pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România
CAPITOLUL VII: SECURITATEA INDUSTRIALĂ
SECŢIUNEA 1: Dispoziţii generale
Art. 198
Prevederile prezentului capitol se vor aplica tuturor persoanelor juridice de drept public sau privat care desfăşoară ori solicită să desfăşoare activităţi contractuale ce presupun accesul la informaţii clasificate.
SECŢIUNEA 2: Atribuţiile Oficiului Registrului Naţional al Informaţiilor Secrete de Stat şi ale autorităţilor desemnate de securitate în domeniul protecţiei informaţiilor clasificate care fac obiectul activităţilor contractuale
Art. 199
În domeniul protecţiei informaţiilor clasificate care fac obiectul activităţilor contractuale, ORNISS are următoarele atribuţii:
a) stabileşte strategia de implementare unitară la nivel naţional a măsurilor de protecţie a informaţiilor clasificate care fac obiectul activităţilor contractuale;
b) eliberează autorizaţia şi certificatul de securitate industrială, la cererea persoanelor juridice interesate;
c) gestionează, la nivel naţional, evidenţele privind: persoanele juridice deţinătoare de autorizaţii de securitate industrială; persoanele juridice deţinătoare de certificate de securitate industrială; persoanele fizice care deţin certificate de securitate sau autorizaţii de acces eliberate în scopul negocierii sau executării unui contract clasificat.
Art. 200
În sfera lor de competenţă legală, autorităţile desemnate de securitate au următoarele atribuţii:
a) efectuează verificările de securitate necesare acordării avizului de securitate industrială, pe care îl transmite la ORNISS în vederea eliberării autorizaţiei sau, după caz, a certificatului de securitate industrială;
b) asigură asistenţă de specialitate obiectivelor industriale în vederea implementării standardelor de securitate în domeniul protecţiei informaţiilor clasificate vehiculate în cadrul activităţilor industriale;
c) desfăşoară activităţi de pregătire a personalului cu atribuţii pe linia protecţiei informaţiilor clasificate, vehiculate în cadrul activităţilor industriale;
d) efectuează verificări în situaţiile în care s-au semnalat încălcări ale reglementărilor de protecţie, distrugeri, dispariţii, dezvăluiri neaulorizale de informaţii clasificate, furnizate sau produse în cadrul unui contract clasificat;
e) se asigură că fiecare obiectiv industrial, în cadrul căruia urmează să fie gestionate informaţii clasificate, a desemnat o structură/funcţionar de securitate în vederea exercităm efective a atribuţiilor pe lima protecţiei acestora, în cadrul contractelor clasificate;
f) monitorizează, în condiţiile legii, modul de asigurare a protecţiei informaţiilor clasificate în procesul de negociere şi derulare a contractelor, iar în cazul în care constată factori de risc şi vulnerabilităţi, informează imediat ORNISS şi propune măsurile necesare;
g) avizează programele de prevenire a scurgerii informaţiilor clasificate din obiectivele industriale, anexele de securitate ale contractelor clasificate şi monitorizează respectarea prevederilor acestora;
h) efectuează controale de securitate şi informează ORNISS asupra concluziilor rezultate;
i) verifică şi prezintă ORNISS propuneri de soluţionare a sesizărilor, reclamaţiilor şi observaţiilor referitoare la modul de aplicare şi respectare a standardelor de protecţie în cadrul contractelor clasificate.
SECŢIUNEA 3: Protecţia informaţiilor clasificate care fac obiectul activităţilor contractuale
Art. 201
(1) Clauzele şi procedurile de protecţie vor fi stipulate în anexa de securitate a fiecărui contract clasificat, care presupune acces la informaţii clasificate.
(2) Anexa de securitate prevăzută la alin. (1) va fi întocmită de partea contractantă deţinătoare de informaţii clasificate ce vor fi utilizate în derularea contractului clasificat.
(3) Clauzele şi procedurile de protecţie vor fi supuse, periodic, inspecţiilor şi verificărilor de către autoritatea desemnată de securitate competentă.
