Când „cel mai mic preț” pentru echipamentele de securitate costă cel mai mult…despre conformitate, riscuri și responsabilitate…

Sunt consultant în securitate cu peste trei decenii de experiență în sectorul privat, suficient timp cât să văd nu doar cum evoluează amenințările, ci și cum persistă anumite erori. De-a lungul carierei am îmbrățișat și roluri de Lead auditor și Lead implementer pentru standarde precum ISO 9001 și ISO/IEC 27001, domenii în care rigurozitatea nu este negociabilă, chiar dacă uneori este ignorată cu nonșalanță. În prezent coordonez activitatea de formare profesională la RQM Certification, principalul furnizor din România pentru instruirea în domeniul securității private. Aici, contribui la dezvoltarea de standarde ocupaționale și programe de formare care încearcă, pe cât posibil, să aducă un plus de coerență și profesionalism într-un domeniu care, ironic, se ocupă tocmai cu prevenirea haosului.

Predau, structurez conținut, ghidez profesioniști, dar mai ales învăț constant din realitățile din teren. De-a lungul timpului am colaborat cu autorități, integratori de sisteme, evaluatori de risc și conducători de instituții publice. Am văzut cum deciziile tehnice aparent banale, de genul „mergem pe varianta mai ieftină”, pot deveni, peste noapte, vulnerabilități majore. Nu din rea-voință, ci adesea din necunoaștere sau dintr-o încredere disproporționată în furnizori care promit mult și livrează… conform propriilor standarde. Uneori, realitatea ne reamintește că între „a instala un sistem” și „a construi securitate” este o diferență de câteva certificate. Sau de câteva minute fatale, atunci când sistemul nu funcționează.

Am scris acest articol din respect pentru participanții la cursurile organizate de RQM Certification, și pentru toți cei care înțeleg că securitatea nu este o formalitate, ci o responsabilitate vitală. Este un mesaj adresat autorităților de reglementare, autorităților contractante, specialiștilor din domeniul securității, conducătorilor de instituții publice și antreprenorilor, tocmai pentru că problema tratată aici, cerința legală privind certificarea echipamentelor de securitate, este deseori ignorată sau interpretată superficial.

Adevărul este simplu: respectarea cerinței prevăzute în Anexa 7, Art. 7 din “HG nr. 301/2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor“, nu este opțională și nu este negociabilă. Echipamentele de securitate utilizate în sistemele de securitate, trebuie să fie “certificate de laboratoare acreditate într-un stat membru al Uniunii Europene sau al Spaţiului Economic European”. Este o condiție menită să protejeze oameni, infrastructuri și informații împotriva riscurilor reale, nu un obstacol birocratic.

În capitolele acestui articol, voi analiza această cerință din perspective tehnice, legislative și operaționale; voi explica diferența critică dintre o simplă declarație de conformitate și un certificat emis de un laborator acreditat, și voi ilustra, prin cazuri concrete, riscurile semnificative generate de ignorarea acestei obligații. La final, veți găsi recomandări punctuale și aplicabile pentru fiecare actor implicat în ecosistemul securității: autorități contractante, instalatori și proiectanți, dar și pentru specialiștii din Poliția Română implicați în avizarea tehnică a proiectelor. Pentru că asigurarea securității nu este doar o alegere profesională, este un angajament față de societate, iar conformarea cu cerințele legale nu este doar o obligație formală, este primul pas spre protecție reală.

Context legislativ…

Legea-cadru în domeniul securității fizice este “Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor”, care stabilește obligația asigurării măsurilor de securitate pe baza unei analize de risc la securitate fizică. “Hotărârea Guvernului nr. 301/2012″ a aprobat Normele metodologice de aplicare a acestei legi, detaliind cerințele tehnice și organizatorice pentru sistemele de alarmare împotriva efracției. În particular, Anexa 7 a HG 301/2012 cuprinde Normele tehnice privind proiectarea, instalarea, întreținerea și utilizarea sistemelor de alarmă, care aliniază practicile din România la standardele europene în domeniu.

Un element central introdus de HG 301/2012 este obligația utilizării de echipamente conforme cu standardele europene. Articolul 5 alin. (2) din Anexa 7 stipulează că sistemele de alarmare trebuie proiectate cu respectarea standardelor europene și naționale de profil sau a reglementărilor tehnice echivalente din UE/Turcia/SEE. Aceasta înseamnă, de exemplu, că pentru un sistem de alarmă antiefracție se vor avea în vedere standarde din grupa EN 50131 (sisteme de alarmă la efracție și jaf armat), iar pentru un sistem SSV se pot aplica standarde precum cele din grupa EN 62676 (sisteme de supraveghere video utilizate în aplicațiile de securitate) ș.a. Standardele europene asigură un nivel minim de performanță, fiabilitate și siguranță recunoscut la nivel internațional.

Articolul 7, al Anexei 7 din HG 301/2012 introduce o cerință legală explicită și imperativă: „Echipamentele componente utilizate în sistemele de securitate trebuie să fie fabricate conform standardelor europene prevăzute la art. 5 și certificate de laboratoare acreditate într-un stat membru al Uniunii Europene sau al Spațiului Economic European.” Cu alte cuvinte, nu este suficient ca producătorii/importatorii unui detector, o centrală de alarmă, un dispozitiv de avertizare, sau o cameră video să pretindă conformitatea acestora cu un standard; această conformitate trebuie dovedită printr-un certificat emis de un laborator independent acreditat (în UE/SEE), laborator, care a testat produsul respectiv. Această prevedere este obligatorie pentru toate instalațiile de securitate, fiind concepută să elimine de pe piață echipamentele nesigure sau de calitate îndoielnică. În perioada 2012-2017 s-au acordat unele termene de tranziție (prin acte normative subsecvente) pentru conformarea echipamentelor deja instalate, însă în prezent cerința este pe deplin aplicabilă. Nerespectarea normelor metodologice atrage sancțiuni contravenționale conform art. 3 din HG 301/2012, dar mai presus de aspectul sancționator, folosirea de echipamente necertificate subminează însăși securitatea obiectivelor protejate, aspect detaliat în secțiunile următoare. Cadrul legislativ actual impune o abordare calitativă în implementarea măsurilor de securitate: echipamentele trebuie să fie funcționale, și să fie testate și certificate conform unor standarde recunoscute. Pentru instituțiile publice(de la școli și primării până la entități critice), acest lucru se traduce prin necesitatea de a verifica și solicita certificate de conformitate europeană, pentru orice componentă (detectoare de mișcare, controlere de acces, unități de alarmare, camere IP etc.) inclusă în sistemul de securitate.

