În Monitorul Oficial nr. 227 din 31 martie a.c. a fost publicat Ordinul nr. 141/2014 al Ministerului pentru Societatea Informaţională pentru aprobarea Normelor metodologice privind elementele tehnice şi de securitate ale sistemului de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească.
În extras:
CAPITOLUL I
Dispoziţii generale
Art. 1
(1) Prezentele norme metodologice stabilesc elementele tehnice şi de securitate ale sistemului de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească, conform Regulamentului (UE) nr. 211/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 privind iniţiativa cetăţenească, cu modificările ulterioare, denumit în continuare Regulamentul (UE) nr. 211/2011.
(2) Normele metodologice vizează declaraţiile de susţinere a propunerilor de iniţiativă cetăţenească colectate printr-un sistem de colectare online, a cărui bază de date este stocată într-o locaţie aflată pe teritoriul României.
Art. 2
(1) În înţelesul prezentelor norme metodologice, termenii utilizaţi au următoarele definiţii:
a)iniţiativă cetăţenească – iniţiativa prezentată Comisiei Europene (Comisia) în conformitate cu Regulamentul (UE) nr. 211/2011, prin care Comisia este invitată să prezinte, în limitele atribuţiilor sale, orice propunere corespunzătoare privind chestiuni pentru care cetăţenii consideră că este necesar un act juridic al Uniunii Europene în vederea punerii în aplicare a tratatelor, care a fost susţinută de cel puţin un milion de semnatari eligibili provenind din cel puţin un sfert din toate statele membre;
b)semnatar – cetăţean al Uniunii Europene care a sprijinit o anumită iniţiativă cetăţenească prin completarea unui formular de declaraţie de susţinere a iniţiativei respective;
c)organizator – persoana fizică ce formează un comitet al cetăţenilor responsabil de pregătirea unei iniţiative cetăţeneşti şi de prezentarea acesteia Comisiei;
d)sistem de colectare online – sistem informaţional constând în programe, echipamente, mediu de găzduire, procese operaţionale şi personal, destinat colectării online a declaraţiilor de susţinere;
e)plan de securitate – documentul ce descrie totalitatea măsurilor tehnice şi administrative care sunt luate de către organizator pentru utilizarea în condiţii de siguranţă a sistemului de colectare online a declaraţiilor de susţinere;
f)certificat de confirmare a conformităţii – documentul semnat de autoritatea naţională responsabilă care certifică faptul că sistemul de colectare online a declaraţiilor de susţinere este conform cu dispoziţiile relevante din Regulamentul (UE) nr. 211/2011.
(2) În înţelesul prezentelor norme metodologice, abrevierile utilizate au următoarele semnificaţii:
a) MSI – Ministerul pentru Societatea Informaţională;
b) AADR – Agenţia pentru Agenda Digitală a României;
c) ISACA – Information Systems Audit and Control Association (organizaţie care acordă certificări de securitate informatică);
d) CISA – Certified Information Systems Auditor (tip de certificare pentru auditorul de sisteme informatice, acordat de ISACA);
e) XML – Extensible Markup Language.
CAPITOLUL II
Autoritatea naţională responsabilă
Art. 3
(1) Autoritatea naţională responsabilă (Autoritatea) pentru eliberarea certificatelor de confirmare a conformităţii sistemelor de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească este MSI.
(2) Autoritatea îşi exercită atribuţiile de certificare a conformităţii sistemelor de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească prin intermediul AADR.
(3) Organizatorii vor solicita Autorităţii certificarea sistemului de colectare online a declaraţiilor de susţinere dacă baza de date a sistemului este stocată într-o locaţie aflată pe teritoriul României.
(4) Organizatorii vor solicita Autorităţii certificarea conformităţii sistemului de colectare online cu 30 de zile înainte de începerea colectării declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească.
Art. 4
(1) Sistemul de colectare online utilizat pentru o iniţiativă cetăţenească ce conţine declaraţii de susţinere din mai multe state membre va fi certificat doar de statul membru în care vor fi stocate datele obţinute prin sistemul de colectare online.