Art. 202
Partea contractantă deţinătoare de informaţii clasificate ce vor fi utilizate în derularea unui contract este responsabilă pentru clasificarea şi definirea tuturor componentelor acestuia, în conformitate cu normele în vigoare, sens în care poate solicita sprijin de la ADS, conform competenţelor materiale stabilite prin lege.
Art. 203
La clasificarea contractelor se vor aplica următoarele reguli generale:
a) în toate stadiile de planificare şi execuţie, contractul se clasifică pe niveluri corespunzătoare, în funcţie de conţinutul informaţiilor;
b) clasificările se aplică numai acelor părţi ale contractului care trebuie protejate;
c) când în derularea unui contract se folosesc informaţii din mai multe surse, cu niveluri de clasificare diferite, contractul va fi clasificat în funcţie de nivelul cel mai înalt al informaţiilor, iar măsurile de protecţie vor fi stabilite în mod corespunzător;
d) declasificarea sau trecerea la o altă clasă sau nivel de secretizare a unei informaţii din cadrul contractului se aprobă de conducătorul persoanei juridice care a autorizat clasificarea iniţială.
Art. 204
În cazul în care apare necesitatea protejării informaţiilor dintr-un contract care, anterior, nu a fost necesar a fi clasificat, contractorul are obligaţia declanşării procedurilor de clasificare şi protejare conform reglementărilor în vigoare.
Art. 205
În cazul în care contractantul cedează unui subcontractant realizarea unei părţi din contractul clasificat, se va asigura că acesta deţine autorizaţie sau certificat de securitate industrială şi este obligat să înştiinţeze contractorul, iar la încheierea subcontractului să prevadă clauze şi proceduri de protecţie în conformitate cu prevederile prezentelor standarde.
Art. 206
(1) în procesul de negociere a unui contract clasificat pot participa doar reprezentanţi autorizaţi ai obiectivelor industriale care deţin autorizaţie de securitate industrială eliberată de către ORNISS, care va ţine evidenţa acestora.
(2) Autorizaţiile de securitate industrială se eliberează pentru fiecare contract clasificat în parte.
(3) în cazul în care obiectivul industrial nu deţine autorizaţii de securitate industrială pentru participarea la negocierea acelui contract, este obligatorie iniţierea procedurii de autorizare.
Art. 207
(1) Invitaţiile la licitaţii sau prezentări de oferte, în cazul contractelor clasificate, trebuie să conţină o clauză prin care potenţialul ofertant este obligat să înapoieze documentele clasificate care i-au fost puse la dispoziţie, în cazul în care nu depune oferta până la data stabilită sau nu câştigă competiţia într-un termen precizat de organizator, care să nu depăşească 15 zile de la comunicarea rezultatului.
(2) în situaţiile menţionate la alin. (1), ofertantul care a pierdut licitaţia are obligaţia să păstreze confidenţialitatea informaţiilor la care a avut acces
Art. 208
Contractorul păstrează evidenţa tuturor participanţilor la întâlnirile de negociere, datele de identificare ale acestora şi angajamentele de confidenţialitate, organizaţiile pe care le reprezintă, tipul şi scopul întâlnirilor, precum şi informaţiile la care aceştia au avut acces.
Art. 209
Contractanţii care intenţionează să deruleze activităţi industriale cu subcontractanţi sunt obligaţi să respecte procedurile prevăzute în acest capitol.
Art. 210
Contractantul şi subcontractanţii sunt obligaţi să implementeze şi să respecte toate măsurile de protecţie a informaţiilor clasificate puse la dispoziţie sau care au fost generate pe timpul derulării contractelor.
