Comunica experienta
MonitorulJuridic.ro
────────── Aprobate prin ORDINUL nr. 21.286 din 26 octombrie 2023 publicat în Monitorul Oficial al României, Partea I, nr. 1.000 din 3 noiembrie 2023.────────── Capitolul I CONTEXT 1.1 Conceptul şi valoarea interoperabilităţii 1.2. Obiectivele NRRI 1.3. Niveluri de interoperabilitate Capitolul 2. DEFINIŢII Capitolul 3. OBLIGAŢII ŞI RESPONSABILITĂŢI ALE PARTICIPANŢILOR LA SCHIMBUL DE DATE 3.1. Administratorul Platformei Naţionale de Interoperabilitate (PNI) 3.1.1. Responsabilităţi 3.1.2. Modelul de gestionare a datelor. Registrele de bază 3.1.3. Evaluarea impactului schimbărilor 3.2. Administratorii registrelor de bază (autorităţi centrale sau locale sau alte entităţi publice) 3.3. Administraţia publică în calitate de utilizator al datelor furnizate prin PNI 3.4. Utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entităţi care pot interoga registrele de bază prin PNI Capitolul 4 PROCEDURA DE CONECTARE ŞI PARTICIPARE LA PLATFORMA NAŢIONALĂ DE INTEROPERABILITATE ŞI A SCHIMBULUI DE DATE 4.1. Înregistrarea şi autentificarea participanţilor în cadrul PNI 4.1.1. Reguli generale 4.1.2. Procedura de conectare a registrelor de bază la infrastructura informatică a PNI 4.1.3. Procedura de încetare a accesului registrelor de bază la infrastructura informatică a PNI 4.1.4. Procedura de conectare a administraţiei publice în calitate de utilizator la infrastructura informatică a PNI 4.2. Contractul de schimb furnizare de date prin PNI - între administrator şi utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, instanţe judecătoreşti, alte entităţi care pot interoga registrele de bază prin PNI 4.3. Accesul la registrele de bază 4.4. Catalogul de API-uri 4.4.1. Definire catalog API 4.4.2. Corelarea informaţiilor 4.5. Catalogul Naţional Semantic (semantic.gov.ro) Capitolul 5 STANDARDE TEHNICE 5.1. Standardele tehnice de interoperabilitate 5.2. Utilizarea standardelor 5.3. Standarde de interoperabilitate tehnică pentru modelele de date 5.4. Standarde pentru conectarea prin API 5.5. Standarde de autentificare CAP. I CONTEXT Scopul elaborării Normelor de Referinţă pentru Realizarea Interoperabilităţii în domeniul tehnologiei informaţiei şi al comunicaţiilor, denumite în continuare NRRI, este acela de a orienta autorităţile şi instituţiile publice centrale şi locale, dar şi persoanele juridice de drept privat, pentru a simplifica efortul acestora în scopul asigurării interoperabilităţii sistemelor de comunicaţii şi a sistemelor informatice din ecosistemul de aplicaţii al administraţiei publice. Urmărind o abordare cuprinzătoare, NRRI îşi propun să definească reguli şi standarde tehnice ca bază pentru interoperabilitatea şi compatibilitatea platformelor, aplicaţiilor, sistemelor informatice existente sau care urmează să fie dezvoltate, precum şi pentru standardizarea proceselor şi a datelor. NRRI stabilesc condiţiile şi termenii de conformitate sub forma unui nucleu tehnic şi semantic comun, la care autorităţi şi instituţii ale administraţiei publice trebuie să se alinieze, în conformitate cu dispoziţiile prevăzute la art. 4, capitolul II al Legii nr. 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei naţionale de interoperabilitate, cadru legislativ de referinţă în materie. Un alt obiectiv fundamental al acestor norme este acela de a stabili practici şi proceduri de cooperare pentru autorităţile centrale şi locale, în vederea coordonării cooperării privind gestionarea şi schimbul de date în administraţia publică şi dezvoltarea de servicii ITC interinstituţionale. Obiectivul final al cooperării este de a oferi cetăţenilor şi mediului de afaceri servicii publice integrate şi uşor de accesat şi de le a reduce sarcina administrativă la accesarea serviciilor publice naţionale. Mai mult, cooperarea va reprezenta îndeplinirea obiectivelor Legii nr 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei naţionale de interoperabilitate, şi va ajuta la dezvoltarea practicilor organizaţionale de gestionare a datelor în administraţia publică precum şi a serviciilor tehnice de schimb de date. Modificările şi impactul acestora vor fi monitorizate în cadrul cooperării interinstituţionale stabilite prin aceste norme de referinţă. NRRI urmăresc alinierea la arhitectura europeană dedicată interoperabilităţii, pe axele fundamentale - identitate digitală, servicii electronice, portalul unic digital cu componenta eDelivery, instituite prin Regulamentul elDAS - Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/ şi Regulamentul Single Digital Gateway - Regulamentul (UE) 2018/1724 al Parlamentului European şi al Consiliului din 2 octombrie 2018 privind înfiinţarea unui portal digital unic (gateway) pentru a oferi acces la informaţii, la proceduri şi la servicii de asistenţă Şi de soluţionare a problemelor şi de modificare a Regulamentului (UE) nr. 1024/2012. Concentrându-se pe tehnologii în continuă schimbare, NRRI 1.0 este un document care va evolua şi care va fi supus unor actualizări regulate. În următoarea versiune a documentului, după operaţionalizarea platformei informatice PNI, se vor detalia procedurile şi metodologiile aplicabile, inclusiv cele aplicabile persoanelor juridice de drept privat (conectare, deconectare, modalităţi de plată etc). 1.1. Conceptul şi valoarea interoperabilităţii Fără o standardizare semnificativă, fiecare sistem informatic ar avea nevoie de un efort suplimentar pentru a putea comunica sau partaja date şi informaţii cu un altul. Într-un astfel de mediu insular tehnologic este foarte dificil să se realizeze o monitorizare reală a activităţii. Interoperabilitatea reprezintă capacitatea unor organizaţii distincte şi diverse de a interacţiona în scopul realizării unor obiective care aduc beneficii reciproce şi sunt convenite mutual, care implică partajarea de informaţii şi cunoştinţe între organizaţii prin intermediul proceselor profesionale pe care acestea le sprijină, utilizând schimbul de date între respectivele sisteme informatice deţinute de acestea. Interoperabilitatea optimă a sectorului public permite un schimb de date mai eficient şi mai sigur pentru a furniza servicii publice neîntrerupte. Un nivel scăzut de interoperabilitate face ca cetăţenii şi întreprinderile să se confrunte cu sarcini administrative inutile, iar administraţiile publice să aibă de suportat costuri mai mari. Primul avantaj al interoperabilităţii sistemelor este costul mic, însă proiectarea, stabilirea, dezvoltarea, operarea şi întreţinerea acestora implică alegeri comune de standarde, de modele de schimb de informaţii, alegeri semantice comune. Pentru a facilita transferul de informaţii şi date este obligatorie introducerea şi adoptarea de standarde digitale coerente în cadrul diferitelor procese şi proceduri. De asemenea, este necesară specificarea şi documentarea detaliată a acestora. Acest lucru va elimina situaţia în care aceleaşi date sunt partajate prin protocoale de transfer diferite între diverse instituţii şi departamente. Mai mult, modelarea uniformă a datelor va permite trecerea de la partajarea datelor de tip nestructurat (.pdf, .jpg) la partajarea datelor de tip structurat în mesaj criptat. Doar alegerea unui standard nu rezolvă, însă, aspectele complexe legate de interoperabilitate. În plus, uneori, modul de punere în aplicare a unui standard poate crea dificultăţi, care pot conduce, chiar, la reducerea interoperabilităţii între sisteme. Specificaţiile standardelor nu pot prevedea toate cazurile sau nevoile de punere în aplicare, prin urmare, este certă necesitatea de a menţine şi utiliza standarde eficiente, fără ca acest lucru să împiedice evoluţia sistemelor în cauză sau cercetarea şi mai ales inovarea. Politicile şi standardele naţionale şi internaţionale relevante cu privire la interoperabilitate nominalizate în NRRI trebuie revizuite periodic. De asemenea, trebuie analizat, încă de la început, cât de bine susţine ecosistemul actual identitatea entităţii, managementul înregistrărilor şi calitatea datelor. NRRI iau în considerare şi acordurile de partajare a datelor, care trebuie să abordeze, în mod specific, provocările şi echitatea serviciilor interinstituţionale, precum şi a celor care partajează informaţii cu entităţile private. NRRI stabileşte repere pentru politica de guvernanţă a datelor şi pentru implementarea tehnică a soluţiilor de partajare care, în mod obligatoriu, nu trebuie să aibă un impact negativ asupra calităţii sau siguranţei prestării serviciilor publice sau asupra capacităţii administraţiei publice de a satisface interesul public. Atât stabilirea regulilor privind guvernanţa şi a semanticii, cât şi alegerea modalităţii de conjugare a standardelor de interoperabilitate, a arhitecturilor, dar şi a soluţiilor (componente, software, infrastructură) sunt la fel de importante. Atunci când mulţi actori sunt implicaţi în proiectarea, definirea şi caracterizarea interfeţelor dintre sisteme, este important să se adopte o abordare normativă, precum NRRI. NRRI identifică, astfel, în această primă versiune, versiunea 1.0, doar standardele esenţiale şi principiile care stau la baza interoperabilităţii. Prin urmare, NRRI, care va fi gestionat în mod agil, se limitează în acest moment la stabilirea unor reguli minimale în mod voluntar, cu scopul de a evita proliferarea costisitoare a alegerilor eterogene. Această primă versiune va fi revizuită periodic cu sprijinul tuturor entităţilor implicate, precum şi prin consultarea cu comunitatea ITC. 1.2. Obiectivele NRRI La elaborarea NRRI au fost avute în vedere următoarele obiective: a) Cooperarea - Facilitarea cooperării între diferitele aplicaţii de guvernare electronică pentru a reuşi un schimb eficient de informaţii şi date între guvern şi cetăţeni, întreprinderi şi alţi parteneri b) Reutilizarea - Reutilizarea modelelor de procese şi de date, a sistemelor, serviciilor şi componentelor în diverse proiecte de guvernare digitală pentru a genera sinergii şi a reduce costuri; c) Utilizarea de standarde deschise - Includerea de standarde deschise în aplicaţiile de guvernare digitală pentru a promova capacitatea de utilizare pe termen lung a acestora; d) Reducerea costurilor şi a riscurilor - creşterea eficienţei şi reducerea costurilor din sectorul public din România prin modernizarea administraţiei; e) Scalabilitatea - Asigurarea capacităţii de utilizare a aplicaţiilor pe măsură ce cerinţele se modifică în ceea ce priveşte volumul şi frecvenţa tranzacţiilor; f) Integritatea, coerenţa şi disponibilitatea datelor - Asigurarea validităţii, consecvenţei, acurateţii şi consistenţei datelor, inclusiv asigurarea continuă (fără întreruperi) a datelor/informaţiilor/documentelor şi a resurselor de infrastructură necesare activităţilor specifice curente; g) Dreptul de acces la informaţii prin platforma PDUro - În contextul guvernării digitale, dreptul de acces se referă la capacitatea cetăţenilor de a obţine şi de a vizualiza informaţiile şi datele lor personale procesate prin intermediul unei platforme digitale specifice, în acest caz, Punctul Digital Unic al României (PDUro). Acest drept este fundamental în reglementările privind protecţia datelor, cum ar fi GDPR, şi este esenţial pentru asigurarea transparenţei şi a responsabilităţii. Acesta permite cetăţenilor să cunoască ce date personale sunt deţinute şi accesate de organizaţii şi cum sunt utilizate, să verifice exactitatea datelor şi să solicite corectarea sau ştergerea acestora, dacă este cazul. În plus, poate oferi oportunităţi pentru cetăţeni de a interacţiona mai eficient cu guvernul, de a accesa serviciile publice digitale; h) Dreptul de a fi informat/notificat prin Platforma de Jurnalizare şi Notificare (PJN) - Datele tranzacţionate prin PNI vor fi jurnalizate prin Platforma de Jurnalizare şi Notificare (PJN) şi fiecare cetăţean va putea fi informat/notificat atunci când datele sale sunt accesate. 