Hotrre nr.494 din 11.05.

2011 privind nfiinarea Centrului Naional de Rspuns la Incidente de Securitate Cibernetic - CERT-RO
ACT EMIS DE: Guvernul Romaniei ACT PUBLICAT N MONITORUL OFICIAL NR. 388 din 02 iunie 2011

n temeiul art. 108 din Constituia Romniei, republicat, i al art. 11 alin. (1) i (2) din Ordonana Guvernului nr. 57/2002 privind cercetarea tiinific i dezvoltarea tehnologic, aprobat cu modificri i completri prin Legea nr. 324/2003, cu modificrile i completrile ulterioare, Guvernul Romniei adopt prezenta hotrre.

Articolul 1 (1) Se nfiineaz Centrul Naional de Rspuns la Incidente de Securitate Cibernetic - CERT-RO, ca structur independent de expertiz i cercetare-dezvoltare n domeniul proteciei infrastructurilor cibernetice, denumit n continuare CERT-RO, cu sediul n bd. Mareal Averescu nr. 8-10, sectorul 1, Bucureti. (2) CERT-RO este instituie public cu personalitate juridic, n coordonarea Ministerului Comunicaiilor i Societii Informaionale, denumit n continuare MCSI, finanat integral de la bugetul de stat prin bugetul MCSI. (3) CERT-RO nu va prelua nicio parte din activitatea desfurat n prezent de Institutul Naional de Cercetare-Dezvoltare n Informatic - ICI Bucureti. (4) CERT-RO nu are competene n domeniul infrastructurilor cibernetice destinate procesrii, stocrii sau transmiterii informaiilor clasificate. Articolul 2 n nelesul prezentei hotrri, termenii i expresiile de mai jos au urmtoarea semnificaie: a) CERT - centru de rspuns la incidente de securitate cibernetic - entitate organizaional specializat care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea i reacia la incidentele cibernetice; b) Comunitatea CERT din Romnia - ansamblul centrelor de tip CERT care funcioneaz n cadrul autoritilor i instituiilor publice ori al altor persoane juridice de drept public sau privat din Romnia i care relaioneaz cu CERT-RO pe baza unor proceduri i protocoale de cooperare; c) infrastructuri cibernetice - infrastructuri de tehnologia informaiei i comunicaii, constnd n sisteme informatice, aplicaii aferente, reele i servicii de comunicaii electronice; d) spaiul cibernetic - mediul virtual, generat de infrastructurile cibernetice, incluznd coninutul informaional procesat, stocat sau transmis, precum i aciunile derulate de utilizatori n acesta; e) securitate cibernetic - starea de normalitate rezultat n urma aplicrii unui ansamblu de msuri proactive i reactive prin care se asigur confidenialitatea, integritatea, disponibilitatea, autenticitatea i nonrepudierea informaiilor n format electronic, a resurselor i serviciilor publice sau private din spaiul cibernetic. Msurile proactive i reactive pot include: politici, concepte, standarde i ghiduri de securitate, managementul riscului, activiti de instruire i contientizare, implementarea de soluii tehnice de protejare a infrastructurilor cibernetice, managementul identitii, managementul consecinelor; 1/7