(2) Autoritatea recunoaşte certificatele eliberate de celelalte autorităţi competente din alte state membre.
Art. 5
Organizatorii au responsabilitatea întocmirii planului de securitate al sistemului utilizat şi sunt obligaţi să solicite Autorităţii certificarea sistemului chiar dacă utilizează soluţia software pusă la dispoziţie de către Comisie. În cazul în care software-ul nu este modificat, se va verifica doar siguranţa infrastructurii – aspectele legate de partea hardware, mediul de găzduire etc.
CAPITOLUL III
Sisteme de colectare online
Art. 6
Sistemul de colectare online trebuie să îndeplinească condiţiile tehnice stabilite prin Regulamentul (UE) nr. 211/2011 şi Regulamentul de punere în aplicare (UE) nr. 1.179/2011 al Comisiei din 17 noiembrie 2011 de stabilire a unor specificaţii tehnice pentru sistemele de colectare online în conformitate cu Regulamentul (UE) nr. 211/2011 al Parlamentului European şi al Consiliului privind iniţiativa cetăţenească, astfel încât să fie îndeplinite următoarele cerinţe:
a) formularele de declaraţie de susţinere online pot fi depuse doar de persoanele fizice;
b) datele furnizate online vor fi colectate şi stocate astfel încât să se asigure, printre altele, că acestea nu pot fi modificate sau utilizate în orice alt scop decât cel indicat, şi anume susţinerea unei anumite iniţiative cetăţeneşti, şi vor fi protejate datele cu caracter personal;
c) asigură împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, divulgării neautorizate sau accesului neautorizat;
d) sistemul va genera formulare de declaraţii de susţinere într-o formă care să respecte modelele prevăzute în anexa III la Regulamentul (UE) nr. 211/2011.
Art. 7
Cerinţele minime de securitate pe care trebuie să le îndeplinească sistemul de colectare online a declaraţiilor de susţinere sunt:
a) asigurarea confidenţialităţii şi integrităţii comunicaţiilor electronice;
b) asigurarea securităţii bazei de date şi a integrităţii datelor;
c) asigurarea autenticităţii datelor;
d) asigurarea protecţiei datelor cu caracter personal;
e) detectarea, monitorizarea şi împiedicarea accesului neautorizat în sistem;
f) restaurarea informaţiilor gestionate de sistem în cazul unor calamităţi naturale şi evenimente imprevizibile;
g) gestionarea şi administrarea sistemului informatic;
h) orice alte activităţi sau măsuri tehnice întreprinse pentru operarea în siguranţă a sistemului.
Art. 8
Organizatorul are obligaţia întocmirii unui plan de securitate care va avea următoarea structură:
1. Informaţii de identificare:
a) numele şi prenumele organizatorului sistemului de colectare online a declaraţiilor de susţinere;
b) titlul propunerii de iniţiativă cetăţenească;
c) numărul de înregistrare atribuit de Comisie;
d) statutul operaţional al sistemului de colectare online a declaraţiilor de susţinere;
e) descrierea generală a soluţiei tehnice;
f) locaţia bazei de date a sistemului de colectare online a declaraţiilor de susţinere;
g) datele de contact ale persoanelor responsabile.
2. Senzitivitatea sistemului:
a) norme de siguranţă a informaţiilor;
b) cerinţe funcţionale;
c) securitatea la nivelul aplicaţiei informatice;
d) securitatea bazei de date şi integritatea datelor;
e) siguranţa infrastructurilor – amplasamentul fizic, infrastructura de reţea şi mediul serverului.
Art. 9
Autoritatea, prin personal desemnat, îndeplineşte următoarele atribuţii:
a) verifică dacă sistemul permite depunerea formularelor de declaraţie de susţinere online doar de către persoanele fizice;
b) se asigură că sistemul generează formulare de susţinere conform anexei III la Regulamentul (UE) nr. 211/2011 sau oferă posibilitatea de exportare a declaraţiilor de susţinere într-un format interoperabil, cum ar fi XML;
c) primeşte notificările aferente declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească la adresa de e-mail ice@aadr.ro care funcţionează ca punct unic de contact în relaţia cu organizatorii.