1.3. Niveluri de interoperabilitate Un schimb reuşit între părţile interesate necesită luarea în considerare a diferitelor aspecte care pot fi definite ca "niveluri de interoperabilitate", în acord cu Cadrul european şi naţional de interoperabilitate. Fiecărui nivel îi corespund standarde şi principii la care părţile trebuie să se alinieze pentru a concepe şi a efectua schimburi eficiente. Nivelul juridic Schimburile de date trebuie să respecte: cadrul juridic de care depind părţile interesate (dreptul naţional şi internaţional, proprietatea intelectuală, confidenţialitatea etc.) sau acordurile contractuale între părţile interesate (modalităţi de schimb, niveluri de servicii etc.). În ceea ce priveşte autorităţile şi instituţiile publice nivelul juridic vizează asigurarea faptului că diversele cadre juridice în temeiul cărora funcţionează diferite organizaţii nu împiedică furnizarea de servicii publice neîntrerupte. Primul pas spre abordarea interoperabilităţii juridice este de a efectua "verificări ale interoperabilităţii" prin examinarea legislaţiei existente în vederea identificării barierelor în calea interoperabilităţii: restricţii sectoriale sau geografice privind utilizarea şi stocarea datelor, modele de licenţe de date diferite şi vagi, obligaţii prea stricte de a utiliza tehnologii digitale sau moduri de livrare specifice pentru furnizarea serviciilor publice, cerinţe contradictorii pentru procese operaţionale identice sau similare sau nevoi de securitate şi protecţie a datelor depăşite etc. Coerenţa actelor legislative, în vederea asigurării interoperabilităţii, trebuie să fie evaluată înainte de adoptare. Cetăţenii români, ca şi cetăţenii europeni, au aşteptări în ceea ce priveşte accesarea unor servicii publice uşor mai ales prin intermediul canalelor digitale. În acest context, tehnologiile TIC şi interoperabilitatea sistemelor ce urmează a fi dezvoltate cu cele deja existente trebuie luate în considerare cât mai devreme posibil în procesul de elaborare a legilor. În special legislaţia trebuie supusă unei "verificări digitale": ● pentru a asigura că aceasta este adecvată nu numai fizic, ci şi în mediul digital; ● pentru a identifica orice obstacole în calea transferului digital; ● pentru a identifica şi a evalua impactul TIC asupra părţilor interesate. Acest fapt va facilita interoperabilitatea între serviciile publice digitale la niveluri inferioare (semantic şi tehnic) şi, de asemenea, va creşte potenţialul de reutilizare a soluţiilor TIC existente, contribuind astfel la reducerea timpului şi a costurilor necesare implementării. Nivelul organizaţional Reprezintă coordonarea eficace între diferitele organisme din sectorul public de la toate nivelurile de guvernare în ceea ce priveşte furnizarea de servicii publice. Interoperabilitatea organizaţională este legată de organizaţii şi procese, în special acelea care sunt puse în aplicare pentru a promova şi a opera schimburile de informaţii. Aceasta se referă, de asemenea, la competenţele şi cunoştinţele asociate cu funcţionarea acestor organizaţii. În practică, interoperabilitatea organizaţională înseamnă documentarea şi integrarea sau alinierea proceselor operaţionale şi a informaţiilor relevante schimbate. Interoperabilitatea organizaţională presupune totodată îndeplinirea cerinţelor comunităţii de utilizatori prin oferirea unor servicii disponibile, accesibile şi centrate pe utilizator. 1. Importanţa alinierii proceselor operaţionale Pentru furnizarea serviciilor publice este necesar ca diferitele autorităţi şi instituţii publice să poată colabora eficient şi eficace. În acest context, procesele operaţionale existente trebuie, fie aliniate la nivelul acestor instituţii, fie trebuie redefinite şi aplicate procese operaţionale noi. Alinierea proceselor operaţionale presupune documentarea acestora conform standardelor tehnice şi cu ajutorul unor tehnici de modelare a datelor stabilite de prezentul act, astfel încât toate autorităţile şi instituţiile publice participante la furnizarea serviciilor publice să poată înţelege ansamblul procesului operaţional şi rolul care le revine în cadrul acestuia. 2. Importanţa relaţiilor organizaţionale Autorităţile şi instituţiile publice trebuie să fie orientate către serviciu urmărind să clarifice şi să formalizeze relaţiile organizaţionale în vederea creării şi furnizării serviciilor publice. Relaţia dintre furnizorii serviciului şi clienţii serviciului trebuie definită strategic prin găsirea de instrumente pentru formalizarea asistenţei reciproce, a acţiunilor comune şi pentru interconectarea proceselor operaţionale ca parte a furnizării serviciului. Această formalizare poate lua forma unor acorduri asupra nivelului de servicii, pe model european sau naţional. În ceea ce priveşte organizarea, de exemplu, este vorba despre definirea rolurilor şi responsabilităţilor persoanelor care participă la acest schimb în cadrul entităţii lor. În ceea ce priveşte procesul, este vorba de a defini cine trimite datele, când, dar şi modul în care rolurile şi responsabilităţile sunt împărţite între diferitele părţi ale organizaţiilor. Nivelul semantic Interoperabilitatea semantică reprezintă procesul prin care fiecare sistem poate înţelege informaţiile primite de la alte sisteme, iar informaţiile pot fi utilizate şi interpretate fără ambiguitate. De asemenea, este necesară stocarea informaţiilor, utilizând o modalitate comună de organizare şi interpretare a datelor stocate la Utilizator al Serviciilor de Cloud. Astfel, se asigură faptul că formatul şi semnificaţia datelor şi a informaţiilor, care fac obiectul schimburilor de date, sunt păstrate şi înţelese în cadrul oricărui schimb între părţi. Aceasta implică utilizarea unor programe specifice de codificare şi mesagerie. De asemenea, este necesară stocarea informaţiilor, utilizând o modalitate comună de organizare a datelor. Semantica acoperă atât semnificaţia cuvintelor, relaţia dintre înţelesul cuvintelor cât şi ciclul de viaţă al unei informaţii, regulile sale de agregare sau descompunere etc. Însemnătatea cuvintelor variază în funcţie de organizaţii, profesii, actori şi contexte. Orice colaborare între entităţi necesită comunicare, în sensul unui schimb de informaţii. În acest scop, aceste entităţi convin asupra semnificaţiei datelor pe care le schimbă şi asupra contextului schimbului respectiv Interoperabilitatea semantică se referă aşadar atât la aspecte semantice, cât şi sintactice: ● aspectul semantic se referă la sensul elementelor de date şi la relaţiile dintre acestea. Acesta include dezvoltarea unor vocabulare şi scheme pentru descrierea schimburilor de date şi garantarea înţelegerii elementelor de date în acelaşi mod de către toate părţile care comunică; ● aspectul sintactic se referă la descrierea formatului exact al informaţiilor care urmează să fie schimbate din punct de vedere gramatical, al formatului şi al modelelor. Pentru a realiza interoperabilitatea semantică datele şi informaţiile trebuie înţelese ca un bun public de valoare şi gestionarea acestora trebuie realizată în acord cu prezentul act. Acesta va stabili referenţialul datelor sub formă de taxonomii şi vocabulare controlate, liste de coduri şi structuri/modele de date reutilizabile. Nivelul tehnic: protocol de schimb şi sintaxă Interoperabilitatea tehnică se referă la capacitatea tehnică de interconectare a sistemelor informatice cu scopul de a comunica şi a schimba date într-un mod consistent şi eficient. Aceasta include specificaţiile de interfaţă, serviciile de interconectare, serviciile de integrare a aplicaţiilor, a datelor, serviciile de securitate, accesibilitate, prezentarea şi schimbul de date etc.. Nivelul tehnic se referă la protocoalele de schimb de date şi la formatele acestora, dar şi la condiţiile şi formatele pentru "stocarea" acestor date. În mod uzual, acest nivel este abordat din două unghiuri. Astfel, vorbim despre "protocol de schimb" pentru tot ceea ce este legat de fluxul de date şi, prin urmare, de "magistrala" pe care circulă datele şi despre "sintaxă", pentru tot ceea ce priveşte formatele tehnice care permit transmiterea datelor (structura lor, codificarea etc), indiferent de semnificaţia lor tratată la nivel semantic. Conformitatea cu NRRI Toate autorităţile publice şi entităţile private care se integrează cu PNI sunt obligate să urmeze recomandările NRRI. Astfel, rolul fiecărei autorităţi administrative sau entităţi private este de a se alinia la NRRI pentru a proiecta, crea şi menţine sisteme interoperabile, respectiv de a interoga date/informaţii integrate. CAP. 2 DEFINIŢII În sensul prezentelor norme de referinţă, termenii şi expresiile de mai jos au următoarele semnificaţii: a) date structurate - date organizate care au o lungime şi un format definite corespunzător unui proces de procesare automată, stocate într-un format predefinit, de obicei tabelar, dar şi în formate de tip ierarhic sau reţea; în cazul datelor în format tabelar, valorile sunt organizate secvenţial pe rânduri şi coloane, conform art. 2 alineatul h) din Legea nr. 179 din 9 iunie 2022 privind datele deschise şi reutilizarea informaţiilor din sectorul public; b) document - orice conţinut informaţional sau orice parte a unui astfel de conţinut, indiferent de forma de stocare a datelor, pe hârtie, în formă electronică sau sub formă de înregistrare audio, video sau audiovizuală, în înţelesul NRRI conform art. 2 alineatul i) din Legea nr. 179 din 9 iunie 2022 privind datele deschise şi reutilizarea informaţiilor din sectorul public; c) interfeţele de programare a aplicaţiei (API) - set de funcţii, proceduri, definiţii şi protocoale pentru comunicarea dintre maşini şi schimbul fără sincope de date, definiţie potrivit conform art. 2 alineatul p) din Legea nr. 179 din 9 iunie 2022 privind datele deschise şi reutilizarea informaţiilor din sectorul public; d) metadate - informaţii structurate care descriu, explică, localizează sau facilitează regăsirea, utilizarea sau gestionarea unei resurse de informaţii; sunt adesea numite date despre date sau informaţii despre informaţii. Metadatele oferă informaţii care permit înţelegerea datelor - ex. documente, imagini, seturi de date; concepte - ex. scheme de clasificare; entităţi din lumea reală - ex. oameni, organizaţii, locuri, picturi, produse, conform art. 2 alineatul u) din Legea nr. 179 din 9 iunie 2022 privind datele deschise şi reutilizarea informaţiilor din sectorul public; e) date reutilizate - datele deţinute de către organisme din sectorul public, utilizate de către persoane fizice sau juridice în scopuri comerciale sau necomerciale diferite de scopul iniţial pentru care au fost produse, scop care decurge din misiunea lor de serviciu public, cu excepţia schimbului de date care are loc între organismele din sectorul public strict în contextul îndeplinirii misiunii lor de serviciu public; f) organisme de drept public - definiţie potrivit art. 4 alin. (2) din Legea nr. 98/2016 privind achiziţiile publice, cu modificările şi completările ulterioare; g) servicii publice - definite potrivit art. 5 lit. kk) din Ordonanţa de urgenţă a Guvernului nr. 57/2019, cu modificările şi completările ulterioare. h) catalog semantic - colecţie organizată şi structurată de ontologii şi scheme semantice utilizate într-un domeniu specific sau