ORDIN
Nr. 160 din 6 februarie 2006
pentru aprobarea
Normelor-cadru privind securitatea informatiilor UE clasificate
ACT EMIS DE:
OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 175 din 23 februarie 2006
In temeiul art. II din Legea nr.
343/2005 pentru modificarea şi
completarea Ordonanţei de
urgenţă a Guvernului nr.
153/2002 privind organizarea şi
funcţionarea Oficiului
Registrului Naţional al
Informaţiilor Secrete de Stat,
directorul general al Oficiului
Registrului Naţional
al Informaţiilor
Secrete de Stat emite prezentul ordin.
Art. 1. - Se aprobă Normele-cadru privind securitatea informaţiilor UE clasificate, prevăzute în anexa care face parte integrantă din prezentul ordin.
Art. 2. - Conţinutul normelor-cadru prevăzute la art. 1 va fi revizuit periodic, în
vederea armonizării reglementărilor naţionale cu normele europene şi euroatlantice în domeniu.
Directorul general al Oficiului
Registrului Naţional al
Informaţiilor Secrete de Stat,
Marius Petrescu
ANEXĂ
NORM E-CADRU privind securitatea
informaţiilor UE
clasificate
CAPITOLUL I
Dispoziţii generale
Art. 1. - Securitatea informaţiilor UE clasificate reprezintă ansamblul
procedurilor şi măsurilor de protecţie a informaţiilor
clasificate, menite să prevină şi să contracareze
situaţiile care pot genera
compromiterea informaţiilor
clasificate, în scopul asigurării
integrităţii, confidenţialităţii şi disponibilităţii acestora.
Art. 2. - (1) Securitatea informaţiilor UE clasificate cuprinde măsuri pentru:
a) clasificarea informaţiilor;
b) marcarea documentelor;
c) editarea documentelor;
d) gestionarea informaţiilor;
e) controlul fluxului informaţiilor clasificate de nivel CONFIDENTIEL UE
şi superior;
f) funcţionarea Sistemului Naţional de Registre (SNR);
g) soluţionarea incidentelor de securitate şi a abaterilor de la reglementările de securitate.
(2) Măsurile de securitate a informaţiilor UE clasificate se completează cu măsuri de
securitate a personalului, fizică şi INFOSEC.
Art. 3. - In sensul prezentelor
norme, termenii şi expresiile
de mai jos au următorul înţeles:
a) informaţie UE clasificată - orice
informaţie, a cărei dezvăluire neautorizată
poate aduce prejudicii de diverse grade intereselor UE ori unuia sau mai multor
state membre, indiferent dacă
aceste informaţii sunt emise
în cadrul UE ori provin de la statele membre, state terţe sau organizaţii internaţionale;
b) document UE clasificat - orice
suport fizic pe care au fost scrise, imprimate sau înregistrate informaţii UE clasificate, cum ar fi: scrisoare,
notă, proces-verbal, raport,
memorandum, mesaj, schiţă,
fotografie, diapozitiv, film, hartă, tabel, plan, agendă, şablon, hârtie de
indigo, ribon de maşină de scris sau de imprimantă, bandă, casetă, dischetă, CD, CD-ROM;
c) material UE clasificat - orice
document UE clasificat, precum şi orice componentă
de echipament sau armă,
fabricată ori aflată în curs de fabricaţie;
d) informaţie UE sensibilă - orice
informaţie UE clasificată de nivel CONFIDENTIEL UE şi superior;
e) document UE clasificat
sensibil - orice document UE clasificat care conţine informaţii UE
sensibile;
f) gestionarea informaţiilor UE clasificate - totalitatea activităţilor de înregistrare, distribuire, transmitere, multiplicare,
traducere, realizare de extrase, distrugere, stocare, păstrare şi inventariere a informaţiilor clasificate;
g) Sistemul Naţional de Registre (SNR) - cadrul organizat în care sunt gestionate la nivel naţional informaţii UE clasificate şi
în care se asigură controlul
fluxului informaţiilor UE
sensibile;
h) componentă a Sistemului Naţional de Registre (CSNR) - structură
responsabilă cu gestionarea
informaţiilor UE clasificate şi cu controlul fluxului informaţiilor UE sensibile la nivel instituţional sau departamental;
i) controlul fluxului informaţiilor UE sensibile - activitatea de notificare a datelor de identificare a informaţiilor UE sensibile între CSNR şi de verificare a modului de desfăşurare a acestei activităţi, astfel încât să se cunoască în orice moment locul în care se află o astfel de informaţie;
j) integritatea informaţiei UE clasificate - calitatea unei informaţii UE clasificate de a nu fi fost alterată, modificată sau
distrusă printr-o modalitate
neautorizată;
k) confidenţialitatea informaţiei UE clasificate - caracteristica informaţiei UE clasificate de a nu fi dezvăluită persoanelor
sau entităţilor neautorizate;
I) disponibilitatea informaţiei UE clasificate - proprietatea informaţiei UE clasificate de a fi accesibilă şi folosită, când este necesar, de orice persoană sau entitate autorizată.
CAPITOLUL II
Dispoziţii speciale
1. Clasificarea informaţiilor
Art. 4. - Nivelurile de clasificare
se atribuie informaţiilor UE
în funcţie de prejudiciile ce
pot fi aduse prin divulgare neautorizată şi indică măsurile de securitate care trebuie aplicate pentru protecţia acestora în conformitate cu prevederile
prezentului ordin.