f) atac cibernetic - orice aciune ostil desfurat n spaiul cibernetic de natur s afecteze securitatea cibernetic; g) incident cibernetic - orice eveniment survenit n spaiul cibernetic de natur s afecteze securitatea cibernetic; h) serviciile publice de tip preventiv: 1. anunuri privind evenimente n domeniu; 2. anunuri privind ameninri nou-identificate pe plan naional i internaional; 3. cercetare i informare privind noutile tehnologice n domeniu; 4. realizarea, la cerere, de auditri i evaluri de securitate sau teste de penetrare; 5. estimarea vulnerabilitilor i punerea la dispoziie de situaii actualizate privind ncercrile de intruziune i servicii de localizare a surselor atacurilor, pe baza informaiilor transmise de furnizorii de reele i servicii de comunicaii electronice; 6. diseminarea informaiilor de securitate cibernetic; i) serviciile publice de tip reactiv: 1. alerte i atenionri privind apariia unor activiti premergtoare atacurilor; 2. gestiunea incidentelor la nivel naional, n cooperare cu celelalte echipe CERT; 3. diseminarea rezultatelor investigaiilor incidentelor de securitate cibernetic, cu respectarea prevederilor acordurilor de cooperare ncheiate cu partenerii CERT-RO; j) serviciile publice de consultan pentru managementul calitii serviciilor de securitate cibernetic: 1. analize de risc aplicate la nivel local i la nivel naional privind infrastructurile cibernetice; 2. planificarea asigurrii funcionrii continue i a recuperrii n caz de dezastre; 3. atestarea managementului securitii cibernetice i a incidentelor cibernetice; 4. pregtirea echipelor de tip CERT, a echipelor de audit n domeniul securitii reelelor, cu prioritate a celor incluse n infrastructura critic naional; k) sistem de alert timpurie i informare n timp real privind incidentele cibernetice - ansamblul de proceduri i sisteme tehnice care au rolul de a identifica premisele de apariie a incidentelor cibernetice i de a avertiza n cazul producerii acestora. Sistemul include i conexiuni de date ce vor transporta informaii referitoare la incidentele cibernetice identificate de senzori dedicai, precum i informaii statistice referitoare la valorile de trafic nregistrate n nodurile de reea ale infrastructurilor cibernetice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale. Articolul 3 (1) CERT-RO i desfoar activitatea n conformitate cu legislaia n vigoare i cu regulamentul propriu de organizare i funcionare, n scopul realizrii prevenirii, analizei, identificrii i reaciei la incidente n cadrul infrastructurilor cibernetice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale. (2) Pentru infrastructurile cibernetice aflate n administrarea instituiilor din domeniul aprrii, ordinii publice i siguranei naionale, CERT-RO ndeplinete doar atribuiile de cooperare, n baza unor acorduri dedicate, ncheiate cu structurile de tip CERT ale acestora. (3) CERT-RO reprezint un punct naional de contact cu structurile de tip CERT care funcioneaz n cadrul instituiilor sau autoritilor publice ori al altor persoane juridice de drept public sau privat, naionale ori internaionale, cu respectarea competenelor ce revin celorlalte autoriti i instituii publice cu atribuii n domeniu, potrivit legii. (4) CERT-RO asigur elaborarea i diseminarea politicilor publice de prevenire i contracarare a incidentelor din cadrul infrastructurilor cibernetice, potrivit ariei de competen. (5) CERT-RO analizeaz disfuncionalitile procedurale i tehnice la nivelul infrastructurilor cibernetice, potrivit ariei de competen, i transmite instituiilor sau autoritilor publice ori altor persoane juridice de drept public sau privat aspectele de interes. 2/7

