20.11.2018, DECIZIE 166 19/09/2013, DECIZIE nr. 166 din 19 maztie 2023 privind aprobarea Normelor metodologice pentru realizarea/echivalarea/reviavirea planurilor de securitate ale proprietar!lor/operatorilor/administratorilor de infrastructuré critica nationala/europeans, a structurii-caéru a planului de securitate al proprictarului/operaterulul/administratorului deyinater de infrastructuré eritics pational4/european’ gi a atribuyitlor ofiperului de leg4tura pentru securitate din cadrul conpartimentului specializat desennat la nivelul autozitatilor publice responsabile $i la nivelul proprietarului /operatorulu/administratorulus de infrastructuré orizic& nationalé/europeand EMITENT + GUVERNUL - PRIM-MINISTAUL Publicat in MONITORUL OFICIAL nr. 150 din 21 martie 2012 Avand In vedere prevederile art. 4 alin. (1) din Ordonanta de urgeny4 a Guvernulul nr. 98/2010 privind identificarea, desemnarea gi protectia infrastructurilor critice, aprobati cu modificiri prin Legea ar. 18/2011, in tomeiui art. 19 din Legea nr. 90/2001 privind organizarea gi functionarea Guvernului Romdniei gi a ministerelor, cu modificarile si completarile ulterioare, princministrul emite prezenta decizic. Articolul 1 Se aprobi Normele metodologice pentru realizarea/echivalarea/revizuirea planurilor de securitate ale proprietarilor/operatorilor/administratorilor de infrastractura criticd najicnals/europeana prevazute fn anexa ar. 1. Articolyl 2 Se aproba structura-cadru a plantiui de securitate a! propristarului/operatoralui /administratorului detinator de infrastructura critica nationala/europeana, prevazuté in anexa nr. 2. Articolul 3 Se aprobi atributiile ofiterului de legiturd pentru securitate din cadrul compartimentulul specializat desennat 1a nivelul autorita;ilor publice responsabile g! la nivelul proprictarului/operatorului/administratorului de ingrastructuré crizic& nationalé/europeand Prevazute in anexa ar. 3. Articolul 4 Anexele nr. 1-3 fac parte integranta din prezenta decizie. PRIM-MINISTRU VICTOR-VIOREL PONTA Contrasenneaza: Secretarul general al Guvernului, Ton Morare Bucuresti, 19 martie 2013. Nr. 166. anexa 1 woama 19/03/2013 anexa 2 STRUCTURA-CADRU a planului de securitate al proprietarului/operatorulul/administratorului deyinator de infrastructura critica nationalé/europeand hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, ane20.11.2018, DECIZIE 166 19/09/2013, Seine catamaran nae peat (eoretepemoieres) PLANUL DE SECURITATE (Saas laa SRST [cps cit nape) tae je iega pavemenes, pepeiachnpemnannares) capitolul 1 Dispozitii generale 1.1, Rolu) planvlul de securitate al proprietarului/operatorului/administratorulul debinator de infrastructura critici nationali/europeani ork: Planal de securitate este un document strategic care: = defineste scope! $1 obiectivele de securitate ale proprietarului/operatorulsi /adninistratorului, pe baza unei evaluari ariscurilor de securitate; = stabilegte cadrul general de lucru, cu acoperirea tntregului spectra de securitate (prevenire, Aimiouare, raspuns $i revenire la starea de normalitate), fundamentat pe baza concluziilor rezultate tn uma evaluaril riscurilor gi amenintarilor la adresa securitayit; = reflect& 0 abordare coordonata a securitayii sistenelor unui proprictar/operater/administrator care integreazi toate resursele disponibile pentru asigurarea unei mai bune protectii a infrastructurii critice; identiica clenentele! = stabileste misurile de diminuare 2 riscurilor identificate In urma evaluarii riscurilor de securitate, inclusiv masurile aplicabile pentru fiecave nivel de alertare; = identifica cu exactitace planurile cu incidenta in domenitl securitatit (Plan de analizé 9i acoperire a riscurilor ~ PAAR, Plan de evacuare in situapil de urgenya, Plan de apérare tmpotriva incendiilor ete.), procedurile, protocoalele, acordurile $1 responsabilitapile operatorului tn acest donenius = defineste un parcurs sau un plan de actiune pentru stabilirea de noi misuri care vizeazé contracararea ciscurilor cratate priccitar, in functie de impact (misuri imediate eau pe termen nediu gi tung, dupé necesicate); = stabilegte actiunile gi resursele necesare pentru sprijinires procesului de implementare a nisurilor pe care le conzine (de exemplu: masuri de ‘ndepartare a surselor de risc, de diminuare & consecinyelor, de asigurare a securitatii cibernetice, securitates vehnologiel informayiel, pentru controlul documentelor clasificate, pentru gestionarea alertelor etc.) Prin planul de securitate pentcu operator vor £i identificate soluyiile de securitate existente sau care sunt puse in aplicare pentru protectia elementelor de infrastructurd crit. nationala/europeans Aceasté structurd-cadra a PSO este aplicabild tuturor categoriiler de Propristari/operater:/adninistratori de infrastructuré critica nationala/europeand gi se adreseaza tuturor tipurilor de riscuri care ameninsé functionarea corespunzatoare a proprietar!lor/operatorilor/administratorilor detinatori de infrastructuré critica nat ionala/europeans 1.2, Scop $i obiective 11211. Scop Scopul P50 este de a contribui la imbund:Atirea protectiei infrastructurii critice nationale/europene aflate in responsabilitatea proprietarulus/operatozului/administratorului de infrastructura criticd nationald/europeand, prin coordonarea misurilor de protectie/securitate joie care necesita protectie (ca rezultat al evaludrii riscurilor de hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, ane20.11.2018, DECIZIE 166 19/09/2013, oxistente $1 instituizea unor mieuri noi ta baza unui proces de managenent al risculul PSO identificd elementele de infrastructuré criticd