Art. 5. - Nivelurile de clasificare
utilizate pentru informaţiile
UE clasificate sunt următoarele:
a) TRES SECRET UE/EU TOP SECRET:
nivel de clasificare ce se aplică numai informaţiilor
şi materialelor a căror divulgare neautorizată ar putea determina prejudicii extrem de
grave la adresa intereselor esenţiale ale UE sau ale unuia ori mai multor state membre UE;
b) SECRET UE: nivel de clasificare
ce se aplică numai informaţiilor şi materialelor a căror
divulgare neautorizată ar
putea genera prejudicii grave la adresa intereselor esenţiale ale UE sau ale unuia ori mai multor
state membre UE;
c) CONFIDENTIEL UE: nivel de
clasificare ce se aplică informaţiilor şi materialelor a căror
divulgare neautorizată ar
putea provoca prejudicii intereselor esenţiale ale UE sau ale unuia ori mai multor state membre UE;
d) RESTREINT UE: nivel de
clasificare ce se aplică informaţiilor şi materialelor a căror
divulgare neautorizată poate
fi în defavoarea intereselor UE sau ale unuia ori mai multor state membre UE.
Art. 6. - (1) Informaţiile UE inscripţionate cu codul/marcajul LIMITE reprezintă informaţii care,
deşi nu intră în categoria informaţiilor UE clasificate, nu sunt destinate
publicului şi trebuie
protejate împotriva dezvăluirii
neautorizate prin măsuri de
securitate stabilite la nivel instituţional, în conformitate cu procedurile elaborate de Oficiul
Registrului Naţional al
Informaţiilor Secrete de Stat,
denumit în continuare O.R.N.I.S.S.
(2) Informaţiile UE LIMITE devin publice din dispoziţia emitentului şi se regăsesc, de
regulă, în registrul public al
UE.
Art. 7. - In conformitate cu
prevederile aranjamentelor de securitate dintre O.R.N.I.S.S., Oficiul de
Securitate al Secretariatului General al Consiliului Uniunii Europene şi
Direcţia de Securitate a Comisiei Europene pentru protecţia informaţiilor clasificate schimbate între România şi Uniunea Europeană,
echivalenţa marcajelor şi nivelurilor de clasificare este următoarea:
|
ROMÂNIA
|
UE
|
|
SECRET DE SERVICIU
|
RESTREINT UE
|
|
SECRET
|
CONFIDENTIEL UE
|
|
STRICT SECRET
|
SECRET UE
|
|
STRICT SECRET DE IMPORTANŢĂ DEOSEBITĂ
|
EU TOP SECRETTRES SECRET UE
|
Art. 8. - (1) Responsabilitatea
încadrării informaţiei într-un nivel de clasificare revine
emitentului.
(2) Nivelul de clasificare se
atribuie doar atunci când este necesar şi se menţine doar
pe perioada cât informaţia
trebuie protejată.
Art. 9. - (1) Documentul care conţine informaţii naţionale
clasificate emise de instituţiile
din România şi destinat UE
este document naţional şi se editează, se clasifică, se
marchează şi se gestionează în conformitate cu legislaţia naţională care reglementează protecţia acestor categorii de informaţii; un asemenea document se inscripţionează cu menţiunea ROMANIA, urmată de nivelul de clasificare naţional şi, între paranteze, de nivelul de clasificare UE echivalent.
Exemplu:
ROMANIA - SECRET DE SERVICIU
(RESTREINT UE)
(2) Instituţiile din România pot edita documente UE
clasificate destinate UE, indiferent dacă acestea conţin şi informaţii naţionale
clasificate, atunci când sunt impuse reguli în acest sens de către structurile UE.
Art. 10. - (1) Paginile,
paragrafele, anexele şi alte
tipuri de ataşamente ale
documentelor UE clasificate pot primi niveluri diferite de clasificare pentru a
facilita diseminarea ulterioară a secţiunilor
corespunzătoare.
(2) Nivelul de clasificare al unui
document va fi cel puţin acelaşi cu al secţiunii cu cel mai ridicat nivel de clasificare.
Art. 11. - (1) Documentul rezultat
din cumularea neprelucrată a
informaţiilor extrase din mai
multe documente UE clasificate sau cel rezultat în urma unei activităţi de analiză-sinteză a acestora
poate necesita o clasificare superioară faţă de oricare
dintre documentele/secţiunile
care au stat la baza redactării
sale.
(2) Documentele care înglobează informaţii clasificate atât naţionale, cât şi UE
se editează ca un document naţional şi trebuie să conţină marcajele de securitate ale documentului UE de referinţă.
Art. 12. - (1) Adresa de însoţire a documentelor UE clasificate se
marchează cu nivelul de
clasificare al informaţiilor
pe care aceasta le conţine,
nivel stabilit de către
emitent.
(2) In situaţia în care o adresă primeşte nivelul de clasificare al documentelor UE clasificate pe care le
însoţeşte, emitentul acesteia trebuie să specifice nivelul de clasificare pe care
îl va avea după ce este
separată de documentele în
cauză.
1.1. Subclasificarea şi supraclasificarea
Art. 13. - (1) Subclasificarea reprezintă acordarea în mod eronat a unui nivel de
clasificare inferior datorită subestimării prejudiciului care poate fi cauzat
prin divulgarea sau diseminarea neautorizată a unei informaţii
UE clasificate.
(2) Supraclasificarea reprezintă acordarea în mod eronat a unui nivel
superior de clasificare datorită supraestimării
prejudiciului care poate fi cauzat prin divulgarea sau diseminarea neautorizată a unei informaţii UE clasificate, fapt ce poate duce la pierderea încrederii în
sistemul de clasificare.
(3) In scopul evitării subclasificării sau supraclasificării informaţiilor şi materialelor UE, se impune acordarea
unei atenţii sporite în
procesul încadrării acestora
într-un nivel de clasificare.
(4) Cazurile de posibilă supra- ori subclasificare se aduc la cunoştinţă emitentului de către
beneficiarul informaţiei UE
clasificate.
1.2. Scăderea nivelului de clasificare şi declasificarea
Art. 14. - Nivelul de clasificare
al unei informaţii UE
clasificate poate fi scăzut
numai de emitent sau cu acceptul acestuia.
