Recentele evoluții ale contextului geo-politic internațional prevestesc investiții semnificative ale statelor în achizițiilor de produse și servicii necesare creșterii capacității de apărare a acestora, inclusiv pe componenta de Cyber Security.
Atacurile cibernetice înregistrate în ultimii ani impun autorităților publice adoptarea de măsuri sporite de securitate, mai ales în situațiile în care acestea sunt depozitarii unor informații sau date a căror compromitere ar conduce la blocarea temporară sau definitivă a unor infrastructuri vitale pentru societate.
De cele mai multe ori, achiziția unor astfel de produse sau servicii presupune ca autoritatea contractantă să permită operatorilor economici furnizori/executanți accesarea unor informații clasificate pe care aceasta le deține. În astfel de cazuri, ne aflăm în prezența unor contracte clasificate, al căror regim juridic este reglementat pe de-o parte de legislația specifică domeniului achizițiilor publice, iar pe de altă parte de legislația în domeniul protecției informațiilor clasificate. Întrucât, până în prezent, acest gen de contracte au reprezentat o specie rară, corelarea termenelor și a procedurilor din cele două tipuri de legislație nu a reprezentat o prioritate pentru statele membre NATO și UE (aflate în situația de a respecta ambele reglementări).
Dacă reglementările naționale și europene în domeniul achizițiilor publice au evoluat permanent, fiind adaptate la noile realități economice, legislația în domeniul informațiilor clasificate nu a cunoscut transformări semnificative în ultimii ani. Inerția acestui domeniu poate fi explicată și prin faptul că statele membre NATO, dar care nu sunt membre UE și, implicit, nu sunt obligate să asigure gradul de transparență a achizițiilor publice cerut la nivel comunitar, nu sunt interesate de modificarea standardelor de protecție a informațiilor clasificate. Trebuie menționat faptul că, la un moment dat, aceste standarde au fost aliniate, astfel încât să asigure un circuit rapid și securizat al diferitelor categorii de informații clasificate care circulă atât în spațiul NATO, cât și în cel comunitar.
Schimbarea standardelor de protecție ar genera cheltuieli suplimentare pentru gestionarii/proprietarii de informații clasificate, fapt pentru care modificările legislative în acest domeniu sunt primite cu reticență de beneficiari. Cu toate acestea, o reformă a termenelor de avizare/certificare poate fi pusă în discuție, în sensul corelării acestora cu cele din domeniul achizițiilor publice.
În România, toate persoanele juridice de drept public sau privat care desfășoară ori solicită să desfășoare activități contractuale ce presupun accesul la informații clasificate trebuie să se conformeze prevederilor capitolului de securitate industrială din Standardele naționale de protecție a informațiilor clasificate în România, aprobate prin HG nr. 585/2002 (denumite în continuare Standarde).
În conformitate cu prevederile art. 206 alin. (3) și art. 213 lit. a) din Standarde, pentru participarea la negocierea sau derularea contractelor clasificate, unitățile respective au obligația de a obține, în prealabil, autorizația, respectiv certificatul de securitate industrială, care sunt eliberate de către Oficiul Registrului Național al Informațiilor Secrete de Stat, în baza avizului de securitate acordat de Autoritatea Desemnată de Securitate (ADS).
Solicitarea de eliberare a autorizației/certificatului de securitate industrială se va trimite Oficiului Registrului Național al Secretelor de Stat, împreună cu chestionarul de securitate industrială, completat în conformitate cu prevederile Anexei nr. 25 la Standarde (pentru autorizație de securitate industrială) și ale Anexelor nr. 26 și 27 (pentru certificate de securitate industrială), care se vor depune în plic închis, odată cu înregistrarea solicitării.
Adresa trebuie însoțită de un document care să ateste participarea la negocierea sau derularea contractului clasificat (invitația de participare la negocierea contractului sau notificarea adjudecării acestuia, cu evidențierea nivelului de clasificare a informațiilor ce vor fi accesate pe timpul derulării contractului). În cazul derulării unui contract clasificat trebuie să fie prezentată și anexa de securitate.
Oficiul Registrului Național al Informațiilor Secrete de Stat va solicita, prin adresă, ADS-ului inițierea verificărilor de securitate în vederea eliberării autorizației/certificatului de securitate industrială necesar negocierii/derulării contractelor clasificate, anexând, în plic sigilat, chestionarul de securitate completat de firma solicitantă și, respectiv, anexa de securitate.
În cadrul evaluării se verifică și dacă persoanele care vor avea acces la informații clasificate, fiind implicate în negocierea/derularea contractului clasificat, dețin autorizații de acces la informații clasificate.