într-o organizaţie. Catalogul semantic serveşte drept resursă centrală pentru gestionarea şi accesul la ontologii şi scheme semantice utilizate în cadrul unei infrastructuri de interoperabilitate. i) REST API (Representational State Transfer Application Programming Interface) - stil arhitectural bazat pe protocolul HTTP care facilitează schimbul de informaţii şi managementul resurselor între două sau mai multe sisteme informatice, folosind standarde de comunicare sigure şi eficiente. j) RDF (Resource Description Framework) - standard W3C pentru reprezentarea informaţiilor semantice utilizând tripleţi sub formă de subiect-predicat-obiect. RDF permite descrierea şi interconectarea informaţiilor într-un mod standardizat şi interoperabil. k) OWL (Web Ontology Language) - standard W3C pentru descrierea ontologiilor web. OWL permite definirea relaţiilor complexe şi a restricţiilor într-o ontologie, facilitând interogarea şi inferenţa asupra informaţiilor semantice. l) SPARQL (SPARQL Protocol and RDF Query Language) - standard W3C pentru interogarea datelor RDF. SPARQL oferă un limbaj de interogare flexibil şi puternic, care permite extragerea informaţiilor din surse de date RDF şi interoperabilitatea între sistemele care utilizează RDF. m) OData (Open Data Protocol) - protocol şi un set de standarde care permit accesul şi manipularea datelor prin intermediul serviciilor web RESTful. OData facilitează interoperabilitatea între diferitele aplicaţii şi sisteme care utilizează servicii web. n) JSON-LD (JSON for Linked Data) - format de serializare a datelor semantice în format JSON. JSON-LD permite reprezentarea informaţiilor semantice utilizând structura JSON, ceea ce facilitează integrarea datelor semantice în aplicaţii şi sisteme care utilizează JSON. o) OAUTH 2.0 (Open Authorization) - standard deschis (RFC 6749) folosit pentru delegarea drepturilor de acces, în principal de către deţinătorii de resurse ca o modalitate de a oferi unui client [aplicaţie] acces delegat securizat la resursele serverului, prin intermediul unui token de acces. p) JWT (JSON Web Token) - standard deschis (RFC 7519) care defineşte o modalitate compactă şi autonomă de transmitere în siguranţă a informaţiilor între părţi ca obiect JSON. Aceste informaţii pot fi verificate şi de încredere, deoarece sunt semnate digital. CAP. 3 OBLIGAŢII ŞI RESPONSABILITĂŢI ALE PARTICIPANŢILOR LA SCHIMBUL DE DATE Entităţile care participă la schimbul de date prin PNI: 1) administratorul PNI - Autoritatea pentru Digitalizarea României (ADR) 2) administratorii registrelor de bază: autorităţi publice centrale sau locale, alte entităţi publice 3) autorităţi publice centrale sau locale în calitate de utilizator al datelor care provin din alte registre de bază decât cele administrate de respectiva autoritate publică centrală sau locală 4) utilizatorii persoane juridice de drept privat, persoanele care exercită profesii liberale reglementate, şi alte entităţi care pot interoga registrele de bază prin PNI. Participanţii la schimbul de date pot avea simultan rol de furnizor şi de consumator de date, conform al. 5, art 13 al Legii 242/2022 privind privind schimbul de date între sisteme informatice şi crearea Platformei naţionale de interoperabilitate. Administratorul PNI, utilizatorul şi administratorii registrelor de bază trebuie să îşi desfăşoare activitatea în conformitate cu dispoziţiile prevăzute în prezentele NRRI. Toate etapele interacţiunii participanţilor, cu şi prin intermediul infrastructurii PNI, se consideră a fi făcute în temeiul Legii 242/2022 privind schimbul de date între sisteme informatice şi crearea platformei naţionale de interoperabilitate şi al HG 908/2017 pentru aprobarea Cadrului Naţional de Interoperabilitate. 3.1. Administratorul Platformei Naţionale de Interoperabilitate (PNI) 3.1.1. Responsabilităţi În calitate de administrator al Platformei Naţionale de Interoperabilitate, Autoritatea pentru Digitalizarea României (ADR): 1) se asigură că sunt înţelese responsabilităţile participanţilor în vederea punerii în aplicare a prevederilor ce vizează gestionarea datelor primare prevăzute în Legea 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei naţionale de interoperabilitate; 2) se asigură că personalul propriu deţine cunoştinţele necesare şi asigură utilizarea eficientă a instrumentelor aferente punerii în aplicare a obligaţiilor care îi revin în ceea ce priveşte gestionarea informaţiilor/documentelor şi infrastructurii PNI; 3) se asigură că este efectuată instruirea personalului şi a terţelor părţi care acţionează în numele administratorului PNI, cu privire la reglementările şi instrucţiunile în vigoare privind gestionarea informaţiilor, prelucrarea datelor, accesul public la documente etc; 4) se asigură că dispune de instrumente adecvate pentru punerea în aplicare a obligaţiilor privind gestionarea informaţiilor; 5) desfăşoară o supraveghere adecvată a respectării reglementărilor, normelor şi instrucţiunilor referitoare la gestionarea informaţiilor; 6) sunt garantate nivelurile de servicii convenite cu participanţii la schimbul de date, şi se asigură că sunt luate măsurile necesare pentru menţinerea nivelurilor de servicii convenite; 7) propune actualizarea NRRI şi informează în timp util părţile implicate de eventuale modificări; 8) administrează Registrul Naţional al Registrelor (RNR), componentă a PNI; 9) asigură dezvoltarea continuă a componentelor tehnice a PNI; 10) asigură buna funcţionare a tuturor componentelor PNI, inclusiv prin implementarea măsurilor de disponibilitate înaltă; 11) stabileşte şi menţine setul de cerinţe de securitate pentru participanţii la schimbul de date; 12) asigură conectarea participanţilor la schimbul de date din domeniul public şi cel privat la PNI conform solicitărilor şi în conformitate cu cerinţele de securitate; 13) dezvoltă şi menţine Catalogul Naţional Semantic, care are funcţionalităţi pentru gestiunea activelor semantice de către posesorii acestor active; 14) monitorizează procesul de schimb de date şi asigură jurnalizarea evenimentelor de schimb de date. 15) asigură crearea posibilităţii ca utilizatorii să înainteze propuneri de îmbunătăţire a fluxurilor şi a platformei în sine. 3.1.2. Modelul de gestionare a datelor. Registrele de bază Administratorul PNI, în colaborare cu administratorii registrelor de bază, elaborează un model de gestionare a registrelor de bază, care să asigure coerenţa informaţională şi disponibilitatea datelor pentru a implementa interoperabilitatea între sistemele informatice şi resursele informaţionale şi pentru a menţine securitatea informaţiilor. Modelul de gestionare a datelor va fi realizat pentru a planifica şi implementa uşor servicii de e- guvernare, pentru a pune în aplicare drepturi şi restricţii privind accesul la date, pentru a reduce colectarea de mai multe ori a aceloraşi date, reducând astfel sarcina administrativă a autorităţilor competente, dar şi a cetăţenilor şi mediului de afaceri. Documentarea Registrelor de bază trebuie să includă cel puţin următoarele informaţii: a) baza legală, denumirea sistemului informatic care gestionează registrul de bază, autoritatea responsabilă de sistemul informatic, scopul utilizării sistemului informatic, relaţionarea cu alte registre de bază, terminologie, acces la date, conectarea sistemului informatic la alte sisteme informatice şi metodele de transfer de date utilizate pentru conectare (descrierea API-urilor de acces, a IP- urilor, regulile de securitate a informaţiilor), servicii furnizate, regulile de utilizare a datelor, categoriile cheie de date (metadate) din seturile de date, condiţiile de divulgare a datelor şi perioadele de stocare a datelor; b) descrierea proceselor colectării datelor şi a schimbului de date, valabilitatea datelor, inclusiv perioada şi condiţiile de actualizare a registrului; c) descrierea legăturilor dintre sursele de date şi modalitatea de conformare la Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), denumit în continuare GDPR; d) instituţiile şi autorităţile publice care au acces la aceste date; e) metode utilizate pentru autentificarea şi autorizarea accesului utilizatorilor la date şi la schimbul de date; 3.1.3. Evaluarea impactului schimbărilor Atunci când se planifică anumite reforme administrative, care pot să afecteze conţinutul modelului de gestionare a datelor şi punerea în aplicare a sistemelor informatice în PNI, efectele acestor modificări asupra sistemului PNI vor fi evaluate de ADR în calitate de administrator al PNI, în raport cu responsabilităţile de gestionare a datelor, cerinţele şi măsurile de securitate a informaţiilor. În evaluarea modificărilor în gestionare a datelor, administratorul PNI ţine seama de interoperabilitatea şi de gradul de utilizare a resurselor de date existente, în vederea asigurării continuităţii în ceea ce priveşte utilizarea seturilor de date existente şi constituirea viitoarelor modele de date interoperabile. Administratorul PNI trebuie informat de administratorii registrelor de bază, anterior cu cel puţin 30 de zile, cu privire la toate şi oricare modificări referitoare la resursele de date pentru actualizarea registrelor şi a PNI. Pe baza evaluării, administratorul platformei ia măsurile necesare pentru a modifica modelul de gestionare a datelor şi pentru a pune în aplicare modificările, în termen de 60 zile de la data notificării corespunzătoare. În calitate de administrator al Registrului Naţional al Registrelor (RNR), ADR va introduce, la cerere, noi registre de date în RNR, numai după verificarea următoarelor precondiţii: a) există o cerere de introducere a unui nou registru de bază în RNR, formulată de către un solicitant eligibil; b) registrul public propus nu colectează date care sunt deja colectate ca date primare în alte registre de bază; c) registrul de date respectă toate regulile şi standardele de interoperabilitate prevăzute în NRRI şi Legea nr. 242/ 2022 privind schimbul de date între sisteme informatice şi crearea Platformei naţionale de interoperabilitate; d) proprietarul datelor justifică necesitatea constituirii respectivului registru ca parte a arhitecturii de interoperabilitate a serviciilor publice digitale naţionale; e) respectarea procedurii prevăzute de art. 7(2) din Legea 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei naţionale de interoperabilitate. 3.2. Administratorii registrelor de bază (autorităţi centrale sau locale sau alte entităţi publice) Entităţile care administrează unul sau mai multe registre de bază au următoarele drepturi şi obligaţii: 1) să identifice şi să definească propriile responsabilităţi şi sarcini care decurg din punerea în aplicare a Legii nr. 