Art. 15. - Scăderea nivelului de clasificare al unei
informaţii UE clasificate se
aduce imediat la cunoştinţă tuturor deţinătorilor acesteia
de către emitent, direct sau
prin intermediul expeditorilor subsecvenţi, după caz.
Art. 16. - Prin declasificare se
înţelege anularea nivelului de
clasificare al unei informaţii
UE clasificate şi scoaterea ei
de sub incidenţa tuturor
reglementărilor privind protecţia informaţiilor UE clasificate.
Art. 17. - (1) Emitentul unei
informaţii UE clasificate
trebuie să indice, pe cât
posibil, un termen după
expirarea căruia informaţia poate fi declasificată sau i se poate scădea nivelul de clasificare.
(2) In cazul în care nu există nici o indicaţie în acest sens, informaţiile UE clasificate trebuie reanalizate de către emitent la fiecare 5 ani, pentru a
stabili dacă mai este necesară menţinerea nivelului de clasificare atribuit iniţial.
2. Marcarea documentelor
Art. 18. - Toate documentele care
conţin informaţii UE clasificate sunt marcate cu nivelul
de clasificare atribuit de emitent, precum şi cu alte marcaje suplimentare.
Art. 19. - Marcajele nivelurilor de
clasificare se vor aplica astfel:
a) pe documentele RESTREINT UE,
prin mijloace mecanice sau electronice;
b) pe documentele CONFIDENTIEL
UE, prin mijloace mecanice, olograf sau prin folosirea de preimprimate
tipizate;
c) pe documentele SECRET UE şi TRES SECRET UE/EU TOP SECRET, prin
mijloace mecanice sau olograf.
Art. 20. - Marcajul
„UE"/„EU" aplicat pe document/ material semnifică faptul că informaţiile conţinute sunt proprietatea UE şi trebuie protejate corespunzător.
Art. 21. - (1) Documentelor care
conţin informaţii UE clasificate li se pot aplica marcaje
suplimentare de către emitent
care pot indica domeniul la care se referă acestea sau modul de diseminare al lor pe baza principiului „nevoia
de a cunoaşte", în scopul
limitării numărului persoanelor care îl pot accesa (de
exemplu: ESDP/PESD - marcaj care se aplică pe documentele referitoare la politica de securitate şi apărare a UE sau a unuia ori mai multor state membre sau referitoare la
managementul crizelor militare şi non-militare).
(2) Documentele transmise la UE vor
fi inscripţionate şi cu menţiunea RELEASEBLE TO EU.
3. Editarea documentelor
Art. 22. - In procesul de editare a
documentelor UE clasificate se impun următoarele:
a) aplicarea nivelului de
clasificare în partea de sus şi
de jos, central, a fiecărei
pagini;
b) numerotarea fiecărei pagini cu numărul curent urmat de numărul total de pagini;
c) aplicarea numărului de înregistrare; pentru documentele
SECRET UE şi cu nivel de
clasificare superior numărul
de înregistrare se aplică pe
fiecare pagină;
d) înscrierea numărului de exemplar/copie pe prima pagină a documentului;
e) menţionarea anexelor pe prima pagină a documentelor UE sensibile.
4. Gestionarea informaţiilor. Controlul fluxului informaţiilor UE sensibile
Art. 23. - (1) Gestionarea informaţiilor UE clasificate şi controlul fluxului informaţiilor UE sensibile se realizează exclusiv în cadrul SNR.
(2) Gestionarea informaţiilor UE clasificate se realizează de către persoane anume desemnate de conducătorul instituţiei şi care deţin certificare de securitate corespunzătoare nivelului de clasificare al informaţiilor manipulate.
(3) Persoanele prevăzute la alin. (2) asigură şi activităţile
specifice referitoare la controlul fluxului informaţiilor UE sensibile.
(4) Informaţiile UE clasificate se gestionează separat de alte informaţii clasificate.
Art. 24. - Activitatea de
gestionare a documentelor UE clasificate cuprinde: înregistrarea, distribuirea,
transmiterea, multiplicarea, traducerea, realizarea de extrase, distrugerea,
stocarea, păstrarea şi inventarierea.
Art. 25. - Inregistrarea este
activitatea de înscriere a elementelor de identificare a informaţiilor UE clasificate în registre de evidenţă şi inscripţionarea
pe documentele UE clasificate a numărului de înregistrare atribuit la nivelul CSNR.
Art. 26. - Registrele de evidenţă se organizează pe suport hârtie şi/sau
în format electronic, pentru fiecare nivel de clasificare al informaţiilor UE, astfel încât, împreună cu celelalte formulare necesare în
activitatea de gestionare, să asigure
controlul circulaţiei la nivel
instituţional sau
departamental a documentelor UE sensibile şi o evidenţă a
documentelor RESTREINT UE în perioada în care acestea se află în gestiunea componentelor SNR.
Art. 27. - Distribuirea constă în activitatea de repartizare a informaţiilor UE clasificate, în conformitate cu
principiul „nevoia de a cunoaşte",
pentru a fi consultate sau prelucrate de către persoanele autorizate aflate în evidenţa unei CSNR.
Art. 28. - (1) Destinatarii iniţiali ai unei informaţii UE clasificate trebuie indicaţi de către emitent.
(2) Distribuirea informaţiilor TRES SECRET UE/EU TOP SECRET se
realizează de către ofiţerul de control TRES SECRET UE/EU TOP SECRET ori de un adjunct al
acestuia, In situaţia în care
destinatarul unui document TRES SECRET UE/EU TOP SECRET nu este specificat,
numai ofiţerul de control TRES
SECRET UE/EU TOP SECRET poate deschide plicul şi poate confirma primirea documentului.
(3) Informaţiile UE sensibile se distribuie pe bază de semnătură.