Articolul 4 (1) n vederea ndeplinirii atribuiilor ce i revin, CERT-RO ncheie protocoale de cooperare/colaborare cu instituiile publice sau alte persoane juridice de drept public sau privat, naionale sau internaionale, respectnd competenele ce revin celorlalte autoriti i instituii publice cu atribuii n domeniu, putnd dezvolta i parteneriate publice-private. (2) CERT-RO coopereaz cu entitile i persoanele prevzute la alin.(1) pentru asigurarea disponibilitii, confidenialitii, integritii, autenticitii i nonrepudierii informaiilor n format electronic, n scopul prevenirii, analizei, identificrii i reaciei la incidente cibernetice. (3) Criteriile i cerinele minime pe care trebuie s le ndeplineasc un centru de tip CERT pentru a fi inclus n Comunitatea CERT din Romnia, precum i procedurile de colaborare se stabilesc i se actualizeaz prin decizie a directorului general CERT-RO, cu avizul Comitetului de coordonare. Articolul 5 CERT-RO realizeaz i administreaz un portal propriu, dedicat securitii cibernetice, prin care sunt publicate nouti din domeniu, alerte privind ameninrile cele mai probabile, precum i cele mai bune practici de protecie recomandate. Articolul 6 CERT-RO are urmtoarele atribuii: a) ofer servicii publice de tip preventiv, de tip reactiv i de consultan; b) organizeaz i ntreine un sistem de baze de date privind ameninrile, vulnerabilitile i incidentele de securitate cibernetic identificate sau raportate, tehnici i tehnologii folosite pentru atacuri, precum i bune practici pentru protecia infrastructurilor cibernetice; c) asigur cadrul organizatoric i suportul tehnic necesar schimbului de informaii dintre diverse echipe de tip CERT, utilizatori, autoriti, productori de echipamente i soluii de securitate cibernetic, precum i furnizori de servicii n domeniu; d) organizeaz, desfoar sau particip la activiti de instruire n domeniul securitii cibernetice; e) organizeaz simpozioane, dezbateri pe teme de securitate cibernetic i asigur diseminarea unor informaii specifice prin mass-media; f) desfoar activiti de cercetare-dezvoltare n domeniu i elaboreaz proceduri i recomandri privind securitatea cibernetic, potrivit prevederilor legale privind cercetarea tiinific i dezvoltarea tehnologic; g) asigur MCSI suportul tehnic i de specialitate pentru elaborarea politicilor de securitate cibernetic necesar a fi respectate de furnizorii de reele i servicii de comunicaii electronice publice pentru obinerea autorizrii de funcionare a acestora, precum i la evaluarea modului de implementare a acestora; h) asigur consultan de specialitate autoritilor publice responsabile, stabilite conform Ordonanei de urgen a Guvernului nr. 98/2010 privind identificarea, desemnarea i protecia infrastructurilor critice, aprobat cu modificri prin Legea nr.18/2011, cu privire la produsele i sistemele de securitate cibernetic care deservesc infrastructurile critice naionale i europene; i) asigur puncte de contact pentru colectarea sesizrilor i a informaiilor despre incidente de securitate cibernetic att automatizat, ct i prin comunicare direct securizat, dup caz; j) identific, analizeaz i clasific incidentele de securitate din cadrul infrastructurilor cibernetice, conform ariei de competen; k) elaboreaz propuneri pe care le nainteaz ctre MCSI sau Consiliului Suprem de Aprare a rii, denumit n continuare CSAT, privind modificarea cadrului legislativ n vederea stimulrii dezvoltrii securitii infrastructurilor cibernetice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale; 3/7

l) planific i programeaz n proiectul de buget propriu resursele financiare necesare n vederea realizrii politicilor n domeniile sale de competen; m) coordoneaz derularea proiectelor, ale cror beneficiari sunt MCSI i/sau instituiile din subordinea acestuia, cu finanare naional sau internaional n domeniul securitii infrastructurilor cibernetice ce asigur funcionaliti de utilitate public, ori asigur servicii ale societii informaionale, care vizeaz capacitatea instituional operaional a CERT-RO; n) asigur MCSI suportul tehnic i de specialitate pentru urmrirea i controlul aplicrii prevederilor cuprinse n actele normative n vigoare sau n acordurile internaionale n domeniul de competen i notific organele competente pentru demararea procedurilor legale n vederea cercetrii i sancionrii, dup caz. Articolul 7 (1) n cadrul CERT-RO se constituie Sistemul de alert timpurie i informare n timp real privind incidentele cibernetice. (2) Datele primite n Sistemul de alert timpurie i informare n timp real privind incidentele cibernetice vor fi centralizate i prelucrate de ctre CERT-RO, n scopul: a) avertizrii n timp real i emiterii de rapoarte cu privire la distribuia i natura incidentelor; b) colaborrii cu autoritile naionale responsabile n asigurarea securitii cibernetice, n vederea prevenirii i nlturrii efectelor incidentelor. Articolul 8 Furnizorii de reele i servicii de comunicaii electronice publice, precum i alte persoane juridice de drept public sau privat, care dein sau administreaz infrastructuri cibernetice ce susin funcionaliti de utilitate public ori servicii ale societii informaionale, asigur, n condiiile legii, resursele tehnice i funcionale necesare dezvoltrii componentei proprii de securitate n conformitate cu cerinele i specificaiile furnizate de CERT-RO i interconectrii cu Sistemul de alert timpurie i informare n timp real cu privire la atacurile cibernetice. Articolul 9 (1) CERT-RO coopereaz cu institute de cercetare, instituii de nvmnt superior i persoane juridice de drept privat n realizarea unor proiecte de cercetare i pregtirea unor specialiti n domeniu. (2) CERT-RO formuleaz tematici i proiecte de cercetare i dezvoltare n domeniul securitii cibernetice, independent sau n cooperare cu autoriti naionale ori cu alte persoane fizice sau juridice, la nivel naional sau internaional. Articolul 10 CERT-RO particip cu specialiti la grupurile de lucru din ar i strintate n domeniul de competen, pe baz de mandat aprobat de ctre directorul general. Articolul 11 Pentru ndeplinirea atribuiilor ce i revin, CERT-RO gestioneaz i utilizeaz urmtoarele categorii de informaii: a) informaii publice; b) informaii nedestinate publicitii, aparinnd entitilor cu care are ncheiate acorduri de cooperare; c) informaii clasificate.