ale infrastructurii critice aationale/euzopene $i solufiile de securitace existente sau care urmeazi ef fie puse in aplicare pentru protectia PSO contribuie la imbundzAyirea nivelului existent al securitatii si protectiei infrastructurii critice nationale/europene, nivel care poate fi afectat de diferite tipuri de anenintari sau wulnerabs tay! 1.2.2. Obtective PSO trebuie s& asigure Indeplinixea a cel pusin urmatearelor obiective = imbundcayirea abilitayii operatorulul de planificare, prevenire, raspuns gi restaurare a starii de normal:tate, in urma producers unui eveniment ce a afectat infrastructura eritics pentru protectia cirela se elaboreazi PSO; “ descrierea elenentelor componente ale planului de securitate gi definirea méeurilor de control al riscurilor, pentru asigurarea securitatii infrastructurii critice nationale/earopene; = definirea rolurilor gi responsabilitatitor persona‘ului cc atribuy!i in domeniul securitayii infrastructurii critice nayionale/europene; = fondanentarea necesitasi! includerit misurilor de securitate in activitapile curente ale pperatorulul: = stabilirea proceselor pentru elaborarea, menfinerea, actualizarea, evaluarea gi modificarea 250; = stabilicea proceselor de identificare gi prinize a fecdbackului de la partile interesal (angajati, contractanti, populayie g.a.), privind aspectele legate de securitate, incidentele de securitate, activitatile periculoase ete+; = stabilirea modalitatii de interactionare cu partile externe interesate; = identificarea cerintelor de pregétire a personaluiui/partenerilor in ceea ce priveste implenentarea planului de securitate gi planificarea activitatilor de instruire; = stabilirea modalitatii de investigare a tuturor incidentelor de securitate sau activitatilor pot genera astfel de eveninente: = instituirea unui proces de evaluare a eventualelor implicaii de securitate atunci cénd se Lau decizil in cosa ce priveyte activitatile operatorulu‘; = reprezentarea clara gi sistematics asupra componentelor infrastructurii crit. pationale/europere din responsabilitatea operatorilor de infrastructurd critic’; = reprezentarea ameninpirilor i velnerabilitatilor 1a areca infrastructurs: crit nationele/eurcpene din responsabilitatea operatorilor de infrastruczuré criticé gi a riscurilor induse de acestea; = identiticarea nésurilor de securitate existente gi a celor necesare suplinentar pentru controlul riscurilor 1a adresa infrastructuril critice nayicnate/europene aflate In responsabilitatea operatoriler de infrastructurs critica: = instituirca capabilituyilor de rspuns gi recuperare a infrastructurii critice nayionale/europene la nivelul operatorilor de infrastructuri eriticd, cozelat cu scenariile de ameningare gi cooperarea cu autoritatile relevante; = reprezentarea cadrulai organizatoric relevant pentru protectia infrastructurii eritice in cadrul operatoritor de infrastructura critica, inclusiv a proceselor necesare pentru functionarea = planificarea activitatilor relevante pentru protecia infrastructurii critice pe pericada de valabilivate: = stabilirea cadrului de dialog gi cooperare pe probleme de protectia infrastructurii critice 1.3, Entocmize, avizare gi aprobare in lermen de $ luni de la desemnarea unei infrastructuri drept infrastructurd erit nationali/europeand, proprietarul/operatorul/administraterul detinitor al acesteia elaboreazé PSO gs i] transmice epre avizare autoritatilor publice responsabsle. PSO este Intocmit de OLS al proprietarului/operatoru‘ui/administratorului de infrastructurd criticd nationald/europeans, aprosat de proprietaral/operatorul/adninistratoral acesteia, verificat de OLS al autoritatii publice responsabile gi avizat de conducdtorci acesteia 1.4. Confidenpialitace Informafiile sensibile privind protectia infrastructurilor eritice se elasificé la un nivel adecvat, in condifiile legli. Diseminazea acestor infornatli se face potrivit principlulul nevoll do a cunoagte, atat in relatia cu proprietarii/operatorii/administratorii de infrastructuré critica hationali/eurcpeani, c&t si cu celelalte state menbre in condifiile legislatiei privind protectia informatiilor clasificate, si se supune in totalitate dispozitiilor acesteia. capitolal If Deseriere organizayionala 2.1, Structura organizayionala fiutoritates publicé respansabila? [conpartinent specializat in doneniul infrastracturii critice nationale/ jropene al autoritayii publice responsabil) pts al autoritay:i publice responsabile: [fonpartinent specializat in doneniul Infrastracturii critice nationale/ Jeuropeane al proprictarului/operatorului/administratorului de infrastructural ticd nationalé/europeand: i hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7MBDZ17BQBX7SSLG8Q, ane20.11.2018, DECIZIE 166 19/09/2013, lots al operatorului/proprictarulul/administzatorului de Lol (e8 natsonals/europeand: Drganigrana proprietarulul/operatorulul/adwinietratorulul de Infrastructura Jeritick national4/europea [Sraonante de urgenta ale Guvernulul [Ssaonanye ale Guvernuls: [fotarari ale Gavernulal nabionale/inbeznay parte) 2.3, Caracteristici ale unltayli aduinistrativ-teritoziale pe raza céreia este ingrasteuctusa exitic’ Pentru stabilirea caracterieticilor uaitajil advinietrativ-teritoriale pot fi utitizate informaglile din planul judefean de analizi gi acoperire a scurilor apronat de prefect gi inteemit in conformitate cu Ordinul fuinistretui administratiei internelor nr. 132/2007 pentru aprobarea fictodologiei de clahorare a Planului de analizi si acoperize rst amplasata fr: por sistenul ai ~ arta sistemlui 2.8, Descrierea infrastructuril, facilitatilor si echipanentelor din infrastructure critics nagionald/europeands structuri, facilitipl 9f echipane leacsise re vieiului eset ) In Bervere Ll [Denozite ld dairi adninistrative io puncte de_conanda Lu 5 In fhiti proprictar lu 2.6. Persone hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, ane20.11.2018, DECIZIE 166 19/09/2013, privind riscurile agociate gi proveciizile existente Le respective! infrastructuri ceitice nationale/e gate de Inbundtayi ca securitajii globale a Angajat. Angaja Personal contractant ( time") Personal contractant ("full-time") TOTAL PERSONAL Personal in funepie de rol gi lee de — Personal (gofezi, personal la tora et Personal adninistrativ (financiar, logistics) Personal de securitate Personal de serviciu (portari, adninistratori, paznic: etc.) Personal... 