Art. 29. - In cazul în care pentru
informaţiile clasificate de
nivel UE SECRET sau inferior emitentul a impus restricţii privind diseminarea, acestea pot fi redistribuite doar cu acordul
emitentului.
Art. 30. - (1) Transmiterea între
două CSNR a documentelor UE
clasificate se realizează în
conformitate cu prevederile legale care reglementează această activitate
şi presupune:
a) împachetarea pentru transmitere
a documentelor UE clasificate;
b) transportul documentelor UE
clasificate la CSNR destinatară prin curieri autorizaţi potrivit legii;
c) predarea-primirea documentelor
UE clasificate în condiţii de
siguranţă în spaţii special destinate acestui scop;
d) verificarea corespondenţei în prezenţa curierului prin controlul stării sigiliilor, al integrităţii ambalajelor, al corectitudinii adreselor/borderourilor care însoţesc documentele propriu-zise, al concordanţei dintre datele înscrise pe adresă/borderou şi cele de pe plic şi
verificarea după desigilarea şi desfacerea plicurilor/coletelor a
înscrisurilor de pe documentele propriu-zise.
(2) Documentele SECRET UE şi de nivel superior circulă între două CSNR însoţite de
borderoul de confirmare a primirii.
Art. 31. - (1) Multiplicarea sau
traducerea documentelor TRES SECRET UE/EU TOP SECRET se realizează cu aprobarea emitentului.
(2) Măsurile de securitate stabilite pentru documentul original se aplică în mod corespunzător copiilor, traducerilor şi extraselor.
Art. 32. - Distrugerea documentelor
UE clasificate se face prin tocare, incinerare sau topire, astfel încât informaţia să nu poată fi reconstituită.
Art. 33. - (1) Documentele perimate
sau în exces se distrug cu avizul conducătorului instituţiei,
aplicându-se proceduri corespunzătoare nivelurilor de clasificare.
(2) Pentru distrugerea
documentelor UE clasificate nu este necesară o dispoziţie
expresă din partea emitetului.
(3) In cadrul fiecărei instituţii se elaborează
pentru situaţii de urgenţă planuri de distrugere şi/sau evacuare a documentelor UE
clasificate, în funcţie de
condiţiile specifice.
Art. 34. - In scopul reducerii spaţiilor necesare pentru păstrarea informaţiilor UE clasificate pe o perioadă mai îndelungată,
acestea se pot stoca pe diferite medii (microfilm, suport electromagnetic etc),
respectându-se următoarele
reguli generale:
a) procesul de stocare se
realizează de către persoane autorizate care deţin certificare de securitate corespunzătoare nivelului de clasificare al informaţiilor stocate;
b) mediul de stocare va primi
nivelul de clasificare al documentelor originale;
c) microfilmarea, înregistrarea şi scanarea documentelor TRES SECRET UE/EU
TOP SECRET trebuie aduse la cunoştinţă emitentului;
d) un mediu de stocare va putea
conţine informaţii din documente sensibile originale doar
dacă documentele în cauză au acelaşi nivel de clasificare;
e) orice mediu de stocare care conţine informaţii SECRET UE sau TRES SECRET UE/EU TOP SECRET trebuie specificat în
toate rapoartele de inventariere;
f) documentele originale se
distrug imediat după operaţiunea de stocare.
Art. 35. - Documentele UE clasificate,
pe suport hârtie sau alte medii de stocare, se păstrează în încăperi speciale de securitate, conform
prevederilor Ordinului directorului general al O.R.N.I.S.S. nr. 475/2005
privind aprobarea Cerinţelor
minime de securitate fizică
pentru încăperile speciale de
securitate destinate protecţiei
informaţiilor NATO clasificate
şi a celor echivalente,
potrivit legii şi, dacă dimensiunile permit, se introduc
bibliorafturi, dosare, casete etc.
Art. 36. - (1) Inventarierea reprezintă activitatea de verificare a existenţei documentelor UE clasificate.
(2) Inventarierea se efectuează pentru toate documentele UE sensibile
intrate în gestiune, pe baza registrelor şi formularelor de evidenţă.
(3) Cu ocazia inventarierii se pot
stabili documentele UE clasificate care pot fi distruse, declasificate sau cărora li se poate scădea nivelul de clasificare.
(4) Inventarierea se efectuează ori de câte ori este necesar, însă cel puţin o dată pe an.
Art. 37. - Un document UE
clasificat sensibil se consideră inventariat în una dintre următoarele situaţii:
a) există fizic;
b) există dovada transmiterii acestuia către altă CSNR;
c) există un proces-verbal de distrugere;
d) există o dispoziţie de
declasificare ori de scădere a
nivelului de clasificare.
Art. 38. - Pentru gestionarea
materialelor clasificate, altele decât documentele, se vor aplica în mod
corespunzător prevederile art.
24-37.
Art. 39. - Gestionarea informaţiilor UE clasificate şi controlul fluxului informaţiilor UE sensibile se detaliază printr-o procedură elaborată de O.R.N.I.S.S.
Art. 40. - La nivelul fiecărei CSNR se desemnează un şef al componentei, care va coordona activitatea şi va răspunde de îndeplinirea atribuţiilor ce revin acesteia conform reglementărilor în vigoare.
Art. 41. - (1) Modul de gestionare
a informaţiilor UE clasificate
la nivelul unei CSNR se supune, pe parcursul unui an calendaristic, unor inspecţii de securitate astfel:
a) cel puţin o inspecţie
externă efectuată de:
(i) O.R.N.I.S.S.;
(ii) structura de securitate a autorităţii desemnate de
securitate (ADS) competente; (iii)
personalul CSNR ierarhic superioare, în
colaborare cu structura de
securitate a acesteia; (iv) structurile de specialitate ale UE;
b) inspecţii interne efectuate periodic de structura
de securitate/funcţionarul de
securitate.