Declarații de conformitate vs. certificate de la laboratoare acreditate…

O declarație de conformitate UE și un certificat emis de un laborator acreditat reprezintă două documente diferite, adesea confundate, dar cu semnificații și niveluri de rigoare distincte:

Declarația de conformitate (DoC) este un document redactat și emis de producător (sau reprezentantul său autorizat) prin care acesta declară pe propria răspundere că produsul său respectă cerințele esențiale ale directivelor europene aplicabile. De exemplu, un producător de sisteme de alarmă va emite o declarație CE menționând conformitatea cu Directiva privind compatibilitatea electromagnetică 2014/30/UE, cu Directiva RED (pentru echipamente radio) dacă e cazul, cu Directiva privind echipamentele electrice de joasă tensiune 2014/35/UE etc., indicând și standardele (EN) aplicate în verificările interne. Declarația include de regulă aplicarea marcajului “CE” pe produs și semnătura unui responsabil legal al producătorului, asumând conformitatea. Important de reținut: declarația de conformitate este un proces intern, producătorul realizând propriile teste (în laboratoarele proprii sau terțe) și garantând conformitatea, fără o verificare obligatorie de către o terță parte (decât în cazuri specifice cu organisme notificate, în funcție de directivă și categorie de produs).
Certificatul unui laborator acreditat este un document emis de o entitate independentă, un laborator de testare sau un organism de certificare acreditat (de exemplu conform ISO/IEC 17025 sau 17065)care atestă că produsul a fost testat riguros și îndeplinește cerințele unui standard european specific. În domeniul securității anti-efracție, de exemplu, un astfel de certificat poate atesta că un detector volumetric respectă standardul EN 50131-2-2 la Grad 2 de securitate, în urma testelor efectuate de un laborator precum VdS (Germania) sau CNPP (Franța). Certificarea presupune deci evaluare externă, obiectivă, pe baza unor proceduri și criterii standardizate, distincte de testele interne ale producătorului. Un produs certificat va fi însoțit de un certificat sau raport de conformitate emis de laborator, uneori și de listarea produsului pe site-ul organismului de certificare, conferind încredere sporită utilizatorilor și autorităților.

Diferența fundamentală între cele două proceduri constă în nivelul de independență și rigoare al evaluării. Dacă declarația de conformitate este rezultatul unui proces auto-implementat de producător (bazat pe evaluări interne și asumarea proprie a conformității), certificarea de către un laborator acreditat implică o evaluare externă riguroasă realizată de un terț competent. Cu alte cuvinte, în timp ce declarația este unilaterală (producătorul se crede pe cuvânt pe sine însuși, deși în baza unor teste), certificarea adaugă un filtru suplimentar de credibilitate, deoarece un expert independent confirmă performanța și calitatea produsului. Acest lucru oferă o garanție mult mai mare beneficiarilor și autorităților că echipamentul va funcționa conform așteptărilor în condiții reale.

Pentru a ilustra: un producător poate declara că o sirenă de alarmă respectă standardul EN 50131-4 (cerințe pentru dispozitivele de avertizare), însă doar un certificat de la un laborator precum TÜV, VdS sau BSI va demonstra obiectiv că sirena a trecut teste acustice, de anduranță și anti-sabotaj conform acelui standard. În absența unui certificat, există riscul ca declarația producătorului să nu fi acoperit toate aspectele, sau ca produsul să nu fie chiar conform în practică (intenționat sau nu). Legislația (HG 301/2012) a impus certificarea tocmai pentru a elimina această incertitudine: doar produsele care au fost verificate independent îndeplinesc cerința legală și pot fi folosite în sistemele de alarmare din obiectivele protejate.

Este de menționat că există numeroase laboratoare acreditate renumite în Europa care oferă servicii de testare/certificare în domeniul securității: de la VdS și TÜV Rheinland în Germania, la CNPP în Franța, SBSC în Suedia, ICIM în Italia sau Lloyd’s/BRE în Marea Britanie (printre altele). Certificatul emis de oricare dintre acestea (sau de alte organisme acreditate UE/SEE) este recunoscut ca dovadă de conformitate. Prin contrast, o simplă foaie de declarație CE, deși necesară pentru marcajul legal al produsului, nu oferă aceeași garanție de performanță și nu este suficientă pentru a satisface art. 7 din Anexa 7 a HG 301/2012. În practică, autoritățile și evaluatorii de risc vor solicita certificate (sau avize tehnice) atunci când vor să se asigure că un anumit model de echipament de securitate este conform cerințelor. De exemplu, un certificat EN 50131 Grad 3 eliberat de VdS pentru o centrală de alarmă DSC.

În concluzie, declarația de conformitate este un prerechizit legal general (marcaj CE) care asigură că produsul îndeplinește condițiile minime de siguranță electrotehnică și compatibilitate electromagnetică pentru a fi comercializat în UE. Certificatul de laborator acreditat este o verificare suplimentară de calitate și performanță specifică domeniului securității, care atestă că produsul corespunde unui standard de specialitate. HG 301/2012 le cere pe amândouă: echipamentul trebuie să aibă și conformitatea legală de bază, dar și validarea de către un laborator specializat. Doar astfel se poate avea încredere că sistemele de securitate instalate vor funcționa optim în situații critice, minimizând riscurile de eșec.