Art. 211
Autorităţile desemnate de securitate vor verifica, potrivit competenţelor, dacă obiectivul industrial îndeplineşte următoarele cerinţe:
a) posedă structură/funcţionar de securitate responsabilă cu protecţia informaţiilor clasificate care fac obiectul activităţilor contractuale;
b) asigură sprijinul necesar pentru efectuarea inspecţiilor de securitate periodice, pe întreaga durată a contractului clasificat;
c) nu permite diseminarea, fără autorizaţie scrisă din partea emitentului, a nici unei informaţii clasificate ce i-a fost încredinţată în cadrul derulării unui contract clasificat;
d) aprobă accesul la informaţiile vehiculate în cadrul contractului clasificat numai persoanelor care deţin certificat de securitate sau autorizaţie de acces, în conformitate cu principiul necesităţii de a cunoaşte;
e) dispune de posibilităţile necesare pentru a informa asupra oricărei compromiteri, divulgări, distrugeri, sustrageri, sabotaje sau activităţi subversive ori altor riscuri la adresa securităţii informaţiilor clasificate vehiculate sau a persoanelor angajate în derularea contractului respectiv şi orice schimbări privind proprietatea, controlul sau managementul obiectivului industrial cu implicaţii asupra statutului de securitate al acestuia;
f) impune subcontractanţilor obligaţii de securitate similare cu cele aplicate contractantului;
g) nu utilizează în alte scopuri decât cele specifice contractului informaţiile clasificate la care are acces, fără permisiunea scrisă a emitentului;
h) înapoiază toate informaţiile clasificate ce i-au fost încredinţate, precum şi pe cele generate pe timpul derulării contractului, cu excepţia cazului în care asemenea informaţii au fost distruse autorizat sau păstrarea lor a fost autorizată de către contractor pentru o perioadă de timp strict determinată,
i) respectă procedura stabilită pentru protecţia informaţiilor clasificate legate de contract.
Art. 212
După adjudecarea contractului clasificat, contractantul are obligaţia de a informa ORNISS, în vederea iniţierii procedurii de obţinere a certificatului de securitate industrială.
Art. 213
Contractul clasificat va putea fi pus în executare numai în condiţiile în care:
a) ORNISS a emis certificatul de securitate industrială;
b) au fost eliberate certificate de securitate sau autorizaţii de acces pentru persoanele care, în îndeplinirea sarcinilor ce le revin, necesită acces la informaţii secrete de stat;
c) personalul autorizat al contractantului a fost instruit asupra reglementărilor de securitate industrială de către structura/funcţionarul de securitate şi a semnat fişa individuală de pregătire.
SECŢIUNEA 4: Procedura de verificare, avizare şi certificare a obiectivelor industriale care negociază şi derulează contracte clasificate
Art. 214
Verificarea, avizarea şi eliberarea autorizaţiei şi certificatului de securitate industrială reprezintă ansamblul procedural de securitate ce se aplică numai obiectivelor industriale care au sau vor avea acces la informaţii clasificate în cadrul contractelor sau subcontractelor secrete de stat, încheiate cu deţinătorii unor astfel de informaţii.
Art. 215
(1) Pentru participarea la negocieri în vederea încheierii unui contract clasificat, conducătorul obiectivului industrial adresează ORNISS o cerere pentru eliberarea autorizaţiei de securitate industrială – anexa nr. 24, la care anexează chestionarul de securitate industrială – anexa nr. 25.
(2) După obţinerea avizului de la autoritatea desemnată de securitate competentă, ORNISS eliberează autorizaţia de securitate industrială – anexa nr. 28.
(3) Evidenţa autorizaţiilor de securitate industrială eliberate potrivit alin. (2) se realizează conform anexei nr. 31.
Art. 216
(1) Pentru derularea contractelor clasificate, ORNISS eliberează obiectivelor industriale, certificate de securitate industrială – anexa nr.29.
(2) Procedura de avizare a eliberării certificatului de securitate industrială se realizează pe baza cererii pentru eliberarea certificatului de securitate industrială – anexa nr. 30, chestionarului de securitate – anexele nr. 26 şi 27 şi a copiei anexei de securitate menţionată la art. 201.
(3) ORNISS va ţine evidenţa certificatelor de securitate industrială potrivit anexei nr. 32.
Art. 217
Activitatea de verificare în vederea eliberării autorizaţiei şi a certificatelor de securitate trebuie să asigure îndeplinirea următoarelor obiective principale:
a) prevenirea accesului persoanelor neautorizate la informaţii clasificate,
b) garantarea că informaţiile clasificate sunt distribuite pe baza existenţei certificatului de securitate industrială şi a principiului necesităţii de a cunoaşte;
c) identificarea persoanelor care, prin acţiunile lor, pot pune în pericol protecţia informaţiilor clasificate şi interzicerea accesului acestora la astfel de informaţii;
d) garantarea faptului că obiectivele industriale au capacitatea de a proteja informaţiile clasificate în procesul de negociere, respectiv de derulare a contractului.