(2) La nivelul fiecărei CSNR se ţine evidenţa inspecţiilor de securitate, cu consemnarea
rezultatelor acestora.
5. Sistemul Naţional de Registre (SNR)
Art. 42. - (1) Informaţiile UE clasificate se transmit numai
instituţiilor care au
implementat măsurile de
securitate pentru protecţia
acestora şi în cadrul cărora funcţionează o CSNR
autorizată de O.R.N.I.S.S.
(2) Acreditarea unei CSNR se
efectuează, la solicitarea
instituţiei îndreptăţite, în baza procedurii elaborate de
O.R.N.I.S.S. şi se finalizează prin eliberarea autorizaţiei de funcţionare.
Art. 43. - CSNR pot funcţiona sub una dintre următoarele forme de organizare:
a) Registrul Central: reprezintă componenta principală a SNR, constituită numai în cadrul O.R.N.I.S.S., care
coordonează la nivel naţional activitatea de gestionare a informaţiilor UE clasificate, controlează fluxul informaţiilor UE sensibile şi asigură
transmiterea la CSNR subordonate a informaţiilor primite de la Registrul Extern;
b) Registrul Extern: reprezintă componenta SNR din exteriorul ţării, subordonată Registrului Central. Impreună cu Registrul Central formează principalul canal pentru schimbul de documente clasificate între
România şi UE;
c) Registrul Intern: se
organizează în cadrul unei
instituţii, este subordonat
direct Registrului Central şi
asigură gestionarea informaţiilor UE clasificate şi controlul fluxului informaţiilor UE sensibile la nivelul tuturor CSNR
din subordine;
d) Subregistrul: răspunde de gestionarea informaţiilor UE clasificate la nivel instituţional sau departamental şi se poate subordona nemijlocit
Registrului Central, unui Registru Intern sau unui alt Subregistru;
e) Punctul de lucru: răspunde de gestionarea informaţiilor UE clasificate la nivelul structurii
în care funcţionează şi nu are alte componente în subordine. Punctul de lucru poate fi
subordonat nemijlocit Registrului Central, Registrului Extern, unui Registru
Intern sau unui Subregistru.
5.1. Atribuţiile CSNR
Art. 44. - Registrul Central are
următoarele atribuţii generale:
a) acţionează ca
principală autoritate de
primire şi distribuire a
documentelor clasificate schimbate între România şi UE;
b) coordonează gestionarea la nivel naţional a informaţiilor UE clasificate în cadrul SNR;
c) controlează la nivel naţional fluxul informaţiilor UE sensibile în cadrul SNR;
d) coordonează şi controlează
activitatea CSNR;
e) asigură aplicarea unitară a reglementărilor
privind protecţia informaţiilor UE clasificate la nivelul tuturor
CSNR;
f) ţine evidenţa
tuturor CSNR;
g) transmite la Registrul Extern
documentele naţionale
clasificate, destinate structurilor UE, elaborate de O.R.N.I.S.S. sau primite
în acest scop de la alte CSNR;
h) participă la inspecţiile de securitate, organizate sau planificate de O.R.N.I.S.S. pe
problematica gestionării
informaţiilor UE clasificate,
la CSNR din subordinea nemijlocită sau la cele coordonate metodologic de Registrul Extern;
i) centralizează rezultatele inventarierii anuale a documentelor
UE clasificate aflate în evidenţa proprie sau a celorlalte CSNR, prin intermediul componentelor din
subordinea nemijlocită;
j) comunică Secretariatului General al Consiliului UE, prin intermediul
Registrului Extern, rezultatele inventarierii anuale a tuturor informaţiilor TRES SECRET UE/EU TOP SECRET primite
de România;
k) colaborează cu structurile competente în vederea
asigurării activităţii de curierat extern pentru documentele
UE clasificate.
Art. 45. - Registrul Extern are următoarele atribuţii generale:
a) gestionează informaţiile UE clasificate primite, controlează circuitul documentelor la nivelul Misiunii Permanente a României pe
lângă Uniunea Europeană,transmite la Registrul Central
documentele UE clasificate primite şi poate transmite la alte CSNR, prin reţelele informatice securizate, informaţii UE clasificate, cu informarea Registrului Central;
b) coordonează metodologic toate subregistrele externe
organizate pentru gestionarea informaţiilor UE clasificate;
c) transmite structurilor UE
documentele naţionale
clasificate primite de la alte CSNR;
d) transmite către Registrul Central, lunar sau la
solicitarea acestuia, rapoarte privind informaţiile UE clasificate gestionate;
e) aplică în cadrul structurii proprii procedurile specifice elaborate de
O.R.N.I.S.S.;
f) centralizează şi transmite la Registrul Central rezultatele inventarierii anuale a
documentelor proprii şi a
celor gestionate de CSNR, pe care le are în subordine sau în coordonare
metodologică;
g) întocmeşte şi actualizează
lista cu persoanele din cadrul structurii pe care o deserveşte, care au acces la informaţii clasificate;
h) ţine evidenţa
tuturor CSNR aflate în subordine sau în coordonare metodologică;
i) poate participa la inspecţiile de securitate privind gestionarea
informaţiilor UE clasificate
la CSNR din subordine, precum şi la cele aflate în coordonare metodologică;
j) acordă sprijin structurii de securitate în derularea activităţilor de pregătire şi instruire a
personalului din structurile pe care le deserveşte şi din cele
deservite de CSNR subordonate;
k) cooperează cu registrele care funcţionează în cadrul structurilor UE sau în cadrul reprezentanţelor statelor membre ale UE;
l) transmite la Registrul Central
listele primite de la componentele subordonate sau coordonate metodologic, care
conţin datele de identificare
a informaţiilor UE sensibile
primite de către acestea;
m) comunică Secretariatului General al Consiliului UE rezultatele inventarierii
anuale a tuturor informaţiilor
TRES SECRET UE/EU TOP SECRET primite de România.