Analiza riscurilor asociate nerespectării cerinței…

Nerespectarea cerinței legale privind folosirea echipamentelor certificate generează o serie de riscuri semnificative, atât pentru instituțiile beneficiare, cât și pentru firmele instalatoare sau factorii avizatori. O analiză de risc adecvată trebuie să țină cont de următoarele aspecte negative ce decurg din utilizarea de echipamente necertificate sau neconforme:

Risc legal și de conformitate: În primul rând, ignorarea prevederilor HG 301/2012 constituie o încălcare legală. Chiar dacă art. 7 nu este menționat explicit între contravențiile listate, autoritățile pot interpreta folosirea de echipamente necertificate ca o neconformitate cu normele metodologice, atrăgând refuzul avizului priectului tehnic din partea poliției sau impunerea unor măsuri corective. De asemenea, un evaluator de risc la securitate fizică, atunci când inspectează obiectivul, va consemna în raportul de evaluare faptul că sistemul are componente neconforme, ceea ce crește nivelul de risc rezidual. În ultimă instanță, dacă s-ar produce un incident (furt, vandalism) și ulterior se constată că sistemul nu respecta cerințele legale, instituția se poate confrunta cu probleme de răspundere și chiar cu atragerea răspunderii administrative sau materiale a celor care au aprobat achiziția.
Risc operațional (funcțional): Echipamentele necertificate sunt de obicei inferioare calitativ sau insuficient testate. Astfel, crește probabilitatea de defecțiuni și alarme false. Un detector de mișcare neverificat poate genera alarme false frecvente (perturbând activitatea normală și erodând încrederea în sistem) sau, mai grav, poate rata detecția unei intruziuni reale. Camerele de supraveghere de slabă calitate pot avea imagine neclară ori pot ceda în condiții de mediu mai dificile (întuneric, variații de temperatură), ratând captarea unor incidente critice. Toate acestea înseamnă că, deși pe hârtie instituția “bifează” existența unui sistem de securitate, în practică, sistemul s-ar putea să nu-și îndeplinească rolul în momentul unui eveniment real. Riscul operațional se traduce direct în vulnerabilitate sporită: practic, intrușii pot exploata aceste breșe (un atacator poate ști că un anumit tip de senzor ieftin poate fi evitat sau bruiajul simplu al unei alarme necertificate poate trece neobservat).
Risc de securitate fizică compromisă: Scopul standardelor europene în domeniul securității este de a asigura un nivel minim de rezistență la efracție și sabotaj. Un echipament necertificat poate să nu îndeplinească aceste cerințe. De exemplu, standardele pentru centrale de alarmă cer protecție anti-sabotaj (carcasă cu tamper, detecția întreruperii comunicațiilor etc.), o centrală fără certificare ar putea fi oprită ușor de infractori (prin tăierea curentului, distrugerea unității de control care nu are tamper, etc.). Astfel, riscul de efracție cu succes crește, deoarece sistemul are puncte slabe exploatabile. Practic, instituția se află într-un fals sentiment de securitate: are un sistem instalat, dar care nu oferă protecția reală scontată.
Risc de securitate cibernetică și a datelor: În era sistemelor IP și IoT, echipamentele de securitate (în special camerele IP, DVR/NVR-urile, controlerele de acces în rețea) pot deveni ele însele portițe de intrare pentru atacuri informatice dacă nu sunt fabricate conform unor standarde de securitate cibernetică. Produsele ieftine, necertificate provin adesea de la producători care nu implementează măsuri robuste de securitate informatică (criptarea comunicațiilor, autentificare sigură, actualizări de firmware), iar utilizarea lor introduce riscul ca sistemul de securitate să fie hăckuit sau manipulat de la distanță. Există cazuri de camere de supraveghere compromise și transformate în noduri de botnet și/sau accesate de persoane neautorizate, expunând fluxurile video. Într-o instituție publică, asta poate duce la încălcarea confidențialității datelor (imagini cu angajați, cetățeni) și poate permite unui atacator să dezactiveze sau ocolească sistemul de alarmă înainte de a comite o intruziune fizică. Echipamentele necertificate nu au trecut prin auditări de securitate IT, deci este mai probabil să conțină vulnerabilități cunoscute. În contextul securității fizice integrate cu cea cibernetică, un risc cibernetic necontrolat compromite întreg sistemul de protecție.
Risc financiar și reputațional: Deși motivația achiziționării de echipamente necertificate este de obicei reducerea costurilor imediate, pe termen mediu și lung aceasta se poate transforma într-un cost mult mai mare. Dacă un sistem ieftin cedează și trebuie înlocuit prematur cu echipamente conforme, cheltuiala finală va depăși poate, chiar costul inițial al unei soluții certificate. În plus, o breșă de securitate survenită din cauza unui sistem neconform (de ex., furt dintr-o primărie nereperat de camerele video sau alarmă care nu a sunat) poate cauza pierderi financiare consistente și știrbirea reputației instituției respective. Pentru conducătorii instituțiilor publice, un astfel de incident poate atrage atenție negativă din partea publicului și a presei. De exemplu, o știre că “sistemul de alarmă al școlii X nu a funcționat când s-a intrat prin efracție, deoarece echipamentele erau de proastă calitate și necertificate” ar ridica semne de întrebare privind responsabilitatea managementului. În plus, asiguratorii pot refuza plata despăgubirilor dacă constată neconformități majore față de cerințele legale sau față de standardele indicate în polițe.

În ansamblu, analiza de risc indică clar că beneficiile pe termen scurt obținute prin ignorarea cerinței de certificare sunt iluzorii. Economiile financiare inițiale se pot transforma rapid în costuri crescute prin remedierea deficiențelor, penalități sau daune suferite. Mai mult, nerespectarea cerințelor subminează însăși scopul existenței sistemului de securitate, și anume protecția eficientă a persoanelor și bunurilor. De aceea, actorii responsabili (achizitori, proiectanți, avizatori) trebuie să trateze conformarea cu art. 7 din HG 301/2012 ca pe o prioritate strategică în managementul riscului de securitate, și nu ca pe o formalitate birocratică.

Studii de caz…din practică…

Pentru a ilustra concret implicațiile discutate, voi prezenta două studii de caz inspirate din situații reale, în care lipsa certificării echipamentelor de securitate a condus la probleme notabile. Aceste exemple, unul din domeniul educațional și unul din administrația publică locală, scot în evidență consecințele practice ale alegerilor neconforme.

