PROCEDURI/GHIDURI

1) IDENTIFICAREA OPERATORILOR DE SERVICII ESENȚIALE (OSE)(1)

Procesul de identificare ca OSE presupune parcurgerea următoarelor etape:

Etapa 1. Identificarea serviciilor esențiale.

Etapa 2. Notificarea CERT-RO de către operatorii de servicii esențiale.

Etapa 3. Evaluarea și înscrierea operatorilor de servicii esențiale.

Identificarea serviciilor esențiale, operatorul economic își evaluează toate serviciile furnizate prin prisma prevederilor de la art. 6 alin. (1) din Legea NIS.

Graficul procesului de identificare

Pentru evaluarea unui serviciu în vederea identificării ca serviciu esențial, operatorul economic parcurge următorii pași:

Pasul 1) Catalogarea importanței serviciului.

Pasul 2) Identificarea modului de furnizare a serviciului.

Pasul 3) Stabilirea efectului de perturbare a serviciului în cazul producerii unui incident.

Notificarea CERT-RO pentru înscrierea în Registrul operatorilor de servicii esențiale.

Notificare presupune completarea și semnarea de către entitatea solicitantă a Notificării privind înscrierea în ROSE.

Notificarea pentru înscrierea în ROSE se transmite împreună cu Declarația pe proprie răspundere (Anexa nr. 7 la Normele tehnice aprobate prin OMCSI nr. 599/2019) însoțită, obligatoriu, de DAICMS (Documentația de autoevaluare a îndeplinirii cerințelor minime de securitate). Formularul DAICMS se găsește în subsecțiunea FORMULARE.

Procedura se aplică până la data de 12.01.2021, urmând ca apoi Notificarea să fie însoțită de Raport de audit elaborat de către un auditor de securitate NIS, atestat de către CERT-RO.

CERT-RO - Ghid elaborare DAICMS

Evaluarea și înscrierea operatorilor de servicii esențiale în ROSE.

Autoritatea NIS analizează solicitarea, completează ROSE și comunică OSE decizia Directorului de general.

(1) Normele metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale,
respectiv Metodologia de stabilire a efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor
informatice ale operatorilor de servicii esențiale sunt publicate în Monitorul Oficial al României, Partea I, și în
Secțiunea/Subsecțiunea: Autoritatea NIS / Acte subsecvente..

 CERT-RO - Ghid identificare OSE

 

2) IDENTIFICAREA FURNIZORILOR DE SERVICII DIGITALE (FSD)(2)

Procesul de identificare ca FSD presupune parcurgerea următoarelor etape:

Etapa 1. Identificarea serviciilor digitale furnizate.

Etapa 2. Comunicarea CERT-RO de către furnizorii de servicii digitale.

Etapa 3. Evidența furnizorilor de servicii digitale.

Identificarea serviciilor digitale, presupune ca operatorul economic să evalueze toate serviciile furnizate prin prisma prevederilor de la art. 3 lit. c) și o) din Legea NIS.

Pentru identificare serviciilor digitale furnizate, operatorul economic parcurge următorii pași:

Pasul 1) Stabilirea categoriei organizaționale.

Pasul 2) Identificarea serviciului digital furnizat.

Pasul 3) Stabilirea categoriei serviciului digital furnizat.

FSD comunică la CERT-RO încadrarea în prevederile art. 12 din Legea NIS și lista responsabililor NIS.

Autoritatea NIS înscrie FSD în evidența specifică și comunică FSD decizia Directorului general.

(2) Normele metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale sunt
publicate în Monitorul Oficial al României, Partea I, și în Secțiunea/Subsecțiunea: Autoritatea NIS / Acte
subsecvente.

CERT-RO - Ghid practic identificare FSD 

CERT-RO - Ghidul de elaborarea a DAICMS

 

3) STABILIREA LISTEI SERVICIILOR ESENȚIALE (LSE)(3)

Procesul de stabilire a listei serviciilor esențiale presupune parcurgerea următoarelor etape:

Etapa 1. Consultarea autorităților și entităților reglementatoare, precum și a celor prevăzute la art. 15 alin. (2) cu privire la serviciile esențiale.

Etapa 2. Identificarea serviciilor esențiale din sectoarele de activitate și elaborarea LSE.

Etapa 3. Aprobarea LSE prin HG.

(3) La acest moment, a fost elaborată o primă variantă a LSE, variantă ce se află pe fluxul de avizare și aprobare.

Lista serviciilor esentiale (LSE)

 

4) CRITERII ȘI VALORI DE PRAG, INTERSECTORIALE ȘI SECTORIALE(4)

Pentru stabilirea efectului de perturbare a serviciului în cazul producerii unui incident în cazul
operatorilor de servicii esențiale se aplică Metodologia de stabilire a efectului perturbator semnificativ
al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale (aprobată
prin OMCSI nr. 601/2019). Acest proces (Pasul 3)) se bazează pe valorile stabilite prin HG pentru
aprobare a valorilor de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul
rețelelor și sistemelor informatice ale operatorilor de servicii esențiale, a criteriilor intersectoriale și a
criteriilor sectoriale specifice.

(4) La această dată, a fost elaborată o primă formă a HG, variantă ce se află pe fluxul de avizare și aprobare.

Criterii si valori de prag intersectoriale

Criterii si valori de prag sectoriale