Verificările trebuie să asigure prevenirea accesului persoanelor neautorizate la informații clasificate, în sensul garantării faptului că informațiile clasificate să fie accesate numai de persoanele autorizate, cu respectarea principiului „necesității de a cunoaște“. Totodată, se are în vedere și evaluarea modului de implementare a măsurilor destinate protejării informațiilor clasificate la care vor avea acces în procesul negocierii, respectiv derulării contractului.
Pentru avizarea eliberării autorizației/certificatului de securitate industrială, persoana juridică solicitantă trebuie să îndeplinească următoarele cerințe, prevăzute de art. 218 din Standarde:
-
să posede program de prevenire a scurgerii de informații clasificate, avizat de ADS;
-
să dovedească stabilitate din punct de vedere economic;
-
să nu fi înregistrat o greșeală de management cu implicații grave asupra stării de securitate a informațiilor clasificate pe care le gestionează;
-
să respecte obligațiile de securitate din cadrul contractelor clasificate derulate anterior;
-
personalul implicat în derularea contractului să dețină certificat de securitate de nivel egal celui al informațiilor vehiculate în cadrul contractului clasificat.
Entitatea nu este considerată stabilă din punct de vedere economic, dacă:
-
este în proces de lichidare;
-
este în stare de faliment ori se află în procedura reorganizării judiciare sau a falimentului;
-
este implicată într-un litigiu care îi afectează stabilitatea economică;
-
nu își îndeplinește obligațiile financiare către stat;
-
nu și-a îndeplinit la timp, în mod sistematic, obligațiile financiare către persoane fizice sau juridice.
De asemenea, se evaluează dacă obiectivul industrial nu prezintă riscuri de securitate din punct de vedere al protecției informațiilor clasificate. Sunt considerate riscuri de securitate următoarele:
-
derularea unor activități ce contravin intereselor de siguranță națională sau angajamentelor pe care România și le-a asumat în cadrul acordurilor bilaterale sau multinaționale;
-
relațiile cu persoane fizice sau juridice străine ce ar putea aduce prejudicii intereselor statului român;
-
asociațiile, persoane fizice și juridice, care pot reprezenta factori de risc pentru interesele de stat ale României.
Termenele de verificare sunt, în funcție de nivelul de secretizare al informațiilor la care se solicită acces, cele prevăzute în Standarde:
-
60 de zile lucrătoare pentru verificarea de nivel I – autorizație de securitate;
-
90 de zile lucrătoare pentru verificarea de nivel II – certificat de securitate de nivel secret;
-
120 de zile lucrătoare pentru verificarea de nivel III – certificat de securitate de nivel strict secret;
-
180 de zile lucrătoare pentru verificarea de nivel IV – certificat de securitate de nivel strict secret de importanță deosebită.
În baza avizului, Oficiul Registrului Național al Informațiilor Secrete de Stat emite autorizația/certificatul de securitate industrială.
Termenul de valabilitate al certificatului de securitate industrială este determinat de perioada derulării contractului clasificat, dar nu mai mult de trei ani, după care contractantul este obligat să solicite revalidarea acestuia. Contractul clasificat va putea fi pus în executare numai în condițiile în care ORNISS a emis certificatul de securitate industrială, au fost eliberate certificate de securitate sau autorizații de acces pentru persoanele care, în îndeplinirea sarcinilor ce le revin, necesită acces la informații secrete de stat, iar personalul autorizat al contractantului a fost instruit asupra reglementărilor de securitate industrială de către structura sau funcționarul de securitate și a semnat fișa individuală de pregătire.
Procedura de verificare de securitate pentru avizarea revalidării certificatului de securitate industrială, pentru eliberarea unei noi autorizații de securitate industrială sau a unui nou certificat de securitate industrială se realizează pe baza unor noi chestionare de securitate industrială cu respectarea prevederilor legale.
Dacă apar aspecte ce evidențiază riscuri și amenințări la adresa protecției informațiilor clasificate pe perioada negocierii/derulării contractelor clasificate, ADS poate retrage avizul acordat pentru eliberarea autorizației de securitate industrială.
Retragerea autorizației sau a certificatului de securitate industrială se realizează conform prevederilor art. 235 din Standarde:
-
la solicitarea obiectivului industrial;
-
la propunerea motivată a autorității desemnate de securitate competente;
-
la expirarea termenului de valabilitate;
-
la încetarea contractului;
-
la schimbarea nivelului de certificare acordat inițial.