Având în vedere:– Hotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare; … – Ordonanța de urgență a Guvernului nr. 68/2019 privind stabilirea unor măsuri la nivelul administrației publice centrale și pentru modificarea și completarea unor acte normative, aprobată cu modificări prin Legea nr. 77/2020; … – prevederile art. 36 și 37 din Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările și completările ulterioare; … – prevederile art. 16-20 din Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare; … – Adresa Serviciului Român de Informații nr. N218.156 din 22.09.2022; … – Referatul de aprobare nr. SSI 981 din 4.10.2022, aprobat de președintele Autorității pentru Digitalizarea României, … în temeiul art. 8 alin. (4) dinHotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare,președintele Autorității pentru Digitalizarea României emite prezenta decizie. +
Articolul 1(1)Prezenta decizie se aplică furnizorilor de servicii de certificare care doresc să își desfășoare activitatea ca furnizori acreditați și stabilește procedura privind acordarea, suspendarea și retragerea deciziei de acreditare a furnizorilor de servicii de certificare de către Autoritatea pentru Digitalizarea României, autoritatea de reglementare și supraveghere specializată în domeniu.(2)Prezenta decizie stabilește condițiile, conținutul, durata de valabilitate și condițiile suspendării deciziei de acreditare a furnizorilor de servicii de certificare. +
Articolul 2În înțelesul prezentei decizii, termenii de mai jos au următoarele semnificații:a)autoritate – Autoritatea pentru Digitalizarea României, în calitate de autoritate de reglementare și supraveghere specializată în domeniu, conform art. 25 și 26 din Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările și completările ulterioare; … b)acreditare – calificativul acordat de către autoritate unui furnizor de servicii de certificare, la solicitarea acestuia, în urma verificării documentației și a raportului de audit efectuat de o terță parte, în vederea stabilirii concordanței dintre sistemele, procedurile și practicile afirmate și cele existente în realitate; … c)audit – procesul de verificare a concordanței dintre sistemele, procedurile și practicile afirmate de către furnizorul de servicii de certificare care solicită acreditarea și cele existente în realitate; … d)auditor – persoana juridică numită de către autoritate pentru efectuarea auditului de acreditare, în urma evaluării îndeplinirii criteriilor de selecție; … e)registru – Registrul furnizorilor de servicii de certificare, care este constituit și actualizat de către autoritate și care are rolul de a asigura, prin efectuarea înregistrărilor prevăzute de Legea nr. 455/2001, republicată, cu modificările și completările ulterioare, stocarea datelor de identificare și a unor informații legate de activitatea furnizorilor de servicii de certificare, precum și informarea publicului cu privire la datele și informațiile stocate. … +
Articolul 3Furnizorul de servicii de certificare care dorește să fie acreditat va înainta autorității o cerere scrisă pentru începerea procedurii de acreditare. Forma și conținutul acestei cereri sunt prevăzute în anexa nr. 1, care face parte integrantă din prezenta decizie. +
Articolul 4În vederea acreditării, furnizorul de servicii de certificare trebuie să facă dovada:a)utilizării a cel puțin 5 persoane angajate în baza unor contracte individuale de muncă cu normă întreagă sau prin încheierea de contracte de prestări de servicii cu societăți comerciale ori persoane fizice autorizate.Persoanele implicate în generarea și gestionarea de certificate trebuie:(i)să dețină diplomă de absolvire a unei forme de învățământ superior de lungă durată, eliberată de o instituție de învățământ superior acreditată, având înscrisă una dintre următoarele specializări: automatică, calculatoare, informatică, matematică, fizică, cibernetică, electronică; sau … (ii)să dețină diplomă de masterat în una dintre specializările menționate la pct. (i). … Angajații implicați în generarea și gestionarea de certificate trebuie să aibă cunoștințe în domeniul securității informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu ori prin deținerea cel puțin a uneia dintre certificările ISO/IEC 27001, CISA, CISM, LPT sau CISSP recunoscute la nivel internațional. Orice modificare a schemei de personal va fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea acesteia; … b)utilizării unei scheme de personal care să asigure un flux continuu de emitere, suspendare și revocare a certificatelor și segregarea rolurilor angajaților, asigurând acoperirea cel puțin a următoarelor roluri: operator pentru gestionarea cererilor de certificare (cel puțin două persoane), operator pentru verificarea cererilor și emiterea certificatelor (cel puțin două persoane), administrator al sistemului de certificare, administrator de securitate și auditor intern. Schema de personal va fi înaintată autorității; … c)utilizării unei arhitecturi distribuite a sistemului de certificare și sistemului de înregistrare, separând logic și fizic funcționalitățile publice: înregistrarea cererilor de certificate, registrul de certificate și validarea cererilor de emitere a certificatelor. Furnizorul trebuie să dovedească disponibilitatea lunară de 99,98% a soluției de emitere, publicare și validare a certificatelor, precum și a registrului de certificare. Disponibilitatea reprezintă capacitatea sistemelor informatice ale furnizorului de a se afla în stare de funcționare în orice moment din intervalul de observație de o lună calendaristică. Disponibilitatea se calculează după formula:D = [(To – Tî)/To]*100[%],unde:To = durata unei luni calendaristice, aproximată la 30 de zile * 24 de ore * 60 de minute = 43.200 de minute;Tî = durata însumată a întreruperilor de serviciu în minute.Arhitectura tehnică și dovada îndeplinirii condițiilor de disponibilitate a soluției vor fi înaintate autorității; … d)deținerii sau utilizării unui sediu de rezervă pentru continuarea operațiunilor în cazul apariției unui eveniment care să împiedice utilizarea sediului principal. Sediul de rezervă trebuie să răspundă acelorași condiții tehnice ca și sediul principal și să parcurgă aceleași proceduri de audit. Documentația privind sediul de rezervă și rapoartele de audit vor fi înaintate autorității; … e)certificărilor legate de sistemul de management al calității și management al securității informaționale, certificate în conformitate cu standardele ISO 9001 și, respectiv, ISO 27001 sau Standardele naționale de protecție a informațiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările și completările ulterioare, ori cu ultimele versiuni ale acestora sau cu standardele care le înlocuiesc. Rapoartele de audit vor fi înaintate autorității. … +