4/7

Articolul 12 (1) CERT-RO este condus de un director general i de un director general adjunct, sprijinii de Comitetul de coordonare. (2) Directorul general este numit prin ordinul ministrului comunicaiilor i societii informaionale i i desfoar activitatea n baza unui contract de mandat pe o perioad de 5 (cinci) ani, cu posibilitatea de prelungire a mandatului. (3) Contractul de mandat este asimilat contractului individual de munc i confer titularului vechime n munc i n specialitate. (4) Pot ocupa funciile de director general i director general adjunct persoanele care ndeplinesc cumulativ urmtoarele condiii: a) au cetenia romn; b) cunosc limba romn, scris i vorbit; c) au capacitate deplin de exerciiu; d) au o stare de sntate corespunztoare, atestat pe baz de examen medical de specialitate; e) au studii universitare de licen, respectiv studii superioare de lung durat, absolvite cu diplom; f) nu au fost condamnate pentru svrirea unei infraciuni svrite cu intenie, cu excepia situaiei n care a intervenit reabilitarea; g) nu se ncadreaz n dispoziiile art. 2 lit. a) i b) din Ordonana de urgen a Guvernului nr. 24/2008 privind accesul la propriul dosar i deconspirarea Securitii, aprobat cu modificri i completri prin Legea nr. 293/2008. (5) Directorul general este ordonator de credite, n condiiile legii. (6) Directorul general al CERT-RO este preedintele Comitetului de coordonare, care are atribuiile stabilite prin Regulamentul de organizare i funcionare al CERT-RO. (7) Comitetul de coordonare este format din reprezentani ai: a) MCSI; b) Ministerului Aprrii Naionale; c) Ministerului Administraiei i Internelor; d) Serviciului Romn de Informaii; e) Serviciului de Informaii Externe; f) Serviciului de Telecomunicaii Speciale; g) Serviciului de Protecie i Paz; h) Oficiului Registrului Naional al Informaiilor Secrete de Stat; i) Autoritii Naionale pentru Administrare i Reglementare n Comunicaii. (8) n vederea ndeplinirii atribuiilor ce revin CERT-RO, directorul general emite decizii i instruciuni. Articolul 13 (1) Activitatea CERT-RO este analizat semestrial n Comitetul de coordonare, pe baza raportului elaborat n acest sens de ctre directorul general. (2) CERT-RO prezint CSAT un raport anual privind activitatea sa. Articolul 14 (1) Numrul maxim de posturi este de 41, iar salarizarea personalului CERT-RO se face potrivit legislaiei aplicabile personalului bugetar pltit din fonduri publice, precum i a prevederilor legale privind cercetarea tiinific i dezvoltarea tehnologic. (2) Personalul CERT-RO este format din personal contractual sau detaat de la alte instituii sau alte autoriti publice, n condiiile legii. (3) Organizarea i desfurarea examenelor sau concursurilor viznd personalul contractual se realizeaz n condiiile stabilite de directorul general al CERT-RO. 5/7

