Comunica experienta
MonitorulJuridic.ro
În temeiul art. 108 din Constituţia României, republicată, şi al art. 1 alin. (3) şi (4), art. 3 alin. (1)-(4) şi (8), art. 8 alin. (1) şi art. 10 alin. (8) din Ordonanţa de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice,
Guvernul României adoptă prezenta hotărâre.
CAP. I
Dispoziţii generale
ART. 1
(1) Prezenta hotărâre are ca obiect stabilirea unor standarde, reguli şi obligaţii necesare activităţilor operaţionale, procedurale şi tehnice de organizare şi funcţionare a infrastructurilor informatice şi a serviciilor de tip cloud, respectiv:
a) politica, strategia, criteriile tehnice şi operaţionale privind implementarea, operarea, mentenanţa şi dezvoltarea ulterioară a Platformei de cloud guvernamental, denumită în continuare Platforma, precum şi interconectarea sistemelor informatice;
b) cadrul de management şi stocare a datelor în Platformă şi stabilirea categoriilor de date prelucrate şi/sau găzduite în Platformă, inclusiv în componenta de cloud privat guvernamental, denumită în continuare CPG, respectiv resursele publice sau private disponibile în Platformă;
c) planul pentru migrarea şi integrarea în Platformă a aplicaţiilor informatice şi a serviciilor publice electronice ale instituţiilor şi autorităţilor aparţinând administraţiei publice, precum şi lista autorităţilor şi instituţiilor publice ale căror sisteme informatice şi servicii publice electronice migrează în Platformă;
d) criteriile generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, adaptării la standarde tehnice şi semantice, respectiv a performanţei aplicaţiilor şi serviciilor de cloud de tip Iaas, Paas, SaaS găzduite în Platformă, prin intermediul unui marketplace, inclusiv normele metodologice privind jurnalizarea evenimentelor şi accesului la datele autorităţilor şi instituţiilor publice găzduite în Platformă;
e) politica cloud first.
(2) CPG şi Platforma de tip API Gateway sunt infrastructuri informatice şi de comunicaţii de interes naţional în sensul Legii nr. 163/2021 privind adoptarea unor măsuri referitoare la infrastructuri informatice şi de comunicaţii de interes naţional şi condiţiile implementării reţelelor 5G, denumită în continuare Legea nr. 163/2021.
(3) Prin excepţie de la prevederile alin. (2), produsele, aplicaţiile şi serviciile software cu licenţă cu sursă deschisă în cadrul CPG şi al Platformei de tip API Gateway nu sunt infrastructuri informatice şi de comunicaţii de interes naţional în sensul Legii nr. 163/2021; achiziţia, furnizarea şi utilizarea de produse, aplicaţii şi servicii cu licenţă cu sursă deschisă în cadrul CPG şi al Platformei de tip API Gateway se realizează doar cu avizul prealabil şi conform al Autorităţii pentru Digitalizarea României, denumită în continuare ADR.
ART. 2
(1) În sensul prezentei hotărâri, termenii şi expresiile de mai jos au următoarele semnificaţii:
a) acord privind nivelul serviciilor, denumit în continuare SLA - document care conţine condiţiile specifice şi măsurabile legate de nivelul agreat al serviciilor;
b) administrator - autoritate şi instituţie publică responsabilă de gestionarea operaţională, procedurală, tehnică şi/sau de securitate cibernetică, după caz, a unui set de resurse din cadrul Platformei;
c) centru de date - un spaţiu dedicat, într-o clădire specializată pentru găzduirea sistemelor informatice şi componentelor asociate, cum sunt sistemele tehnologice şi cele de comunicaţii şi de tehnologia informaţiei;
d) cloud computing - model care permite accesul prin reţea la un grup scalabil şi elastic de resurse fizice sau virtuale care pot fi folosite de către utilizatori, în mod partajat, la cerere, în sistem self-service, sub formă de servicii de cloud, respectiv IaaS, PaaS şi SaaS;
e) cloud ready - aplicaţii dezvoltate pentru a fi implementate pe o infrastructură de cloud computing de tip public sau privat, sub formă de servicii logice decuplate în instanţe de tip maşină virtuală şi/sau container;
f) cloud nativ - aplicaţii dezvoltate pentru a fi implementate pe o infrastructură de cloud computing, sub formă de servicii logice decuplate în instanţe de tip container, bazate pe microservicii, API-uri şi microsegmentare a comunicaţiilor, care beneficiază de funcţionalităţile disponibile în infrastructură de cloud computing pentru a asigura disponibilitate şi scalabilitate, fără a necesita planificarea tradiţională a resurselor necesare;
g) date deschise - astfel cum sunt definite potrivit art. 2 lit. e) din Legea nr. 179/2022 privind datele deschise şi reutilizarea informaţiilor din sectorul public;
h) entităţi private - furnizorii de servicii de clouduri publice şi private;
i) furnizor de servicii de cloud, denumit în continuare FSC - entitate publică sau privată care administrează un set de resurse prin care pune la dispoziţia utilizatorilor de servicii de cloud, la cererea acestora, servicii de cloud într-un model partajat de tip IaaS, PaaS sau SaaS;
j) interconectare - conectarea serviciilor, a microserviciilor, a aplicaţiilor sau a bazelor de date pentru schimb de date;
k) interfaţa de programare a aplicaţiei, denumită în continuare API - set de funcţii, proceduri, definiţii şi protocoale pentru comunicarea dintre maşini şi schimbul fără sincope de date;
l) licenţă cu sursă deschisă - act juridic prin care se permite reutilizarea software-ului pentru toate utilizările specificate într-o declaraţie unilaterală a titularului de drepturi şi în care codurile-sursă ale software-ului sunt puse la dispoziţia utilizatorilor;
m) management al identităţii - metode, instrumente, tehnici şi proceduri de validare a identităţii, atunci când se accesează anumite componente ale Platformei;
n) microservicii - abordare arhitecturală care organizează aplicaţiile în colecţii de servicii decuplate care comunică prin intermediul unor API definite;
o) platforma API Gateway - instrument de management care reprezintă punctul de intrare unic pentru API-uri şi microservicii back-end definite, atât interne, cât şi externe, folosit pentru interconectarea aplicaţiilor şi serviciilor informatice, impunând securitatea şi asigurând scalabilitate şi disponibilitate ridicată;
p) resurse - elemente de infrastructură formate din unităţi de procesare, stocare, memorie, comunicaţii, securitate cibernetică, licenţe sau subscripţii software, utilizate pentru a oferi servicii de cloud;
q) servicii de cloud - modele de partajare securizată a resurselor din cadrul unei platforme cloud, precum IaaS, PaaS sau SaaS, către utilizatori de servicii de cloud, la cererea acestora;
r) servicii în tehnologie de cloud - servicii sau aplicaţii de tehnologia informaţiei şi comunicaţiilor furnizate prin intermediul serviciilor de cloud, care includ, dar nu se limitează la, stocarea, transmiterea sau procesarea datelor;
s) utilizator de servicii de cloud, denumit în continuare USC - autoritate şi instituţie publică din România care utilizează servicii de cloud furnizate în cadrul Platformei.
(2) Termenii şi expresiile utilizate în prezenta hotărâre se completează cu prevederile art. 2 din Ordonanţa de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, denumită în continuare Ordonanţă de urgenţă.
ART. 3
Principiile care stau la baza guvernanţei Platformei sunt:
a) realizarea accesului securizat la date;
b) alinierea cu obiectivele naţionale de digitalizare, prin proiectarea şi furnizarea serviciilor realizate, corelat cu legislaţia şi strategiile naţionale de digitalizare şi securitate cibernetică;
c) conformitatea Platformei cu politicile şi standardele din capitolul II, prin proiectarea şi furnizarea serviciilor cu respectarea prevederilor prezentei hotărâri;
d) interconectarea sistemelor prin asigurarea accesului sigur, rapid, facil şi jurnalizat la servicii;
e) implementarea conceptului „doar o singură dată“ prin care datele minimal necesare sunt solicitate de la titular o singură dată şi ulterior sunt utilizate de USC, în baza accesului acordat;
f) orientarea proiectării, dezvoltării şi furnizării serviciilor de cloud în funcţie de nevoile identificate ale USC;
g) dezvoltarea unor mecanisme de jurnalizare a operaţiunilor de prelucrare a datelor, în vederea auditării ulterioare, în scopul asigurării transparenţei prelucrării datelor cu caracter personal;
h) partajarea responsabilităţilor în cadrul Platformei între FSC şi USC;
i) prelucrarea sigură a datelor în cadrul serviciilor furnizate în Platformă, cu garantarea specificării şi limitarea scopului fiecărei prelucrări de date, prin adoptarea de către USC a unor măsuri tehnice şi organizatorice în scopul asigurării unui nivel adecvat de protecţie a datelor;
j) evitarea denaturării concurenţei şi asigurarea tratamentului egal pentru toţi FSC, prin furnizarea soluţiilor complete de cloud, dezvoltate în cadrul CPG sau livrate către Platformă de către FSC.
CAP. II
Politica, strategia şi criteriile tehnice şi operaţionale privind implementarea, operarea, mentenanţa şi dezvoltarea ulterioară a Platformei şi CPG, regulile privind stabilirea nivelului agreat de servicii, precum şi cele privind migrarea şi interconectarea sistemelor informatice
ART. 4
Obiectivele de dezvoltare a Platformei sunt:
a) asigurarea instrumentelor-suport pentru îmbunătăţirea serviciilor oferite de autorităţile şi instituţiile publice, reformarea operaţiunilor şi a proceselor administrative din cadrul autorităţilor şi instituţiilor publice având la bază un fundament de transformare digitală, pentru a maximiza beneficiile procesului de transformare electronică a guvernării;
b) accelerarea şi eficientizarea adoptării şi reutilizării infrastructurii de digitalizare a serviciilor publice electronice;
c) implementarea, de către autorităţile şi instituţiile publice, a politicii, standardelor tehnice şi a celor mai bune practici internaţionale în domeniul tehnologiei informaţiei şi comunicaţiilor, denumit în continuare TIC;
d) elaborarea şi implementarea unui cadru de investiţii în TIC pentru a valorifica beneficiile tuturor soluţiilor şi tehnologiilor de cloud computing şi a reutiliza infrastructura de digitalizare a serviciilor publice electronice;
e) formarea abilităţilor personalului şi dezvoltarea capacităţilor în domeniul TIC ale autorităţilor şi instituţiilor publice, prin dezvoltarea de platforme de colaborare şi prin încheierea de parteneriate public-private, cu preluarea practicilor inovative şi inteligente în implementarea TIC;
f) facilitarea, prin marketplace, a oportunităţilor de furnizare, de către mediul privat, de servicii de cloud, servicii de dezvoltare de software, soluţii şi aplicaţii informatice ce vor fi utilizate de autorităţile şi instituţiile publice;
g) deschiderea serviciilor guvernamentale de cloud computing către mediul privat în ceea ce priveşte achiziţionarea de bunuri şi servicii.
ART. 5
La nivelul Platformei se stabilesc următoarele roluri:
a) FSC;
b) USC.