Art. 46. - Registrul Intern are următoarele atribuţii generale:
a) gestionează informaţiile UE clasificate primite şi asigură fluxul
informaţional către CSNR subordonate, cu respectarea
nivelului de clasificare pentru care acestea au fost autorizate;
b) controlează fluxul informaţiilor UE sensibile la nivelul CSNR din subordine;
c) transmite operativ la Registrul
Central numărul total de
documente RESTREINT UE şi
datele de identificare a informaţiilor UE sensibile primite la nivelul instituţiei, care nu provin direct de la acesta;
d) transmite documentele naţionale clasificate la Registrul Central în
vederea expedierii lor către
structurile
UE, în cazul în care nu dispune de
o linie directă de comunicaţie;
e) poate transmite informaţii UE clasificate de nivel SECRET UE şi inferior către CSNR din alte instituţii, cu respectarea principiului „nevoia de a cunoaşte", informând despre aceasta
Registrul Central;
f) aplică în cadrul structurii proprii procedurile specifice elaborate de
O.R.N.I.S.S. şi urmăreşte aplicarea acestora la CSNR subordonate;
g) ţine evidenţa
tuturor CSNR aflate în subordine, coordonează şi controlează activitatea acestora;
h) centralizează şi transmite la Registrul Central rezultatele inventarierii anuale a
documentelor UE clasificate din gestiunea proprie şi din gestiunile tuturor CSNR din subordine;
i) întocmeşte şi actualizează lista cu persoanele autorizate să aibă acces la informaţii
UE clasificate din cadrul structurilor instituţionale deservite;
j) participă la inspecţii de securitate pe problematica gestionării informaţiilor
UE clasificate, desfăşurate la
CSNR din subordinea nemijlocită, poate participa la cele desfăşurate la alte CSNR din subordine şi asigură, împreună cu structura de securitate, centralizarea
rezultatelor inspecţiilor de
securitate şi transmiterea lor
la O.R.N.I.S.S.;
k) acordă sprijin structurii de securitate în derularea activităţilor de pregătire şi instruire a
personalului din structurile pe care le deserveşte şi din cele
deservite de CSNR subordonate.
Art. 47. - Subregistrul are următoarele atribuţii generale:
a) gestionează informaţiile UE clasificate primite şi asigură fluxul
informaţional către CSNR subordonate, cu respectarea
nivelului de clasificare pentru care acestea au fost autorizate;
b) controlează fluxul informaţiilor UE sensibile la nivelul CSNR din subordine;
c) transmite operativ la
componenta ierarhic superioară numărul total de documente
RESTREINT UE şi datele de
identificare a informaţiilor
UE sensibile care nu au fost primite de la aceasta;
d) transmite operativ la
componenta care o coordonează metodologic
numărul total de documente
RESTREINT UE şi datele de
identificare a informaţiilor
UE sensibile care nu au fost primite de la aceasta;
e) poate transmite informaţii UE clasificate de nivel SECRET UE şi inferioare către alte CSNR din propria instituţie, cu respectarea principiului „nevoia de a cunoaşte" şi cu avizul Registrului Intern;
f) poate transmite informaţii UE clasificate de nivel SECRET UE şi inferior către CSNR din alte instituţii, cu respectarea principiului „nevoia de a cunoaşte" şi cu avizul Registrului Intern, informând pe cale ierarhică despre aceasta Registrul Central;
g) transmite la CSNR ierarhic
superioară documentele naţionale clasificate destinate UE, în
vederea expedierii lor, în situaţia în care nu dispune de o linie de comunicaţie directă;
h) aplică în cadrul structurii proprii procedurile specifice elaborate de către O.R.N.I.S.S. şi urmăreşte aplicarea acestora la CSNR subordonate;
i) ţine evidenţa
tuturor CSNR aflate în subordine, coordonează şi controlează activitatea acestora;
j) centralizează şi transmite la componenta ierarhic superioară şi/sau la cea care o coordonează metodologic rezultatul inventarierii anuale a documentelor UE
clasificate din gestiunea proprie şi din gestiunile CSNR subordonate;
k) întocmeşte şi actualizează lista cu persoanele autorizate să aibă acces la informaţii
UE clasificate din cadrul structurilor instituţionale deservite;
l) poate participa la inspecţii de securitate pe problematica gestionării informaţiilor UE clasificate, desfăşurate la CSNR din subordine, şi asigură, împreună cu structura de securitate şi Registrul Intern căruia i se subordonează, centralizarea rezultatelor inspecţiilor de securitate şi transmiterea lor la O.R.N.I.S.S.;
m) acordă sprijin structurii de securitate în derularea activităţilor de pregătire şi instruire a
personalului din structurile pe care le deserveşte şi din cele
deservite de CSNR subordonate.
Art. 48. - Subregistrele din afara ţării se supun prezentelor norme-cadru,
corelate, după caz, cu normele
interne ale structurii UE în care funcţionează.
Art. 49. - Punctul de lucru are următoarele atribuţii generale:
a) gestionează informaţiile UE clasificate primite;
b) poate transmite informaţii UE clasificate de nivel SECRET UE şi inferior către alte CSNR din propria instituţie, cu respectarea principiului „nevoia de a cunoaşte" şi cu aprobarea Registrului Intern, înştiinţând despre
aceasta CSNR ierarhic superioară;
c) poate transmite informaţii UE clasificate de nivel SECRET UE şi inferior către CSNR din alte instituţii, cu respectarea principiului „nevoia de a cunoaşte" şi cu avizul Registrului Intern, informând pe cale ierarhică despre aceasta Registrul Central;
d) transmite la CSNR ierarhic
superioară documentele naţionale clasificate destinate UE, în
vederea transmiterii lor, în situaţia în care nu dispune de o linie de comunicaţie directă;
e) transmite operativ la CSNR
ierarhic superioară numărul total de documente RESTREINT UE şi datele de identificare a informaţiilor UE sensibile, care nu au fost
primite de la aceasta;
f) centralizează şi transmite la componenta ierarhic superioară rezultatul inventarierii anuale a
documentelor UE clasificate din gestiunea proprie;
g) întocmeşte şi actualizează lista cu persoanele autorizate să aibă acces la informaţii
UE clasificate din cadrul structurilor instituţionale deservite;
h) aplică în cadrul structurii proprii procedurile specifice elaborate de
O.R.N.I.S.S.