2s. capitolu Analiza mediilor de securizate 3.1, Aspecte generale privind analiza riscurilor legate de securitate Analiza riscurilor la adresa securitayli se bazeaz’ pe scenariile de ameninyari, identificarea punctelor vulnerabile ale fiecdrui elerent al in sucturii eritice nationale/europene $i factul asupra acesteia in cagul producerii unui eveniment nedorit (in cazul exploatrii unei vulnerabilita¢! de citre o amenintare) cul incidentelor fEocatia 91 onal Scusti || Cauzele |[Fagubel[echipa care al incidentului |ineidentulus|fiesceiere||incidentulud| investigat incsdentul 3. Fae Le si operatiunile cu grad ridicat de rise G0 trebuie 84 identifice acele facilitayi sau aspecte operationale care se confrunta cu riscurile cele mai mari, In acest mod misurile de securitate sunt directiona bun efect P50 trebule eX identifice acele surse de rise (facllitayi gi operayiuni interne sau externe) gi fe acole unde pot avea cel ma vulnerabilltapi care ar putea genera ori favoriza riscul perturbirii sau distruge ingrastruceu: pentru care se elaboreazi PSO. Pentru a se realiza acest lucr, trebuie s8 se iain considerare toate sursele plauzibile si critice nationale/europene emnificative de risc, precum gi o gama cat mai largi de consecinte ale riscului Elementele planulyi de securitate Se vor preciza descriptiv unele aspects privind capacitayile de securitate ale operatorulyi (politici, proceduri de securitate, sisteme tehnice gi/sau informatice de securitate etc.) 3.4.2, Securitatea fizicd a infrastructuril critice nafionale/europene 91 controlul accesuly Se identifies punctele vulnerabile ale infrastzucturii critice najionale/euzopene gi se mentioneazt documentele in care jonate/stabilite misurile: de prevenire a evenimentelor, de dininuare a impactuiui, de fac: ventie! sau de restabilire a serviciilor fara infrastructura critica nationald/europeand in cazul in care acestea devin indisponibile. 4 precizate pe scurz elenentele de protectie perinetrala, sistenele de detectie si semnalizare a efractiei, sistemele de control al accesului, de management al identitatis, de managenent a vizitator:lor, de detectie #1 stingere a incendiilor, de supraveghere video perimetrala gi a céilor de acces ga zace de Blenente de sacuritate |[Roiul elenenteler|[| Informayii (controll accesului, |) de securitate || suplinentare Inanagementul identitayii,|| (devectace (or. de Inre~ fix. |rotrastructura criticalfeierente de protectic la |} descurajare/, |] giscrare gi lect. nazionala/europeans || explozie, Legici de ur- jjincar atac, |) docunentele hitpegilatie just ro!Public/FormaPrintabia/00000G07U1FPEB7MBDZ17BQBX7SSLGBQ_ 51820.11.2018, DECIZIE 166 19/03/2013, componeata critics) |] genya, cil de evacuare, |[eeducere vulacza-| sstene de |[nineare, alarmaze| ideo etc.) Jleveninent 5.2.) sistene de detectie a’ |fosiitace sau ane-|fdetals: privingl E 3.4 4 privind securitatea fizies se Litatile, vehiculele si alte elemente c © nspectie periodic’, precum ¢ erificdrile. Se v modul in care se efectueaz’ inspectiiior gi frecvenga lor, precum si aspectele referitoare 1a viabi raportare a constatarilor fonstatérle inspectiilor de securitate trebuie 94 se refere la: = elementele mecanice de protectie perimetrald (barieze, garduri, porti de acces auto gi persoane, nijloace de iluminat perinetral g.a.)7 = elemente de protectie cu echipanente de detect, semnalizare a efrac supraveghe jec, dupa cazz = elenence de blocare, restrictionare, identificare si autes ntrol al accesului; 2 debutului de incendiu gi de stingere a ini = sistene de usmrire gi 3.4.4, Tehnologia informatiilor si refele de comunicatii Se identifica 91 se descriu succint masurile sau tehnologiile existente pentra pro sistemelor 17 Impotriva atacurilor cibernetice, intruziunilor electronice Se indies succint migurile gi tehnologlile existente pent multiplicarea, arhivarea, n evidenvei gi Limitazea accesului 1a’ doe (planuri de securitate, evaludri de risc, rapoarte de 3.4.6. Personals) de securitate aferent LieL eau cu caneze de au distrugeriler fizice. protectia, pistrarea, distrugerea, mente Clasificate onale/europens Nivel acces/ Pregitize fic. | Nonele si prenunele oct lac securitate 9.2) [profesiona Ragaiatis jal_conuractant din afara operatorulul Rive situarit Echipanente §: tificd $i se tehnologii legate de 2 ceria succint tehnologiile deginy! ala operatorului (de exemplu, butoancle de alarmace, de pocnice/oprice a instalatiil fic. [Pipotegit 92 prograne||Nodelul fichipanentel= docate|| Infermay lect lechipamentuty suptimentare| 3.4.8, Tehnologia comunicatiilor hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, ane20.11.2018, DECIZIE 166 19/09/2013, Se identified si se descriu succint tehnologia si procesele utilizate pentru comunicare in situatic do urgen¢é atat cu personalul operatorului, cét $i cu politia, pompierii, ambulanta si alte