Art. 218
(1) Pentru a i se elibera autorizaţia şi certificatul de securitate, obiectivul industrial trebuie să îndeplinească următoarele cerinţe:
a) să posede program de prevenire a scurgerii de informaţii clasificate, avizat conform reglementărilor în vigoare;
b) să fie stabil din punct de vedere economic;
c) să nu fi înregistrat o greşeală de management cu implicaţii grave asupra stării de securitate a informaţiilor clasificate pe care le gestionează;
d) să fi respectat obligaţiile de securitate din cadrul contractelor clasificate derulate anterior;
e) personalul implicat în derularea contractului să deţină certificat de securitate de nivel egal celui al informaţiilor vehiculate în cadrul contractului clasificat.
(2) Neîndeplinirea cerinţelor menţionate la alin. (1), precum şi furnizarea intenţionată a unor informaţii inexacte în completarea chestionarului sau în documentele prezentate în vederea certificăm constituie elemente de incompatibilitate în procesul de eliberare a autorizaţiei sau certificatului de securitate industrială.
Art. 219
Obiectivul industrial nu este considerat stabil din punct de vedere economic dacă:
a) este în proces de lichidare;
b) este în stare de faliment ori se află în procedura reorganizării judiciare sau a falimentului;
c) este implicat într-un litigiu care îi afectează stabilitatea economică;
d) nu îşi îndeplineşte obligaţiile financiare către stat;
e) nu şi-a îndeplinit la timp, în mod sistematic, obligaţiile financiare către persoane fizice sau juridice.
Art. 220
(1) Un obiectiv industrial nu corespunde din punct de vedere al protecţiei informaţiilor clasificate dacă se constată că prezintă riscuri de securitate. (2) Sunt considerate riscuri de securitate
a) derularea unor activităţi ce contravin intereselor de siguranţă naţională sau angajamentelor pe care România şi le-a asumat în cadrul acordurilor bilaterale sau multinaţionale;
b) relaţiile cu persoane fizice sau juridice străine ce ar putea aduce prejudicii intereselor statului român;
c) asociaţiile, persoane fizice şi juridice, care pot reprezenta factori de risc pentru interesele de stat ale României.
Art. 221
(1) Pentru eliberarea autorizaţiei sau certificatului de securitate industrială, solicitantul va transmite la ORNISS următoarele documente:
a) cererea de eliberare a autorizaţiei, respectiv a certificatului de securitate industrială,
b) chestionam! de securitate completat, introdus într-un plic separat, sigilat.
(2) Pentru eliberarea certificatului de securitate industrială, solicitantul va ataşa şi o copie a anexei de securitate.
Art. 222
În termen de 7 zile lucrătoare de la primirea cererii, ORNISS va solicita autorităţii desemnate de securitate competente să efectueze verificările de securitate.
Art. 223
Avizul de securitate eliberat de autoritatea desemnată de securitate competentă trebuie să garanteze că:
a) agentul economic nu prezintă riscuri de securitate;
b) sunt aplicate în mod corespunzător măsurile de securitate fizică, prevăzute de reglementările în vigoare, precum şi normele privind accesul persoanelor la informaţii clasificate;
c) obiectivul industrial este solvabil din punct de vedere financiar,
d) obiectivul industrial nu a fost şi nu este implicat sub nici o formă în activitatea unor organizaţii, asociaţii, mişcări, grupări de persoane străine sau autohtone care au adoptat sau adoptă o politică de sprijinire sau aprobare a comiterii de acte de sabotaj, subversive sau teroriste.
Art. 224
Verificările de securitate se realizează astfel:
a) verificarea de securitate de nivel I – pentru eliberarea avizului necesar autorizaţiei de securitate industrială;
b) verificarea de securitate de nivel II – pentru eliberarea avizului necesar certificatului de securitate industrială de nivel secret;
c) verificarea de securitate de nivel III – pentru eliberarea avizului necesar certificatului de securitate industrială de nivel strict secret;
d) verificarea de securitate de nivel IV – pentru eliberarea avizului necesar certificatului de securitate industrială de nivel strict secret de importanţă deosebită.