Art. 50. - Compartimentele speciale
(CS) care, potrivit legii, gestionează informaţii naţionale clasificate, pot gestiona informaţii UE clasificate numai după ce au fost autorizate de O.R.N.I.S.S.,
devenind CSNR.
5.2. Reacreditarea şi desfiinţarea unei CSNR
Art. 51. - (1) Atunci când intervin
modificări ale condiţiilor în baza cărora a fost eliberată autorizaţia de
funcţionare, CSNR trebuie
reacreditată conform
procedurii elaborate de O.R.N.I.S.S., menţionată la art. 42
alin. (2).
(2) Desfiinţarea unei CSNR are loc atunci când nu se
mai justifică funcţionarea ei şi se face conform procedurii menţionate la art. 42 alin. (2).
Art. 52. - Fiecare instituţie păstrează, prin
intermediul Registrului Intern, evidenţa la zi a tuturor acreditărilor, reacreditărilor
şi desfiinţărilor CSNR din sfera lor de competenţă.
5.3. CSNR TRES SECRET UE/EU
TOP SECRET
Art. 53. - (1) Gestionarea şi controlul informaţiilor TRES SECRET UE/EU TOP SECRET se
realizează prin CSNR TRES
SECRET UE/EU TOP SECRET.
(2) O CSNR TRES SECRET UE/EU TOP
SECRET poate gestiona şi
informaţii UE clasificate de
nivel inferior.
Art. 54. - (1) In cadrul
O.R.N.I.S.S. funcţionează Registrul Central pentru TRES SECRET
UE/EU TOP SECRET, care activează ca principală
autoritate de primire, distribuire şi transmitere a documentelor de acest nivel schimbate între UE şi România.
(2) CSNR TRES SECRET UE/EU TOP
SECRET se pot înfiinţa la
nivelul autorităţilor publice
centrale şi funcţionează ca organisme responsabile pentru păstrarea registrelor şi formularelor prin care se asigură controlul fluxului şi al circulaţiei
interne pentru fiecare document TRES SECRET UE/EU TOP SECRET aflat în evidenţa lor.
Art. 55. - (1) Indiferent de forma
de organizare a unei CSNR TRES SECRET UE/EU TOP SECRET, şeful instituţiei va numi un ofiţer
de control TRES SECRET UE/EU TOP SECRET (OCTS), care este şi şeful acestei componente.
(2) Şeful instituţiei
poate numi şi un adjunct al
OCTS (AOCTS), care preia responsabilităţile şi sarcinile
OCTS pe perioada în care acesta nu îşi poate exercita atribuţiile.
Art. 56. - OCTS răspunde de îndeplinirea următoarelor sarcini pe linia protecţiei informaţiilor TRES SECRET UE/EU TOP SECRET:
a) protecţia fizică a tuturor
informaţiilor clasificate TRES
SECRET UE/EU TOP SECRET păstrate
în CSNR;
b) păstrarea unei evidenţe la zi a documentelor TRES SECRET UE/EU TOP SECRET primite de către CSNR;
c) păstrarea evidenţei
la zi a tuturor CSNR cu care este autorizat să schimbe informaţii
clasificate TRES SECRET UE/EU TOP SECRET, inclusiv numele OCTS, AOCTS şi specimenele de semnătură ale acestora;
d) păstrarea de evidenţe
nominale, la zi, privind persoanele din cadrul structurilor deservite de
acesta, autorizate să aibă acces la informaţiile clasificate TRES SECRET UE/EU TOP SECRET;
e) distribuirea şi transmiterea de documente clasificate
TRES SECRET UE/EU TOP SECRET numai beneficiarilor autorizaţi să aibă acces la
informaţii clasificate de
acest nivel;
f) întocmirea, verificarea existenţei şi păstrarea
documentelor justificative (registre de evidenţă, condici, borderouri, fişe de consultare, procese-verbale de distrugere etc.) pentru toate
documentele clasificate TRES SECRET UE/EU TOP SECRET distribuite ori transmise;
g) restituirea la Registrul
Central TRES SECRET UE/EU TOP SECRET a informaţiilor TRES SECRET UE/EU TOP SECRET, atunci când ele nu mai sunt
necesare, sau distrugerea acestora;
h) orice alte sarcini care decurg
din atribuţiile CSNR.
6. Incidente de securitate
Art. 57. - (1) Incidentul de
securitate reprezintă
orice acţiune sau inacţiune contrară reglementărilor de
securitate, ale cărei consecinţe au determinat ori sunt de natură să determine compromiterea informaţiilor clasificate.
(2) Informaţia UE clasificată se consideră
compromisă atunci când îşi pierde integritatea, confidenţialitatea sau disponibilitatea.
(3) Cercetarea incidentelor de
securitate se realizează sub
coordonarea O.R.N.I.S.S.
Art. 58. - (1) Abaterea de la
reglementările de securitate
reprezintă o încălcare a reglementărilor de securitate care nu conduce la o compromitere a informaţiei clasificate.
(2) Implicaţiile unei abateri de la reglementările de securitate sunt analizate,
investigate şi soluţionate de structura/funcţionarul de securitate din cadrul instituţiei în care aceasta a avut loc.