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei Naţionale de Interoperabilitate şi să le comunice administratorului platformei; 2) să ofere instrucţiuni actualizate pentru prelucrarea seturilor de date, utilizarea sistemelor informatice, drepturile de prelucrare a datelor, punerea în aplicare a responsabilităţilor de gestionare a informaţiilor şi pentru drepturile de acces la informaţii, măsurile de securitate a datelor şi pregătirea pentru situaţii excepţionale; 3) să pună la dispoziţie instrumente adecvate pentru punerea în aplicare a obligaţiilor legate de registrele de bază; 4) să organizeze supravegherea adecvată a respectării dispoziţiilor, reglementărilor şi instrucţiunilor referitoare la administrarea registrelor de bază; 5) să proiecteze sistemele informatice, structurile de date ale resurselor informaţionale şi prelucrarea datelor aferente utilizând standarde deschise compatibile cu cele prevăzute de prezentele Norme, astfel încât accesul la date să poată fi pus în aplicare; 6) să desemneze un responsabil pentru fiecare din registrele de bază prevăzute în RNR şi să organizeze programe de formare profesională pentru a se asigura că personalul şi cei care acţionează în numele administratorului registrului de bază au cunoştinţe adecvate cu privire la dispoziţiile, reglementările şi instrucţiunile aferente procesului de gestionare a informaţiilor, în vigoare, referitoare la gestionarea informaţiilor, prelucrarea datelor, publicarea şi securitatea şi confidenţialitatea documentelor; 7) să se asigură că datele jurnalizate necesare a fi utilizate cu privire la sistemele sale informatice sunt folosite doar în scopul de a monitoriza utilizarea informaţiilor sau de a investiga potenţialele erori tehnice; 8) să notifice administratorul PNI anterior cu cel puţin 90 de zile asupra oricărei modificări intervenite în structura registrului de bază, a fluxurilor etc. 9) să asigure funcţionarea neîntreruptă a registrului/registrelor de bază de care sunt responsabili, parte a Registrului Naţional al Registrelor, inclusiv prin aplicarea măsurilor de disponibilitate înaltă. 3.3. Administraţia publică în calitate de utilizator al datelor furnizate prin PNI Pentru interogarea registrelor de bază, autorităţile şi instituţiile administraţiei publice au obligaţia de a utiliza doar PNI pentru accesarea datelor necesare furnizării serviciilor publice. Autorităţile şi instituţiile administraţiei publice sunt obligate să asigure prestarea serviciilor publice fără a solicita documente suplimentare, care conţin informaţii disponibile prin PNI sau în scopul obţinerii unor date, care pot fi furnizate prin intermediul PNI. Autorităţile şi instituţiile administraţiei publice care oferă servicii publice nu au dreptul să solicite persoanelor fizice şi juridice dovezi sau certificări ale datelor deja colectate sau disponibile prin PNI sau create de către administratorii registrelor de bază. Datele utilizate în furnizarea serviciilor publice trebuie preluate exclusiv din registrele de bază disponibile prin intermediul platformei. Instituţiile publice pot reutiliza sau distribui date pe care persoanele fizice şi juridice le-au furnizat unei autorităţi şi instituţii ale administraţiei publice, în conformitate cu Regulamentul (UE) 2022/868 privind guvernanţa datelor la nivel european şi de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanţa datelor). Distribuirea sau reutilizarea informaţiei se va realiza într-o manieră transparentă şi securizată, cu respectarea Regulamentul 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. Instituţiile şi autorităţile publice au obligaţia de a-şi schimba procedurile de lucru, conform recomandărilor din Capitolul 1.3 Niveluri de interoperabilitate, pentru a presta serviciile publice aflate în responsabilitatea lor, exclusiv în baza datelor ce pot fi obţinute prin platforma de interoperabilitate. 3.4. Utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entităţi care pot interoga registrele de bază prin PNI Pentru interogarea registrelor de bază şi accesarea datelor prin PNI, persoanele juridice de drept privat şi persoanele care exercită profesii liberale, precum şi alte entităţi abilitate de lege, care au încheiat un contract de schimb de date cu administratorul PNI, vor putea utiliza Platforma Naţională de Interoperabilitate (PNI). Administratorul PNI va crea, în PNI, conturi de utilizator, care vor conţine formele (modelul) de aplicare/autentificare ale acestor entităţi. Entităţile vor completa o cerere utilizând modalităţile puse la dispoziţie de către Administratorul PNI special în acest scop. În procesul de evaluare şi verificare a solicitării de acces la PNI, formulat de către persoanele juridice de drept privat, Administratorul PNI va urmări: - conformitatea tehnică a sistemelor informatice; – oportunitatea interacţiunii cu registrele de bază furnizate de administraţia publică, în funcţie de valoarea datelor de care dispune şi a nevoii de a interconecta persoana juridică de drept privat şi autorităţile şi instituţiile publice; – potenţiala valorificare a datelor deţinute de persoana juridică de drept privat pentru cetăţean, precum şi contextul legislativ european şi/sau naţional. Solicitarea de conectare sau deconectare a persoanelor juridice de drept privat la PNI va fi analizată şi evaluată din punct de vedere tehnic de către reprezentanţii Administratorului PNI împreună cu reprezentanţii administratorilor registrelor de bază. Criteriile de evaluare vor fi stabilite de reprezentanţii mai sus menţionaţi după operaţionalizarea platformei informatice PNI. Validarea solicitării se va face direct în platformă, prin semnarea electronică (semnătură electronică calificată) a unui contract de schimb de date, de către utilizator şi administratorul platformei, după care administratorul PNI efectuează înregistrarea entităţii solicitante în PNI, cu atribuirea unui număr de înregistrare şi afişarea publică în PNI a tipurilor de registre de bază la care utilizatorul poate avea acces. Contractul de schimb de date este cu titlu oneros, iar costurile vor fi stabilite de administratorul PNI şi vor depinde de costurile operaţionale ale administratorilor registrelor de bază consultate, respectiv ale administratorului PNI. CAP. 4 PROCEDURA DE CONECTARE ŞI PARTICIPARE LA PLATFORMA NAŢIONALĂ DE INTEROPERABILITATE ŞI A SCHIMBULUI DE DATE 4.1. Înregistrarea şi autentificarea participanţilor în cadrul PNI 4.1.1. Reguli generale (1) Participanţii asigură înregistrarea individuală în cadrul PNI, potrivit fluxului prevăzut în cadrul anexelor tehnice agreate. (2) În vederea realizării înregistrării prevăzute la alin. (1), participanţii desemnează o persoană împuternicită care se va asigura că utilizează mijloace de autentificare aliniate infrastructurii naţionale de identificare şi autorizare, aşa cum acestea sunt prevăzute de către ADR, în cadrul sistemului transfrontalier prevăzut în Regulamentul UE (2014) 910 (elDAS) privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, prin Platforma de autentificare electronică ROeID, Cartea Electronică de Identitate, cât şi prin REST API pentru conexiunea între sistemele informatice. (3) Apelarea fluxului de înregistrare în PNI este realizată cu ajutorul Platformelor de Identificare Unice (PIU) puse la dispoziţie de Guvernul României prin instituţiile abilitate (ex. PSCID-ROeID, CEI, altele). (4) PNI este interconectată cu oricare platformă în vederea extragerii datelor unice ale CUI-ului introdus de utilizatorul iniţial. (5) Modelele de interogare a registrelor, care vor include condiţiile de furnizare a serviciului şi contribuţia la întreţinerea acestuia, vor fi aprobate prin Decizie de către Administratorul PNI. 4.1.2. Procedura de conectare a registrelor de bază la infrastructura informatică a PNI (1) Administratorul unui registru de bază asigură conectarea la PNI prin intermediul infrastructurii platformei. (2) Administratorul PNI validează împreună cu administratorii registrelor de bază înregistrarea registrelor şi asigură configurările necesare în vederea asigurării interoperabilităţii. (3) Administratorii registrelor de bază se asigură că la nivel intern este îndeplinită procedura de avizare şi aprobare a înregistrării registrelor în vederea conectării la PNI. (4) În conformitate cu prevederile alin. (3), administratorii registrelor urmează următorii paşi: a. Identificarea registrelor de bază necesar a fi conectate la PNI b. Stabilirea tipului de date şi a importanţei acestora în contextul conectării la PNI, c. Identificarea oricăror elemente şi/sau condiţii de conectare pe care registrul de bază trebuie să le îndeplinească anterior conectării, atât din perspectiva securităţii cibernetice cât şi din perspectiva standardelor utilizate, d. Obţinerea oricăror aprobări interne necesare în vederea conectării registrului de bază la PNI. (5) În vederea realizării conectării la PNI, administratorul PNI informează administratorul registrului de bază cu privire la orice cerinţe de conectare necesar a fi îndeplinite, inclusiv cu privire la: a. Aspecte tehnice de conectare; b. Tipul de date incluse în cadrul registrului de bază; c. Cerinţe suplimentare privitoare la securitatea şi standardele de date. (6) În cazul în care sunt introduse condiţii de acces care modifică elemente tehnice privitoare la modul de realizare a conectării, administratorul PNI asigură informarea fiecărui administrator a registrelor de bază cu privire la acestea. Implementarea acestor condiţii este realizată de către fiecare administrator de registru de bază, în mod independent şi potrivit deciziilor interne aplicabile. (7) Ca urmare a înregistrării valabile a registrului de bază acesta devine accesibil de către oricare terţe persoane potrivit regulilor de accesare aplicabile PNI. 4.1.3. Procedura de încetare a accesului registrelor de bază la infrastructura informatică a PNI (1) Încetarea accesului la un registru de bază conectat la PNI se va aduce la cunoştinţa administratorului PNI de către administratorul registrului de bază cu cel puţin 90 de zile înainte, prin notificare. încetarea existenţei registrului de bază sau convertirea acestuia în alt registru va fi notificată, la rândul său, de administratorul PNI şi se va constata prin ordin al Ministrului Cercetării, Inovării şi Dezvoltării. Cu această ocazie, MCID, la propunerea ADR, va propune Guvernului integrarea în PNI a noului registru de bază, care corespunde registrului de bază desfiinţat, conform art. 7 alin. 2 din Legea 242/2022. (2) În vederea punerii în aplicare a încetării, administratorul PNI se asigură că este publicat un anunţ cu privire la încetarea publicării respectivelor registre de bază şi, în cazul în care este disponibilă, modalitatea de acces alternativă la respectivele date. Administratorul PNI se asigură că include în conţinutul anunţului informaţii cu privire la administratorul registrului de bază, în cazul în care aceste informaţii urmează să fie făcute disponibile într-un alt mod. (3) Administratorul registrului de bază transmite notificarea prevăzută la alin. (1), indicând cel puţin următoarele informaţii: a. motivele pentru care s-a decis încetarea conectării la PNI, b. aspecte tranzitorii referitoare la registrele de bază publicate. Dacă va fi necesară ştergerea completă a acestor date sau dacă acestea pot fi arhivate de către administratorul PNI, c. modul de punere la dispoziţia terţilor a respectivelor registre de bază, ca urmare a încetării conectării la PNI. (4) Începând cu data încetării publicării registrelor de bază prin intermediul PNI, administratorul PNI dispune arhivarea sau ştergerea datelor tehnice de conectare şi furnizare anterioare, având în vedere decizia comunicată de către administratorul registrului de bază. (5) Administratorul PNI va face toate demersurile necesare pentru ca impactul asupra consumatorilor de date din respectivul registru să fie minim. (6) Retragerea unui registru din PNI este permisă doar în urma rezilierii contractelor de schimb de date încheiate cu persoane juridice de drept privat, care s-au integrat cu PNI în principal pentru accesarea respectivului registru de bază. 4.1.4. Procedura de conectare a administraţiei publice în calitate de utilizator la infrastructura informatică a PNI (1) Pentru a realiza schimbul necesar de date, autorităţile administraţiei publice centrale şi locale, în calitate de utilizatori, completează în cadrul platformei PNI, un formular de adeziune, solicitând conectarea la