ART. 6
(1) Furnizarea serviciilor oferite în cadrul CPG se asigură de către ADR, în baza contractului de furnizare de servicii încheiat cu USC.
(2) SLA este stabilit prin acorduri de administrare încheiate de ADR cu Serviciul de Telecomunicaţii Speciale, denumit în continuare STS, şi Serviciul Român de Informaţii, denumit în continuare SRI.
(3) SLA este stabilit prin acorduri de administrare încheiate de ADR cu FSC, pentru serviciile de cloud public din Platformă.
(4) În vederea asigurării funcţionării optime a serviciilor de cloud furnizate în CPG, ADR, împreună cu STS, asigură funcţionalitatea modulului de raportare periodică automată, care actualizează datele din grila de indicatori de performanţă tehnică, aprobată de către administrator şi FSC.
(5) Rapoartele generate în urma realizării activităţii de monitorizare, control şi evaluare a serviciilor de cloud furnizate în CPG, potrivit prevederilor alin. (3), stau la baza luării deciziilor corective pe parcursul administrării operaţionale a Platformei şi a evaluării performanţei serviciilor de cloud furnizate.
ART. 7
(1) Furnizarea serviciilor de cloud oferite în cadrul Platformei poate fi suspendată temporar la iniţiativa USC, printr-o cerere adresată FSC, pentru următoarele motive:
a) transformarea sau încetarea personalităţii juridice;
b) mutarea unui serviciu existent de la un USC la alt USC;
c) înlocuirea unui serviciu cu alt serviciu;
d) mutarea unui serviciu sau modificarea tehnică a acestuia;
e) incidente sau modificări de servicii de comunicaţii;
f) incidente de securitate cibernetică.
(2) Furnizarea serviciilor de cloud oferite în cadrul Platformei pentru USC poate fi suspendată temporar de către FSC, cu acordul prealabil al STS sau SRI, conform atribuţiilor prevăzute la art. 5 şi 6 din Ordonanţa de urgenţă, respectiv al USC, în cazul în care este compromisă funcţionarea serviciilor şi a sistemelor informatice ale USC.
(3) Furnizarea serviciilor de cloud oferite în cadrul Platformei poate fi suspendată temporar fără acordul USC, pentru o perioadă de maximum 72 de ore de către FSC şi la solicitarea STS sau SRI, cu notificarea USC în termen de maximum 24 de ore, în următoarele cazuri:
a) în cazul în care, prin furnizarea serviciilor de cloud oferite în cadrul Platformei, se constată existenţa unor ameninţări la adresa securităţii naţionale a României;
b) în situaţii de forţă majoră;
c) în cazul declarării mobilizării totale sau parţiale, a stării de urgenţă, stării de asediu sau stării de război, potrivit legii.
(4) În cazurile prevăzute la alin. (2) şi (3), furnizarea serviciilor se suspendă până la remedierea situaţiei create. Furnizarea serviciilor este reluată de îndată ce cauza suspendării a încetat.
ART. 8
(1) În situaţia în care USC stabileşte faptul că serviciile solicitate sau aplicaţiile utilizate nu mai corespund cerinţelor sale operaţionale, tehnice şi de securitate şi nici nu au fost extinse sau modernizate la solicitarea sa, USC solicită FSC eliberarea, total sau parţial, a resurselor.
(2) Eliberarea resurselor informatice, astfel cum sunt definite la art. 2 alin. (1) lit. n), utilizate de USC se realizează în temeiul clauzelor stabilite prin contractul de furnizare.
(3) Responsabilitatea legală privind stabilirea scopurilor şi mijloacelor de prelucrare, respectarea principiilor de prelucrare, colectarea datelor, păstrarea, distrugerea, respectiv ştergerea acestora, aparţine, în mod partajat, USC, FSC, ADR, SRI şi STS.
ART. 9
(1) Dezvoltarea Platformei se realizează prin:
a) extinderea capacităţii de procesare şi stocare a datelor;
b) crearea de noi centre de date pentru creşterea gradului de disponibilitate şi rezilienţă a sistemelor informatice;
c) sporirea capacităţii de automatizare şi autoservire pentru USC, pentru a beneficia în mod eficient de avantajele cloud computing;
d) furnizarea de noi servicii şi platforme de dezvoltare a aplicaţiilor software;
e) extinderea funcţionalităţilor resurselor şi serviciilor furnizate prin intermediul cloudurilor publice.
(2) Pentru dezvoltarea Platformei, Ministerul Cercetării, Inovării şi Digitalizării, denumit în continuare MCID, asigură:
a) actualizarea cadrului legal pentru facilitarea dezvoltării Platformei;
b) crearea unui program de dezvoltare, antrenare şi certificare a abilităţilor TIC, pentru USC şi beneficiarii finali ai serviciilor de cloud, raportat la utilizarea Platformei;
c) elaborarea unui plan de integrare a noilor centre de date într-un mediu cloud distribuit în reţea;
d) elaborarea, planificarea şi asigurarea bugetului necesar funcţionării şi dezvoltării Platformei.
ART. 10
Serviciile de cloud furnizate pentru USC prin Platformă trebuie să asigure cumulativ următoarele criterii tehnice şi operaţionale:
a) acces facil al USC la reţea - funcţionalităţile serviciilor de cloud sunt accesibile prin intermediul unor mecanisme standardizate;
b) autoservire la cererea USC - după alocarea resurselor în vederea furnizării serviciului, un USC poate dispune de funcţionalităţile serviciilor de cloud de procesare, stocare sau acces la reţea, după propriile nevoi, fără a fi necesară interacţiunea umană cu FSC;
c) alocarea şi eliberarea rapidă şi flexibilă a resurselor;
d) criterii de performanţă - fiabilitate, disponibilitate, scalabilitate, oportunitate, utilizabilitate, timp de răspuns, capacitate de transfer, gestionarea optimă a resurselor;
e) contorizarea resurselor - resursele care stau la baza furnizării serviciilor de cloud sunt monitorizate, gestionate şi raportate în vederea asigurării transparenţei;
f) optimizarea automată a serviciilor de cloud în baza măsurătorilor efectuate cu ajustarea resurselor alocate de către sistemele de cloud computing;
g) punerea în comun a resurselor - utilizarea funcţionalităţilor serviciilor de cloud se bazează pe partajarea dinamică a resurselor tehnice între mai mulţi USC după criterii de disponibilitate a resurselor fizice sau virtuale.
ART. 11
(1) Tipurile de servicii de cloud furnizate în cadrul Platformei sunt următoarele:
a) IaaS;
b) PaaS;
c) SaaS.
(2) Serviciile de cloud furnizate pe modelele de punere la dispoziţie a resurselor prevăzute la alin. (1) sunt furnizate cu servicii de securitate fizică şi cibernetică asociate.
ART. 12
În funcţie de tipul şi de modelul de furnizare a serviciului de cloud, ADR elaborează un set de cerinţe şi măsuri tehnice de performanţă şi securitate cibernetică la nivelul Platformei, realizat cu sprijinul STS şi SRI, în conformitate cu prevederile art. 4 alin. (1) din Ordonanţa de urgenţă, aprobat prin decizia preşedintelui ADR.
ART. 13
(1) În calitate de administrator operaţional al CPG, la nivel de SaaS şi în vederea gestionării marketplace, ADR:
a) primeşte şi analizează cerinţele operaţionale ale USC pentru dezvoltarea serviciilor din CPG;
b) coordonează implementarea şi dezvoltarea CPG;
c) încheie acorduri cu USC cu privire la migrarea, integrarea şi interconectarea în CPG, în conformitate cu prevederile art. 4 alin. (4) din Ordonanţa de urgenţă;
d) analizează şi monitorizează gradul de adoptare a serviciilor de cloud disponibile în CPG de către autorităţile şi instituţiile publice din România;
e) asigură listarea, administrarea şi delistarea în/din marketplace a aplicaţiilor şi serviciilor disponibile;
f) monitorizează eficienţa utilizării resurselor şi propune actualizări la strategia de dezvoltare ulterioară a CPG;
g) întreprinde demersurile necesare pentru instruirea personalului USC în ceea ce priveşte utilizarea marketplace;
h) monitorizează respectarea SLA-urilor;
i) acordă suport tehnic USC în procesul de management al riscurilor, în vederea adoptării tehnologiilor de cloud;
j) stabileşte, prin decizie a preşedintelui ADR, autorităţile şi instituţiile publice ale căror sisteme informatice şi servicii publice electronice se interconectează, cu acordul prealabil al autorităţii sau instituţiei publice respective, în CPG în vederea schimbului de date;
k) propune actualizarea listei autorităţilor şi instituţiilor publice ale căror sisteme informatice şi servicii publice electronice migrează în CPG;
l) asigură administrarea tehnică şi operaţională a serviciilor de cloud de tip SaaS în CPG;
m) coordonează activităţile de instalare, configurare, integrare, testare şi trecere în producţie a tehnologiilor, soluţiilor şi serviciilor software şi monitorizează rezultatele finale;
n) colaborează cu SRI pentru asigurarea securităţii cibernetice a serviciilor de cloud SaaS furnizate;
o) administrează componenta de marketplace;
p) administrează Platforma de tip API Gateway;
q) monitorizează eficienţa utilizării resurselor prin care se asigură furnizarea aplicaţiilor listate în marketplace;
r) pune la dispoziţie procedurile şi documentaţia necesară pentru utilizarea şi administrarea marketplace;
s) asigură serviciile de suport şi mentenanţă pentru componenta marketplace;
t) asigură publicarea specificaţiilor tehnice minimale, respectiv a cerinţelor tehnice şi funcţionale ale aplicaţiilor ce vor fi furnizate prin componenta marketplace a Platformei;
u) validează şi avizează aplicaţiile care vor fi publicate;
v) asigură confidenţialitatea informaţiilor comerciale;
w) asigură optimizarea costurilor prin adoptarea modelelor de servicii SaaS, partajate între autorităţile şi instituţiile publice;
x) asigură, cu titlu gratuit, furnizarea serviciilor aferente CPG din marketplace pentru USC, inclusiv a serviciilor de securitate cibernetică asociate.
(2) În calitate de furnizor de servicii cloud, ADR are următoarele responsabilităţi:
a) primeşte, analizează şi soluţionează solicitarea serviciilor de cloud din Platformă, în baza cererii formulate de către USC;
b) asigură furnizarea serviciilor în Platformă în baza contractelor de furnizare servicii de tip cloud încheiate cu USC;
c) stabileşte SLA ca parte integrantă a contractului de furnizare servicii de tip cloud şi defineşte calitatea şi nivelul serviciilor;
d) asigură suportul tehnic, împreună cu STS şi SRI, pentru administratorul desemnat de USC, prin intermediul unui punct de contact unic - service desk - pentru serviciile de cloud furnizate;
e) întreprinde demersuri pentru asigurarea resurselor financiare în vederea aplicării strategiei privind adoptarea, dezvoltarea şi mentenanţa Platformei;
f) colaborează cu STS şi SRI, pentru întocmirea analizei de risc în vederea respectării prevederilor art. 3 alin. (7) din Ordonanţa de urgenţă;
g) informează USC cu privire la rezultatele auditurilor de securitate, sub garantarea confidenţialităţii, precum şi cu privire la incidentele de securitate fizică şi cibernetică, sens în care oferă suport adecvat, în limita competenţelor, pentru gestionarea posibilelor riscuri de protecţie a datelor prezentate de astfel de incidente;
h) asigură, în mod partajat cu USC, respectarea politicilor, standardelor şi criteriilor aplicabile serviciilor de cloud în cadrul Platformei;
i) asigură implementarea principiului „doar o singură dată“ la nivelul autorităţilor şi instituţiilor publice.