Cazul 1: Sistem de alarmă necertificat într-o unitate de învățământ

O unitate de învățământ publică (liceu)din mediul rural a implementat, conform obligațiilor legale rezultate din analiza de risc la securitatea fizică, un sistem de alarmă antiefracție pentru protejarea sălilor de clasă și a laboratoarelor IT. Procedura de achiziție, derulată cu resurse financiare limitate, a fost câștigată de o firmă care a oferit cel mai mic preț. Ulterior instalării, conducerea liceului a observat o serie de probleme persistente: senzorii declanșau alarme false aproape în fiecare noapte (fără a exista vreo intruziune reală), iar în câteva rânduri sistemul s-a resetat spontan, necesitând intervenția echipei de service. Situația a atras nemulțumirea personalului (care era deranjat frecvent de alarme în afara orelor) și chiar a Poliției locale, care a fost alertată inutil de mai multe ori.

Analizând documentația, s-a constatat că echipamentele furnizate (detectorii de mișcare, unitatea centrală de alarmă și sirenele) nu dețineau certificate emise de laboratoare acreditate. Firma instalatoare a prezentat doar o declarație de conformitate CE generică, în care se menționa conformitatea cu standarde de electromagnetism, însă niciun document care să ateste testarea după EN 50131 a componentelor. În consecință, sistemul nu respecta cerința art. 7 din HG 301/2012. Acest fapt a ieșit la iveală și cu ocazia realizării unei noi evaluări de risc la securitatea fizică, evaluatorul notând neconformitatea și impunând în raport înlocuirea echipamentelor cu unele certificate corespunzător. Ca rezultat, conducerea școlii s-a văzut pusă în situația de a găsi fonduri suplimentare pentru a înlocui sistemul de alarmă abia instalat, de data aceasta cu unul conform (proiect realizat în colaborare cu un proiectant licențiat și avizat de IGPR). În plus, până la remediere, securitatea liceului a rămas într-o stare precară, existând o perioadă de câteva luni în care, fie sistemul a fost ținut oprit (din cauza alarmelor false), fie a funcționat necorespunzător. Acest caz evidențiază cum alegerea inițială pe criteriul exclusiv al costului redus a generat costuri mai mari și riscuri sporite, lecția fiind că respectarea cerințelor de certificare ar fi prevenit aceste probleme de la bun început.

Cazul 2: Sistem de supraveghere video necertificat la o primărie

O primărie a unui oraș, achiziționează, tot pe criteriul “prețul cel mai mic”, echipamente video de supraveghere pentru un proiect cu fonduri europene care va fi utilizat în supravegherea străzilor, parcurilor și a căilor rutiere. Camerele video au declarații de conformitate (CE) dar nu și certificarea unui laborator acreditat într-un stat membru al Uniunii Europene sau al Spaţiului Economic European. Menționez că, în această situație, nu este necesar avizul poliției pentru proiectul sistemului de supraveghere video, dar compania instalatoare, care livrează și echipamentele prezintă, doar declarații de conformitate (CE) pentru echipamentele video, iar în loc de certificate de laborator pentru acestea, un certificat de conformitate care atestă că, compania respectivă este conformă cu standardul “SR EN iso 9001:2015 Sisteme de management al calității”.

Notă! În “Îndrumarul metodologic pentru formularea criteriilor legate de standarde în documentațiile de atribuire“ realizat de ASRO (Organismul național de standardizare) sunt precizate următoarele:

Cu privire la mijloacele de dovedire a capacității tehnice a operatorilor economici, în cazul contractelor de achiziție de produse aferente cerinței în legătură cu (ii) certificate emise de institute sau servicii oficiale responsabile cu controlul calității și cu competențe recunoscute, care să ateste conformitatea produselor clar identificate prin trimiterea la specificații tehnice sau la standarde (art. 179 lit. m din Legea nr. 98/2016), trebuie reținut faptul că un certificat care atestă implementarea standardului SR EN ISO 9001 nu este echivalent cu un certificat de conformitate a produsului. Un certificat de conformitate a produsului atestă că un anume produs, serviciu sau proces se afla în concordanță cu un standard sau un alt document normativ specificat. În Romania, certificatul de conformitate este reglementat de OG nr. 20/2010 privind stabilirea unor măsuri pentru aplicarea unitară a legislației Uniunii Europene, care armonizează condițiile de comercializare a produselor.Prin urmare, conformitatea produselor este atestată prin: declaraţia de conformitate întocmită de producător sau de reprezentantul autorizat al acestuia, prin rapoartele de încercare sau certificatele de conformitate emise de laboratoare ori de organisme de certificare sau inspecţie, alese de producător, conform procedurilor de evaluare, prin marcajul de conformitate, potrivit reglementărilor tehnice aplicabile. Evaluarea conformităţii produselor din domeniile reglementate cu cerinţele esenţiale prevăzute în reglementările tehnice se face de către organisme desemnate sau, după caz, notificate, respectiv laboratoare de încercări, organisme de certificare sau de inspecţie.

La scurt timp însă, după instalarea și punerea în funcțiune a sistemului de supraveghere video, au apărut indicii de vulnerabilitate: responsabilii IT ai primăriei au observat că sistemul era accesat în mod repetat de pe adrese IP suspecte din exterior. Practic, camerele și NVR-ul fuseseră compromise de un botnet cunoscut care exploatează echipamente de supraveghere neconforme (aceste echipamente veniseră cu parole implicite slabe și fără actualizări de securitate). Incidentul a ridicat probleme grave: imaginile video interne ar fi putut fi accesate de terți, compromițând confidențialitatea, și exista riscul ca sistemul să fie dezactivat de atacatori. În paralel, când documentația achiziției a ajuns în verificare (cu ocazia unui audit al Curții de Conturi), s-a constatat că nu existau certificate pentru camerele instalate, doar o simplă mențiune de marcaj CE în manual. Fiind vorba de fonduri publice, auditorii au consemnat nerespectarea cerințelor legale de calitate, iar primăria a primit o dispoziție de a remedia de urgență neconformitatea. Astfel, la nici un an de la instalare, sistemul de supraveghere a trebuit înlocuit complet cu unul de la un producător consacrat, ale cărui camere aveau certificări europene (inclusiv certificare de securitate cibernetică de tipul ETSI EN 303645). Costul total a fost semnificativ mai mare decât dacă s-ar fi implementat corect de la început, iar reputația primăriei a avut de suferit (fiind percepută ca un exemplu de gestiune defectuoasă).