Art. 59. - Orice incident de
securitate care implică informaţii UE clasificate, indiferent de nivelul
de clasificare al acestora, se raportează la O.R.N.I.S.S. de către structura/funcţionarul
de securitate din instituţia
în care s-a produs compromiterea informaţiilor.
Art. 60. - Raportarea incidentului
de securitate trebuie să
cuprindă:
a) descrierea informaţiilor UE clasificate compromise, inclusiv
nivelul de clasificare şi alte
marcaje suplimentare, numărul
de înregistrare atribuit de emitent, numărul de înregistrare atribuit de CSNR, numărul de exemplare/copii, data emiterii, emitentul, subiectul la
care se referă,
persoana sau compartimentul care
Ie-a gestionat, scopul pentru care a fost primit documentul;
b) o scurtă prezentare a împrejurărilor în care a avut loc compromiterea,
inclusiv data constatării,
perioada în care informaţiile
au fost expuse compromiterii, persoanele neautorizate care au avut sau ar fi
putut avea acces la acestea, dacă sunt cunoscute;
c) precizări cu privire la eventuala informare a
emitentului.
Art. 61. - (1) Fiecare incident de
securitate raportat la O.R.N.I.S.S. este cercetat de o comisie formată din persoane cu experienţă în investigaţii şi, dacă este cazul, în contraspionaj; între
membrii comisiei şi persoanele
susceptibile de provocarea incidentului de securitate nu trebuie să existe relaţii care să afecteze
derularea cercetării.
(2) Comisia de cercetare a
incidentului de securitate se stabileşte de instituţiile
abilitate prin lege, la solicitarea O.R.N.I.S.S.
Art. 62. - (1) Comisia de cercetare
a incidentului de securitate trebuie să întreprindă următoarele:
a) să stabilească dacă informaţiile UE clasificate au fost compromise;
b) să stabilească
circumstanţele exacte în care
s-a petrecut incidentul;
c) să identifice toate persoanele neautorizate care au avut sau ar fi
putut avea acces la informaţiile
UE compromise;
d) să verifice dacă
persoanele respective prezintă suficientă
încredere şi loialitate,
astfel încât rezultatul compromiterii să nu creeze prejudicii;
e) să evalueze gravitatea prejudiciului produs în urma compromiterii
informaţiilor UE clasificate;
f) să dispună măsuri pentru diminuarea cât mai mult
posibil a consecinţelor
compromiterii;
g) să dispună măsuri de prevenire a repetării incidentului.
(2) Comisia va transmite la
O.R.N.I.S.S. raportul cu rezultatele cercetării în termen de 80 de zile de la declanşarea investigaţiilor.
Art. 63. - (1) In cazul
compromiterii unei informaţii
UE sensibile, O.R.N.I.S.S. înştiinţează Oficiul de Securitate al Secretariatului General al Consiliului
Uniunii Europene (GSCSO) sau Direcţia de Securitate a Comisiei Europene (ECSD), după caz.
(2) Inştiinţarea
GSCSO/ECSD cu privire la compromiterea informaţiilor RESTREINT UE se impune doar atunci când incidentul prezintă aspecte ieşite din comun şi/sau
când se apreciază că în urma acestuia a rezultat un prejudiciu
real pentru Uniunea Europeană
ori pentru unul sau mai multe dintre statele membre ale acesteia (acţiuni de spionaj, dezvăluiri în mass-media etc).
(3) Dacă este posibil, O.R.N.I.S.S. informează simultan si emitentul informaţiei.
Art. 64. - Inştiinţarea va conţine următoarele elemente:
a) descrierea informaţiilor compromise, indicându-se nivelul de
clasificare şi alte marcaje
suplimentare, numărul de
înregistrare atribuit de emitent, numărul de exemplare/copii, data emiterii, emitentul, subiectul la care
se referă şi scopul pentru care a fost primit
documentul;
b) o descriere succintă a circumstanţelor în care s-a produs compromiterea, care va cuprinde: data
constatării, perioada în care
informaţia a fost supusă compromiterii şi, dacă sunt
cunoscute, numărul şi/sau categoria persoanelor neautorizate
care au sau ar fi putut avea acces la informaţiile UE compromise;
c) concluziile rezultate din
evaluarea gravităţii
prejudiciului creat de compromiterea informaţiilor UE respective;
d) precizări în legătură cu informarea emitentului.
Art. 65. - In decurs de 90 de zile
de la data înştiinţării, O.R.N.I.S.S. va prezenta la
GSCSO/ECSD un raport final cu concluziile rezultate în urma cercetării efectuate şi măsurile întreprinse
pentru a preîntâmpina repetarea incidentului.
Art. 66. - In situaţia în care primeşte de la GSCSO/ECSD o înştiinţare privind
compromiterea unei informaţii
naţionale clasificate,
O.R.N.I.S.S. va întreprinde următoarele măsuri:
a) informarea imediată a Consiliului Suprem de Apărare a Ţării în cazul compromiterii unei informaţii de nivel STRICT SECRET DE IMPORTANŢĂ DEOSEBITĂ sau
STRICT SECRET;
b) înştiinţarea
emitentului informaţiei naţionale clasificate despre compromiterea
acesteia;
c) înştiinţarea instituţiilor abilitate prin lege despre
producerea incidentului, astfel încât acestea să poată acţiona în conformitate cu prevederile
reglementărilor naţionale referitoare la incidentele de
securitate.
CAPITOLUL III
Dispoziţii finale
Art. 67. - Instituţiile care gestionează informaţii UE clasificate au obligaţia de a elabora norme interne pentru aplicarea prezentelor
norme-cadru.
Art. 68. - Nerespectarea reglementărilor stabilite de O.R.N.I.S.S. în
domeniul protecţiei informaţiilor UE clasificate atrage răspunderea contravenţională sau penală, în
condiţiile legii.