ART. 14
(1) În calitate de administrator tehnic şi operaţional al infrastructurii de bază şi al serviciilor de cloud IaaS şi PaaS din cadrul CPG, STS are următoarele responsabilităţi:
a) asigură implementarea, administrarea tehnică şi operaţională, precum şi disponibilitatea infrastructurii de bază;
b) proiectează împreună cu ADR, respectiv bugetează şi achiziţionează produse şi servicii pentru mentenanţa şi dezvoltarea infrastructurii de bază şi a serviciilor specifice IaaS şi PaaS din CPG, în conformitate cu nevoile de dezvoltare ulterioare;
c) pune la dispoziţia ADR informaţii necesare cu privire la starea şi la nivelul de utilizare a resurselor tehnice, în vederea identificării nevoilor de dezvoltare a infrastructurii de bază, potrivit prevederilor lit. b);
d) analizează utilizarea resurselor CPG şi propune modalităţi de optimizare a acestora;
e) analizează, împreună cu ADR, cerinţele tehnice, operaţionale şi de performanţă ale USC;
f) alocă resursele tehnice din CPG potrivit prevederilor lit. e) şi în limita constrângerilor tehnice, operaţionale şi financiare;
g) alocă resurse tehnice suplimentare din CPG în urma solicitărilor ulterioare punerii în producţie a serviciilor sau aplicaţiilor găzduite;
h) în caz de nefuncţionare sau funcţionare defectuoasă a serviciilor IaaS şi PaaS alocate în CPG, asigură intervenţia tehnică imediată în vederea restabilirii serviciilor, cu notificarea ADR şi USC şi validarea funcţionării serviciilor împreună cu aceştia, în conformitate cu SLA-ul agreat;
i) asigură conectarea la nivel de reţea a USC la CPG şi acordă sprijin în vederea gestionării şi utilizării de către acesta a resurselor alocate;
j) generează şi furnizează pentru administratorii USC credenţiale de acces securizat şi credenţiale de gestionare a serviciilor de cloud alocate;
k) asigură interconectarea CPG, la nivel de servicii, cu celelalte componente de cloud din Platformă sau cu entităţile interconectate în Platformă, cu respectarea criteriilor tehnice şi de securitate stabilite prin prezenta hotărâre;
l) asigură suport tehnic USC în vederea gestionării problemelor tehnice specifice furnizării serviciilor de cloud de tip IaaS şi PaaS;
m) pune la dispoziţia ADR documentaţia tehnică pentru utilizarea serviciilor IaaS şi PaaS;
n) pune la dispoziţie mecanisme tehnice în vederea realizării de către USC a copiilor de siguranţă;
o) implementează mecanisme tehnice pentru respectarea de către USC a cerinţelor de disponibilitate în centre de date multiple;
p) stabileşte criteriile generale minime de performanţă şi propune ADR termenii şi condiţiile generale minime pentru furnizarea IaaS şi PaaS;
q) pune la dispoziţia MCID, ADR sau USC, după caz, informaţii necesare în vedere realizării auditurilor de conformitate, la nivel IaaS şi PaaS, pe linia securităţii şi trasabilităţii datelor şi a calităţii serviciilor furnizate;
r) efectuează demersurile necesare pentru instruirea personalului propriu în ceea ce priveşte administrarea serviciilor din CPG.
(2) În calitate de administrator de securitate cibernetică al infrastructurii de bază şi al serviciilor de cloud de tip IaaS şi PaaS din cadrul CPG, STS are următoarele responsabilităţi:
a) asigură securitatea, inclusiv securitatea cibernetică, a infrastructurii de bază pentru furnizarea serviciilor de cloud pe model IaaS şi PaaS;
b) aplică standardele şi implementează măsurile tehnice şi de securitate conform criteriilor stabilite prin prezenta hotărâre;
c) asigură protecţia datelor aflate în tranzit, managementul identităţii şi al drepturilor de acces, în baza listelor actualizate de către ADR, pentru administratorii resurselor alocate în CPG desemnaţi de USC;
d) notifică USC, prin intermediul ADR, cu privire la vulnerabilităţile de securitate la adresa disponibilităţii, integrităţii şi confidenţialităţii, identificate la nivelul serviciilor de cloud IaaS şi PaaS, în vederea remedierii acestora de către USC;
e) blochează temporar, pe o perioadă limitată hotărâtă de comun acord cu ADR şi USC, activitatea unor resurse a căror funcţionare vulnerabilizează serviciile furnizate, cu obligaţia de a notifica ADR şi USC în termen de 24 de ore.
(3) La solicitarea USC, transmisă prin intermediul ADR, STS asigură, cu titlu gratuit, în limita resurselor disponibile, servicii de consultanţă, proiectare, dezvoltare, testare, administrare tehnică şi de securitate cibernetică a serviciilor de cloud şi a serviciilor în tehnologii de cloud alocate sau găzduite în CPG.
ART. 15
În calitate de administrator de securitate cibernetică a serviciilor de cloud de tip SaaS, din cadrul CPG, SRI are următoarele responsabilităţi:
a) asigură securitatea cibernetică a serviciilor de cloud de tip SaaS din CPG prin cunoaşterea, prevenirea şi contracararea atacurilor, ameninţărilor, riscurilor şi vulnerabilităţilor cibernetice, inclusiv a celor complexe, de tip APT, îndreptate împotriva serviciilor CPG de tip SaaS şi a entităţilor găzduite;
b) cooperează cu STS, conform competenţelor fiecărei instituţii, pentru cunoaşterea, prevenirea şi contracararea atacurilor cibernetice complexe, de tip APT, îndreptate împotriva serviciilor specifice CPG la nivel IaaS şi PaaS, prin schimbul nemijlocit şi automat al informaţiilor referitoare la incidentele de securitate, fără a transfera date de conţinut;
c) cooperează cu ADR şi STS, conform atribuţiilor, pentru asigurarea unitară a securităţii cibernetice a CPG;
d) asigură alocarea serviciilor de securitate cibernetică la nivel SaaS, în funcţie de necesitate şi de resursele disponibile;
e) colaborează cu ADR pentru stabilirea criteriilor minime de performanţă pentru furnizarea serviciilor de securitate cibernetică la nivel SaaS;
f) asigură suport de specialitate, la solicitarea ADR, pentru derularea activităţilor de audit tehnic şi de securitate desfăşurate în cadrul Platformei;
g) analizează, din punctul de vedere al securităţii cibernetice, lista autorităţilor şi instituţiilor publice ale căror sisteme informatice şi servicii publice electronice solicită migrare în CPG şi transmite către ADR rezultatul analizei;
h) colaborează cu ADR şi STS pentru întocmirea analizei de risc;
i) propune ADR blocarea activităţii unor resurse provizionate de USC, a căror funcţionare necorespunzătoare poate afecta serviciile furnizate;
j) solicită ADR estimări privind nevoia viitoare de resurse, în scopul dezvoltării serviciilor administrate;
k) notifică ADR privind utilizarea improprie a unor resurse tehnice de către USC şi solicită suspendarea accesului acestuia, cu conservarea resurselor, dacă USC nu răspunde în termen de 30 de zile;
l) notifică ADR cu privire la neîndeplinirea obligaţiilor USC;
m) propune MCID şi ADR, împreună cu STS şi Directoratul Naţional de Securitate Cibernetică, soluţii tehnice şi criterii pentru asigurarea securităţii cibernetice în cadrul Platformei;
n) aplică standardele şi implementează măsurile de securitate cibernetică pentru protecţia serviciilor de cloud de tip SaaS;
o) participă şi asigură suport pentru evaluarea serviciilor de tip SaaS ce urmează a fi publicate de către ADR în marketplace, în faza de testare, înainte de lansarea lor în producţie;
p) asigură testarea din punctul de vedere al securităţii cibernetice a serviciilor de tip SaaS şi, la cererea USC, transmisă prin ADR, pentru celelalte USC de tip IaaS şi PaaS;
q) asigură, împreună cu structurile responsabile cu securitatea cibernetică competente, testarea din punctul de vedere al securităţii cibernetice a serviciilor de tip SaaS a autorităţilor şi instituţiilor prevăzute la art. 7 alin. (1) din Ordonanţa de urgenţă;
r) avizează lansarea în producţie a serviciilor de tip SaaS din punctul de vedere al securităţii cibernetice;
s) asigură izolarea USC care nu respectă standardele şi criteriile pentru asigurarea securităţii cibernetice pentru serviciile de tip SaaS alocate în CPG;
t) implementează politicile, standardele şi criteriile aplicabile serviciilor de securitate cibernetică;
u) formulează, împreună cu STS, propuneri către MCID şi ADR pentru modificarea politicilor, standardelor şi criteriilor aplicabile serviciilor de securitate cibernetică;
v) gestionează resursele financiare pentru achiziţionarea şi mentenanţa resurselor necesare asigurării serviciilor de securitate cibernetică;
w) raportat la nivelul cererii şi necesarul de resurse, gestionează fondurile financiare pentru realizarea investiţiilor şi măsurilor suplimentare, necesare asigurării securităţii cibernetice.
ART. 16
Autorităţile şi instituţiile publice, în calitate de USC, au următoarele responsabilităţi:
a) asigură resursele necesare pentru dezvoltarea şi mentenanţa serviciilor implementate în regie proprie;
b) asigură resursele necesare pentru implementarea măsurilor de securitate, conform criteriilor stabilite, în funcţie de modelul de serviciu cloud utilizat, în corelare cu standardul responsabilităţii partajate;
c) asigură resursele necesare şi realizează auditurile de conformitate pe linia securităţii, trasabilităţii datelor şi a calităţii serviciilor de cloud alocate;
d) solicită, prin intermediul marketplace, furnizarea de servicii de cloud puse la dispoziţie de FSC;
e) răspunde de procesul de management al riscurilor pentru adoptarea tehnologiilor cloud în cadrul Platformei;
f) încheie convenţii de administrare a serviciilor cloud, publicate de FSC, prin Platformă;
g) implementează politicile, standardele şi criteriile aplicabile serviciilor de cloud utilizate, în aria de competenţă;
h) realizează copii de siguranţă a datelor aplicaţiilor şi sistemelor informatice implementate;
i) aplică standardele şi implementează măsurile de securitate conform criteriilor stabilite, în baza modelului de serviciu de cloud alocat;
j) evaluează riscurile, stabileşte măsurile de securitate necesare în conformitate cu standardele şi criteriile aplicabile în Platformă, proiectează şi implementează sistemul, utilizând tehnologii de cloud, şi procedează la testarea acestuia privind funcţionalităţile, performanţa şi nivelul de securitate, folosind resursele tehnice de test puse la dispoziţie de către FSC.