Acest al doilea caz demonstrează în plus legătura intrinsecă dintre securitatea fizică și cea cibernetică: folosirea unor camere necertificate nu doar că a încălcat legea, dar a și expus rețeaua informatică a instituției și datele acesteia la atacuri. De asemenea, cazul subliniază necesitatea implicării specialiștilor (consultanți de securitate, evaluatori de risc la securitatea fizică, proiectanți avizați, poliție, etc.) în conceperea soluțiilor de securitate pentru instituții publice, deoarece o abordare improvizată poate duce la consecințe multidimensionale negative.Cele două exemple arată cum nesocotirea cerințelor de certificare conduce direct la probleme reale: fie defecte operaționale și nevoia de înlocuire (cazul școlii), fie vulnerabilități critice și intervenția autorităților de control (cazul primăriei). Ambele scenarii evidențiază importanța adoptării de la început a unei strategii corecte, conforme și profesioniste în privința sistemelor de securitate.

Implicații pentru securitatea fizică și cibernetică…

Echipamentele de securitate reprezintă puntea dintre lumea fizică și cea digitală (multe dintre ele fiind dispozitive electronice conectate). Nerespectarea standardelor de certificare are implicații profunde atât pe plan fizic, cât și cibernetic, aceste două dimensiuni ale securității fiind interconectate în contextul actual.

Implicații asupra securității fizice: În mod tradițional, securitatea fizică se referă la protejarea efectivă a spațiilor, bunurilor și persoanelor împotriva intrușilor, agresiunilor sau altor pericole tangibile. Exemplele pe care le-am dat arată clar, că utilizarea de echipamente necertificate afectează securitatea fizică prin scăderea încrederii în mijloacele de detecție și întârziere. De exemplu, un sistem de alarmă care nu respectă standardele poate rata detecția sau poate întârzia nepermis de mult declanșarea alarmei, permițând infractorilor să acționeze nestingheriți. De asemenea, componentele necertificate pot să nu dispună de elemente de protecție esențiale (ex.: contact de sabotaj la deschiderea carcasei, protecție la mascare pentru detectorii de mișcare, autotestare periodică etc.), ceea ce înseamnă că un atacator ar putea dezactiva cu ușurință respectivele dispozitive fără a alerta pe nimeni. Implicația directă este că nivelul de securitate fizică al obiectivului scade sub pragul considerat acceptabil de legislație, și de analiza de risc la securitatea fizică. În loc să întârzie sau să împiedice intruziunea, sistemul neconform poate eșua în misiunea sa, periclitând siguranța bunurilor și a persoanelor. Practic, instituția poate rămâne vulnerabilă fizic, chiar dacă pe hârtie are un sistem de securitate instalat, o situație periculoasă și contrară scopului reglementărilor.

Mai mult, o implicație colaterală asupra securității fizice este proliferarea alarmelor false în cazul echipamentelor sub-standard. Alarmele false repetate pot duce la desensibilizarea personalului de securitate sau a agenților de intervenție: dacă de zeci de ori alarma s-a declanșat din cauze nejustificate, cel puțin o dată, aceasta va fi ignorată, și exact atunci s-ar putea fie o intruziune reală. Astfel, un sistem neconform nu doar că nu ajută, dar poate și inhiba reacția corectă la incidente, ceea ce este extrem de periculos. IGPR, prin structurile sale de ordine publică, are de asemenea de suferit dacă sistemele neconforme din teren dau alarme false, se irosesc resurse și scade eficiența intervențiilor. De aceea, menținerea unor standarde înalte pentru echipamente este și în interesul securității publice, nu doar al obiectivului protejat direct.

Implicații asupra securității cibernetice: Pe de altă parte, în ultimul deceniu securitatea fizică s-a digitalizat masiv. Camerele de supraveghere sunt dispozitive IoT, sistemele de control acces sunt gestionate de servere în rețea, iar alarmele transmit evenimente prin IP sau GSM către dispecerate. Această convergență face ca securitatea cibernetică a echipamentelor să fie la fel de importantă ca robustezea lor fizică. Echipamentele necertificate foarte adesea nu îndeplinesc nici măcar cerințele de bază de cybersecurity: pot avea firmware nesecurizat, porturi deschise inutile, parole implicite ușor de ghicit și lipsa oricărei criptări a comunicării. În absența testelor și certificărilor, aceste vulnerabilități trec nedetectate până când un atacator profită de ele. Implicațiile sunt majore: un adversar poate prelua controlul de la distanță al unui SSV, putând opri camerele sau alterând imaginile (lăsând practic obiectivul “orb”), sau poate declanșa/elimina alarme după bunul plac, anulând protecția fizică fără a fi măcar prezent la fața locului. Mai mult, un sistem de securitate compromis cibernetic poate servi ca puncte de acces în rețeaua IT a instituției, de unde să fie exfiltrate date sensibile sau lansate atacuri asupra altor sisteme. În cazul instituțiilor publice, asta se poate traduce în expunerea datelor personale ale cetățenilor, a documentelor interne sau chiar perturbarea altor servicii (dacă rețeaua de securitate nu este segregată corespunzător).

Subliniez că standardele moderne de securitate încep să includă tot mai mult cerințe privind securitatea cibernetică a sistemelor de alarmare și supraveghere. De pildă, un standard emergent pentru cybersecurity în sistemele de alarmă este CLC/TS 50136-4 (pentru transmisia securizată a semnalelor de alarmă). Un echipament necertificat probabil nu se conformează acestor cerințe, deci instituția rămâne expusă. Implicația finală este că, într-un mediu tot mai conectat, slăbiciunile cibernetice devin slăbiciuni fizice. O cameră “hackuită” este echivalentul unei camere dezactivate fizic; un panou de alarmă compromis informatic este echivalent cu un panou scos din funcțiune. Astfel, neasigurând calitatea echipamentelor pe ambele planuri (fizic și digital), instituțiile se expun unui spectru larg de amenințări combinate.Sinergia dintre securitatea fizică și cibernetică impune așadar un standard unitar de calitate: echipamentele certificate nu doar că reduc riscul de defecțiuni fizice, dar de regulă vin și de la producători cu practici mai bune de securitate informatică (de exemplu, firmware actualizabil, suport tehnic, respectarea unor standarde de criptare). În contextul HG 301/2012, deși accentul este pus pe standardele de securitate fizică, efectul colateral al respectării sale este că se filtrează producătorii serioși – care, în majoritatea cazurilor, excelează și la capitolul securitate cibernetică. Prin urmare, respectarea cerinței legale aduce beneficii integrate: un sistem certificat oferă o protecție mai bună în lumea reală și este, de regulă, mai rezilient și în fața amenințărilor din lumea virtuală.