Servicii publice. De asemenca, trebuie wen{ionate gi eventualele redundante ale sievenelor de comunicayii previgute pentru cvitarea defectiunilor echipanentelor de baz’ 3.4.9. Resurse gi instrunente mixte Suplinentar aspectelor precizate in celelalte sectiuni, aceasté secyiune trebuie sé identifice si S4 deserie succint celelaite instrumente gi resurse utilizate de operator pentru imbunatatires abilitayi: acestuia de a preveni, de a reduce, de a :nterveni sau de a restabili starea de normalitate in urma producerii unui eveninent (diferite planuri, procedurl gi procese pentru Inbunstéyirea securituyii; planuri de urgent; planuri de interven}ie In diferite situayil; echipamente speciale precun camerele de luat vederi, detectoarele de fun, dispozitivele electronice de contro! al accesului g.a.; proceduri de manipulare a unei bonbe; identificarea gi manipularea pachetelor suspecte; procediri de urmat in cazul une: explozii eau al unui incendi ete.) Capitolul IV Managementul PS0, responsabilitati si atribupii 4.1, Revizuirea gi actualizarea 250 Numele 94 prenunele Responsabilitagi Functia/Structura ons compartimentul specializat in domeniul Infrastructuris eritice naticnale/europene al auteritatii publice responsabile Intoemt avizat conducitor al auteritatis publice responsabile ConducStoral proprietarului /opsratorului/ aeministraterului depinator de infrastructura critica nayional#/europeand Aprobat ous Compartimentul specializat al autoritapii pubiice Intoemit revizuize/ sctualizare responsabile Avizat revizuize/ Autoritates publica actualizaze vresponsabilé Conduedtorul proprietarulus/operatozului/ Bprobat fadninistratorulul depinator revizuire/ ge) infvastzucturd critica nationals/europsand Responsabit distribuire la Alte responsabilitayi (werlficare, autorizare etc.) Pentru ca PS0 sh reflecte cu acuratete capahilitatile mediilor de securitate ale operaterulul, acesta trebuie revizuit si modificat, dacd este necesar, in fiecare an sau ori de cate ori situatia © impune. Analiza de risc trepuie revizusté periodic. 4.2. Rolut gi responsabilitatile angajatilor 4.2.2. Generalitati PSO trebute sA confind responsabilitapile tuturor structurilor operatorului (departamente, Girectii, servicii, pirouri compartimente etc.) cu atributii tn domeniul securitayii infrastructurif critice napionale/europene De exenplu, structurile cu atribufli de planificare, de managenent Cinanciar, al cesurselor unane, de securitate a muncii, de menteranté, de management al riscului, de asigurare logisticd etc. 4.2.2. Rolul si responsabilitapile OLS Vor £i specificate rolul si responsabil protectie! infrastructurilor critice, 4.2.3. Roluri-cheie si responsabilitati - Personalul de securitate in aceasta sectiune vor {i specificate rolurile $i responsabilitayile ce revin personalulul de securitate $i care vor fi atribuite pozi;illor corespunzdtoare din statul de funcyiuni al operatorulul, Trebule menflonat cé 1a anumiyi operatori mai mici poate exista gi cumil de funcyit. 4.2.4. Alte categorii de personal we in domenivl file ofiterulus de legaturd pentre s hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, m320.11.2018, DECIZIE 166 19/09/2013, Se vor specificl rolurile gi responsabilitayile ce revin gi allor categorii de personal ale operaterului, in domeniul securitatii infrastructuriler critice. capitolul V Managementul riscului 5.1, Evaluarea riscurilor de securitate In aceasta sectiune vor fi incluse informatii referitoare la msuri de ordin general, cum sunt: fe masuri organiaatorice = proceduri documentate (de exenplu pentru gestionarea alertelor, conunicare, congtientizare $1 sensibilizare personal 3.2.) = actiuni de control/verificare pericdicl al/a functionalitatii sist al/a capacitatii de rispuns si reven = planificare gi realizare de activitayi de formare gi perfectionare a personalului in domeniul securitéyii infrastructurilor critice; @ masuri de control si veriticare, comunicare, sensibilizare si formare; # masuri de securitate graduale, Care po: fi activate in functie de diferitele niveluri ale riscurilor gi ameningarilor: # masuri in doneniul securitayii sisterelor de informayiis @ nSeuri tehnice care includ instalarea de: = sistene de protectic fizicd perimetcali (garduri, bariere, porti de acces g-a.] = sistene de protectie gi alarmare impotriva efractiei (cu senzori in infrarogy, microunde, nagnetici, de vibratii sau acustici); = sistere de control al accesulu: (bion = sistene de managenent al vizitatorilor; = sisteme de supraveghere video pe timp de 2 gi noapte (camere TVCI); = dispecerate de moniterizare, comand i control; = sistene de detectie gi stingere a incendiulul; = sistene de securitate ciberneticé (pentru infrastructuri IT gi de comunicatii) Lista priving tipurile de riscuri, amenintrile gi punctele vulnerab!le identificate tn ura analizei de rise efectuate 1a ICN/ICE desemnatd se giseste in anexa nz. 1, care face parte integranca din prezentul plan de securitate. S.1.1. Prevenire, control si diminuare a riscului Identificarea, selectarea $i stabilirea prioritatilor in ceea ce privegte contrandsurile gi procedurite, realizéndu-se distinctie Intre masurile permanente - mésurile permanence de securitate (de naturd tehnic), care identifica investigiile de securitate indispensabile, gi mésurile hepermanente de securitace (de naturd organizatoricé), care pot fl activate gradual in funcyie de diferitele niveluri ale riscurilor gi aneninjarilor sdentificate. Misurile de peevenize $i diminuare a ziscului dezivA din evaluarea de rise efectuata. In cupzinsul acestei sectiuni trebuie precizaté gi nodalitatea de implenentare a acestor misuri. Misurile de control al riscului trebuie stabilite pentru fiecare dintre clenentele care fac parte din spectrul securitatii. Masursle de provenire i diminuare a in anexe nr. 2, care face parte inte din prezentul plan de securitate 5.1.2. Interventia sau rdspunsul tn cazul aparitie! riscului de securitate Misurile de securitate referitoare la faza de interventie sau de réspune trebaie 94 fle prevéeute in planurile specifice de intervenfie In situafii de urgenfa. PSO trebuie sa precizeze cum $1 de unde se pot obfine anumice informafii din planurile specifics de interventie, in cazul producerit anuniter incidente de securitate. 