ART. 17
În aplicarea prevederilor art. 15 din Ordonanţa de urgenţă, în vederea încheierii convenţiei de administrare a serviciilor de tip cloud prevăzute la art. 16 lit. f), se stabilesc următoarele cerinţe minime:
a) cerinţe tehnice şi de responsabilitate, privind securitatea datelor, aplicate pentru furnizarea serviciilor;
b) nivelul agreat al serviciilor, inclusiv indicatorii de performanţă ai acestora;
c) răspunderea contractuală a părţilor şi limitările acesteia;
d) principiile efectuării sau comandării unui audit de către părţi asupra modului de implementare a convenţiei;
e) proceduri pentru utilizarea serviciilor de cloud alocate;
f) repartizarea atribuţiilor legate de utilizarea serviciilor de cloud, inclusiv obligaţiile FSC şi asigurarea nivelului de calitate convenit;
g) regulile de întreţinere tehnică furnizate ca parte a întreţinerii serviciilor;
h) obligaţii în domeniul drepturilor de proprietate intelectuală;
i) proceduri şi reguli de răspuns la incidente de securitate;
j) drepturile, obligaţiile şi limitele împuternicirii privind prelucrarea datelor cu caracter personal;
k) procedurile de suspendare şi renunţare la utilizarea serviciilor şi condiţiile de încetare a convenţiei;
l) reguli de decontare pentru utilizarea serviciilor, acolo unde este cazul;
m) obligaţii de informare cu privire la prestarea serviciilor.
ART. 18
(1) În urma încheierii contractului de furnizare, ADR asigură, la cererea USC, consultanţă tehnică, precum şi resurse tehnice, cu titlu gratuit, pe o perioadă de maximum 60 de zile, în vederea testării serviciilor în tehnologie cloud ce urmează a fi furnizate prin serviciile de cloud din CPG utilizate.
(2) În situaţia în care ADR se află în imposibilitate obiectivă de a furniza consultanţă tehnică sau resurse tehnice pentru testarea serviciilor informatice, USC poate contracta servicii de consultanţă tehnică sau de testare a serviciilor informatice, ce vor fi suportate din bugetul USC.
(3) Situaţiile de imposibilitate obiectivă prevăzută la alin. (2) sunt:
a) depăşirea competenţelor de asigurare a consultanţei tehnice, care ar reveni expres unei alte autorităţi publice centrale;
b) excepţia de neexecutare, invocată în condiţiile art. 1.556 din Legea nr. 287/2009 privind Codul civil, republicată, cu modificările şi completările ulterioare;
c) forţa majoră;
d) cazul fortuit.
(4) În etapa de testare, USC are obligaţia de a folosi servicii de audit tehnic şi de securitate pentru evaluarea propriilor servicii livrate prin intermediul serviciilor de cloud contractate în cadrul Platformei.
ART. 19
(1) USC evaluează riscurile, stabileşte măsurile de securitate necesare în conformitate cu standardele şi criteriile aplicabile în Platformă, proiectează şi implementează sistemul utilizând tehnologii de cloud şi procedează la testarea acestuia privind funcţionalităţile, performanţa şi nivelul de securitate, folosind resursele tehnice de test puse la dispoziţie.
(2) Pentru serviciile de tip IaaS, USC are următoarele responsabilităţi:
a) gestionează accesul la resursele de cloud alocate în vederea administrării acestora;
b) dezvoltă, instalează şi gestionează componentele software necesare bunei funcţionări a sistemelor informatice proprii, găzduite pe resursele de cloud alocate;
c) asigură integrarea, în caz de necesitate, a sistemelor informatice proprii, găzduite pe resursele de cloud alocate, cu alte sisteme informatice;
d) asigură licenţierea pentru sistemele de operare, precum şi pentru alte componente necesare bunei funcţionări a sistemelor informatice proprii, găzduite pe resursele de cloud alocate, cu excepţia cazurilor în care FSC poate oferi licenţele necesare;
e) administrează sistemele informatice proprii, găzduite pe resursele de cloud alocate, inclusiv acordă drepturile de acces la diferite componente ale sistemelor informatice;
f) asigură, în mod partajat cu FSC, performanţa, securitatea şi disponibilitatea, la nivel de sistem de operare şi aplicaţii, a sistemelor informatice proprii, găzduite pe resursele de cloud alocate;
g) asigură protejarea datelor în cadrul sistemelor informatice proprii găzduite, precum şi crearea şi stocarea copiilor de rezervă;
h) asigură documentarea tehnică a sistemelor informatice proprii, găzduite pe resursele de cloud alocate;
i) asigură instruirea şi suportul utilizatorilor sistemelor informatice proprii, găzduite pe resursele de cloud alocate;
j) asigură managementul riscurilor în abordarea tehnologiilor de cloud;
k) asigură implementarea măsurilor tehnice din aria de responsabilitate pentru gestionarea riscurilor de securitate.
(3) Pentru serviciile de tip PaaS, USC are următoarele responsabilităţi:
a) asigură integrarea componentelor software de platformă în sistemele informatice proprii;
b) asigură licenţierea pentru alte componente necesare bunei funcţionări a sistemelor informatice proprii, găzduite pe resursele de cloud alocate, cu excepţia cazurilor în care FSC poate oferi licenţele necesare;
c) administrează sistemele informatice proprii, găzduite pe resursele de cloud alocate, şi acordă drepturile de acces la diferite componente ale sistemelor informatice;
d) asigură, în mod partajat cu FSC, securitatea şi disponibilitatea, la nivelul resurselor de cloud alocate;
e) gestionează accesul la resursele de cloud alocate în vederea administrării acestora;
f) asigură protejarea datelor în cadrul sistemelor informatice proprii, găzduite pe resursele de cloud alocate;
g) asigură documentarea tehnică a sistemelor informatice proprii, găzduite pe resursele de cloud alocate;
h) utilizează serviciile componentelor software de platformă în strictă corespondenţă cu convenţia sau, după caz, contractul încheiate cu FSC;
i) asigură instruirea şi suportul utilizatorilor sistemelor informatice găzduite pe resursele de cloud alocate;
j) asigură managementul riscurilor în abordarea tehnologiilor de cloud;
k) asigură implementarea măsurilor tehnice din aria de responsabilitate pentru gestionarea riscurilor de securitate.
(4) Pentru serviciile de tip SaaS, USC are următoarele responsabilităţi:
a) utilizează serviciile solicitate în conformitate cu prevederile contractului sau, după caz, convenţiei încheiate cu FSC;
b) administrează serviciile alocate, în limitele responsabilităţilor specificate în contractul sau, după caz, convenţia încheiate cu FSC;
c) gestionează accesul la serviciile alocate, în vederea administrării acestora, în limitele responsabilităţilor specificate în contractul sau, după caz, convenţia încheiate cu FSC;
d) asigură administrarea datelor generate în cadrul utilizării serviciilor;
e) asigură, după caz, instruirea şi suportul utilizatorilor proprii.
ART. 20
Pentru serviciile de cloud din Platformă, FSC are următoarele responsabilităţi:
a) asigură mecanismele de solicitare, alocare şi disponibilizare a serviciilor furnizate;
b) asigură disponibilitatea şi securitatea serviciilor furnizate, în limitele nivelului agreat de servicii;
c) asigură accesul la serviciile furnizate;
d) asigură, la cerere, suportul tehnic pentru USC în vederea folosirii mecanismelor de solicitare, alocare, utilizare şi disponibilizare a serviciilor furnizate;
e) dezvoltă, instalează şi gestionează componentele software necesare bunei funcţionări a serviciilor furnizate;
f) asigură integrarea, la cerere, a serviciilor furnizate cu alte servicii;
g) asigură administrarea centralizată a serviciilor furnizate;
h) acordă USC drepturile de administrare pentru serviciile furnizate;
i) asigură performanţa, securitatea şi disponibilitatea serviciilor furnizate în conformitate cu SLA;
j) asigură protecţia datelor procesate în cadrul serviciilor, precum şi crearea şi stocarea copiilor de rezervă;
k) asigură, inclusiv pentru USC, documentarea serviciilor furnizate;
l) asigură suportul USC în cadrul livrării serviciilor furnizate conform nivelului de servicii agreat.
ART. 21
(1) În aplicarea prevederilor art. 13 alin. (1) lit. c) şi în conformitate cu prevederile cap. V, ADR asigură migrarea, integrarea şi interconectarea cu USC.
(2) ADR, în calitate de FSC, are următoarele responsabilităţi:
a) gestionează accesul la resursele de cloud alocate;
b) dezvoltă, instalează şi gestionează componentele software necesare bunei funcţionări a serviciilor proprii, găzduite pe resursele de cloud alocate;
c) asigură integrarea serviciilor proprii, găzduite pe resursele de cloud alocate, cu alte servicii;
d) asigură integrarea componentelor software de platformă în serviciile şi aplicaţiile migrate;
e) asigură, în mod partajat cu USC, securitatea şi disponibilitatea, la nivelul resurselor de cloud alocate;
f) asigură analiza pentru migrarea serviciilor USC.
(3) USC are următoarele responsabilităţi:
a) asigură licenţierea pentru sistemele de operare, precum şi pentru toate componentele necesare bunei funcţionări a serviciilor proprii, găzduite pe resursele de cloud alocate, cu excepţia cazurilor în care FSC poate oferi licenţele necesare;
b) administrează serviciile proprii, găzduite pe resursele de cloud alocate, inclusiv acordă drepturile de acces la diferite componente ale serviciilor;
c) asigură, în mod partajat cu FSC, performanţa, securitatea şi disponibilitatea, la nivel de sistem de operare şi aplicaţii, a serviciilor proprii, găzduite pe resursele de cloud alocate;
d) asigură protejarea datelor procesate în cadrul serviciilor proprii, găzduite în Platformă, precum şi crearea şi stocarea copiilor de rezervă;
e) asigură documentarea tehnică a serviciilor proprii, găzduite pe resursele de cloud alocate;
f) asigură documentarea tehnică a serviciilor proprii, în vederea migrării în cloud;
g) asigură managementul riscurilor în abordarea tehnologiilor de cloud;
h) asigură implementarea măsurilor tehnice din aria de responsabilitate pentru gestionarea riscurilor de securitate;
i) asigură managementul riscurilor în abordarea planurilor de migrare şi interconectare a serviciilor, conform tehnologiilor de cloud;
j) asigură, în mod partajat cu FSC, securitatea şi disponibilitatea, la nivelul resurselor de cloud alocate;
k) gestionează accesul la resursele de cloud alocate în vederea administrării acestora;
l) asigură protejarea datelor procesate în cadrul sistemelor informatice proprii, găzduite pe resursele de cloud alocate;
m) utilizează serviciile componentelor software de platformă, conform acordurilor de migrare şi interconectare încheiate cu FSC;
n) asigură analiza şi migrarea în cloud, cu excepţia cazurilor în care FSC asigură această activitate;
o) asigură instruirea şi suportul utilizatorilor proprii pentru serviciile găzduite pe resursele de cloud alocate, cu excepţia cazurilor în care FSC asigură această activitate;
p) asigură implementarea măsurilor tehnice din aria de responsabilitate pentru gestionarea riscurilor de securitate.