Recomandări concrete pentru actorii implicați…

Având în vedere cele de mai sus, este esențial ca toți actorii implicați în procesul de achiziție, implementare și avizare a sistemelor de securitate să colaboreze și să adopte bune practici pentru a asigura conformitatea cu cerințele legale și eficacitatea măsurilor de securitate. Mai jos sunt prezentate recomandări detaliate, pe categorii de responsabili, care să ghideze acțiunile fiecăruia:

Pentru autoritățile contractante (inclusiv instituții publice locale)

Includeți cerințe explicite de certificare în documentațiile de achiziție: Atunci când pregătiți caietele de sarcini pentru sisteme de securitate, menționați clar că toate echipamentele propuse trebuie să fie conforme cu standardele europene relevante și certificate de laboratoare acreditate UE/SEE, conform HG 301/2012 art. 7. Evitați formulările vagi și solicitați ofertanților dovada certificării (copii după certificate sau rapoarte de testare) încă din faza de evaluare a ofertelor. Acest lucru va descuraja oferte neconforme și vă va proteja instituția de probleme ulterioare.
Asigurați-vă că specificațiile tehnice fac trimitere la standarde europene recunoscute: De exemplu, precizați dacă este cazul “detectoare conform EN 50131-2-2 Grad 2 sau echivalent”, “controler de acces EN 50133 certificat” etc., permițând desigur echivalențe (conform legislației achizițiilor publice, nu se impune o marcă anume, ci performanța echivalentă standardului menționat). Utilizarea standardelor în specificațiile tehnice simplifică procedura de achiziție și reduce riscurile, permițând o definire clară a cerințelor de calitate. În plus, după cum subliniază organismele de standardizare, referirea la standarde conduce la reducerea costurilor și a riscurilor pe termen lung prin aplicarea unor specificații tehnice recunoscute, investiția inițială poate fi mai eficientă decât costurile remedierilor ulterioare.
Atribuiți contractele pe baza celui mai bun raport calitate-preț, nu doar a prețului cel mai scăzut: În domeniul securității, calitatea echipamentelor este critică. Prin urmare, la evaluarea ofertelor acordați o pondere semnificativă factorilor de calitate (certificări deținute, performanțe peste minimul cerut, garanție extinsă, referințe ale producătorului etc.), nu doar prețului. Un preț neobișnuit de mic poate ascunde dotarea cu echipamente neconforme. Este preferabil să plătiți un cost corect pentru un sistem fiabil, decât să aparent economisiți și să suportați ulterior costuri ascunse (înlocuiri, daune, amenzi).
Verificați autenticitatea și validitatea certificatelor prezentate: Din păcate, pot exista situații în care furnizorii prezintă documente pe care beneficiarul nu le poate interpreta ușor. Alocați resurse (personal tehnic propriu sau consultanți externi) pentru a verifica certificatele. De exemplu, un certificat trebuie emis de un organism cunoscut și acreditat (verificați dacă entitatea emitentă apare pe lista organismelor acreditate în UE), să fie valabil (neexpirat) și să se potrivească exact pe modelul de echipament oferit. Dacă certificatul este într-o limbă străină, solicitați traducere autorizată. Acest due diligence simplu poate preveni acceptarea unor certificate false, sau irelevante.
Consultați-vă cu specialiști în securitate la elaborarea cerințelor: Implicați, acolo unde este posibil, un consultant de securitate independent, evaluatorul de risc la securitate fizică al instituției sau un specialist în sisteme de securitate în definirea nevoilor și cerințelor tehnice. Acești specialiști cunosc piața echipamentelor și cerințele normative și vă pot sfătui ce standarde sunt aplicabile, ce tehnologii sunt adecvate obiectivului, evitând subdimensionarea sau supradimensionarea sistemului. De asemenea, colaborați cu reprezentanții locali ai Poliției (compartimentul Sisteme de Securitate) în etapa de planificare, ei vă pot oferi recomandări privind conformarea și pot semnala dacă anumite soluții propuse ar putea întâmpina probleme la avizare.
Sensibilizați factorii de decizie asupra importanței conformității: Asigurați-vă că prefecții, directorii, primarii sau cei care aprobă bugetele înțeleg că respectarea cerințelor legale nu e opțională, ci obligatorie și benefică. Prezentați-le argumentele: un sistem certificat înseamnă risc scăzut de efracție, continuitatea activității, evitarea incidentelor ce pot aduce prejudicii imaginii instituției. Dacă aceștia percep clar legătura dintre calitatea echipamentelor și siguranța efectivă a obiectivului, vor susține financiar și logistic achiziția corectă, chiar dacă implică un cost inițial mai ridicat.

