproduse în facsimil.


    Articolul 25
    (1) Evaluarea se realizează pe baza apartenenței OENIS și în funcție de sectorul/subsectorul de activitate.(2) În funcție de serviciul esențial analizat se identifică și se determină valorile VI și se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte, după cum urmează:
    a) În cazul în care pentru un anumit indicator metric (I) este stabilită o valoare de prag „Listă nominală“, se va compara OENIS sau locația cu lista de valori și se va stabili impactul în funcție de aceasta.
    a.1. Lista nominală pentru aeroporturi este întocmită în conformitate cu „Secțiunea 2 din anexa II la Regulamentul (UE) nr. 1.315/2013“, și anume: 1) Centrale - București, Timișoara; 2) Globale - Bacău, Baia Mare, Cluj-Napoca, Constanța, Craiova, Iași, Oradea, Sibiu, Suceava și Tulcea.
    a.2. Dacă OENIS se regăsește în lista de la pct. a.1, gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT.

    b) Pentru determinarea valorii VI(ID21), respectiv VI(ID22), OENIS va raporta numărul de pasageri, respectiv tonaj marfă la volumul total la nivel național de persoane, respectiv mărfuri transportate pe calea aerului într-un an (anul precedent).
    c) În cazul identificării și determinării valorilor VI(ID32) și VI(ID33), se va avea în vedere că pentru serviciile esențiale corespunzătoare, SE(D32) și SE(D33), desfășurate în una dintre locațiile prevăzute la pct. a.1, gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT și, implicit, acestea sunt SENIS.
    d) Pentru determinarea valorii VI(IE21), VI(IF12) și VI(IF24), OENIS va avea în vedere că mărfurile pot fi transportate în două variante, iar oricare dintre variante poate fi abordată în evaluarea GP(IXnn).
    e) Pentru determinarea valorii VI(IG24), OENIS va analiza serviciile de transport efectuate de toate mașinile din flotă într-un an, iar distanța totală efectuată se va contoriza în km/an.
    f) Dacă pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT.
    (3) În urma evaluării, în funcție de rezultate, se stabilește [I(D-G)xx] pentru criteriul sectorial/subsectorial CS(D-G), la nivel serviciu esențial, conform tabelelor 22-1-22-4.


    Articolul 26
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de datele și informațiile deținute de OENIS (contracte, rapoarte, situații financiare, alte documente etc.) corespunzător sectorului H pentru fiecare SENIS în parte.(2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul H este prezentată în tabelul*) de mai jos.
    *) Tabelul este reprodus în facsimil.


    Articolul 27
    (1) În funcție de serviciul esențial analizat se identifică și se determină valorile VI și se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte. Având în vedere faptul că pentru sectorul H nu au fost prevăzute praguri/limite și, în consecință, pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT.(2) În urma evaluării, în funcție de rezultate, se stabilește GP(IHxx) pentru criteriul sectorial CSH, la nivel serviciu esențial, conform tabelului 23-1. În condițiile date, având în vedere că nu au fost stabilite valori de praguri, toate serviciile identificate sunt SENIS, iar operatorii din sectorul H care furnizează aceste servicii sunt OSE.


    Articolul 28
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de datele și informațiile deținute de OENIS (contracte, rapoarte, situații financiare, alte documente etc.) corespunzător sectorului I pentru fiecare SENIS în parte.(2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul I este prezentată în tabelul*) de mai jos.


    Articolul 29
    (1) În funcție de serviciul esențial analizat se identifică și se determină valorile VI și se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte. Având în vedere faptul că pentru sectorul I nu au fost prevăzute praguri/limite și, în consecință, pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT.(2) În urma evaluării, în funcție de rezultate, se stabilește GP(IIxx) pentru criteriul sectorial CSI, la nivel serviciu esențial, conform tabelului 24-1. În condițiile date, având în vedere că nu au fost stabilite valori de praguri, toate serviciile identificate sunt SENIS, iar operatorii din sectorul I care furnizează aceste servicii sunt OSE.


    Articolul 30
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de datele și informațiile deținute de OENIS (contracte, rapoarte, situații financiare, alte documente etc.) corespunzător sectorului J pentru fiecare SENIS în parte.(2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul J este prezentată în tabelul*) de mai jos.
    *) Tabelul este reprodus în facsimil.


    Articolul 31
    (1) În funcție de serviciul esențial analizat se identifică și se determină valorile VI și se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte. Având în vedere faptul că pentru sectorul J nu au fost prevăzute praguri/limite și, în consecință, pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT.(2) În urma evaluării, în funcție de rezultate, se stabilește GP(IJxx) pentru criteriul sectorial CSJ, la nivel serviciu esențial, conform tabelului 25-1. În condițiile date, având în vedere că nu au fost stabilite valori de praguri, toate serviciile identificate sunt SENIS, iar operatorii din sectorul J care furnizează aceste servicii sunt OSE.


    Articolul 32
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de datele și informațiile deținute de OENIS (contracte, rapoarte, situații financiare, alte documente etc.) corespunzător sectorului K pentru fiecare SENIS în parte.(2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul K este prezentată în tabelul*) de mai jos.
    *) Tabelul este reprodus în facsimil.