ART. 22
(1) USC utilizează serviciile de cloud furnizate dintr-un cloud public cu respectarea prevederilor art. 27 şi 29.
(2) Costurile pentru realizarea conectării între Platformă şi alte servicii furnizate de cloud public revin în sarcina USC.
ART. 23
(1) USC care optează pentru utilizarea serviciilor de cloud public are obligaţia îndeplinirii cumulative a următoarelor condiţii:
a) de a încadra datele utilizate pentru a permite prelucrarea acestora într-un cloud public;
b) de a respecta cerinţele autorităţilor şi instituţiilor publice de confidenţialitate, securitate, integritate şi disponibilitate;
c) de a se asigura că serviciile de cloud public îi sunt oferite pe infrastructuri de bază aflate pe teritoriul statelor membre ale Uniunii Europene;
d) de a demonstra capacităţi de a utiliza şi gestiona în mod corespunzător aceste servicii;
e) de a implementa mecanisme, proceduri tehnice şi norme care garantează faptul că datele USC din cloudul public nu sunt accesate de către FSC, cu excepţia situaţiilor reglementate expres prin contractul de furnizare a serviciilor de cloud.
(2) În vederea îndeplinirii condiţiilor prevăzute la alin. (1), la solicitarea ADR, USC prezintă următoarele date:
a) identitatea operatorului datelor şi modul în care asigură controlul acestora;
b) categoriile de angajaţi/reprezentanţi/parteneri care au acces la date;
c) locul de stocare a datelor şi mecanismele de back-up;
d) condiţiile şi criteriile de audit;
e) calificarea nivelului de risc;
f) standarde, certificări şi garanţii de funcţionalitate şi securitate ale produselor şi serviciilor de cloud;
g) cerinţele de securizare a comunicaţiilor.
CAP. III
Platforma de tip API Gateway
ART. 24
(1) Se instituie Platforma de tip API Gateway în vederea asigurării interconectării sistemelor informatice ale autorităţilor şi instituţiilor publice din Platformă.
(2) Suportul tehnic al Platformei de tip API Gateway este asigurat de o infrastructură informatică, care permite schimbul de date automat între autorităţile şi instituţiile publice, în vederea asigurării interconectării aplicaţiilor şi serviciilor informatice pentru furnizarea serviciilor în Platformă.
(3) Datele cu caracter personal aflate în tranzit prin intermediul Platformei de tip API Gateway sunt criptate.
(4) În vederea asigurării securităţii cibernetice a Platformei de tip API Gateway, ADR colaborează cu Directoratul Naţional de Securitate Cibernetică, STS şi SRI.
(5) În vederea asigurării securităţii comunicaţiilor prin reţelele de transmisii de date utilizate de Platforma de tip API Gateway, ADR colaborează cu STS.
(6) ADR asigură suport pentru implementarea cerinţelor de interconectare a Platformei cu cloudurile private, implementate de autorităţile şi instituţiile publice.
(7) ADR, în calitate de unic administrator al Platformei de tip API Gateway, are următoarele atribuţii:
a) asigură interconectarea la nivel de servicii a aplicaţiilor din CPG prin intermediul Platformei de tip API Gateway, din bugetul ADR;
b) asigură funcţionarea, administrarea, mentenanţa şi dezvoltarea ulterioară a platformei;
c) avizează planurile de conectare a sistemelor informatice aparţinând autorităţilor şi instituţiilor publice la platformă;
d) monitorizează respectarea modului de utilizare al schimbului de date cu sistemele conectate la platformă;
e) asigură securitatea platformei în relaţia cu instituţiile şi autorităţile publice;
f) asigură jurnalizarea accesului la date;
g) asigură publicarea specificaţiilor tehnice necesare interconectării la nivel de aplicaţii şi servicii în Platformă.
(8) În ceea ce priveşte prelucrarea datelor cu caracter personal, ADR are rolul de persoană împuternicită de operator în relaţia cu autorităţile şi instituţiile publice conectate, care au rol de operatori de date cu caracter personal, fiind responsabile de stabilirea scopurilor şi a mijloacelor de prelucrare a datelor cu caracter personal, conform art. 4 alin. (7) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), denumit în continuare Regulamentul.
(9) ADR, în calitate de persoană împuternicită de operator ce oferă serviciul API Gateway, se asigură că respectă obligaţiile stabilite prin art. 28 alin. (3) din Regulament.
(10) Autorităţile şi instituţiile publice conectate au următoarele obligaţii:
a) asigură implementarea de măsuri organizaţionale şi tehnice pentru schimbul de date;
b) asigură conectarea la platformă a aplicaţiilor şi serviciilor informatice din surse proprii, altele decât cele prevăzute la alin. (7) lit. a);
c) implementează măsurile necesare pentru respectarea politicii referitoare la securitatea şi confidenţialitatea datelor.
CAP. IV
Cadrul de management şi stocare a datelor în Platformă, inclusiv stabilirea categoriilor de date prelucrate în Platformă şi găzduite de CPG
ART. 25
În funcţie de cerinţele USC, de categoriile de date, precum şi de arhitectura, standardizarea şi nivelul de complexitate aferent sistemelor informatice utilizate de acesta, procesul de adoptare a tehnologiilor cloud se poate realiza prin:
a) migrare în Platformă, dacă sunt respectate standardele şi cerinţele aplicabile conform analizei aplicaţiilor ce se decid a fi migrate;
b) modernizare tehnologică pentru respectarea standardelor şi cerinţelor aplicabile în Platformă;
c) proiectare, folosind tehnologii native cloud pe baza cerinţelor USC şi cu respectarea standardelor şi cerinţelor aplicabile Platformei.
ART. 26
Lista completă a aplicaţiilor şi serviciilor oferite în cadrul Platformei este publicată în marketplace şi cuprinde denumirea serviciilor, descrierea acestora, modul de solicitare şi contractare, tarifele pentru servicii, condiţiile de utilizare a serviciilor, termenii şi condiţiile de furnizare a serviciilor, precum şi alte informaţii pentru utilizarea acestora.
ART. 27
(1) Serviciile de cloud public furnizate în cadrul Platformei sunt oferite prin reţelele publice de comunicaţii.
(2) Serviciile de cloud furnizate în cadrul CPG sunt oferite prin intermediul reţelelor de comunicaţii aflate în administrarea STS.
(3) Stocarea datelor prevăzute la art. 28 alin. (1) lit. c) se realizează în infrastructuri tehnice localizate în România, iar pentru datele prevăzute la art. 28 alin. (1) lit. a) stocarea se realizează în infrastructuri tehnice localizate pe teritoriul Uniunii Europene, fără a include teritoriile de peste mări.
ART. 28
(1) Categoriile de date ce sunt utilizate în Platformă sunt:
a) date cu caracter personal;
b) date fără caracter personal;
c) categorii speciale de date cu caracter personal.
(2) Contractul de furnizare servicii încheiat între FSC şi USC cuprinde şi obligaţiile stabilite la art. 28 alin. (3) din Regulament.
(3) Persoana împuternicită, pentru acces la date în scop de mentenanţă corectivă, oferă asistenţă tehnică asupra aplicaţiilor sau sistemelor informatice ale USC, în prezenţa unui reprezentant al acestuia, conform prevederilor stabilite prin acordul/contractul încheiat.
ART. 29
(1) USC, înainte de utilizarea serviciilor furnizate prin Platformă, are responsabilitatea de a încadra şi gestiona datele, în funcţie de nivelul de risc asociat, rezultat al evaluării de impact efectuate conform prevederilor art. 35 din Regulament.
(2) USC, prin contractul de furnizare/administrare încheiat cu fiecare FSC, stabileşte criteriile şi cerinţele specifice pentru asigurarea securităţii şi confidenţialităţii datelor utilizate în Platformă.
(3) FSC nu are drept de dispoziţie asupra datelor USC.
(4) USC, prin contractul de furnizare/administrare cu FSC, stabileşte şi actualizează politica şi procedurile pentru efectuarea evaluărilor de securitate ale sistemului informatic, ţinând cont de evaluarea de impact şi analiza riscurilor actualizate.
(5) În funcţie de încadrarea datelor potrivit prevederilor art. 28 alin. (1), USC selectează tipul de cloud ce va găzdui datele, astfel:
a) categoriile speciale de date pot fi găzduite doar în CPG sau alte clouduri private ale autorităţilor şi instituţiilor publice interconectate în cadrul Platformei;
b) datele, altele decât cele prevăzute la lit. a), pot fi găzduite în oricare dintre cloudurile din cadrul Platformei.
ART. 30
Suplimentar evaluării de impact prevăzute la art. 29 alin. (1), USC realizează şi o evaluare care are în vedere următoarele elemente:
a) impactul operaţional şi pierderea funcţiilor critice ale serviciului;
b) impactul financiar;
c) afectarea imaginii şi reputaţiei publice;
d) impactul asupra sănătăţii şi siguranţei publice;
e) impactul la nivel social;
f) impactul asupra activităţilor curente sau a atingerii obiectivelor stabilite.
CAP. V
Planul pentru migrarea şi integrarea în CPG a sistemelor informatice şi a serviciilor publice electronice ale instituţiilor şi autorităţilor aparţinând administraţiei publice, precum şi lista autorităţilor şi instituţiilor publice ale căror sisteme informatice şi servicii publice electronice migrează în CPG
ART. 31
(1) ADR, conform prevederilor art. 4 alin. (2) din Ordonanţa de urgenţă, elaborează şi pune în aplicare metodologia pentru identificarea, selectarea şi prioritizarea aplicaţiilor şi serviciilor care urmează a fi migrate în CPG.
(2) În acest scop, ADR efectuează o analiză a proceselor şi a aplicaţiilor curente din cadrul autorităţii sau instituţiei publice, în vederea migrării.
(3) ADR coordonează procesul de migrare a aplicaţiilor şi achiziţionează centralizat servicii pentru migrarea aplicaţiilor şi serviciilor prioritare în CPG.
(4) ADR poate solicita şi primi rapoarte de evaluare de impact de la USC, cu scopul de a facilita demersurile de coordonare a procesului de migrare şi de analiză a aplicaţiilor şi serviciilor.
(5) ADR asigură informarea şi instruirea reprezentanţilor autorităţilor şi instituţiilor publice ale căror servicii sunt furnizate prin intermediul tehnologiilor din CPG.
(6) Autorităţile şi instituţiile publice ale căror aplicaţii şi servicii sunt migrate în CPG oferă acces ADR la infrastructură curentă, documentaţia tehnică completă, pachete de instalare, licenţe şi alte active necesare migrării. Autorităţile şi instituţiile publice intermediază schimburile de informaţii cu personalul entităţii care asigură mentenanţa aplicaţiilor/sistemelor informatice, acolo unde este cazul.