Articolul 15 Finanarea cheltuielilor curente i de capital ale CERT-RO se asigur integral de la bugetul de stat prin bugetul MCSI. Articolul 16 (1) CERT-RO administreaz, exploateaz, dezvolt, modernizeaz i ntreine patrimoniul su. (2) CERT-RO i desfoar activitatea ntr-un spaiu din imobilul situat n bd. Mareal Averescu nr. 810, sectorul 1, Bucureti, n baza unui contract de comodat ncheiat cu Institutul Naional de Cercetare-Dezvoltare n Informatic - ICI Bucureti, proprietarul imobilului. (3) Bunurile mobile necesare desfurrii obiectului de activitate vor fi preluate pe baza unui procesverbal de predare-primire i vor constitui patrimoniul CERT-RO, fiind nregistrate la valoarea de inventar din contabilitatea Institutului Naional de Cercetare-Dezvoltare n Informatic - ICI Bucureti. (4) Patrimoniul Institutului Naional de Cercetare-Dezvoltare n Informatic - ICI Bucureti se va diminua, n mod corespunztor, cu valoarea bunurilor predate. (5) Rezultatele cercetrilor concretizate n active corporale sau necorporale, obinute n baza unor contracte finanate din fonduri private, precum i rezultatele obinute din activiti desfurate n asociere n participaiune sau n entiti cu personalitate juridic nscute n urma unor alte forme de asociere rmn proprietatea Institutului Naional de Cercetare-Dezvoltare n Informatic - ICI Bucureti, CERT-RO avnd dreptul de a le utiliza i/sau administra conform dispoziiilor legale. Articolul 17 Regulamentul de organizare i funcionare al CERT-RO se aprob i se revizuiete de ctre CSAT la propunerea ministrului comunicaiilor si societii informaionale. Articolul 18 (1) n termen de 90 de zile de la data intrrii n vigoare a prezentei hotrri, MCSI promoveaz normele de aplicare elaborate cu sprijinul CERT-RO prin ordin al ministrului comunicaiilor i societii informaionale. (2) Pentru instituiile publice, termenul de implementare a obligaiilor prevzute de prezenta hotrre va curge de la data identificrii n bugetul propriu a sumelor necesare, iar achiziia echipamentelor se va realiza cu respectarea dispoziiilor Ordonanei de urgen a Guvernului nr. 34/2006 privind atribuirea contractelor de achiziie public, a contractelor de concesiune de lucrri publice i a contractelor de concesiune de servicii, aprobat cu modificri i completri prin Legea nr. 337/2006, cu modificrile i completrile ulterioare. Articolul 19 Hotrrea Guvernului nr. 12/2009 privind organizarea i funcionarea Ministerului Comunicaiilor i Societii Informaionale, publicat n Monitorul Oficial al Romniei, Partea I, nr. 51 din 28 ianuarie 2009, cu modificrile i completrile ulterioare, se modific dup cum urmeaz: 1. Articolul 15 va avea urmtorul cuprins: Articolul 15 Ministerul Comunicaiilor i Societii Informaionale are n subordine Centrul Naional de Management pentru Societatea Informaional, Centrul Naional Romnia Digital i Centrul Naional de Supercomputing i n coordonare direct Institutul Naional de Cercetare-Dezvoltare n Informatic - ICI Bucureti, Institutul Naional de Studii i Cercetri pentru Comunicaii - I.N.S.C.C. Bucureti i Centrul Naional de Rspuns la Incidente de Securitate Cibernetic - CERT-RO, instituii prevzute n anexele nr. 2 i 3.

6/7

2. Anexa nr. 3 se modific i se nlocuiete cu anexa la prezenta hotrre. PRIM-MINISTRU EMIL BOC

Contrasemneaz: Ministrul comunicaiilor i societii informaionale, Valerian Vreme Preedintele Autoritii Naionale pentru Administrare i Reglementare n Comunicaii, Ctlin Marinescu Ministrul aprrii naionale, Gabriel Oprea p. Ministrul administraiei i internelor, Gheorghe Emacu, secretar de stat Ministrul muncii, familiei i proteciei sociale, interimar, Emil Boc Ministrul educaiei, cercetrii, tineretului i sportului, Daniel Petru Funeriu Directorul Serviciului Romn de Informaii, George Cristian Maior Directorul Serviciului de Telecomunicaii Speciale, Marcel Opri Directorul Serviciului de Informaii Externe, Mihai Rzvan Ungureanu p. Directorul Oficiului Registrului Naional al Informaiilor Secrete de Stat, Mihai Ion Ministrul finanelor publice, Gheorghe Ialomiianu Bucureti, 11 mai 2011.

ANEX (Anexa nr. 3 la Hotrrea Guvernului nr. 12/2009) UNITI care funcioneaz n coordonarea Ministerului Comunicaiilor i Societii Informaionale Nr. crt. 1. 2. 3. Denumirea unitatii Institutul National de Cercetare-Dezvoltare in Informatica - ICI Bucuresti Institutul National de Studii si Cercetari pentru Comunicatii - I.N.S.C.C. Bucuresti Centrul National de Raspuns la Incidente de Securitate Cibernetica - CERT-RO

7/7