    Articolul 33
    (1) În funcție de serviciul esențial analizat se identifică și se determină valorile VI și se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte, după cum urmează:
    a) Pentru determinarea valorii VI(IK11), OENIS se va raporta la întreaga suprafață a bazinului hidrografic, care stă la baza acumulării și captării apei brute pentru a fi tratată și folosită ca apă potabilă.
    b) Pentru determinarea valorii VI(IK14), OENIS va avea în vedere numărul beneficiarilor finali și numărul contractelor de furnizare și distribuire apă potabilă.
    b.1. În cazul în care nu este posibilă stabilirea acestora în funcție de contracte, se va utiliza formula:
    Număr beneficiari = (Număr contracte PF * cm) + Total număr angajați PJ.
    b.1.1. Coeficientul de multiplicare (cm) = 2,21.
    Pentru determinare s-au folosit date statistice furnizate de Institutul Național de Statistică, și anume: populația rezidentă (19.760.314); număr locuințe/gospodării (8.929.000) =>
    cm = Populația rezidentă/Număr locuințe ≈ 2,21.

    c) Pentru determinarea valorii VI(IK16), OENIS va analiza toate datele de producție și informațiile necesare în vederea identificării corecte a numărului de recipiente - indiferent de materialul din care au fost realizate, de forma și volumul acestora - îmbuteliate cu apă potabilă, naturală, plată, minerală etc.
    d) Dacă pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT.
    (2) În urma evaluării, în funcție de rezultate, se stabilește GP(IKxx) impact pentru criteriul sectorial CSK, la nivel serviciu esențial, conform tabelului 26-1.


    Articolul 34
    (1) Gradul de perturbare a furnizării SENIS se stabilește în funcție de datele și informațiile deținute de OENIS (contracte, rapoarte, situații financiare, alte documente etc.) corespunzător sectorului L pentru fiecare SENIS în parte.(2) Grila de stabilire a efectului perturbator semnificativ pentru sectorul L este prezentată în tabelul*) de mai jos.
    *) Tabelul este reprodus în facsimil.


    Articolul 35
    (1) În funcție de serviciul esențial analizat se identifică și se determină valorile VI și se compară cu valorile de prag stabilite (P), acolo unde este cazul, pentru fiecare caz în parte. Având în vedere faptul că pentru sectorul L nu au fost prevăzute praguri/limite și, în consecință, pentru un anumit serviciu nu sunt stabilite valori de prag (P = „Fără“), gradul de perturbare rezultat este unul semnificativ, și anume RIDICAT.(2) În urma evaluării, în funcție de rezultate, se stabilește GP(ILxx) pentru criteriul sectorial CSL, la nivel serviciu esențial, conform tabelului 27-1. În condițiile date, având în vedere că nu au fost stabilite valori de praguri, toate serviciile identificate sunt SENIS, iar operatorii din sectorul L care furnizează aceste servicii sunt OSE.


    Articolul 36
    (1) Procesul de evaluare se desfășoară individualizat, pentru fiecare sector și subsector, pe baza criteriilor sectoriale și a valorilor de prag, acolo unde este cazul.(2) Dacă pe parcursul procesului de evaluare, corespunzător fazei a 2-a, gradul de perturbare a furnizării SENIS rezultat este semnificativ, și anume MEDIU sau RIDICAT, procesul se închide, iar serviciul evaluat este unul esențial și, în consecință, OENIS îndeplinește condițiile de a fi OSE și va notifica, în termenul stabilit de Legea NIS, ANSRSI din cadrul CERT-RO.(3) Dacă la sfârșitul fazei a 2-a GP rezultat a fost unul nesemnificativ, și anume SCĂZUT, metoda se încheie, iar serviciul evaluat de OENIS, deși face parte din LSE, nu îndeplinește condițiile de a fi declarat SENIS și, în consecință, OENIS nu îndeplinește condițiile de OSE.(4) Documentele care au stat la baza evaluării gradului de perturbare a furnizării SENIS în funcție de criteriile sectoriale, din subsecțiunile 1-7, vor fi puse la dispoziția ANSRSI din cadrul CERT-RO, la solicitarea acesteia, cu respectarea prevederilor art. 8 alin. (7) din Legea NIS.


    Capitolul III Glosar de termeni folosiți
    CI- criteriu intersectorial
    CSE- codul de identificare a serviciului esențial
    CS(A÷L)- criterii sectoriale specifice
    EPS- efect perturbator semnificativ
    GP- gradul de perturbare a furnizării serviciului esențial. Reprezintă efectul perturbator, semnificativ sau nesemnificativ, în cazul producerii unui incident la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale
    I- indicator metric
    Legea NIS- Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare
    LSE- lista serviciilor esențiale
    NIS- rețele și sisteme informatice
    OENIS- operatorii economici și alte entități care operează ori furnizează servicii în cadrul sectoarelor și subsectoarelor definite în anexa la Legea NIS ori furnizează servicii esențiale din lista prevăzută la art. 20 lit. r) din aceeași lege
    OSE- operator de servicii esențiale
    P- valoare de prag stabilită prin hotărâre a Guvernului
    SENIS- serviciu esențial în accepțiunea Legii NIS
    VI- valoarea de prag specifică identificată și determinată de OENIS, valoare ce stă la baza stabilirii gradului de perturbare a furnizării serviciului esențial. Această valoare se fundamentează în baza informațiilor și datelor deținute de OENIS.

    ----