(7) Fiecare autoritate şi instituţie publică îşi dezvoltă, în baza acordului de migrare încheiat cu ADR, planul de migrare în baza arhitecturii comune de date şi a metodologiei de migrare.
(8) ADR, împreună cu autorităţile şi instituţiile publice ale căror aplicaţii şi servicii migrează, colaborează pentru:
a) evaluarea necesarului de resurse din CPG pentru găzduirea aplicaţiilor şi serviciilor informatice, acolo unde este cazul;
b) evaluarea necesarului de resurse din cloudurile publice şi cloudurile private neguvernamentale;
c) elaborarea şi aprobarea instrucţiunilor tehnice detaliate pentru migrare;
d) evaluarea conformităţii aplicaţiilor şi serviciilor cu cerinţele de cloud ready şi cloud nativ, de interconectare, jurnalizare, notificare şi securitate;
e) evaluarea potenţialului de reutilizare a aplicaţiilor şi serviciilor de uz general şi de provizionare ca servicii de tip SaaS, pentru alte autorităţi şi instituţii publice.
(9) În urma evaluării prevăzute la alin. (8), ADR elaborează şi pune la dispoziţia autorităţilor şi instituţiilor publice planuri de mentenanţă corectivă a aplicaţiilor şi serviciilor migrate, în vederea aplicării acestora, în conformitate cu prevederile acordului de migrare încheiat.
ART. 32
(1) STS, la solicitarea ADR, pune la dispoziţie resurse tehnice din CPG, de tip IaaS şi PaaS, necesare migrării aplicaţiilor şi serviciilor prevăzute în analiza fiecărei aplicaţii sau a fiecărui sistem informatic în parte.
(2) SRI, împreună cu STS, asigură verificarea conformităţii aplicaţiilor şi serviciilor din punctul de vedere al cerinţelor de securitate cibernetică a CPG, potrivit atribuţiilor prevăzute la art. 6 şi 7 din Ordonanţa de urgenţă.
(3) ADR stabileşte, prin acordul de migrare încheiat cu USC, planul de migrare în baza analizei tehnico-economice a serviciilor şi aplicaţiilor ce vor migra, evaluarea resurselor şi a efortului tehnico-economic.
ART. 33
(1) ADR asigură analiza, migrarea, găzduirea, integrarea şi interconectarea, în interiorul CPG, în limita bugetului alocat în acest sens, a aplicaţiilor şi serviciilor informatice ale autorităţilor şi instituţiilor publice centrale prevăzute în anexa care face parte integrantă din prezenta hotărâre.
(2) Prevederile alin. (1) se aplică şi autorităţilor şi instituţiilor aflate în subordinea sau sub coordonarea celor prevăzute în anexă.
(3) Lista autorităţilor şi instituţiilor prevăzute la alin. (1) se actualizează periodic în funcţie de solicitările entităţilor publice, pentru a fi găzduite în Platformă, precum şi interconectarea/ integrarea serviciilor publice în Platformă.
CAP. VI
Criteriile generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, adaptării la standarde tehnice şi semantice, respectiv a performanţei aplicaţiilor de tip SaaS găzduite în Platformă, prin intermediul unui marketplace, inclusiv a aplicaţiilor dezvoltate de mediul privat
ART. 34
În vederea selectării tipului şi modelului de serviciu din marketplace, USC împreună cu ADR face o analiză, care evaluează nivelul de pregătire şi expertiză pentru adoptarea tehnologiilor cloud, ţinând cont de faptul că:
a) suportul decizional pentru adoptarea tehnologiilor cloud necesită implicarea factorilor de decizie, atât la nivel intern, cât şi în relaţia cu alte autorităţi şi instituţii publice, pentru atingerea obiectivelor stabilite;
b) costul şi tipul de serviciu public electronic utilizat pentru furnizarea serviciilor prin intermediul tehnologiilor de cloud au implicaţii asupra bugetului, în funcţie de modelul de serviciu de cloud;
c) cadrul intern de organizare pentru furnizarea serviciilor prin intermediul tehnologiilor de cloud are implicaţii asupra modului de exploatare a resurselor TIC, atât din perspectiva resurselor umane pe care le administrează, cât şi a celor pe care le utilizează, precum şi a cadrului intern de reglementare;
d) arhitectura, standardizarea şi nivelul de complexitate aferente sistemelor informatice pentru adoptarea tehnologiilor cloud au implicaţii semnificative în furnizarea serviciilor publice electronice, fiind elemente-cheie în selectarea modelului de cloud;
e) criteriile de performanţă necesare pentru furnizarea serviciilor proprii pot fi îndeplinite;
f) cadrul naţional de reglementare, reprezentat de prevederile legislative care reglementează furnizarea serviciilor publice electronice sau organizarea şi funcţionarea unei autorităţi sau a unei autorităţi şi instituţii publice, contribuie în mod semnificativ la selectarea unui anume model de serviciu cloud.
ART. 35
Condiţiile de asigurare a confidenţialităţii, securităţii şi interconectării, precum şi de adaptare la standardele tehnice sunt următoarele:
a) ADR afişează public numele dezvoltatorului, informaţii referitoare la oferta comercială legată de produsul listat, precum şi termenele şi condiţiile de utilizare;
b) detalierea clară a oricăror limitări, condiţii sau excepţii de la funcţionalitatea şi caracteristicile aplicaţiilor;
c) descrierea compatibilităţii cu alte aplicaţii în vederea interconectării;
d) aplicaţiile sunt disponibile comercial, în curs de dezvoltare activă şi susţinute până când sunt eliminate de pe piaţă;
e) aplicaţiile nu trebuie să instaleze sau să lanseze cod executabil în mediul USC, altul decât cel aflat în ofertă, şi trebuie să fie lipsite de programe malware şi vulnerabilităţi de securitate;
f) aplicaţiile respectă regimurile de acces la date prevăzute la nivel naţional şi european, precum şi prevederile Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare, şi ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările şi completările ulterioare;
g) aplicaţiile respectă funcţionalităţile şi caracteristicile, aşa cum sunt ele menţionate în descriere; dacă sunt disponibile versiuni demo, acestea oferă aceleaşi funcţionalităţi cu versiunile plătite.
CAP. VII
Normele metodologice de jurnalizare a evenimentelor şi accesului la datele autorităţilor şi instituţiilor publice găzduite în CPG
ART. 36
(1) În vederea jurnalizării evenimentelor, la nivelul serviciilor de cloud furnizate în CPG, USC prelucrează date cu caracter personal în calitate de operator.
(2) În vederea furnizării serviciilor de cloud, USC împuterniceşte FSC, cu respectarea prevederilor art. 28 alin. (3) din Regulament, în vederea prelucrării datelor cu caracter personal.
(3) În calitate de persoană împuternicită, FSC prelucrează datele cu caracter personal în condiţiile stabilite potrivit alin. (2).
ART. 37
(1) În vederea migrării aplicaţiilor sau sistemelor informatice în cloud sau pentru utilizarea unor servicii de cloud, USC are obligaţia de a realiza o evaluare de impact asupra protecţiei datelor cu caracter personal, potrivit prevederilor art. 35 alin. (1) din Regulament.
(2) În procesul de implementare a serviciilor furnizate prin Platformă, USC colaborează cu FSC în vederea armonizării aspectelor prevăzute la alin. (1) cu resursele tehnice alocate din cadrul Platformei pentru USC.
ART. 38
(1) În scopul verificării legalităţii prelucrării datelor cu caracter personal, monitorizării şi asigurării integrităţii şi securităţii corespunzătoare a acestora, USC are obligaţia de a jurnaliza informaţii cu privire la acţiunile de prelucrare derulate prin intermediul serviciilor de cloud furnizate în cadrul Platformei.
(2) Informaţiile prevăzute la alin. (1) sunt stocate prin intermediul serviciului de jurnalizare disponibil în Platformă, sub forma unor jurnale şi loguri de sistem, şi sunt prezentate în mod transparent şi nemijlocit persoanei vizate, la cererea acesteia, sau prin intermediul aplicaţiei de notificare a prelucrărilor de date cu caracter personal, după caz.
(3) Scopul jurnalizării este de a pune la dispoziţia cetăţeanului istoricul privind acţiunile asupra datelor cu caracter personal accesate prin intermediul componentei API gateway în Platformă, derulate de către USC.
(4) Implementarea jurnalizării cuprinde dezvoltarea unor soluţii tehnice, astfel încât să asigure prelucrarea datelor şi nerepudierea acţiunilor produse în sistemele şi aplicaţiile cloud de către factorul uman sau de aplicaţii, servicii sau interfeţe de conectare.
(5) USC asigură înregistrarea, autentificarea, autorizarea, identificarea, notificarea şi jurnalizarea datelor în CPG. La solicitarea USC, ADR poate recomanda bune practici în vederea realizării jurnalizării.
(6) USC întreprinde toate demersurile pentru prevenirea modificării şi distrugerii, fără drept, a înregistrărilor din jurnal, respectiv pentru protejarea autenticităţii şi a continuităţii procesului de înregistrare a evenimentelor, cu excepţiile stabilite de legislaţia în vigoare.
(7) USC implementează şi actualizează, periodic, instrumente care să permită identificarea şi transmiterea acţiunilor de prelucrare a datelor prevăzute la alin. (1) în vederea transmiterii acestora către serviciul de jurnalizare prevăzut la alin. (2).
(8) ADR, STS şi SRI prelucrează datele cu caracter personal, încredinţate în calitate de persoană împuternicită de USC, numai pe baza instrucţiunilor documentate ale USC.
(9) ADR acordă asistenţă USC, la cerere, în asigurarea respectării obligaţiilor legate de evaluarea de impact asupra protecţiei datelor cu caracter personal prevăzută la art. 29 alin. (1).
(10) ADR întocmeşte, prin decizie a preşedintelui, cu consultarea STS, SRI şi USC, proceduri de portabilitate/recuperare/eliminare a datelor care sunt individualizate în contractul de furnizare de servicii încheiat cu USC şi în anexa de prelucrări ale datelor cu caracter personal, parte integrantă a contractului.
(11) FSC asigură ştergerea sau returnarea, la alegerea USC, a tuturor datelor cu caracter personal încredinţate de acesta din urmă, după încheierea prestării serviciilor, conform clauzelor contractuale.
(12) USC verifică ştergerea sau returnarea tuturor datelor cu caracter personal încredinţate FSC după încheierea prestării serviciilor de către acesta.
(13) ADR elaborează proceduri, prin decizie a preşedintelui, pentru gestionarea datelor procesate prin intermediul serviciilor de cloud furnizate prin CPG, în funcţie de politicile de clasificare a datelor, inclusiv criterii tehnice şi de securitate. Procedurile se individualizează în contractul de furnizare de servicii încheiat cu USC şi în anexa de prelucrări ale datelor cu caracter personal, parte integrantă a respectivului contract.
(14) USC, în calitate de proprietar/administrator, este responsabil de prelucrarea datelor şi stabileşte drepturi şi criteriile de acces la datele prelucrate, pentru personalul propriu, în vederea îndeplinirii îndatoririlor de serviciu, şi pentru autorităţi şi instituţii terţe, în vederea îndeplinirii obligaţiilor legale.