5.1.3. Reconstructia sau restabilirea stirii de normalitate dup manifestarea riscului de securstace Misurile de securitate in faza de reconstructie trebuie sé fie prevdzute In planurile de asigurare a continuita;ii serviciului. PS0 trebuie sé precizeze cum gi de unde se pot objine anumite informatii din planurile de asigurare a continuitati: servicialui. 5.2. Punctul de comand’ gi control (dispeceratul) Intervenyia efectiva tn cazul producerii unui eveniment cu urméri pentru securitatea ICN/ICE hecesité luarea unor decizli complexe, spre deosebire de operafiunile care se desfasoard In mod curent la nivelul operatorului. 250 trebuie s& contin’ informatii despre sistemul de management al crizeler, docunentat 1a nivelul operatorului de infrastructuré criticé nationald/europeani, daca exist un astfel de sistem, iar dacd nu, SA fack tranitere 1a modul de actiune si la persoanele care dispun de autoritatea de decizie in astfel d= s:tuatii, conform planule: de inerventie specific In anexe nr. 9, care face parte integranza din prezentul plan de secuvitate, este precizat Fluxul Anformational-deeizional ta cazul producerii unui incident de securitate care poate perturba sau distruge © infrastruetura critic najionala/european’. Diagrama procesulul de schimb de informayil in domeniul securitayii 2cN/Ice melor tennice de securitate gi ds ie, smart card, proximit: scului pentru fiecare tip de rise identific: sunt precizate hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, ane20.11.2018, DECIZIE 166 19/09/2013, S/S me [ Rasps Pn ame oor in anoxe nr. 7, care face parte integranzA din prezentul plan de securitate, sunt precizate datele de contact ale persoanelor cu responsabilitati in donaniul securitayii ICN/Ic= capitolul VI Niveluri de alerts 6.1, Generalitati Misurile preventive sunt luate pentru a mentine un nivel acceptabil de securitate a infrastructurli critice nationale/europene in cauzé, precun gi pentru a permite asigurarea unui nivel minim de functicnare corespunzitoare a serviciilor esentiale pe care le furnizeazd populatiei pe timpul crizei respective. Mivelurile de alerté trebuie stabilite pentru punerea in aplicare a masurilor de securitate in monentul producerii unui eveniment cu impact asupra :nfrastructurii critice nationale/europene Misursle oreventive sunt intreprinse pentru a mentine la un nivel acceptabil securizatea infrastructuri! eritice nayionale/europene, precum #: pentre a permite furnizarea continué © populayie a serviciulul esential asigurat de respectiva infrastructura criti 6.2, Stabilizea nivelurilor de alerta Opezatorit Leebuie ef stapileascd un sistem de alertaze pe ivelurl. PS0 Lrebule si deeceie acest sistem gi 98 stabileascd micurile de securitate ce trebuie puse in aplicare la fiecare nivel de alerts. in mod normal, nivelurile cele mai ridicate de alert corespund ameningizilor care pot genera evenimente cu Consscinte foarte grave. Sistemul de alertare ps niveluri trebuic sf contin urmdtoarele elemente: = definires fiecdrui nivel de alerta; = criteri: pentre declangarea alerte! gi nivelul acesteiar = stabilirea persoanelor ca drept de alertare pe tipuri $i pe niveluri de alerta; = masurile de securitate care corespund fiecdrul nivel de alerta; = un element care si indice daci trebuie pus in aplicare planul de interventie pentru situatii de urgenta (in general, acest plan este pus in aplicare atunci cind este necesars activarea punctului de comandi care permite cooperarea cu alte autoritati cu zesponsabilitati de inverventie): ~ detalieres aspectelor referitoare la diseminarea informatie: privind mivelul de alerta (mecanisne de diseminare a informatisi, destinatarul informatie:, nivelul de urgenté al transmiterii informatie!), precum gi mésurile ce trebuie intrepringe pentra fiecare nivel de alerta in p 6.3. Comunicarea $i arnonizarea Dacd exist un sistem de alertare extern tn aria de desfasurare 2 activitayii operatorului de infrastructura eritic& naplonala/europeans, acesta trebuie s& ia In congiderare ck este necesard armonizarea propriului sistem cu cel extern, pentru a evita conflictele de interese gi confuziile 6.4, Cadrul legal in situazia in care legis nay ionala/europeans. atia obligd operaterul si utilizeze un anunit sister de alertare, acest aspect trebuis specifica: in PSO. In aceasté sectiune vor £i specificate actele normative © reglenenteazd sistemul de alertare. 