ANEXĂ - NORME METODOLOGICE. - Ordinul MSI nr. 141/2014 - aprobarea Normelor metodologice privind elementele tehnice şi de securitate ale sistemului de colectare online a declaraţiilor de susţinere a propunerilor de iniţiativă cetăţenească

(1) Prezentele norme metodologice stabilesc elementele tehnice și de securitate ale sistemului de colectare online a declarațiilor de susținere a propunerilor de inițiativă cetățenească, conform Regulamentului (UE) nr. 211/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 privind inițiativa cetățenească, cu modificările ulterioare, denumit în continuare Regulamentul (UE) nr. 211/2011.

(2) Normele metodologice vizează declarațiile de susținere a propunerilor de inițiativă cetățenească colectate printr-un sistem de colectare online, a cărui bază de date este stocată într-o locație aflată pe teritoriul României.

(1) În înțelesul prezentelor norme metodologice, termenii utilizați au următoarele definiții:

a)inițiativă cetățenească - inițiativa prezentată Comisiei Europene (Comisia) în conformitate cu Regulamentul (UE) nr. 211/2011, prin care Comisia este invitată să prezinte, în limitele atribuțiilor sale, orice propunere corespunzătoare privind chestiuni pentru care cetățenii consideră că este necesar un act juridic al Uniunii Europene în vederea punerii în aplicare a tratatelor, care a fost susținută de cel puțin un milion de semnatari eligibili provenind din cel puțin un sfert din toate statele membre;

b)semnatar - cetățean al Uniunii Europene care a sprijinit o anumită inițiativă cetățenească prin completarea unui formular de declarație de susținere a inițiativei respective;

c)organizator - persoana fizică ce formează un comitet al cetățenilor responsabil de pregătirea unei inițiative cetățenești și de prezentarea acesteia Comisiei;

d)sistem de colectare online - sistem informațional constând în programe, echipamente, mediu de găzduire, procese operaționale și personal, destinat colectării online a declarațiilor de susținere;

e)plan de securitate - documentul ce descrie totalitatea măsurilor tehnice și administrative care sunt luate de către organizator pentru utilizarea în condiții de siguranță a sistemului de colectare online a declarațiilor de susținere;

f)certificat de confirmare a conformității - documentul semnat de autoritatea națională responsabilă care certifică faptul că sistemul de colectare online a declarațiilor de susținere este conform cu dispozițiile relevante din Regulamentul (UE) nr. 211/2011.

(2) În înțelesul prezentelor norme metodologice, abrevierile utilizate au următoarele semnificații:

a) MSI - Ministerul pentru Societatea Informațională;

b) AADR - Agenția pentru Agenda Digitală a României;

c) ISACA - Information Systems audit and Control Association (organizație care acordă certificări de securitate informatică);

d) CISA - Certified Information Systems Auditor (tip de certificare pentru auditorul de sisteme informatice, acordat de ISACA);

e) XML - Extensible Markup Language.

(1) Autoritatea națională responsabilă (Autoritatea) pentru eliberarea certificatelor de confirmare a conformității sistemelor de colectare online a declarațiilor de susținere a propunerilor de inițiativă cetățenească este MSI.

(2) Autoritatea își exercită atribuțiile de certificare a conformității sistemelor de colectare online a declarațiilor de susținere a propunerilor de inițiativă cetățenească prin intermediul AADR.

(3) Organizatorii vor solicita Autorității certificarea sistemului de colectare online a declarațiilor de susținere dacă baza de date a sistemului este stocată într-o locație aflată pe teritoriul României.

(4) Organizatorii vor solicita Autorității certificarea conformității sistemului de colectare online cu 30 de zile înainte de începerea colectării declarațiilor de susținere a propunerilor de inițiativă cetățenească.

(1) Sistemul de colectare online utilizat pentru o inițiativă cetățenească ce conține declarații de susținere din mai multe state membre va fi certificat doar de statul membru în care vor fi stocate datele obținute prin sistemul de colectare online.

(2) Autoritatea recunoaște certificatele eliberate de celelalte autorități competente din alte state membre.

Organizatorii au responsabilitatea întocmirii planului de securitate al sistemului utilizat și sunt obligați să solicite Autorității certificarea sistemului chiar dacă utilizează soluția software pusă la dispoziție de către Comisie. În cazul în care software-ul nu este modificat, se va verifica doar siguranța infrastructurii - aspectele legate de partea hardware, mediul de găzduire etc.

Sistemul de colectare online trebuie să îndeplinească condițiile tehnice stabilite prin Regulamentul (UE) nr. 211/2011 și Regulamentul de punere în aplicare (UE) nr. 1.179/2011 al Comisiei din 17 noiembrie 2011 de stabilire a unor specificații tehnice pentru sistemele de colectare online în conformitate cu Regulamentul (UE) nr. 211/2011 al Parlamentului European și al Consiliului privind inițiativa cetățenească, astfel încât să fie îndeplinite următoarele cerințe:

a) formularele de declarație de susținere online pot fi depuse doar de persoanele fizice;

b) datele furnizate online vor fi colectate și stocate astfel încât să se asigure, printre altele, că acestea nu pot fi modificate sau utilizate în orice alt scop decât cel indicat, și anume susținerea unei anumite inițiative cetățenești, și vor fi protejate datele cu caracter personal;

c) asigură împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, divulgării neautorizate sau accesului neautorizat;

d) sistemul va genera formulare de declarații de susținere într-o formă care să respecte modelele prevăzute în anexa III la Regulamentul (UE) nr. 211/2011.