(15) USC asigură jurnalizarea operaţiunilor de acces la datele procesate în sistemele şi aplicaţiile implementate.
ART. 39
(1) Jurnalele de acces la date sunt păstrate pentru o perioadă de 36 de luni de la data înregistrării acţiunii privind datele respective, ca măsură tehnică necesară asigurării securităţii prelucrării datelor cu caracter personal, conform art. 32 din Regulament.
(2) La împlinirea termenului prevăzut la alin. (1), la solicitarea USC, datele cu caracter personal pot fi şterse în mod automat, fără posibilitatea reconstituirii, cu excepţia situaţiilor în care sunt utilizate în cadrul unor proceduri judiciare, caz în care acestea urmează regimul juridic al probelor, sau returnate către USC.
ART. 40
(1) USC dezvoltă politici şi proceduri care să definească cerinţele obligatorii pentru jurnalizarea acţiunilor asupra datelor cu caracter personal şi comercial.
(2) USC asigură generarea înregistrărilor şi mandatează ADR să asigure transmiterea şi stocarea acestor evenimente de jurnalizare.
(3) ADR, în calitate de persoană împuternicită de operator, prin intermediul contractului de furnizare, oferă o modalitate de transfer al evenimentelor, stabilirea frecvenţei evenimentelor care trebuie să fie transferate de către USC şi opţiunile de securitate ale datelor din jurnal în tranzit, astfel încât să se asigure confidenţialitatea, integritatea şi disponibilitatea acestora conform art. 32 din Regulament.
ART. 41
(1) ADR, în calitate de persoană împuternicită de operator, pune la dispoziţie USC o aplicaţie pentru generarea de notificări în vederea informării de către aceştia a cetăţenilor cu privire la orice acţiune întreprinsă în legătură cu datele cu caracter personal sau comercial ale unei persoane, entităţi sau ale unui sistem şi orice actualizări relevante pentru persoana vizată.
(2) Aplicaţia poate genera două tipuri de notificări:
a) notificări declanşate datorită acţiunilor produse de factorul uman;
b) notificări declanşate de aplicaţie, serviciu sau interfaţa de conectare.
(3) USC asigură informarea corectă şi nemijlocită a titularului datelor cu caracter personal cu privire la acţiunile realizate la nivelul Platformei care îi vizează direct datele cu caracter personal, precum şi cu privire la iniţiatorul acţiunii, prin intermediul aplicaţiei sau prin mijloace proprii.
CAP. VIII
Politica cloud first
ART. 42
(1) Politica cloud first promovează serviciile cloud computing ca tehnologie prioritară pentru administrarea şi furnizarea de servicii publice la nivel central şi local.
(2) USC utilizează Platforma ca primă opţiune pentru implementarea de noi aplicaţii şi servicii.
(3) USC, la elaborarea strategiei de investiţii în domeniul TIC, include în criteriile de analiză care determină introducerea în programul de investiţii a obiectivelor noi de investiţii TIC următoarele cerinţe:
a) prioritizarea opţiunii de cloud nativ sau cloud ready;
b) respectarea prevederilor Hotărârii Guvernului nr. 941/2013 privind organizarea şi funcţionarea Comitetului Tehnico-Economic pentru Societatea Informaţională, cu modificările şi completările ulterioare, pentru obţinerea avizului conform.
(4) Începând cu data operaţionalizării CPG, autorităţile şi instituţiile publice centrale, cu excepţia celor prevăzute în Ordonanţa de urgenţă, au obligaţia utilizării serviciilor de cloud disponibile în marketplace.
(5) În aplicarea prevederilor art. 1 alin. (7) din Ordonanţa de urgenţă, toate aplicaţiile informatice dezvoltate de autorităţile şi instituţiile publice centrale cu finanţare din fonduri publice sunt de tip cloud ready sau cloud nativ.
(6) Autorităţile şi instituţiile publice actualizează componenta TIC din strategia proprie pentru adoptarea serviciilor de cloud.
ART. 43
(1) Prin excepţie de la prevederile art. 42 alin. (2), autorităţile şi instituţiile publice pot implementa noi aplicaţii şi servicii în afara Platformei, în urma obţinerii unui aviz favorabil din partea Comitetului Tehnico-Economic pentru Societatea Informaţională, emis în baza unor criterii tehnico-economice clare, transparente, previzibile şi predictibile.
(2) Autorităţile şi instituţiile publice care au calitatea de USC adoptă proceduri interne de management al serviciilor de cloud contractate.
(3) Costurile aferente interoperabilităţii şi interconectării la nivel de servicii pentru serviciile prevăzute la alin. (1) sunt suportate de către autoritatea sau instituţia publică care le solicită.
CAP. IX
Protecţia datelor cu caracter personal
ART. 44
Prevederile prezentei hotărâri respectă normele şi obligaţiile impuse de dispoziţiile în vigoare privind protecţia datelor cu caracter personal.
ART. 45
(1) Datele cu caracter personal sunt prelucrate în conformitate cu prevederile Regulamentului, precum şi ale legislaţiei aplicabile în domeniu.
(2) Normele europene privind protecţia datelor cu caracter personal se aplică oricărui operator de date sau împuternicit, potrivit responsabilităţilor stabilite prin prezenta hotărâre.
ART. 46
Operatorul de date asigură respectarea deplină cel puţin a următoarelor prevederi:
a) capacitatea de a respecta drepturile persoanelor vizate privind informarea şi accesul, rectificarea şi ştergerea, precum şi dreptul la opoziţie;
b) notificarea, în caz de încălcare a securităţii datelor cu caracter personal, a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în maximum 72 de ore de la momentul în care o astfel de încălcare a securităţii datelor a ajuns în atenţia acestuia;
c) îndeplinirea tuturor îndatoririlor obligatorii privind documentarea conformării cu Regulamentul şi legislaţia internă aplicabilă.
ART. 47
(1) În aplicarea prevederilor prezentei hotărâri, în sensul legislaţiei privind protecţia datelor cu caracter personal, ADR este operator de date cu caracter personal atunci când are calitatea de USC.
(2) ADR este persoană împuternicită de către entităţile găzduite sau interconectate, după caz, atunci când are calitatea de FSC, administrator operaţional al CPG, respectiv administrator operaţional al marketplace, în scopul:
a) asigurării implementării, administrării tehnice şi operaţionale, mentenanţei pentru serviciile SaaS specifice CPG;
b) dezvoltării ulterioare pentru serviciile SaaS specifice CPG;
c) migrării, integrării şi interconectării în CPG a sistemelor informatice ale autorităţilor şi instituţiilor publice;
d) jurnalizării evenimentelor, jurnalizării accesului la datele găzduite în CPG, notificării;
e) auditării.
ART. 48
STS este persoană împuternicită pentru responsabilităţile ce decurg din calitatea de administrator tehnic şi operaţional al infrastructurii de bază şi al serviciilor de cloud IaaS şi PaaS din cadrul CPG.
ART. 49
SRI este împuternicit pentru responsabilităţile ce decurg din calitatea de administrator de securitate cibernetică a serviciilor de cloud de tip SaaS din cadrul CPG.
ART. 50
Prevederile privind notificarea persoanei vizate prevăzute la art. 10 alin. (7) din Ordonanţa de urgenţă se realizează în condiţiile Regulamentului şi ale Legii nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date.
ART. 51
(1) Datele cu caracter personal din cadrul Platformei sunt folosite în scopul îndeplinirii obiectivelor prevăzute la art. 4 şi furnizării serviciilor publice electronice pentru cetăţeni şi al digitalizării administraţiei publice, cu respectarea prevederilor legale în vigoare.
(2) Datele cu caracter personal ale persoanelor vizate, încărcate în Platformă, nu pot fi prelucrate decât cu informarea prealabilă a acestora de către USC, potrivit prevederilor art. 13 şi 14 din Regulament.
(3) Datele cu caracter personal sunt furnizate şi prelucrate în conformitate cu cerinţele Regulamentului, iar beneficiarii sunt informaţi cu privire la drepturile lor în calitate de persoane vizate în temeiul legislaţiei aplicabile pentru exercitarea acestor drepturi.
(4) Furnizarea datelor cu caracter personal este necesară pentru migrarea şi interconectarea serviciilor în Platformă, în caz contrar relaţia contractuală fiind în imposibilitate de a fi stabilită.
ART. 52
(1) Personalul USC, FSC, ADR, SRI şi STS este instruit cu privire la regulile de protecţie a datelor cu caracter personal anterior validării accesului la Platformă şi, ulterior, cel puţin o dată la doi ani.
(2) Instruirea personalului prevăzut la alin. (1) se referă, cel puţin, la următoarele:
a) prelucrarea datelor să fie realizată exclusiv pentru îndeplinirea atribuţiilor de serviciu;
b) datele să fie prelucrate potrivit procedurilor şi prin mijloacele prevăzute de dispoziţiile legale aplicabile activităţilor în cadrul cărora sunt utilizate datele respective;
c) prelucrarea datelor să respecte dispoziţiile legale privind protecţia datelor cu caracter personal aplicabile activităţilor în cadrul cărora sunt utilizate datele respective.
(3) Instruirea personalului cu privire la regulile de protecţie a datelor cu caracter personal este realizată de către fiecare autoritate implicată în parte, în conformitate cu prevederile Regulamentului şi ale Legii nr. 363/2018.
ART. 53
(1) Platforma este dezvoltată astfel încât să păstreze evidenţa prelucrărilor realizate şi identificarea USC-ului care a realizat activităţile de prelucrare.
(2) Evidenţa prevăzută la alin. (1) este protejată prin măsuri corespunzătoare împotriva accesului neautorizat şi poate fi utilizată numai în scopul monitorizării protecţiei datelor, inclusiv pentru a se verifica admisibilitatea unei solicitări de informaţii şi legalitatea prelucrării datelor, precum şi pentru asigurarea securităţii datelor.
(3) La solicitarea USC, informaţiile conţinute de evidenţa prevăzută la alin. (1) se pot şterge după o perioadă de 36 de luni de la introducerea acestora, cu excepţia cazului în care sunt necesare pentru desfăşurarea unor proceduri de monitorizare aflate în curs sau a situaţiilor în care sunt utilizate în cadrul unei proceduri judiciare, caz în care acestea urmează regimul probelor, sau returnate către USC.
(4) Entităţile prevăzute la art. 52 alin. (1) stabilesc proceduri interne pentru asigurarea conformităţii cu dispoziţiile prezentei hotărâri şi ale legislaţiei din domeniul protecţiei datelor cu caracter personal.
(5) Procedurile prevăzute la alin. (4) includ obligativitatea ca responsabilii cu protecţia datelor desemnaţi la nivelul autorităţilor prevăzute la alin. (1) să verifice semestrial, prin sondaj, prelucrările realizate de personalul propriu.
(6) Modalitatea de cooperare, măsurile necesare pentru asigurarea securităţii prelucrărilor, măsurile necesar a fi instituite pentru asigurarea confidenţialităţii prelucrărilor, măsurile instituite pentru asigurarea exercitării drepturilor de către persoanele vizate şi modalitatea de acces la evidenţa prevăzută la alin. (1) se stabilesc prin acordul de migrare, contractul de furnizare de servicii, respectiv acordul de administrare între părţi.