Pentru proiectanți și instalatori de sisteme de securitate

Respectați cu strictețe cerințele standardelor și legislației la elaborarea proiectelor: Ca proiectant sisteme de securitate licențiat/avizat aveți responsabilitatea de a elabora soluții tehnice conforme cu normele. În proiectele tehnice, includeți specificații detaliate ale echipamentelor, menționând standardele și gradul de securitate pentru fiecare componentă, așa cum cere Anexa 7. Fișa tehnică și certificatul echipamentelor ar trebui atașate la proiect sau disponibile pentru verificare. Acest lucru nu numai că este cerut de lege, dar vă protejează și pe dvs. ca profesionist; un proiect care nu respectă art. 7 poate fi respins la avizare de Poliție sau poate atrage răspunderea dvs. în caz de incident.
Recomandați clienților doar echipamente certificate și explicați-le diferența: În practică, un instalator sau integrator se poate confrunta cu presiunea clientului de a “face economie” la echipamente. Este esențial să educați beneficiarii despre importanța certificării: explicați-le, pe înțelesul lor, de ce un DVR de 300 lei fără certificat nu este o alegere bună comparativ cu unul de 600 lei certificat, evidențiați riscurile (posibile defecțiuni, probleme la avizare, vulnerabilități) și cadrul legal care îi obligă oricum să aibă echipamentele la standard. Fiind specialist, aveți o obligație etică și profesională să nu instalați echipamente neconforme, chiar dacă un client neinformat le solicită. Pe termen lung, calitatea serviciilor prestate de dvs. va fi reflectată de performanța sistemelor instalate, deci este și în interesul afacerii dvs. să mențineți un nivel ridicat al calității.
Mențineți-vă la curent cu lista de echipamente avizate/certificate disponibile pe piață: Domeniul securității evoluează rapid. Ca profesionist, țineți legătura cu distribuitorii oficiali și cereți-le documentația de conformitate a produselor (declarații și certificate). Mulți distribuitori din România pun la dispoziție, la cerere, certificatele EU-type Examination sau avizele emise de laboratoare pentru echipamentele pe care le vând. Creați-vă propriul portofoliu de branduri și modele în care aveți încredere, despre care știți că sunt certificate. Astfel veți putea răspunde prompt clienților cu oferte conforme. Evitați tentanția de a cumpăra echipamente foarte ieftine din surse obscure (ex: marketplace-uri online), deoarece, de obicei, acestea nu vor avea documentație completă și riscați să nu puteți demonstra conformitatea lor.
Verificați personal documentele de conformitate ale fiecărui echipament instalat: Înainte de a pune în funcțiune un sistem, asigurați-vă că dețineți pentru arhiva dvs. declarația de conformitate CE și certificatul de testare (acolo unde standardele prevăd certificare) pentru toate componentele cheie. De exemplu, pentru un sistem de alarmă antiefracție la o instituție, ar trebui să aveți: certificat pentru centrala de alarmă (EN 50131-3 & EN 50131-6), pentru detectoare (EN 50131-2-x), pentru sirene (EN 50131-4) etc., de la laboratoare recunoscute. Aceste documente vor fi prezentate la avizarea Poliției și eventual la recepția finală. Dacă vreun document lipsește, solicitați-l producătorului sau importatorului înainte de instalare, altfel riscați să fiți nevoit să înlocuiți componenta respectivă ulterior.
Luați în considerare și aspectele de securitate cibernetică în configurarea sistemelor: Chiar dacă legea se referă la standarde “clasice” anti-efracție, ca specialist trebuie să fii conștient că un sistem modern poate fi expus și online. Asigură-te că implementezi configurări sigure (schimbarea parolelor implicite, actualizarea firmware-urilor la ultima versiune, segmentarea rețelei pentru CCTV/alarme separat de rețeaua de calculatoare a clientului, etc.). Recomandă echipamente care au măsuri de securitate cibernetică și informează clientul despre necesitatea mentenanței periodice și a update-urilor. În felul acesta, completezi cerințele minime legale cu bune practici ce vor asigura funcționarea neîntreruptă și sigură a sistemului.
Documentați clar în cartea tehnică a sistemului toate componentele și certificatele lor: La finalul lucrării, predați beneficiarului o documentație completă care să conțină listele de echipamente cu modele și serii, copii după certificatele de conformitate, manuale tehnice, precum și instrucțiunile de utilizare. Această transparență va fi apreciată de client și va facilita eventuale inspecții sau audituri. În plus, în cazul în care, peste ani, o componentă trebuie înlocuită, va fi ușor de identificat un model echivalent dacă cunoști exact specificațiile și certificările celui inițial.

Pentru specialiștii Poliției Române (avizare și control tehnic)

Verificați cu rigurozitate îndeplinirea cerinței de certificare la avizarea proiectelor: Atunci când primiți pentru aviz un proiect tehnic al unui sistem de alarmare (conform Legii 333 și HG 301), acordați atenție sporită listei de echipamente și specificațiilor acestora. Asigurați-vă că proiectantul a menționat standardele aplicabile și că echipamentele propuse sunt certificate. Puteți solicita, în completarea documentației, copii după certificatele relevante sau declarații pe propria răspundere ale proiectantului că le-a verificat. În cazul în care identificați echipamente suspecte (branduri necunoscute, fără indicații de standard) în proiect, cereți clarificări sau corecții înainte de acordarea avizului. Rolul dvs. este esențial în filtrarea din timp a proiectelor neconforme, un aviz condiționat de respectarea art. 7 va determina beneficiarul și instalatorul să facă ajustările necesare.
Elaborați ghiduri și partajați bune practici la nivelul unităților teritoriale de poliție: Pentru a asigura o aplicare unitară a cerințelor, ar fi util ca structurile de ordine publică (Serviciul Sisteme de Securitate Privată) să emită informări sau ghiduri către autoritățile locale și firmele de securitate, reamintind obligațiile legale privind certificarea echipamentelor. De exemplu, puteți elabora o listă orientativă de standarde relevante (SR EN 50131, SR EN 62676, SR EN 60839, etc.) și laboratoare acreditate cunoscute, care să fie difuzată ca material informativ. De asemenea, schimbul de informații între județe este valoros: dacă într-un județ se descoperă o practică neconformă (de ex., un anumit furnizor promovează echipamente fără certificate), alertați și celelalte inspectorate pentru a fi vigilente la aceleași aspecte. O abordare proactivă de acest gen poate preveni apariția punctelor slabe în sistemul general de avizare.
Colaborați strâns cu evaluatorii de risc la securitatea fizică, proiectanții sistemelor de securitate și cu responsabilii/managerii de securitate ai instituțiilor: Atunci când efectuați controale la obiective (verificarea implementării măsurilor de securitate, conform art. 68 din Legea 333/2003, de exemplu), verificați și dacă echipamentele instalate corespund celor avizate și dacă dețin certificate. În caz de abatere, îndrumați conducerea unității să remedieze situația și puneți în vedere un termen de conformare. Lucrați complementar cu evaluatorii de risc la securitatea fizică, dacă aceștia semnalează în rapoarte echipamente necertificate, și sprijiniți demersul lor insistând la obiective pe importanța remedierii. Până la urmă, atât Poliția, cât și evaluatorii și responsabilii interni de securitate au același scop: o implementare corectă a măsurilor de securitate. Comunicarea și cooperarea între aceste părți (de exemplu, întâlniri periodice cu responsabilii de securitate din instituțiile publice locale) pot ajuta la creșterea nivelului de conformare voluntară.
Dezvoltați-vă continuu pregătirea profesională pe tema noilor tehnologii și standarde: Pe măsură ce apar noi tehnologii de securitate (ex. sisteme wireless, senzori inteligenți, integrare cu sisteme IoT), apar și noi standarde sau actualizări ale celor existente. Pentru a putea evalua corect documentațiile, specialiștii din poliție trebuie să fie la curent cu aceste evoluții. Participați la workshop-uri, cursuri sau măcar studiați ghidurile de specialitate și publicațiile (precum Security Risk Management Body of Knowledge sau buletinele tehnice ale laboratoarelor de certificare) pentru a cunoaște ce cerințe noi sunt recomandate. Astfel veți putea depista mai ușor neconformitățile și veți oferi consiliere avizată celor care vă solicită avizul.
Încurajați o abordare de tip “security by design” în comunitate: Fiind în poziția de autoritate avizatoare, Poliția poate juca și un rol educativ. În discuțiile cu reprezentanții obiectivelor (manageri, primari, directori), subliniați beneficiile practice ale conformării: un sistem cu echipamente certificate are probabilitate mai mică de efracție reușită, dă mai puține alarme false, deci creează un mediu mai sigur și mai liniștit. Arătați-le că nu e vorba doar de “birocrație”, ci de protecția efectivă a comunității și bunurilor publice. Această schimbare de optică, de la “trebuie să fac asta că așa zice legea”la “fac asta ca să fiu în siguranță”, va crește motivația de a implementa corect sistemele de securitate.