6.5, Proceduriie de alerzare In aceasta sectiune trebuie specificat cun sunt declangate, anulate sau modificate alertele. In fanexa nr. 11 care face parte integrant& din prezentu: plan de securitate este descris un model de sistem de alertare pe aiveluri capitolul VIT Anexe [ Anexa ne, 1 |[- Date generale privind riscurlle, aneninparile gl punctele lulnerabite la adresa infrastructurii critice nationale/ louropene F Anexa nr. 2 |[- tista cu mésurile de prevenire a producerii evenimentelor Jncdorite gi de diminvaze a riscurilor identifieate ca fiind lprioritare pentru infrastructura critics napionalA/europeand [Anoxa ne. 3 |[- Lista cu reviauirile P50 [ Anexa ne. @ |[- Glosar de terweni qi definijil in doneniul protecyrel lintrastructurilor critice E 5 | scronime F Anexa ne. € |[- Fig raportare incident de securitate hitpegislatie jst ro!Public/FormaPrinabia/00000G07U1FPEB7MBDZ17BQBX7SSLG8Q, one20.11.2018, DECIZIE 166 19/09/2013, responsabilitayi in domeniul securitatii [Anexa nr. 7 | bista cu datele de contact ale perscanelor ca ["Anexa ne, § |[- Organigeana proprictarulul/operatorulas/adm ldctinator de infrastructura criticé nationald/europeana ae. 9 |p flewal on incident de securitace Tdeciaienal in casul producer [anexe ne, 0) Selatan de 9 0 se completeas de cit deri situat anexa 1 la planul de securitate privind riseu Le, ameainyar la adzesa infrastruc Ai critice nationale/e torul de ICN/IC cul domeniulu: de responsabilitace [NFRASTRUCTURA CRITICA NATTONALA/EUROPEANA Date: ge-Ti-aaaa . Autoritatea publics responsabila 2. Adninistrator/proprietar/operater de ICN/ICE: ls. Conduestor: lt. Ofiter de Leg’tura pentrs securitate: ls. telete: [ONGTELE VOINERABILE ALE TON/TCE WEED votreransiicace tonite siaicara [Ertinaran sivetusiios MEM - vatnezapsiitace ridzeacs Jie. valnezabi state) WE ~ vatnerabsiitace medio ua = Valnerabslitate soaeues ln = Valnevabilitate foarte scizuta unteoducett punctul yuinerabsl unteaducet fl vuinerabsl ntroduceti punctul vulnerabil TRIE, [eer Tipari de aneninyarl T ‘anenanparea r 1 hitpegislatie jst ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, 101820.11.2018, DECIZIE 166 19/09/2013, 2 __|frnteoduceyi ameninyazea 3 neredacepi amenintarea 7 aneningarea Foare probabil Probebit Pati probabit 2 mprotob a Towterat Note Fowte ida ‘Riss rdiet 0 @ o Rise media Rise slat MVELUL MPAcTULUT Rise fart sn) ecare tip de rise va £i trecut in matricea risculu: in cdsuta aferenta dup stabilirea nivelulai impactulu: pi a probabilitazii de producere la planul de secu prevenire 2 producer evenimentelor nedorite gi de diminuare a riscurilor ‘dentificate ca fiind prioritare pentru infrastructura critica nabionala/europeant Riscul de |Msurs aq] Coaturi Data Responsabi 7 ae] vt.Peecuritate [fpreventre| aproxinacivel[inplementarsi imp’ enentarel[tnaep1 i- dentiricat mésurd gi |fnire zeuultat hitpegislatis just ro!Pubc/FormaPrintabila/00000G07U 1FPEB7MEDZ17BQBX7SSLGBQ, mie20.11.2018, DECIZIE 166 19/03/2013 ja planul de securitate fis. cet.|[ wendeal de [Secqiuniie]| ata seen nregiscrare|[revizuice [[reviewir la planul de securitate ont gi definijil in domeniul peotectiel infrasteucturilor critiee hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, rane20.11.2018, DECIZIE 166 19/09/2013, da planul de secu! ACRONIME ‘Reronine Detallere 3 intrastructura criticd curopeana oh intrastructura crisied najionala ae fProcectia infrastructurilor critice ors: [iiver de legituré pentru eecuritate fuer fjuroritate public# responsapila so Plan de securitate pentru operator [pre [febnologia informayiel gi conunicatillor anewa 6 da planul de seccritate Sectiunea A, Informasii generale de contact ale raportorului incidental Teton fixe ffelefon mobil Fax lEmatt Sectiunea 8, Informatii generale privind incidentul de securita [bata producerii incidentwlut [Bata detectiei incidentalul lee-11-aaaa pe-L-aaaa ra prodicerii incidentulult fora detectiel incidentulu fon au btm [pata incetaril incidentulul lora incetarii ineidentuls le2-11-aaaa bh smn [Zona incsdentalw: [rocatsa specifica: [Snservati= Sectiunea C. Informatii privind impactul incidentulu: de securitate ~ pact asupra Nivelul de alter asupra Mediu we |[incidentutai (erect OWENO) Sete oart seizat Angajapi evacoati (DA, Nu, NEC) Sectiunea D, Informayii privind persoanele implicate Z, [None 91 prenume][Data napterii/]| Rdresa fie ae | nal lect. varsta/sex jeeleson hitpegislatie just ro!Public/FormaPrintabia/00000G07U1FPEB7MEDZ17BQBX7SSLG8Q,20.11.2018, DECIZIE 166 19/03/2013, ctiunea magi generale privind infrastructura criticé nat eastructurii Vandalizata ‘onale/europene activitate supratata Nr. angajati Sectiunea F, Informayii privind notificarea producerii incideatuly [ferviciul ananyat|Data gi ora|[bata 91 oral[perscanall site ‘ anungarii || sosici oforma Poispia 2 [rostia locale 3 [rompiers [mute 7 ervicil de une 91 prenane)[Serucr ‘elefon]) E-mail ax fix |frob: JE EE Ed JD anexa 8 la planul de securitate /administratorulus ‘5 nationala/e propriy detinator de infra i /ope hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, onala/europeand afect ane.20.11.2018, DECIZIE 166 19/09/2013, Anexa 9 da planul de seccritate FLUXUL INFORMAPIONAL-D2C1ZTONAL in cazul producerii unui incident de anexa 10 1a planul de securitate Relatia dintre P50 i @ Anexa 11 ja planul de seccritate Sistem de alertare pe niveluri securitate A _ yp N 7_ hh: hz: socumente in doneniul securitayii (SCTEuNan Wiveral 1 de alerts — jongeientizare crescuta" ~ COD VERDE Terii de [Punerea in | informare alertare |faplicare a Jptanuini de |:nterventic| Misuri rterdependente [alte Jspecisicstis hitpegislatie jst ro!Public/FormaPrintabia/00000G07U 1FPEB7MBDZ17BQBX7SSLGEQ, 151820.11.2018, DECIZIE 166 19/03/2013 Jen situayil| [ie _uegenta niroducere |[pA/Nu/ aeredacere |[introducere nbroducere Jeriterii — fferosasrn — inrormar Inasur nfrastructur lecitice (Ex.: Informa~ [[(zx.: sunt tri-ffnationale rea tuturor—|frise in plus potential lechipe de cer llarectate Inecesitatea —|[zonele expuse sport te) jintruneste lconducerea Joentru analiza lpoten;ialelor lanenintairi) Nivelul 2 de alerté - "Securitate crescuts" - COD GALBEN Torii Ge [Punerea on aformare Maur aterdependenye [alte alertare |faplicare a spect ficay [interventie n situatii| "troducere [DA/W0/ neroducere I[Introducere mtroducere lcciterii— ffexopasiy — incormaci nisuri frastructuri leritsce .t Mivel 1 +1 m&suri delfrationale lie ingormare + |[niver > + inta-lfpotential nformarea po~ |[ricea capacita-|farectate Jpuiatie: deser-[[psi de prevens-| vita ce urmeazalfre a aparitie sa fie tipului de lacoctatay ise) Wivelul 3 de alerte ~ "Securitate waxina” ~ COD ROU [Panerea in amare Misuri finterdependente [ale alertare |faplicare a speci ficati [ie_urgenta ‘ntroducere [DA/NU/ ntroducere [[Introducere ratrodacere criterii |fpxopasri — |intormari Inasur: nfrastructur leritice (ex.: mvel 2 [f(ex.: misurt deffraionare 1 2 + pune-[fpotertial lpunerea in a~ |[rea in apiicareljarectate lsor prevederi- ljecabs. or celoriaite |[pianurite Jetanars de speci fice neerventiei [pentru + ipurite| pi raspune lac rise And specifice) finfornazea) anexa 3 ATRIBUPIILE ofiterulu: de legitura pentru securitate din cadru conpartimentului specializat desennat 1a nivelul autoritatilor publice responsabile ¢i la nivelul proprictarului/operatorulul/administratoraly astructurd critied nayicnals/europeans ae in I. Ofsferul de legat e ainimun 3 persoane) desemat la nivelul autorital publice responsabile sau la nivelul proprietarului /operatorului/administratorulus de infrastructuré c8 nationals/europeand, se agla subordonare a conducdtorului autoritatii publice responsabile sau 2 proprietarului /operatorului/adninistratorulus detinator de infrastructura critica hationald/europeans 52 sete pentru securitate es! Amentulut specializat (constituit din = persoana responsabil8 cu activitatea in doneniul protectiei infrastructuriler critice/setu conpartimentuivi, 1a nivelyl autoritayilor publice responsabile = seful compartimentulyi specializat In domenivl infrastructurii critice nayionale/europene, La hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, 16820.11.2018, DECIZIE 166 19/09/2013, nivelul proprietarului/operatorulul/adrinistratorulul de infrasteucturé eritich nationala/europeand Atributiite compartimentului desemnat se stabilese pe baza si in concordant cu prevederile legislatiei in domeniul protectie! infrastructurilor critice in vigoare. II. Yn indeplinirea responsabilitatilor, ofiterul de legaturé pentru securitate al autoritatilor publice responsabile are urmétoarele atributii principale: a) reprezinta punctul de contact al autoritayii publice responsabile in relatia cu Centrul de coordonare a protectiel infrastructurilor eritice, cu propristarii/operatorii/aduinistratorii de infrastructura critic’ naylonala/europeans din sectorl/subsectorul aflat in responsabilitate $i celelalte autoritapi publice responsabile, pentru aspectele care Fin de securitatea infrastructurilor critice; b) organizeazs, coordoneazS gi rispunde de activitatea de reevaluare gi actualizare periodicé a decumente!or specifice domeniului protectiei infrastructurilor critice elaborate la nivelul conpartinentului de specialitate aflat in responsabititate: ©) Faspunde de actualizarea baze: de dats aferente macanismilui de comunicare national in domensul protectie! infrastructurilor critice, privind riscurile, amenintarile gi vulnerabilitatile identificate la adresa infrastructurii critice nationalé/europene din responsabilitate: @) asiguré monitorizarea permanent& a evoluyiel riscurilor, ameninyarilor gi vulnerabilitayilor la adresa infrastructurii critice naflonale/europene din responsabilitate; ©) infermeazi, in dinawick, Centrul de coordonare a proteclicl infrastructurilor critice $1 celelalte structuri interdopendente asupra evolutiei riscuriler, amenintarilor gi wulnerabslitatilor la adresa infrastructurii eritice nagionale/curopene din aria de responsabilizate; £) propune masurile cu caracter imediat in situatia identificarii unor riscuri 1a nivelut infrastructurii critice nationale/europene din responsabilitate; @) particips, in calitate de reprezentant desemnat a? autoritatii publice responsabile, 1a procesul de stabilire a criterillor si pragurilor critice pentru infrastructura critic’ nayionala/european& din responsabilitate; h) coordoneaz’ activitatea de elaborate a planurilor anuale de verificare prin exercitii #1 activity: specifice a viabilitatii PSO sau a docunentelor ecnivalente, existente la nivelul proprietar!lor/operatorilor/administratorilor de infrastructuré erizic& nationals/europeand din aria de responsabilicate; i) propune conducerii aucoritatii publice responsabite avizares PSO elaborate 1a nivelul propristarilor/operatorilor/administratorilor de infastructuré critica nationala/europeand; 3) propune nominalizarea de c&tre conducatorul autor: tayii publice responsabile 2 unui expert responsabil din cadrul compartimentulul desennat 1a nivelul autoritayil publice responsablle pe problematica protectiel infrastructurilor critice, pentru a asigura consiliereoperatorilor de Anfrastructuri eritice, inclusiv ta Laza de elaborare a scenariilor de ameninkarl gi de stabilize a conditiilor de realizare a analizelor de rise; k) particip&, de cegulS, la sedintele Grupului de luczu interinetitutional pentru protectia infrastructuriler critice; 1) propune spre aprobare conducétorului autoritatii publice responsabile components nominald a Comisiei de evaluare a PS0; m) informeazd periodic Centrul de coordonare a protectiei infrastructuriler critics cu priviz existenta/actualizarea PSO; n) urméregte respectarea de catre proprietarii/operatorii/administraterii de infrastructuré critica pabionala/europeand a prevederilor legale privind protectia infrastructurilor eritices 9) asigurd, 1a