Cerințele minime de securitate pe care trebuie să le îndeplinească sistemul de colectare online a declarațiilor de susținere sunt:

a) asigurarea confidențialității și integrității comunicațiilor electronice;

b) asigurarea securității bazei de date și a integrității datelor;

c) asigurarea autenticității datelor;

d) asigurarea protecției datelor cu caracter personal;

e) detectarea, monitorizarea și împiedicarea accesului neautorizat în sistem;

f) restaurarea informațiilor gestionate de sistem în cazul unor calamități naturale și evenimente imprevizibile;

g) gestionarea și administrarea sistemului informatic;

h) orice alte activități sau măsuri tehnice întreprinse pentru operarea în siguranță a sistemului.

Organizatorul are obligația întocmirii unui plan de securitate care va avea următoarea structură:

1. Informații de identificare:

a) numele și prenumele organizatorului sistemului de colectare online a declarațiilor de susținere;

b) titlul propunerii de inițiativă cetățenească;

c) numărul de înregistrare atribuit de Comisie;

d) statutul operațional al sistemului de colectare online a declarațiilor de susținere;

e) descrierea generală a soluției tehnice;

f) locația bazei de date a sistemului de colectare online a declarațiilor de susținere;

g) datele de contact ale persoanelor responsabile.

2. Senzitivitatea sistemului:

a) norme de siguranță a informațiilor;

b) cerințe funcționale;

c) securitatea la nivelul aplicației informatice;

d) securitatea bazei de date și integritatea datelor;

e) siguranța infrastructurilor - amplasamentul fizic, infrastructura de rețea și mediul serverului.

Autoritatea, prin personal desemnat, îndeplinește următoarele atribuții:

a) verifică dacă sistemul permite depunerea formularelor de declarație de susținere online doar de către persoanele fizice;

b) se asigură că sistemul generează formulare de susținere conform anexei III la Regulamentul (UE) nr. 211/2011 sau oferă posibilitatea de exportare a declarațiilor de susținere într-un format interoperabil, cum ar fi XML;

c) primește notificările aferente declarațiilor de susținere a propunerilor de inițiativă cetățenească la adresa de e-mail ice@aadr.ro care funcționează ca punct unic de contact în relația cu organizatorii.

Autoritatea eliberează, în urma verificării respectării condițiilor de la art. 6, un certificat de confirmare a conformității sistemelor de colectare online a declarațiilor de susținere a propunerilor de inițiativă cetățenească (anexa nr. 2), conform modelului prezentat în anexa IV la Regulamentul (UE) nr. 211/2011.

Un sistem poate fi certificat doar pentru o singură inițiativă cetățenească. În cazul în care organizatorii doresc să utilizeze același sistem pentru o nouă inițiativă, ei au obligația de a-și certifica sistemul încă o dată pentru această inițiativă.

Documentele necesare pentru certificarea sistemului utilizat sunt:

a) cererea adresată în acest scop Autorității (anexa nr. 1);

b) dovada calității de operator de date cu caracter personal;

c) copie de pe înregistrarea propunerii de inițiativă cetățenească în registrul Comisiei;

d) descrierea funcțională a sistemului informatic;

e) planul de securitate al sistemului informatic, semnat de către organizator;

f) opinia de audit asupra planului de securitate prevăzut la art. 8 și a soluției informatice prin intermediul căreia este oferit sistemul de colectare online a declarațiilor de susținere;

g) o declarație în care este exprimată independența auditorului față de sistemul informatic auditat.

(1) Opinia de audit prevăzută la art. 12 lit. f) va fi întocmită de către o persoană certificată ca auditor de sisteme informatice (auditor). În procesul de auditare, auditorul poate solicita concursul unor experți.

(2) La cererea expresă a Autorității, precum și în cazul opiniilor de audit exprimate cu rezerve, organizatorul va pune la dispoziție raportul de audit rezultat în urma auditării sistemului.

(3) Documentele enumerate la art. 12 vor fi întocmite într-un singur exemplar, în limba română.

(4) În cazul în care se constată îndeplinirea condițiilor legale, Autoritatea eliberează un certificat de confirmare a conformității sistemului de colectare online a declarațiilor de susținere în termen de 30 de zile de la data la care organizatorii inițiativei cetățenești au solicitat certificarea sistemului și au prezentat toate documentele necesare pentru certificarea acestuia.

(1) După eliberarea certificatului de confirmare a conformității, în termen de 3 zile calendaristice, Autoritatea va remite organizatorului un exemplar al certificatului (anexa 2), în conformitate cu anexa nr. IV la Regulamentul (UE) nr. 211/2011.

(2) Certificatul de confirmare a conformității este valabil pe o perioadă de 12 luni de la data emiterii sale.

(3) Certificatul de confirmare a conformității eliberat nu este transmisibil.

Instituțiile desemnate vor duce la îndeplinire aceste norme și vor aduce la cunoștința părților interesate conținutul prezentelor norme metodologice prin respectarea prevederilor principiului european al transparenței decizionale.

(1) Prezentele norme metodologice vor intra în vigoare în termen de 15 zile de la data publicării în Monitorul Oficial al României, Partea I.

(2) Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

Anexele nr. 1-2 fac parte integrantă din prezentele norme metodologice.