infrastructura informatică a PNI. (2) Autorităţile şi instituţiile administraţiei publice centrale şi cele locale vor accesa PNI, identificându-se cu conturi de utilizator prin platforma unică de identificare, ROeID, create de administratorul platformei, în baza formularului de adeziune la PNI (3) Solicitarea de conectare, ce se regăseşte în platforma PNI şi va fi completată electronic, va cuprinde cel puţin următoarele informaţii: a) cererea de înregistrare; b) inventarul de registre de bază pe care doreşte să le interogheze, cu indicarea datelor ce urmează a fi colectate din fiecare registru de bază şi a scopului interogării, inventarul de servicii electronice pe care le furnizează şi care necesită date din acele registre de bază, precum şi acceptul voluntar al condiţiilor de utilizare stabilite de administratorul PNI; c) identificarea persoanei împuternicite ca administrator al registrului de bază; d) un raport justificativ şi economic, semnat electronic, în care se specifică numărul total al procedurilor, precum şi o estimare a volumului apelurilor fiecărui tip de procedură în parte, care urmează să fie efectuate prin intermediul platformei, registrului sau serviciului electronic în cauză, efectele bugetare şi economice şi orice alt motiv de interes general care justifică aderarea acestora. Acest raport iniţial va fi prevăzut în cadrul platformei în format standardizat. După ce este completat în platformă va fi semnat electronic tot în cadrul acesteia; e) Formular privind îndeplinirea condiţiilor de securitate cerute de Administratorul PNI, completată electronic în platformă şi semnată electronic. (4) Aderarea la platforma PNI şi interogarea unui registru de bază nu implică vreun drept exclusiv de procesare al datelor, un drept exclusiv asupra proceselor şi acţiunilor administrative, acestea fiind corespunzătoare entităţii administrative competente pentru administrarea respectivului registru. (5) Administratorul PNI se asigură că fiecare solicitare de interogare va fi jurnalizată conform art.10 al Legii nr 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei Naţionale de Interoperabilitate şi conform art. 10 al Ordonanţei de urgenţă nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice. (6) Jurnalizarea se va desfăşura prin sistemul de Jurnalizare existent în Cloud-ul Guvernamental. 4.2. Contractul de schimb de date prin PNI - între administrator şi utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, instanţe judecătoreşti, alte entităţi care pot interoga registrele de bază prin PNI Contractul de schimb de date prin intermediul Platformei de interoperabilitate se va încheia între cele două părţi prin platforma PNI - administratorul PNI şi utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entităţi care pot interoga registrele de bază prin PNI. Elementele esenţiale ale contractului de furnizare de date sunt: a) Reglementarea drepturilor Administratorului PNI, respectiv: - să asigure preluarea datelor de la participantul la schimbul de date (administratorul registrului de bază) în condiţiile parametrilor tehnici agreaţi şi a datelor minim necesare conform contractului de schimb de date care specifică nivelul agreat de servicii; – să asigure transmiterea datelor către solicitantul cererii de interogare a RNR, participantului privat sau instituţiei publice, în conformitate cu drepturile şi obligaţiile legale ale acestuia rezultate în urma aderării la RNR şi în parametrii tehnici agreaţi; – să efectueze agregarea şi/sau consolidarea datelor disponibile/transmise prin intermediul PNI, în conformitate cu prevederile din Legea nr 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei naţionale de interoperabilitate; – să decidă asupra cazurilor privind suspendarea şi/sau deconectarea serviciilor de schimb de date prin PNI, în conformitate cu prevederile legale; – să monitorizeze respectarea de către participantul privat a procedurilor de conectare, suspendare şi deconectare de la PNI şi a modului de utilizare, respectarea nivelului agreat de servicii; – să sesizeze organele competente în caz de depistare a încălcărilor comise de către participanţii la schimbul de date în contextul utilizării PNI; – să notifice participanţilor la schimbul de date (administratorului registrului de bază) conectarea participantului privat, cu indicarea temeiului legal de acces la datele puse la dispoziţie; – să solicite de la participantul privat informaţii de referinţă (feedback) privind utilizarea PNI; – să ofere asistenţă şi consultanţă participantului privat în procesul de identificare a necesităţilor de consum de date şi descriere tehnică a acestora; – să solicite de la participantul privat detaliile şi informaţiile necesare pentru soluţionarea erorilor, a incidentelor înregistrate, cu implicarea acestora, după caz. b) Reglementarea obligaţiilor aplicabile Administratorului PNI, respectiv: - să asigure accesul la serviciile platformei PNI şi utilizarea acesteia de către utilizatorul care posedă atributele necesare; – să asigure interogarea datelor pentru participantul privat, prin PNI, fără denaturarea acestora; – să asigure, necondiţionat, acordarea asistenţei metodologice şi tehnice participantului privat în procesul de conectare a acestuia la PNI; – să informeze participantul privat despre certificatele noi obţinute pentru sistemele informaţionale integrate în PNI cu cel puţin 10 zile lucrătoare înainte de expirarea celor utilizate curent; – să desemneze persoane de contact responsabile de proiectele de integrare; – să asigure respectarea nivelului agreat al serviciilor pentru schimbul de date, în condiţiile prezentelor norme; – să informeze utilizatorul despre vulnerabilităţile şi incidentele de securitate la utilizarea PNI, imediat sau în termenul cel mai scurt posibil din momentul depistării acestora; – să asigure înregistrarea, investigarea, monitorizarea, soluţionarea şi înlăturarea în termenele stabilite a erorilor comunicate de participanţi, a vulnerabilităţilor şi a incidentelor depistate; – să dezvolte gratuit, la cerere, pentru consumatorii de date din PNI, instituţii publice centrale şi locale, API-urile necesare conectării la platforma dacă aceştia nu au posibilitatea tehnică să le dezvolte; – să asigure funcţionarea, administrarea şi dezvoltarea continuă a PNI; – să asigure securitatea informaţională a PNI; – să iniţieze procesul de deconectare de la PNI în cazurile prevăzute de prezentele norme; – să asigure minimizarea, acurateţea, integritatea şi confidenţialitatea datelor comunicate; – să asigure urmărirea accesărilor şi a operaţiunilor efectuate, aşa cum sunt identificate în prezentele norme şi asociate cu utilizarea PNI, precum şi stocarea acestora pentru perioada strict necesară; – să asigure jurnalizarea schimbului de date efectuat prin intermediul PNI; – să monitorizeze permanent disponibilitatea serviciilor, să publice în timp real statistici în acest sens; – să publice în prealabil termenele de întreţinere ale serviciilor; – să definească soluţii pentru situaţiile în care un utilizator nu-şi poate îndeplini obligaţiile din cauza indisponibilităţii serviciilor; – să anunţe orice modificare a protocolului în funcţie de complexitate cu cel puţin 30-60 de zile înainte; – să pună la dispoziţia dezvoltatorilor de programe soluţii de testare gratuite, eventual conturi de acces speciale. c) Reglementarea drepturilor utilizatorilor persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entităţi care pot interoga registrele de bază prin PNI, respectiv: - să solicite conectarea la PNI, în scopul consumului de date, adresând administratorului PNI o solicitare de conectare conform modelului prestabilit; – să solicite administratorului PNI iniţierea proiectelor de integrare pentru a putea consuma sau furniza un set diferit de date ori cu alţi parametri tehnici decât cei stabiliţi anterior în anexele tehnice agreate; – să consulte catalogul semantic şi să identifice seturile de date pe care intenţionează să le consume; – în caz de necesitate, să analizeze şi să modifice procesele de lucru, fluxurile şi resursele informaţionale necesare pentru realizarea proiectelor de integrare; – să acceseze şi să utilizeze PNI în conformitate cu prevederile legislaţiei în vigoare; – să revizuiască şi/sau să rezilieze contractele sau acordurile existente cu ceilalţi participanţi în vederea implementării schimbului de date prin PNI ; – să solicite administratorului PNI adaptarea şi/sau reutilizarea datelor disponibile/transmise prin intermediul PNI ; – să solicite administratorului PNI informaţii referitoare la respectarea nivelului agreat al serviciilor prevăzut de contract (Service Level Agreement - SLA) conform indicatorilor stabiliţi; – să solicite administratorului PNI informaţii privind participanţii care solicită date din resursele informaţionale pe care le deţin; – să reutilizeze datele puse la dispoziţie de organismul din sectorul public, după depunerea cererii de utilizare, conform Regulamentului (UE) 2022/868 privind guvernanţa datelor la nivel european şi de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanţa datelor), în următoarele condiţii: – datele au fost anonimizate, în cazul celor cu caracter personal; – datele au fost modificate, agregate sau tratate prin orice altă metodă de control al divulgării, în cazul informaţiilor comerciale confidenţiale, inclusiv al secretelor comerciale sau al conţinutului protejat prin drepturi de proprietate intelectuală; – accesează şi reutilizează datele de la distanţă într-un mediu de prelucrare securizat, care este pus la dispoziţie sau controlat de organismul din sectorul public; d) Reglementarea obligaţiilor utilizatorilor persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entităţi care pot interoga registrele de bază prin PNI, respectiv: - să justifice scopul, volumul şi modul de utilizare a informaţiei consumate prin PNI; – să respecte regimul corespunzător de confidenţialitate şi securitate a informaţiei; – să obţină şi să gestioneze, pe cont propriu, certificatele fiecărui sistem informaţional deţinut, care urmează a fi integrat cu PNI; – să anunţe administratorul PNI despre certificatele noi obţinute pentru sistemele informaţionale integrate cu PNI cu cel puţin 10 zile lucrătoare înainte de expirarea celor utilizate curent; – să obţină şi gestioneze pe cont propriu conexiunea VPN, necesară asigurării accesului în reţeaua de transmisii de date securizate, în scopul implementării schimbului de date prin PNI; – să asigure consumul de date prin intermediul PNI având la bază un temei legal, în scopul exercitării atribuţiilor sale legale şi utilizarea acestora, pe proprie răspundere, în limitele şi în conformitate cu competenţele stabilite de lege; – să asigure respectarea prevederilor Regulamentului (UE) nr.2016/679 privind protecţia datelor cu caracter personal în cazul consumului şi/sau furnizării prin intermediul PNI a unor astfel de date; – să informeze administratorul PNI despre erorile apărute în procesul schimbului de date, vulnerabilităţile, inclusiv incidentele de securitate ale sistemelor informaţionale conectate la PNI, imediat, iar dacă aceasta nu este posibil, în termen de cel mult două zile lucrătoare din momentul depistării acestora; – să prezinte necondiţionat administratorului PNI informaţia necesară pentru înlăturarea erorilor şi a vulnerabilităţilor şi pentru soluţionarea incidentelor de securitate; – să asigure veridicitatea şi actualitatea datelor care sunt implicate în schimburile de date, precum şi sustenabilitatea sistemelor informaţionale care sunt conectate la PNI; – să