solicstarea ofiterului de legitura al proprietarulyi/operatorului/adninistratorulul de infrastructurd criticA nationals/european’, consultarea celorlalze autoritayi puplice responsabile/institute de profil, in vederea @labordrii scenariilor de amenintiri; P) coopereazd cu Central de coordonare a protactiei :nfrastructuriler critice in vederea realizirii Schimbulu: de informatii in domenivl provactiei infrastructurilor critice: 4) coordoneaza elaborarea gi transmiterea, 1a solicitarea Centrului de coordonare a protectiei infrastructurilor critice, a informdrilor, analizelor, materialelor documentare privind infrastructurile critice din sfera de responsabilitate: r) participa, la solicitarea Centrului de coordonare a protectiei infrastructurilor critice, la activity: specifice domeniului (workshopuri, simpozicane, exercitii de verificare si testare a PSO ete.) s) propune, in condigiile legii, mMsuri pentru asigurazea pregticii personalului desennat s& indeplineased functia de ofiter de legdturé pentru securitatea infrastructurilor eritice de la Rivelul proprietarilor/operatorilor/adrinistratorilor de infrastruczuré criticé nationala/europeans; t) organizeard $1 coordoneazd activitatea de elaborave 9i transmitere a documentelor clasificate, aferente infrastructurii critice naicnale/europene din aria de responsabilitate, asigurand respectarea normelor in vigoarer u) verificd modul de tadeplinire de citre proprietar!i/operatorii/adninistratorii de infrasteucturd eriticé nationald/europeand din sectorul de responsapilitate a obligatiilor stabilite de legislatia in vigoare gi propune conducdtorului autoritAtii publice responsabile aplicarea, In conditiile legii, de sanctivni pentru nerespectazea acestora; ) elaboreazd tapoartele de evaluare a exercitiilor desfagurate; 4) coordonea2a procesul anual de actualizare a liste: cu infrastructurile critice din sectorul aflat In competenta gi informeard Centrul de coordonave a protectiel infrastracturilor critice cu privire la necesitatea actualizdril anexei la Hotérarea Guvernului nr. 1.198/2012 privind desennarea infrastructuriler eritice naicnale: x) urmireste permanent indeplinirea, potrivit competenteloz, a obligatiiler prevazute de legislatia nationald fn donenin. aa hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, ame.20.11.2018, DECIZIE 166 19/09/2013, IIT, fn indeplinizea responsabilit&yilor, ofiferul de legaturk pentru securitate al proprictarului/operatorului/administratorulu: de infrastructuré critic& aationalé/europeand are urmitoarele atributii principale: a) reprezintd punctul de contact al proprietarului/operatorului/administratoralui de infras critica nationald/europeand in relatia cu autoritatea publicd responsabild, ca Centrul de coordonare a protectiei infrastructurilor eritice, precum si alte structuri ca care se aflé in relatie de interdependens4, pentru aspeczele care tin de securitatea infrastracturilor critice: b) elaboreazd gi/sau actualizeazd analiza de rise $i identificé punctele vulnerabile privind infrastructura critica napionalé/europeand din responsabilitate sau propune initierea denersurilor, in condiyiile legil, pentru desennarea unel persoane fizice/juridice atestate, care s& execute aceste activitstis ©) elaboreazi scenariile de amenintari 1a adresa infrastructurii critice nationale/europene din responsabilitate; d) raspunde de actualizarea periodicd 2 docunantelor elaborate 1a nivelul compartimentului de specializate al proprietarului/operatorului/adninistratorulu: de infrastructuré crizica nat ionala/europeans: ®) raspunde de actualizarea bazei de date aferente mecanismslui de comunicare national tn doneniul protectie: infrastructuriler critice, privind riscurile, amenintarile $i vulnerabilitayile identificate la adresa infrastructuril critice nationale/europene din responsabilitate; £) asigued monitorizarea permanent a evolutiel situatiei privind riscurile, ameninyirile si vulnerabilitagile la adresa infrastructurii eritice nafionale/europene din responsabilicate; g) informeazd, in dinamic’, autoritatile publice responsabile gi celelalte structuri interdependence asupra evolutied riscurilor, ameningisilor g2 vulnerapilitayilor la adresa infrastructurii critice nayionale/europene; 1h) propune mésurile cu caracter imediat in situatia producerii unor riscuri la nivelul infrastructuri! eritice nayionale/europene din responsabilitate; i) participa, la solicitarea autoritayii publice responsabile, 1a procesul de stabilire a eriteriilor $1 praguriler critice pentru infrastructura criticé najionala/europeana din responsab!litate; 3) Fispunde de evaluarea, testarea gi, dup caz, actualizarea gi revizuirea PSO la termenele Btabilite de legislatia in vigoare; k) organizeazA gi conduce exercitiile gi activitatile specifice cu ocazia testirii PSO eau a docunente!or echivalente: ecusd 1) asigurd intoonirea gi inaintarea cdtre autoritatea publicd responsabila, in vaderea avizarii, a PSO elaborat la nivelul conpartimentului de specialicate al proprictarului/operatorulul/administratorului de infrastructur’ critica najionala/european’s n) planifics $1 asigur&, in conditiile legii, participarea personalulul din subordine la activitapi de pregitize de specialitate; hn) asiguré elaborarea/transmiterea docunentelor clasificate, aferente infrastructurii eritice nationale/europene din aria de responsabilitate, urmizind respectarea prevederilor legale privind accesul 1a documentels clasificate; 9) amndregte permanent indeplinires obligatiilor prevégute de legislatia nayionalé in domeniu. hitpegislatie just ro!Public/FormaPrintabila/00000G07U1FPEB7M@DZ17BQBX7SSLGQ, 1818