ART. 54
(1) Prevederile prezentei hotărâri nu afectează ori subminează aplicarea normelor existente în materie de protecţie a datelor.
(2) Regulamentul prevalează ori de câte ori sunt prelucrate date cu caracter personal în temeiul prezentei hotărâri.
CAP. X
Dispoziţii finale şi tranzitorii
ART. 55
(1) În vederea îndeplinirii atribuţiilor prevăzute la art. 4 din Ordonanţa de urgenţă şi în prezenta hotărâre, potrivit dispoziţiilor art. 40 din Legea nr. 98/2016 privind achiziţiile publice, cu modificările şi completările ulterioare, se desemnează ADR ca fiind unitate de achiziţii centralizată pentru aplicaţii software şi servicii software, inclusiv tehnologie de cloud, necesare Platformei, denumită în continuare UCASTC.
(2) UCASTC prevăzută la alin. (1) încheie acorduri-cadru sau utilizează sistem dinamic de achiziţie în numele şi pentru autorităţile şi instituţiile publice, cu excepţia acelor entităţi publice care sunt desemnate ca unităţi centralizate de achiziţii.
(3) În baza acordurilor-cadru sau a sistemelor dinamice de achiziţii încheiate de către UCASTC, în condiţiile prevăzute la alin. (2), autorităţile şi instituţiile publice încheie şi derulează contracte subsecvente, cu avizul ADR.
(4) UCASTC devine unitate operaţională în termen de 12 luni de la data intrării în vigoare a prezentei hotărâri.
(5) Operatorii economici care participă la procedura de achiziţie publică pentru produse, aplicaţii şi servicii software, inclusiv tehnologie de cloud, necesare CPG şi Platformei de tip API Gateway, pot obţine autorizaţia, în condiţiile Legii nr. 163/2021, în orice moment pe durata desfăşurării unei proceduri de atribuire, dar nu mai târziu de data stabilirii ofertei câştigătoare şi atribuirii contractului de achiziţie publică.
ART. 56
(1) În termen de maximum 12 luni de la data intrării în vigoare a prezentei hotărâri, toate autorităţile şi instituţiile publice sunt obligate să încadreze datele pe care le operează conform art. 28 alin. (1).
(2) Autorităţile şi instituţiile publice, în termenul prevăzut la alin. (1), notifică ADR în vederea integrării tuturor încadrărilor în Registrul Naţional al Registrelor administrat de către ADR.
ART. 57
(1) În termen de 90 de zile de la data intrării în vigoare a prezentei hotărâri, modelul contractului de furnizare de servicii prevăzut la art. 6 alin. (1) se aprobă prin ordin al ministrului cercetării, inovării şi digitalizării, care se publică în Monitorul Oficial al României, Partea I.
(2) În termen de 90 de zile de la intrarea în vigoare a prezentei hotărâri, modelul acordului de migrare, integrare şi interconectare prevăzut la art. 13 alin. (1) lit. c), precum şi modalităţile de efectuare a transmiterii datelor şi informaţiilor cu caracter personal şi a datelor sensibile se aprobă prin ordin al ministrului cercetării, inovării şi digitalizării, care se publică în Monitorul Oficial al României, Partea I.
(3) În termen de 90 de zile de la intrarea în vigoare a prezentei hotărâri, procedura de încadrare a datelor prevăzute la art. 28 alin. (1) şi modelul evaluării de impact prevăzute de art. 29 alin. (1) se aprobă prin ordin al ministrului cercetării, inovării şi digitalizării, care se publică în Monitorul Oficial al României, Partea I.
(4) În termen de 180 de zile de la data intrării în vigoare a prezentei hotărâri, metodologia prevăzută la art. 31 alin. (1) se aprobă prin decizie a preşedintelui ADR, care se publică în Monitorul Oficial al României, Partea I.
(5) În termen de 180 de zile de la intrarea în vigoare a prezentei hotărâri, normele privind operaţionalizarea aplicaţiei prevăzute la art. 41 se aprobă prin decizie a preşedintelui ADR, care se publică în Monitorul Oficial al României, Partea I.
(6) În termen de 180 de zile de la intrarea în vigoare a prezentei hotărâri, procedura de listare în marketplace se aprobă prin ordin al ministrului cercetării, inovării şi digitalizării, care se publică în Monitorul Oficial al României, Partea I.
(7) Procedurile interne prevăzute la art. 53 alin. (4) se stabilesc în 120 de zile de la data intrării în vigoare a prezentei hotărâri.
PRIM-MINISTRU
NICOLAE-IONEL CIUCĂ
Contrasemnează:
p. Viceprim-ministru, ministrul transporturilor şi infrastructurii,
Adrian Foghiş,
secretar de stat
p. Ministrul cercetării, inovării şi digitalizării,
Constantin Saragea,
secretar general
p. Ministrul dezvoltării, lucrărilor publice şi administraţiei,
Marin Ţole,
secretar de stat
Ministrul familiei, tineretului şi egalităţii de şanse,
Gabriela Firea
p. Ministrul investiţiilor şi proiectelor europene,
Carmen Moraru,
secretar de stat
Ministrul sportului,
Novák Carol-Eduard
Ministrul mediului, apelor şi pădurilor,
Tánczos Barna
p. Ministrul antreprenoriatului şi turismului,
Angel-Iulian Călin,
secretar de stat
p. Ministrul sănătăţii,
Adriana Pistol,
secretar de stat
Ministrul educaţiei,
Ligia Deca
Ministrul muncii şi solidarităţii sociale,
Marius-Constantin Budăi
Ministrul afacerilor externe,
Bogdan Lucian Aurescu
Ministrul afacerilor interne,
Lucian Nicolae Bode
p. Ministrul apărării naţionale,
Eduard Bachide,
secretar de stat
Ministrul culturii,
Lucian Romaşcanu
p. Ministrul energiei,
Dan-Dragoş Drăgan,
secretar de stat
Ministrul agriculturii şi dezvoltării rurale,
Petre Daea
p. Ministrul economiei,
Mihai-Ion Macaveiu,
secretar de stat
Secretarul general al Guvernului,
Marian Neacşu
p. Ministrul justiţiei,
George Bogdan Ilea,
secretar de stat
p. Ministrul finanţelor,
Mihai Diaconu,
secretar de stat
Bucureşti, 8 februarie 2023.
Nr. 112.
ANEXA 1
LISTA
autorităţilor şi instituţiilor publice care migrează la CPG
1. Administraţia Fondului pentru Mediu
2. Administraţia Naţională de Meteorologie
3. Agenţia de Investigare Feroviară Română
4. Agenţia de Plăţi şi Intervenţie pentru Agricultură
5. Agenţia Naţională a Funcţionarilor Publici
6. Agenţia Naţională a Medicamentului şi a Dispozitivelor Medicale din România
7. Agenţia Naţională Anti-Doping
8. Agenţia Naţională de Cadastru şi Publicitate Imobiliară
9. Agenţia Naţională de Integritate
10. Agenţia Naţională de Presă AGERPRES
11. Agenţia Naţională pentru Achiziţii Publice
12. Agenţia Naţională pentru Arii Naturale Protejate
13. Agenţia Naţională pentru Locuinţe
14. Agenţia Naţională pentru Ocuparea Forţei de Muncă
15. Agenţia Naţională pentru Plăţi şi Inspecţie Socială
16. Agenţia Naţională pentru Protecţia Mediului
17. Agenţia Naţională pentru Romi
18. Agenţia pentru Finanţarea Investiţiilor Rurale
19. Agenţia Spaţială Română
20. Autoritatea Aeronautică Civilă Română - R.A.
21. Autoritatea de Audit (Curtea de Conturi a României)
22. Autoritatea de Supraveghere Financiară
23. Autoritatea Naţională de Management al Calităţii în Sănătate
24. Autoritatea Naţională de Reglementare în Domeniul Energiei
25. Autoritatea Naţională de Reglementare pentru Serviciile Comunitare de Utilităţi Publice
26. Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal
27. Autoritatea Naţională pentru Protecţia Consumatorilor
28. Autoritatea Naţională pentru Protecţia Drepturilor Copilului şi Adopţie
29. Autoritatea Naţională pentru Protecţia Drepturilor Persoanelor cu Dizabilităţi
30. Autoritatea Naţională pentru Restituirea Proprietăţilor
31. Autoritatea Naţională Sanitară Veterinară şi pentru Siguranţa Alimentelor
32. Autoritatea Navală Română
33. Autoritatea pentru Administrarea Activelor Statului
34. Autoritatea pentru Digitalizarea României
35. Avocatul Poporului
36. Banca Naţională a României
37. Biblioteca Naţională a României
38. Casa Naţională de Asigurări de Sănătate
39. Casa Naţională de Pensii Publice
40. Centrul Naţional de Politici şi Evaluare în Educaţie
41. Centrul Naţional de Recunoaştere şi Echivalare a Diplomelor
42. Comisia Naţională de Strategie şi Prognoză
43. Comisia Naţională pentru Controlul Activităţilor Nucleare
44. Compania Naţională Aeroporturi Bucureşti - S.A.
45. Compania Naţională de Administrare a Infrastructurii Rutiere - S.A.
46. Consiliul Concurenţei
47. Consiliul Economic şi Social
48. Consiliul Naţional al Audiovizualului
49. Consiliul Naţional pentru Combaterea Discriminării
50. Consiliul Naţional pentru Studierea Arhivelor Securităţii
51. Curtea de Conturi a României
52. Departamentul pentru Luptă Antifraudă
53. Departamentul pentru Românii de Pretutindeni
54. Directoratul Naţional de Securitate Cibernetică
55. Garda Naţională de Mediu
56. Inspectoratul de Stat în Construcţii
57. Inspecţia Muncii
58. Institutul Naţional de Cercetare-Dezvoltare pentru Fizica Pământului
59. Institutul Naţional de Sănătate Publică
60. Institutul Naţional de Statistică
61. Instituţia Avocatul Poporului
62. Ministerul Agriculturii şi Dezvoltării Rurale
63. Ministerul Antreprenoriatului şi Turismului
64. Ministerul Cercetării, Inovării şi Digitalizării
65. Ministerul Culturii
66. Ministerul Dezvoltării, Lucrărilor Publice şi Administraţiei
67. Ministerul Educaţiei
68. Ministerul Energiei
69. Ministerul Finanţelor
70. Ministerul Investiţiilor şi Proiectelor Europene
71. Ministerul Justiţiei
72. Ministerul Mediului, Apelor şi Pădurilor
73. Ministerul Sănătăţii
74. Ministerul Sportului
75. Ministerul Transporturilor şi Infrastructurii
76. Oficiul Naţional pentru Jocuri de Noroc
77. Regia Autonomă „Monitorul Oficial“
78. Secretariatul General al Guvernului
79. Societatea Română de Radiodifuziune
80. Societatea Română de Televiziune
81. Unitatea Executivă pentru Finanţarea Învăţământului Superior, a Cercetării, Dezvoltării şi Inovării
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