respecte obligaţia de a nu modifica datele consumate prin PNI; – să aplice măsurile necesare în scopul neadmiterii transmiterii (publicării, difuzării) şi/sau utilizării nesancţionate de către persoane terţe a informaţiei primite; – să nu divulge unei terţe persoane informaţii legate de modalitatea de autentificare şi/sau autorizare, modalitatea tehnică de conectare, schimb de date şi monitorizare, precum şi oricare altă informaţie ce ţine de schimbul de date prin PNI; – în cazul în care are loc o reutilizare neautorizată a datelor fără caracter personal, noul utilizator informează, fără întârziere şi, dacă este cazul, cu sprijinul organismului din sectorul public, persoanele juridice ale căror drepturi şi interese pot fi afectate; – să ofere informaţia solicitată de către administratorul PNI cu privire la utilizarea PNI în scopul îmbunătăţirii calităţii acesteia; – să desemneze persoane de contact responsabile de implementarea proiectelor de integrare, iar în caz de schimbare a acestora, să anunţe administratorul PNI în termen de cinci zile lucrătoare; – să recepţioneze serviciile de schimb de date puse la dispoziţie de administratorul PNI şi să semneze actele de prestare şi acceptare a serviciilor de schimb de date înaintate de administratorul PNI – să achite eventualele taxe (de configurare, pentru schimbul de date, etc) conform facturilor înaintate de administratorul PNI; – să înainteze administratorului PNI o solicitare motivată de suspendare a schimbului de date prin PNI. 4.3. Accesul la registrele de bază Accesul la date şi gestionarea permisiunilor de acces la API cu acces restricţionat (1) Accesul la API-uri restricţionate se realizează numai cu acordul administratorului PNI. (2) În vederea obţinerii acordului administratorului PNI, utilizatorul trebuie să completeze o cerere prin intermediul platformei, în cadrul căreia se vor indica cel puţin: (a) datele la care se solicită accesul; (b) motivele pentru care este necesar accesul; (c) durata pentru care se solicită accesul; (d) scopul şi modul în care datele urmează a fi utilizate. (3) Administratorul PNI decide asupra acordării accesului, precum şi asupra duratei acestui acces. (4) Cererea de acordare a accesului se completează online prin intermediul PNI, şi va cuprinde informaţiile incluse în cadrul alin. (2). Administratorul PNI decide cu privire la acordarea accesului în termen de maxim 2 zile lucrătoare de la data solicitării acordului. (5) În vederea acordării accesului, utilizatorul respectă toate cerinţele tehnice necesare şi mecanismele de protecţie adecvate pentru a proteja informaţiile cu acces restricţionat conform alin. (4). (6) În sensul prevederilor alin. (5) administratorul PNI informează şi include condiţiile de acces în mod clar şi expres pe platforma PNI pentru a asigura informarea utilizatorului. (7) Neîndeplinirea condiţiilor de securitate nu este şi nu poate fi considerată drept o limitare a accesului. (8) API-urile consumatorului de date se vor baza pe un mecanism de autentificare pus la dispoziţie de către administratorul PNI, care gestionează drepturile în cadrul platformei. (9) Accesul consumatorului la date se va jurnaliza şi notifica prin Platforma Naţională de Jurnalizare şi Notificare din Cloud-ul Guvernamental conform art.36 din HG 112 din 2023. 4.4. Catalogul de API-uri 4.4.1. Definire catalog API (1) Catalogul de API-uri permite administratorilor registrelor de bază , dar şi altor entităţi administrative care furnizează servicii publice să înregistreze şi să publice interfeţe, astfel încât acestea să poată fi consultate de toate părţile interesate şi să poată fi solicitate.. (2) Catalogul de API-uri este creat pentru a: - încuraja utilizarea serviciilor digitale prin publicarea API-urilor şi prin punerea la dispoziţie a documentaţiei tehnice aferente; – facilita gestionarea ciclului de viaţă al serviciilor publice digitale; – atenua crearea de interfeţe redundante şi/sau de interfeţe cu semantică suprapusă sau incompatibilă; – asigura o gestionare clară a datelor şi a informaţiilor disponibile; – a identifica posibilele restricţii şi cerinţe suplimentare de acces; – specifică durata minimă şi maximă a accesului pentru fiecare tip de date în parte. (3) Catalogul de API-uri se actualizează ori de câte ori este necesar, dar cel puţin anual, de către administratorul acestuia. (4) Catalogul de API-uri este disponibil în mod liber şi poate fi accesat de către utilizatori prin intermediul PNI. Acesta conferă posibilitatea utilizatorilor de a identifica în mod clar tipurile de API-uri, date şi registre de bază corespunzătoare. 4.4.2. Corelarea informaţiilor (1) Descrierea serviciilor publice digitale din PNI va fi corelată cu informaţiile existente în Catalogul Naţional al Serviciilor Publice şi va fi efectuată de către entităţile conectate la PNI, care trebuie: - să asigure utilizarea tehnologiilor şi aplicarea modelelor şi a profilurilor de date specificate de către ADR prin prezentul act; – să descrie serviciile publice pentru publicare în PNI conform recomandărilor din Capitolul 1, subcapitolul 1.3 Niveluri de interoperabilitate; – să definească cerinţele specifice care identifică atributele pe care trebuie să le posede utilizatorii pentru a accesa serviciul electronic specific; – să indice durata de valabilitate a acceptului emis, ţinând cont de tipul de serviciu electronic şi de datele prelucrate, în conformitate cu reglementările privind protecţia datelor cu caracter personal. (2) Informaţiile din catalogul API pentru fiecare serviciu electronic sunt cel puţin următoarele: - descriptori ai serviciului electronic; – descrierea API, utilizând unul dintre limbajele de descriere a interfeţelor prevăzute pentru a utiliza serviciul electronic; – documentaţia accesoriilor şi manualele de utilizare a serviciului electronic. (3) Înregistrarea şi corectitudinea acestor informaţii este responsabilitatea administratorilor de registre de bază, care trebuie să asigure gestionarea ciclului de viaţă al serviciilor electronice proprii prin intermediul departamentelor/ persoanelor desemnate. În ceea ce priveşte serviciul electronic individual înregistrat în catalogul API, administratorii serviciilor de bază trebuie să asigure utilizarea uneia dintre tehnologiile standardizate. 4.5. Catalogul Naţional Semantic (semantic.gov.ro) Catalogul Naţional Semantic (semantic.gov.ro) este un sistem informaţional destinat configurării, managementului şi evidenţei activelor semantice gestionate de entităţi, instituţii din România, pentru a oferi informaţii actualizate despre activele semantice disponibile, dar şi metadate relevante schimbului de date, organizat cu scopul asigurării interoperabilităţii semantice. ADR are ca atribuţie realizarea, publicarea şi actualizarea periodica a Catalogului Naţional Semantic (semantic.gov.ro). Catalogul Naţional Semantic este creat în acelaşi timp în cadrul PNI de către ADR şi se actualizează ori de câte ori este necesar, dar cel puţin anual, de către administrator. Catalogul Naţional Semantic este disponibil în mod liber şi poate fi accesat de către utilizatori prin intermediul PNI. Acesta conferă posibilitatea utilizatorilor de a identifica în mod clar tipurile de date şi registre de bază corespunzătoare. CAP. 5 STANDARDE TEHNICE 5.1. Standardele tehnice de interoperabilitate Standardele tehnice de interoperabilitate descriu aspecte specifice ale unei game largi de subiecte, cum ar fi documentele electronice, digitizarea, fişierele electronice, copierea şi conversia autentică, politica de semnătură, standardele, intermedierea datelor, modelele de date, gestionarea documentelor electronice, conexiunea la reţeaua de comunicaţii a administraţiei publice şi modele de date pentru schimbul de înscrieri în registru şi declaraţie de conformitate, toate acestea fiind necesare pentru a garanta aspectele mai practice şi operaţionale ale interoperabilităţii între instituţiile administraţiei publice şi cetăţeni. Aceste standarde de operabilitate tehnică vor fi dezvoltate şi îmbunătăţite în continuare, în timp, în concordanţă cu progresul serviciilor de e-guvernare, infrastructura de suport a acestora şi evoluţia tehnologiei, pentru a îndeplini prevederile Legii 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei Naţionale de Interoperabilitate (PNI). În cadrul Standardelor Tehnice de Interoperabilitate, cel legat de publicarea modelului de date este în conformitate cu prevederile HG nr. 908/2017 pentru aprobarea Cadrului Naţional de Interoperabilitate, care stabileşte Activele Semantice. Totodată, standardul tehnic de interoperabilitate pentru modele de date stabileşte condiţiile de proiectare şi publicare a modelelor de date în conformitate cu standardele şi practicile europene stabilite de Centrul European de Interoperabilitate Semantică - SEMIC.EU. În contextul evoluţiei standardelor tehnice şi a dezvoltării de soluţii dedicate la nivel european (ex. eDelivery, BRegDCAT, OOTS), PNI şi alte sistemele informatice conexe acestuia se vor alinia cu acestea. Standardele tehnice vor putea fi discutate cu dezvoltatorii de software în cadrul Consiliului Naţional pentru Transformare Digitală (CNTD), organ consultativ al ADR, fără personalitate juridică. 5.2. Utilizarea standardelor Fiecare entitate publică sau organism de drept public: a) va selecta standardul sau standardele care se potrivesc cel mai bine nevoilor lor, cu obligaţia ca acestea să fie perfect aliniate standardelor europene prevăzute de W3C, DCAT-AP şi CSPV-AP, în funcţie de specificul lor pentru sarcina sau funcţionalitatea ce urmează a fi acoperită, pentru documentele şi serviciile pe care le pun la dispoziţie cetăţenilor sau altor entităţi publice, în conformitate cu condiţiile stabilite în legislaţia de specialitate. Dacă o anumită funcţionalitate sau nevoie nu este acoperită de niciunul dintre standardele cuprinse, poate fi selectat cel mai potrivit standard pentru sarcina respectivă, cu obligaţia de raportare a standardului selectat; b) pentru interacţiunea cu alte instituţii publice, va respecta standardele selectate de emitentul documentului solicitat sau de responsabilul serviciului la care se doreşte accesul, care vor fi publicate în conformitate cu prezentele norme; c) va publica, conform celor stabilite în reglementările aplicabile în fiecare caz, standardele selectate pentru serviciile sau procedurile pe care le pune la dispoziţia cetăţeanului; Prin excepţie faţă de cele de mai sus, pot fi utilizate alte formate atunci când există particularităţi care o justifică sau este necesar să se asigure valoarea probantă a informaţiilor electronice ale activităţilor şi procedurilor în cazul în care se procedează la conversia formatului acesteia. 