Art. 225
În cadrul verificării de securitate se desfăşoară următoarele activităţi:
(1) Pentru verificările de securitate de nivel I:
a) verificarea corectitudinii datelor consemnate în chestionarul de securitate industrială, conform anexei nr. 25;
b) verificarea modului de aplicare a prevederilor programului de prevenire a scurgerii de informaţii clasificate;
c) evaluarea statutului de securitate a fiecărei persoane cu putere de decizie – asociaţi/acţionari, administratori, persoanele din comitetul director şi structura de securitate – ori executivă implicată în negocierea contractului clasificat;
d) verificarea datelor minime referitoare la bonitatea şi stabilitatea economică a obiectivului industrial -domeniu şi obiect de activitate, statut juridic, acţionari, garanţii bancare.
(2) Pentru verificările de securitate de nivel II:
a) verificarea corectitudinii dalelor consemnate în chestionarul de securitate industrială – anexa nr. 26;
b) evaluarea statutului de securitate a fiecărei persoane cu putere de decizie – asociaţi/acţionari, administratori, persoanele din comitetul director şi structura de securitate – ori executivă implicată în derularea contractului clasificat;
c) verificarea unor date minime referitoare la bonitatea şi stabilitatea economică a obiectivului industrial – domeniu şi obiect de activitate, statut juridic, acţionari, garanţii bancare;
d) verificarea modului de implementare şi de aplicare a normelor şi măsurilor de securitate fizică, de securitate a personalului şi a documentelor, prevăzute pentru nivelul secret.
(3) Pentru verificarea de securitate de nivel III:
a) verificarea corectitudinii datelor consemnate în chestionarul de securitate industrială – anexa nr. 27;
b) evaluarea statutului de securitate a fiecărei persoane cu putere de decizie – asociaţi/acţionari, administratori, persoanele din comitetul director şi structura de securitate – ori executivă implicată în derularea contractului clasificat, precum şi a celor desemnate să participe la activităţile de negociere a acestuia;
c) verificarea datelor referitoare la bonitatea şi stabilitatea economică a agentului economic -domeniu şi obiect de activitate, statut juridic, acţionari, garanţii bancare – incluzând şi aspecte referitoare la sucursale, filiale, firme la care este asociat, date financiare;
d) verificarea existenţei autorizării sistemului informatic şi de comunicaţii propriu, pentru nivelul strict secret;
e) verificarea modului de implementare şi de aplicare a normelor şi măsurilor de securitate fizică, de securitate a personalului şi a documentelor, prevăzute pentru nivelul strict secret,
f) discuţii cu proprietarii, membrii consiliului director, funcţionarii de securitate, angajaţii, în vederea clarificării datelor rezultate din chestionar, după caz.
(4) Pentru verificarea de securitate de nivel IV:
a) verificarea corectitudinii datelor consemnate în chestionarul de securitate industrială – anexa nr. 27;
b) evaluarea statutului de securitate a fiecărei persoane cu putere de decizie – asociaţi/acţionari, administratori, persoanele din comitetul director şi structura de securitate – ori executivă implicată în derularea contractului clasificat;
c) verificarea informaţiilor detaliate referitoare la bonitatea şi stabilitatea economică a agentului economic – domeniu şi obiect de activitate, statut juridic, acţionari, garanţii bancare – incluzând şi aspecte referitoare la sucursale, filiale, firme la care este asociat, date financiare;
d) verificarea existenţei autorizării sistemului informatic şi de comunicaţii propriu, pentru nivel strict secret de importanţă deosebită;
e) verificarea modului de implementare şi de aplicare a normelor şi măsurilor de securitate fizică, de securitate a personalului şi a documentelor, prevăzute pentru nivelul strict secret de importanţă deosebită;
f) discuţii cu proprietarii, membrii consiliului director, funcţionarii de securitate, angajaţii, în vederea clarificării datelor rezultate din chestionar, după caz.