Deci…

Cerința legală introdusă prin HG 301/2012 (Anexa 7, art. 7) de a utiliza numai echipamente de securitate certificate conform standardelor europene reprezintă un pilon important al cadrului de securitate fizică din România. Analiza din acest articol a demonstrat (sper) că această cerință nu este un simplu formalism birocratic, ci răspunde unor necesități reale: asigurarea unui nivel minim de calitate și fiabilitate a sistemelor de securitate, protejarea obiectivelor împotriva eșecurilor tehnologice și reducerea vulnerabilităților exploatabile de infractori. Adoptarea echipamentelor conforme conduce la sisteme mai eficiente, cu mai puține alarme false, mai rezistente la sabotaj și mai sigure din punct de vedere cibernetic, cu alte cuvinte, la un management al riscului de securitate mult îmbunătățit.

Pentru a atinge aceste beneficii, este necesară o abordare integrată și responsabilă din partea tuturor actorilor implicați: autoritățile contractante trebuie să planifice și să achiziționeze cu discernământ, ținând cont de calitate și conformitate; specialiștii proiectanți și instalatori au datoria profesională să implementeze soluții aliniate la cele mai bune practici și standarde; iar organele de reglementare și control(Poliția) trebuie să vegheze și să ghideze procesul, asigurând un climat de conformare voluntară și conștientizată.

În esență, securitatea eficientă se construiește pe bază de standarde. Standarde tehnice, standarde legale și standarde etice. Când fiecare componentă a sistemului de securitate este certificată și verificată, întregul ansamblu devine demn de încredere. Iar încrederea este fundamentală în securitate: instituțiile publice își pot desfășura activitatea cu liniștea că măsurile de protecție vor funcționa la nevoie, cetățenii sunt protejați, iar resursele sunt folosite judicios, fără risipă pe soluții ineficiente.Adoptarea pe scară largă a cerinței de certificare conform HG 301/2012 va duce, pe termen lung, la ridicarea nivelului general de securitate în România, eliminând de pe piață produsele sub-standard și stimulând inovarea și calitatea. Este un obiectiv de interes comun, unde colaborarea dintre autorități, mediul privat și comunitate este esențială. Doar împreună, respectând regulile și învățând din practică, putem realiza un mediu mai sigur în care securitatea nu este lăsată la voia întâmplării, ci este gestionată științific, conform celor mai riguroase cunoștințe și norme disponibile.

Surse de informare:

LEGEA nr. 333 din 8 iulie 2003 (**republicată**) privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor.
HOTĂRÂREA nr. 301 din 11 aprilie 2012 (*actualizată*) pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor.
Îndrumarul metodologic pentru formularea criteriilor legate de standarde în documentațiile de atribuire, ASRO.
SR CLC/TS 50131-7 Sisteme de alarmă – Sisteme de alarmă la efracţie şi jaf armat. Partea 7: Linii directoare pentru aplicaţii.
SR EN 62676-4 Sisteme de supraveghere video utilizate în aplicaţii de securitate. Partea 4: Linii directoare pentru aplicaţii.
SR EN 60839-11-2+AC Sisteme de alarmă şi de securitate electronică. Partea 11-2: Sisteme electronice de control al accesului – Linii directoare pentru aplicaţii.
VdS Schadenverhütung (Germania) – Acest laborator este unul dintre cele mai cunoscute institute de testare și certificare în domeniul securității, oferind servicii pentru echipamente de alarmă, sisteme de supraveghere și alte produse de securitate.
ECB-S (European Certification Body) (Germania) – ECB-S este un organism de certificare acreditat care oferă certificări pentru produse de securitate fizică, inclusiv seifuri și sisteme de depozitare. Acesta utilizează teste de tip conform standardelor europene pentru a evalua rezistența produselor.
CNPP (Franța) – CNPP oferă servicii de testare și certificare pentru produse de securitate, inclusiv sisteme de alarmă și detectoare de incendiu, având o reputație solidă în domeniu.
TÜV Rheinland (Germania) – Acest organism internațional oferă servicii de testare și certificare pentru o gamă largă de produse, inclusiv echipamentele de securitate, asigurându-se că acestea respectă standardele europene.
BSI Group (Regatul Unit) – BSI este un organism global care oferă servicii de certificare pentru produse și sisteme, inclusiv în domeniul securității fizice.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.