5.3. Standarde de interoperabilitate tehnică pentru modelele de date Scop Standardul tehnic de interoperabilitate pentru modelele de date stabileşte condiţiile de proiectare şi publicare a modelelor de date comune ale administraţiei publice şi a modelelor de date în domeniile care fac obiectul schimbului de informaţii cu cetăţenii şi între entităţile publice, precum şi definirea şi codificarea acestora în vederea publicării unui viitor catalog. Modele de date care urmează să fie publicate Entităţile publice şi organismele publice conexe sau raportoare trebuie să stabilească şi să partajeze modelele lor de date (precum şi definiţiile şi codificarea acestora) în: a) Domeniile care fac obiectul schimbului de informaţii cu cetăţenii şi între entităţile publice. b) Infrastructuri, servicii şi instrumente comune care nu sunt destinate exclusiv utilizării interne. Structura de schimb transfrontalier a modelului de date: Modelele de date vor fi similare cu cele publicate de Centrul European de Interoperabilitate Semantică - SEMIC, cu o structură care va conţine: a) Active semantice în format XSD (Definiţia schemei XML) b) Ghiduri explicative în format PDF (Format de document portabil), în conformitate cu Standardul de interoperabilitate tehnică pentru cataloage standard, pentru diferitele schimburi de sisteme sau servicii de schimb, inclusiv: - Descrierea tipurilor de date schimbate şi a definiţiilor conform modelului de date în cauză, şi descrierea funcţională a operaţiunilor care pot fi efectuate; – Scurtă descriere a măsurilor de securitate aplicabile schimburilor de date ale modelului; – Cerinţe care trebuie îndeplinite de destinatarii informaţiilor cărora li se aplică modelul; – Exemple de implementare a serviciului în cadrul modelului de date în cauză; – Lista de mesaje de eroare, descrierea lor si exemple de tratare a erorilor; – Manuale de utilizare pentru servicii de schimb şi kituri de testare (opţional); Identificarea modelelor de date Entităţile publice şi organismele publice conexe sau raportoare identifică structura de schimb a modelelor lor de date în scopul clasificării, oferind sarcinile de identificare, localizare şi clasificare pentru modelele de date a căror publicare este centralizată. Descrierea modelului de date trebuie să respecte criteriile din Standardul tehnic de interoperabilitate pentru cataloagele standard. Utilizarea modelelor de date Modelele de date deţinute de organismele responsabile de domeniile care fac obiectul schimbului de informaţii cu cetăţenii şi între entităţile publice sau infrastructurile, serviciile şi instrumentele comune publicate se aplică în mod obligatoriu. Modelele comune de date sunt identificate, clasificate şi prioritizate de către ADR. În cazul în care modelele de date nu corespund modelelor standard, entităţile interesate informează ADR, care, la rândul său, informează instituţia publica organismul sau agenţia relevantă pentru ca aceştia să ia măsuri. Tipuri de metadate
┌────────────┬──────────────┬────────────────┐
│Tip │Definiţie │Exemplu(e) │
├────────────┼──────────────┼────────────────┤
│ │Pentru găsirea│- Titlu │
│Metadate │sau │- Autor │
│descriptive │înţelegerea │- Subiect │
│ │unei resurse │ │
├────────────┼──────────────┼────────────────┤
│ │Relaţiile │ │
│Metadate │părţilor │ │
│structurale │resurselor │ │
│ │între ele │ │
├────────────┼──────────────┼────────────────┤
│ │Integrează │ │
│ │metadatele şi │ │
│ │etichetele │ │
│Limbaje de │pentru alte │ │
│marcare │caracteristici│ │
│ │structurale │ │
│ │sau semantice │ │
│ │în conţinut │ │
├────────────┴──────────────┴────────────────┤
│Metadate administrative │
├────────────┬──────────────┬────────────────┤
│ │ │- Tabelul fizic │
│ │ │al bazei de date│
│ │ │şi numele │
│ │Pentru │coloanelor │
│Metadate │decodarea şi │- Proprietăţile │
│tehnice │redarea │coloanei │
│ │fişierelor │- Documentaţia │
│ │ │de │
│ │ │descendenţă a │
│ │ │datelor │
├────────────┼──────────────┼────────────────┤
│ │Include │ │
│ │informaţii │- Modele de date│
│ │non-tehnice, │- Standarde de │
│ │proprietăţi │date │
│ │ale │- Reguli de │
│ │atributelor, │calitate a │
│Metadate de │calcule, │datelor │
│afaceri │algoritmi, │- Definiţii şi │
│ │reguli de │descrieri ale │
│ │afaceri şi │seturilor de │
│ │valori valide │date, tabelelor │
│ │ale domeniului│şi coloanelor │
│ │şi definiţiile│ │
│ │acestora │ │
├────────────┼──────────────┼────────────────┤
│ │ │- Jurnalele de │
│ │Pentru │erori │
│ │descrierea │- Istoricul │
│Metadate │detaliilor │extraselor şi │
│operaţionale│privind │rezultatelor │
│ │prelucrarea şi│- Roluri şi │
│ │accesarea │responsabilităţi│
│ │datelor │tehnice, │
│ │ │contacte │
└────────────┴──────────────┴────────────────┘
Standarde pentru metadate
┌───────────┬───────────┬───────────────────┐
│Standard │Domeniul de│Descriere │
│ │aplicare │ │
├───────────┼───────────┼───────────────────┤
│ │ │Programul ISA*2) │
│ │ │defineşte │
│ │ │vocabularele de │
│ │ │bază ca „[…] modele│
│ │ │de date │
│ │ │simplificate, │
│ │ │reutilizabile şi │
│ │ │extensibile care │
│ │ │surprind │
│ │ │caracteristicile │
│ │ │fundamentale ale │
│ │ │unei entităţi │
│ │ │într-un mod neutru │
│ │ │din punct de vedere│
│ │ │context.”*2) │
│ │ │În prezent, există │
│ │ │6 elemente în lista│
│ │ │Vocabularelor de │
│ │ │bază, aşa cum este │
│ │ │definită mai jos. │
│ │ │- Core Business │
│ │ │Vocabulary - │
│ │ │Folosit pentru a │
│ │ │surprinde │
│ │ │principalele │
│ │ │caracteristici ale │
│ │ │persoanelor │
│ │ │juridice; │
│ │ │- Core Location │
│ │ │Vocabulary - │
│ │ │Folosit pentru a │
│ │ │surprinde │
│ │ │principalele │
│ │ │caracteristici ale │
│ │ │unei locaţii. │
│ │ │- Vocabularul │
│ │ │persoanei de bază -│
│ │ │Folosit pentru a │
│ │ │surprinde │
│ │ │principalele │
│ │ │caracteristici ale │
│ │ │unei persoane; │
│ │ │- Vocabularul │
│ │ │principal al │
│Vocabulare │ │serviciului public │
│de bază*1) │Entităţi │- Folosit pentru a │
│ISA*2) │ │surprinde │
│ │ │caracteristicile │
│ │ │fundamentale ale │
│ │ │unui serviciu │
│ │ │oferit de │
│ │ │administraţia │
│ │ │publică; │
│ │ │Un profil de │
│ │ │aplicaţie al │
│ │ │acestui vocabular │
│ │ │de bază (CPSV-AP) a│
│ │ │fost dezvoltat │
│ │ │pentru a descrie │
│ │ │serviciile publice │
│ │ │şi pentru a le │
│ │ │grupa în evenimente│
│ │ │de afaceri. │
│ │ │- Vocabular de bază│
│ │ │şi criteriu – Un │
│ │ │set de date pentru │
│ │ │descrierea │
│ │ │entităţilor │
│ │ │private, utilizate │
│ │ │de entităţile │
│ │ │publice pentru a │
│ │ │defini criteriile │
│ │ │pentru entităţile │
│ │ │private de │
│ │ │eligibilitate şi │
│ │ │calificare pentru │
│ │ │achiziţii publice, │
│ │ │permiţând unei │
│ │ │entităţi private să│
│ │ │presteze servicii │
│ │ │publice sau să │
│ │ │participe la o │
│ │ │achiziţie publică; │
│ │ │- Vocabularul │
│ │ │principal al │
│ │ │organizaţiilor │
│ │ │publice – Un model │
│ │ │de date folosit │
│ │ │pentru a descrie │
│ │ │organizaţiile │
│ │ │publice din Uniunea│
│ │ │Europeană. │
├───────────┼───────────┼───────────────────┤
│ │ │RDF, care înseamnă │
│ │ │Resource │
│ │ │Description │
│ │ │Framework, este un │
│ │ │model standard │
│ │ │utilizat pentru │
│ │ │schimbul de date în│
│ │ │principal pe Web. │
│ │ │Potrivit W3C, RDF „│
│ │ │[…] extinde │
│ │ │structura de legare│
│ │ │a Web-ului pentru a│
│ │ │utiliza URI-uri │
│ │ │pentru a denumi │
│RDF*[1]) │Semantică │relaţia dintre │
│ │ │lucruri, precum şi │
│ │ │cele două capete │
│ │ │ale legăturii │
│ │ │(aceasta este de │
│ │ │obicei denumită │
│ │ │„triplu”).”*[2]) │
│ │ │RDF facilitează │
│ │ │îmbinarea datelor │
│ │ │şi sprijină │
│ │ │evoluţia schemelor │
│ │ │fără a necesita │
│ │ │modificări ale │
│ │ │consumatorilor de │
│ │ │date. │
├───────────┼───────────┼───────────────────┤
│ │ │OWL, care înseamnă │
│ │ │The Web Ontology │
│ │ │Language, este o │
│ │ │familie de limbaje │
│ │ │folosite pentru a │
│ │ │reprezenta │
│ │ │cunoştinţele. W3C │
│ │ │defineşte OWL ca „ │
│OWL*[3]) │Semantică │[…] un limbaj Web │
│ │ │semantic conceput │
│ │ │pentru a reprezenta│
│ │ │cunoştinţe bogate │
│ │ │şi complexe despre │
│ │ │lucruri, grupuri de│
│ │ │lucruri şi relaţii │
│ │ │dintre lucruri ” , │
│ │ │care este cunoscută│
│ │ │şi ca ontologie. │
├───────────┼───────────┼───────────────────┤
│ │ │DCAT, care înseamnă│
│ │ │Data Catalog │
│ │ │Vocabulary, este un│
│ │ │vocabular RDF │
│ │ │definit pentru a │
│ │ │modela cataloagele │
│ │ │publicate pe Web. │
│ │ │Potrivit W3C, „[…] │
│ │ │prin utilizarea │
│ │ │DCAT pentru a │
│ │ │descrie seturi de │
│ │ │date în │
│ │ │cataloage de date, │
│ │Seturi de │editorii cresc │
│DCAT*[4]) │date │capacitatea de │
│ │ │descoperire şi │
│ │ │permit aplicaţiilor│
│ │ │să consume cu │
│ │ │uşurinţă metadate │
│ │ │din mai multe │
│ │ │cataloage.” *[5]) │
│ │ │Această │
│ │ │caracteristică face│
│ │ │ca DCAT să fie un │
│ │ │factor cheie de │
│ │ │interoperabilitate,│
│ │ │atunci când sunt │
│ │ │implicate seturi de│
│ │ │date. │
├───────────┼───────────┼───────────────────┤
│ │ │ADMS, care înseamnă│
│ │ │Asset Description │
│ │ │Metadata Schema, │
│ │ │este un profil al │
│ │ │DCAT definit de W3C│
│ │ │pentru a descrie │
│ │ │activele. │
│ │ │În contextul ADMS, │
│ │ │un activ trebuie │
│ │ │înţeles ca „ […] │
│ │ │metadate foarte │
│ │ │reutilizabile (de │
│ADMS*[6]) │Active │exemplu, scheme │
│ │ │xml, modele de date│
│ │ │generice) şi date │
│ │ │de referinţă (de │
│ │ │exemplu, liste de │
│ │ │coduri, taxonomii, │
│ │ │dicţionare, │
│ │ │vocabulare) care │
│ │ │sunt utilizate │
│ │ │pentru dezvoltarea │
│ │ │sistemului de │
│ │ │guvernare │
│ │ │electronică .”*[7])│
├───────────┼───────────┼───────────────────┤
│ │ │Standardele de │
│ │ │provenienţă se │
│ │ │referă la │
│ │ │vocabularele │
│ │ │utilizate pentru │
│ │ │modelarea │
│ │ │entităţilor, │
│ │ │producând date │
│ │ │specifice. │
│ │ │Standardele de │
│ │ │provenienţă sunt │
│ │ │definite pentru a │
│ │ │aduce calitate, │
│ │ │fiabilitate şi/sau │
│ │ │încredere │
│ │ │schimbului de │
│ │ │seturi de date. │
│ │ │W3C a definit în │
│Standarde │ │acest scop două │
│de │Entităţi │artefacte │
│provenienţă│ │principale: │
│ │ │- Modelul de date │
│ │ │de provenienţă │
│ │ │(PROV-DM)*[8]), │
│ │ │folosit pentru a │
│ │ │defini „ […] cel │
│ │ │structuri de bază │
│ │ │care formează │
│ │ │esenţa │
│ │ │informaţiilor │
│ │ │despre │
│ │ │provenienţă.”*[9]) │
│ │ │- Ontologie de │
│ │ │provenienţă │
│ │ │(PROV-O)*[10]) │
│ │ │adică o │
│ │ │reprezentare a │
│ │ │PROV-DM sub forma │
│ │ │unei ontologii OWL.│
├───────────┼───────────┼───────────────────┤
│ │ │SKOS, care înseamnă│
│ │ │Single Knowledge │
│ │ │Organisation │
│ │ │System, este │
│ │ │definit de W3C ca „│
│ │ │[…] un domeniu de │
│ │ │lucru care dezvoltă│
│ │ │specificaţii şi │
│ │Taxonomii, │standarde pentru a │
│ │tezaure şi │sprijini utilizarea│
│SKOS*[11]) │scheme de │sistemelor de │
│ │clasificare│organizare a │
│ │ │cunoştinţelor (KOS)│
│ │ │cum ar fi tezauri, │
│ │ │scheme de │
│ │ │clasificare, liste │
│ │ │de titluri de │
│ │ │subiecte, taxonomii│
│ │ │(…) în cadrul Web- │
│ │ │ului semantic.”* │
│ │ │[12]) │
├───────────┼───────────┼───────────────────┤
│ │ │SPARQL este un │
│ │ │limbaj de │
│ │ │interogare care │
│ │ │este folosit pentru│
│ │ │a interoga şi a │
│ │ │manipula date din │
│ │ │graficele RDF. │
│ │ │Acesta oferă │
│ │ │capabilităţi pentru│
│ │ │„ […] interogarea │
│ │ │modelelor de grafic│
│ │ │necesare şi │
│ │ │opţionale, împreună│
│SPARQL* │Interogări │cu conjuncţiile şi │
│[13]) │semantice │disjuncţiile │
│ │ │acestora […]” şi „ │
│ │ │[…] acceptă │
│ │ │agregarea, │
│ │ │subinterogările, │
│ │ │negaţia, crearea de│
│ │ │valori prin │
│ │ │expresii, testarea │
│ │ │valorilor │
│ │ │extensibile şi │
│ │ │constrângerea │
│ │ │interogărilor prin │
│ │ │graficul RDF │
│ │ │sursă.”*[14]) │
└───────────┴───────────┴───────────────────┘