Art. 226
În cazul unui obiectiv industrial la al cărui management/acţionariat participă cetăţeni străini, cetăţeni români care au şi cetăţenia altui stat sau/şi persoane apatride, ORNISS, împreună cu ADS competentă, va evalua măsura în care interesul străin ar putea reprezenta o ameninţare la adresa protecţiei informaţiilor secrete de stat, care vor fi încredinţate acelui obiectiv industrial.
Art. 227
Îîn îndeplinirea sarcinilor şi obiectivelor ce le revin, pe linia protecţiei informaţiilor clasificate, ADS competente cooperează pe baza protocoalelor ce vor fi încheiate între ele cu avizul ORNISS.
Art. 228
În vederea desfăşurării procedurilor de avizare, obiectivul industrial are obligaţia de a permite accesul reprezentanţilor ADS în sediile, la echipamentele, operaţiunile şi la alte activităţi, respectiv de a prezenta documentele necesare şi de a furniza, la cerere, alte date şi informaţii.
Art. 229
(1) Dacă în urma verificării de securitate se constată că sunt îndeplinite cerinţele de securitate necesare asigurării protecţiei la nivelul de clasificare corespunzător informaţiilor vehiculate în cadrul contractului clasificat, ORNISS eliberează şi transmite obiectivului industrial autorizaţia sau certificatul de securitate industrială.
(2) Dacă se constată că obiectivul industrial nu îndeplineşte condiţiile de securitate necesare, ORNISS nu eliberează autorizaţia sau certificatul de securitate industrială şi informează obiectivul industrial în acest sens. ORNISS nu este obligat să prezinte motivele refuzului. Refuzul eliberării autorizaţiei sau certificatului de securitate industrială va fi comunicat şi la ADS care a efectuat verificările de securitate.
(3) Când sunt semnalate elemente care nu constituie riscuri, dar sunt relevante din punct de vedere al securităţii, în luarea deciziei de eliberare a autorizaţiei sau certificatului de securitate industrială vor avea prioritate interesele de securitate.
Art. 230
În termen de 7 zile lucrătoare de la primirea avizului de securitate din partea autorităţilor desemnate de securitate, ORNISS va elibera autorizaţia sau certificatul de securitate industrială ori, după caz, va comunica obiectivului industrial refuzul eliberării acestora.
Art. 231
Obiectivul industrial are obligaţia de a comunica ORNISS toate modificările survenite privind datele de securitate incluse în chestionarul completat, pe întreaga durată de valabilitate a autorizaţiei sau certificatului de securitate industrială.
Art. 232
Termenele pentru eliberarea autorizaţiei sau certificatului de securitate industrială sunt:
a) pentru autorizaţia de securitate industrială – 60 de zile lucrătoare;
b) pentru certificat de securitate industrială de nivel secret – 90 de zile lucrătoare;
c) pentru certificat de securitate industrială de nivel strict secret – 120 de zile lucrătoare;
d) pentru certificat de securitate industrială de nivel strict secret de importanţă deosebită – 180 de zile lucrătoare.
Art. 233
(1) Autorizaţia de securitate are valabilitate până la încheierea contractului sau până la retragerea de la negocieri.
(2) Dacă în perioada menţionată la alin. (1) contractul clasificat care a făcut obiectul negocierilor este adjudecat, contractantul este obligat să solicite la ORNISS eliberarea certificatului de securitate industrială.
(3) Termenul de valabilitate al certificatului de securitate industrială este determinat de perioada derulării contractului clasificat, dar nu mai mult de 3 ani, după care contractantul este obligat să solicite revalidarea acestuia.
Art. 234
În situaţia în care ORNISS decide retragerea autorizaţiei sau certificatului de securitate industrială va înştiinţa contractantul, contractorul şi autoritatea desemnată de securitate competentă.
Art. 235
Autorizaţia sau certificatul de securitate industrială se retrage de ORNISS în următoarele cazuri:
a) la solicitarea obiectivului industrial;
b) la propunerea motivată a autorităţii desemnate de securitate competente;
c) la expirarea termenului de valabilitate,
d) la încetarea contractului;
e) la schimbarea nivelului de certificare acordat iniţial.
Sursa: ORNISS