*1) https://joinup.ec.europa.eu/page/core-vocabularies. *2) https://joinup.ec.europa.eu/page/core-vocabularies. *3) https://www.w3.org/RDF/ . *4) https://www.w3.org/RDF/ . *5) https://www.w3.org/OWL/ . *6) https://www.w3.org/TR/vocab-dcat/ . *7) https://dvcs.w3.org/hg/gld/raw-file/default/dcat/index.html. *8) https://www.w3.org/TR/vocab-adms/ . *9) https://www.w3.org/standards/techs/rdfvocabs#w3c all. *10) https://www.w3.org/TR/2013/REC-prov-dm-20130430/ . *11) http://www.w3.org/TR/prov-dm/ . *12) https://www.w3.org/TR/2013/REC-prov-o-20130430/ *13) https://www.w3.org/2004/02/skos/ . *14) http://www.w3.org/2004/02/skos/overviewtemplate.html. Notă: autentificarea este necesară pentru a accesa acest site web. *15) https://www.w3.org/TR/sparql 11 -query/ . *16) http://www.w3.org/TR/sparql11 -query/ . 5.4. Standarde pentru conectarea prin API La proiectarea unui API trebuie luate în considerare cel puţin următoarele aspecte: semantică (vocabulare şi modele de date), stiluri (protocoale şi modele), interacţiuni (fluxul de lucru al apelurilor API), siguranţă (proceduri pentru a evita greşelile de utilizare) şi consecvenţă (de ex. cu alte API-uri instituţionale). Există instrumente pentru a ajuta la proiectarea şi prototiparea API-urilor, care le permit inginerilor să scrie API-ul într-un limbaj mai puţin tehnic, să genereze documentaţie interactivă şi să creeze servere simulate, totul fără a scrie o linie de cod pentru API-ul în sine. API-urile pot fi explicate şi folosind o definiţie API (de exemplu, OAS, API Blueprint sau RAML) şi partajarea acelui document cu utilizatorii pentru feedback. Definiţia API poate fi folosită drept piatră de temelie pentru o mare parte a acestor teste. Încorporarea unei definiţii API în procesul de proiectare permite utilizarea acesteia în etapele ulterioare ale ciclului de viaţă API, cum ar fi documentarea şi testarea. Multe instrumente se integrează, de asemenea, astfel încât API-ul să poată fi testat ca parte a procesului de construire. API-urile sunt un facilitator tehnologic pentru îmbunătăţirea operaţiunilor şi proceselor guvernamentale, pentru eficientizarea fluxurilor de date şi pentru a facilita elaborarea politicilor. Cu toate acestea, captarea contribuţiei API-urilor în această transformare guvernamentală este un exerciţiu provocator şi este şi mai dificil să se evalueze cantitativ impactul adoptării. Activarea şi construirea API-urilor pentru reutilizare şi interoperabilitate se realizează de către ADR în cadrul dezvoltării PNI, luând în considerare modelele de date partajate, care trebuie definite în mod comun cu fiecare instituţie publică în parte, definind opţiunile arhitecturale comune şi determinând ce componente ale serviciului pot fi utilizate şi reutilizate. ADR va dezvolta gratuit, la cerere, pentru consumatorii de date din PNI, instituţii publice centrale şi locale, API-urile necesare conectării la platforma dacă aceştia nu au posibilitatea tehnică să le dezvolte. Supravegherea şi dezvoltarea API-urilor asigură că accesul este securizat şi adecvat pentru API-uri, astfel încât să permită expunerea în condiţii sigure a serviciilor. API-uri REST Având în vedere prevederile art. 18, alin. (1) din Legea nr. 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei naţionale de interoperabilitate, precum şi standardele folosite în prezent în domeniul tehnologiei informaţiei, asigurarea interoperabilităţii din punct de vedere tehnic se va realiza cu precădere folosind API-uri REST. Acest tip de API este utilizat de majoritatea companiilor, arhitecţilor de sisteme informatice şi dezvoltatorilor în vederea asigurării schimbului de informaţii şi a managementului resurselor web (operaţiuni CRUD - creare, citire, editare/actualizare, ştergere), fiind un standard de facto în domeniu, atât pentru dezvoltarea de sisteme noi, în special bazate pe microservicii, cât şi pentru integrarea unui sistem vechi (legacy) într-o infrastructură modernă. Stilul arhitectural REST este caracterizat prin 4 componente de bază, sau "niveluri de maturitate". În cazul unei reţele extinse sau a unui sistem cu o complexitate ridicată, este recomandată implementarea fiecărui nivel. ● Nivelul 0 - se poate rezuma la folosirea protocolului HTTPS şi defineşte reguli generale pentru structurarea URL-urilor folosite pentru puncte finale ale unui API; ● Nivelul 1 - introduce noţiunea de Resursă, care stă la baza REST şi defineşte reguli specifice pentru structurarea URL-urilor securizate folosite pentru accesarea unei anumite resurse; ● Nivelul 2 - introduce noţiunea de verbe HTTPS, care reprezintă un mod standardizat pentru gestionarea resurselor prin operaţiuni CRUD (creare, citire, editare, ştergere). Cele mai importante sunt: GET (citire), POST(creare), PUT(actualizare), PATCH (editare), DELETE (ştergere) ● Nivelul 3 - se referă la controlul şi negocierea conţinutului prin hyperlink-uri, cunoscut sub acronimul HATEOAS (Hypertext As The Engine Of Application State). Aceasta înseamnă introducerea în răspunsul la un apel de interogare a unei resurse/link către toate punctele finale folosite pentru gestionarea respectivei resurse. Deoarece REST nu reprezintă un standard în sine, pentru asigurarea uniformităţii interfeţelor se poate utiliza standardul oData, aşa cum este definit în cuprinsul prezentelor Norme. Proiectarea API-urilor Alocarea resurselor pentru stabilirea punctelor de ieşire finale (API) şi alegerea formatelor de răspuns are loc înainte de a începe dezvoltarea, dar şi pe tot parcursul dezvoltării şi mentenanţei. Documentarea API-urilor Documentarea este extrem de importantă pentru ca API-urile să poate fi utilizate şi înţelese de către utilizatori. Nevoile de documentare pot fi diferite pentru utilizatorii interni şi externi şi trebuie create pentru fiecare tip de utilizator în parte. Dezvoltarea Dezvoltarea unui API include toate deciziile pe care dezvoltatorii le iau atunci când implementează un API. Codul trebuie să prezinte o formă de control al versiunii (Git fiind cel mai popular sistem de control al versiunilor, orice forma de control al versiuni este acceptată). Codul sursă API trebuie, de asemenea, să fie găzduit pe un repository de tip git conectat la un serviciu CI/CD pus la dispoziţie prin cloud-ul Guvernamental care să permită colaborarea, accesul în echipă, integrarea continuă şi implementare continuă. Integrarea continuă este practica de a rula automat teste sau alte instrumente de compilare cu fiecare modificare a codului. Acest lucru asigură că tot codul nou este testat şi respectă convenţiile şi cerinţele echipei de implementare. Implementarea continuă este practica în dezvoltarea software care constă în automatizarea procesului de implementare a schimbărilor de cod în mediul de producţie sau într-un mediu de testare apropiat de producţie, imediat după ce aceste schimbări trec cu succes prin testele de calitate şi verificările necesare. Testarea Calitatea unui API depinde foarte mult de testarea acestuia. Instrumentele trebuie selectate pentru a testa API-ul pe mai multe niveluri: ● testare de utilizare; ● testare unitară - testare cod software (atât interfaţa şi implementarea) în sine; ● testarea integrării - testarea problemelor de implementare şi interfaţă prin invocarea API-ului pentru fiecare dintre cazurile de utilizare; ● testarea performanţei şi a sarcinii - trebuie testate toate cerinţele funcţionale ale unui API, cum ar fi simularea utilizării API-ului în condiţii speciale (de exemplu, un număr mare de aplicaţii care apelează respectivul API); ● testarea de securitate - identificarea vulnerabilităţilor de securitate cibernetică în interfaţa, implementarea şi instanţa API-ului; ● testarea în producţie - identificarea problemelor de utilizare, funcţionalitate şi performanţă în mediul de producţie; ● standarde şi teste de conformitate - se verifică dacă API-ul este conform cu standardele sau specificaţiile tehnice, care pot fi cerute, de exemplu, de un regulament sau de o directivă a Uniunii Europene. Monitorizarea Odată ce un API este activ, administratorii soluţiilor informatice trebuie să analizeze şi să observe cu atenţie utilizarea şi comportamentul acestuia. Indicatorii de utilizare a API-ului, starea şi vulnerabilităţile de securitate trebuie monitorizate în mod regulat. Valorile utilizate pentru monitorizarea API-ului trebuie să includă: ● probleme (erori, defecţiuni, avertismente, blocări etc); ● integritatea sistemului (unitatea centrală de procesare, memoria, intrarea/ieşirea şi starea containerului); ● elemente de securitate ale API-urilor; ● elemente ale API (timpul de funcţionare API, starea API şi totalul de mesaje procesate); ● jurnalele de mesaje (cerere şi răspuns, corpuri de mesaje, anteturi de mesaje şi metadate); ● date de utilizare (de exemplu, numărul de solicitări, punctul final, utilizarea resurselor şi cererile per consumator). Descoperire şi promovare API-urile guvernamentale pentru registrele de bază vor fi indexate într-un singur catalog, Catalogul Naţional al Serviciilor Publice pentru a fi accesate. Managementul schimbării Chiar dacă este proiectat cu mare atenţie, poate fi necesar ca un API să fie modificat din motive întemeiate - schimbarea proceselor, adoptarea de noi standarde sau nevoile diferite ale utilizatorilor. Unele dintre aceste modificări pot fi semnificative, necesitând, spre exemplu, modificarea aplicaţiei client. Recomandări şi elemente de bună practică: ● crearea de noi puncte finale (endpoint-uri API) pentru modificări semnificative; ● introducerea numărului versiunii în URL; ● evitarea modificărilor incompatibile cu versiunile anterioare ori de câte ori este posibil; ● furnizarea de notificări pentru punctele finale (API) depreciate. ● utilizarea formatului JSON pentru serializarea datelor partajate; ● utilizarea HATEOAS (Hypermedia As Transfer Engine Of Application State) pentru a facilita navigarea şi consumul unui REST API de către client; ● utilizarea standardului OAUTH 2.0 pentru securizarea punctelor finale si gestionarea drepturilor de acces (autorizare); ● utilizarea SWAGGER UI pentru facilitarea documentării şi testării unui API. 5.5. Standarde de autentificare eIDAS - cadrul legal pentru identitatea digitală Pentru implementarea identităţii digitale nu este suficientă doar luarea în considerare a posibilelor protocoale pentru implementarea tehnică. Cadrul legal joacă şi el un rol important. Acest lucru este deosebit de important pentru identificarea sigură din punct de vedere juridic sau semnarea validă din punct de vedere legal a unui document. Regulamentul UE eIDAS este de o importanţă primordială aici. Această abreviere înseamnă servicii electronice de identificare, autentificare şi încredere. Regulamentul stabileşte cadrul legal pentru serviciile în acest domeniu. Următoarele secţiuni descriu principiile de baza ale regulamentului menţionat: Recunoaşterea reciprocă a autentificării în cadrul UE Fiecare ţară din UE poate notifica ce sisteme de identificare electronică recunoaşte şi ce nivel de securitate au acestea. Celelalte state UE trebuie apoi să le recunoască şi pe acestea - cel puţin în sectorul public. Cu toate acestea, răspunderea este întotdeauna asumată de statul care a făcut notificarea. În acest domeniu, România oferă, de exemplu, cartea electronică de identitate(CEI) şi autentificare electronică (ROeID). Marca de încredere UE pentru furnizorii calificaţi În acest context, a fost introdus şi o marcă de încredere UE. Furnizorii care îndeplinesc cerinţele eIDAS pot aplica pentru statutul de calificare. Odată ce aceasta a fost acordată, furnizorii de servicii îşi pot face publicitate produselor cu marca de încredere UE. Semnături electronice calificate: cerinţe speciale pentru furnizori Cadrul legal pentru utilizarea semnăturilor electronice calificate este deosebit de important. Acestea sunt prevăzute în Regulamentul eIDAS. Acesta stabileşte exact modul în care contractele care necesită formă scrisă pot fi semnate electronic. Deşi identitatea digitală a fost utilizată până acum doar într-o măsură limitată, condiţiile cadru sunt deja în vigoare cel puţin la nivel european. ----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