Articolul 5(1)Orice furnizor de servicii de certificare calificată poate solicita inițierea procedurii de acreditare prin bifarea opțiunii din anexa nr. 2 la Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările și completările ulterioare.(2)Procedura de acreditare poate fi inițiată numai după începerea activității de furnizare de servicii de certificare calificată și actualizarea registrului. Procedura de acreditare este prevăzută în anexa nr. 4, care face parte integrantă din prezenta decizie. +
Articolul 6(1)Pentru instituțiile din domeniul apărării, ordinii publice și siguranței naționale care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii și ale căror sisteme de generare, evidență și distribuție fac parte dintr-un sistem informatic acreditat pentru gestionarea informațiilor clasificate secret de stat, cuantumul garanției se stabilește anual, prin decizia autorității de reglementare și supraveghere specializate în domeniu, la propunerea conducerii instituțiilor respective, proporțional cu prejudiciile create în anul anterior, stabilite prin decizii judecătorești definitive. Extensia certificatului va conține mențiuni referitoare la limitări privind utilizarea.(2)Serviciul Român de Informații este furnizor de servicii certificate calificate ale semnăturii electronice pentru sistemele informatice gestionate de acesta și acreditate potrivit reglementărilor naționale în vigoare. Certificatele calificate emise în cadrul Serviciului Român de Informații sunt recunoscute național și pot fi folosite pentru:a)nevoi proprii; … b)realizarea schimbului de date între acesta și instituțiile din domeniul apărării, ordinii publice și securității naționale; … c)semnarea corespondenței digitale și realizarea schimbului de corespondență digitală. … +
Articolul 7(1)Furnizorul va notifica autoritatea în legătură cu orice modificare a soluției tehnice sau a procedurilor de lucru. Notificarea va fi însoțită de opinia auditorului intern al furnizorului, opinie din care să rezulte faptul că furnizarea serviciilor de certificare se face în continuare cu respectarea standardelor în domeniu și a legislației în vigoare.(2)Notificarea prevăzută la alin. (1) se va face cu 10 zile înainte de data la care modificările specificate la alin. (1) devin operaționale sau, în cazul unor urgențe ori evenimente neprevăzute, justificate, în termen de maximum 24 de ore de la efectuarea modificărilor.(3)În urma notificării adresate de către furnizor autorității, dacă se consideră că modificările efectuate afectează major procesul de furnizare a serviciilor de certificare, în sensul nerespectării standardelor în domeniu sau a legislației în vigoare, autoritatea poate solicita reînnoirea acreditării.(4)Furnizorul acreditat va testa anual nivelul de securitate al sistemului informatic. În urma testării, acesta trebuie să înainteze către autoritate un raport de testare de securitate (test de penetrare) a întregului sistem informatic utilizat pentru furnizarea de servicii de certificare. Testele vor fi realizate de personal specializat, echipa de testare fiind compusă din minimum un expert în teste de penetrare cu certificare (LPT sau echivalent) și un auditor certificat în auditarea sistemelor informatice (CISA). Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât și din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internațional. Raportul de testare va conține toate testele efectuate, vulnerabilitățile identificate, precum și nivelul de risc asociat acestora. În urma raportului de testare, autoritatea va putea solicita furnizorului implementarea măsurilor de securitate în vederea reducerii nivelului de risc.(5)Instituțiile care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii și ale căror sisteme de generare, evidență și distribuție fac parte dintr-un sistem informatic acreditat pentru gestionarea informațiilor clasificate secret de stat vor realiza testele de penetrare și auditul de securitate cu personal propriu care deține cunoștințe în domeniul securității informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu, având o experiență de cel puțin 5 ani în domeniul securității sistemelor informatice. Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât și din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internațional. Raportul de testare va conține toate testele efectuate, vulnerabilitățile identificate, precum și nivelul de risc asociat acestora. În urma raportului de testare, autoritatea va putea solicita instituției implementarea măsurilor de securitate în vederea reducerii nivelului de risc. +
Articolul 8Verificarea informațiilor din cererea de eliberare a certificatului va fi realizată atât la înregistrarea cererii, cât și la emiterea certificatului, în conformitate cu prevederile art. 19 din Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările și completările ulterioare. +
Articolul 9Autoritatea poate dispune suspendarea activității furnizorului de servicii de certificare până la încetarea cauzelor care au determinat luarea măsurii și în următoarele situații:a)furnizorul nu îndeplinește cerințele privind personalul sau nu anunță modificarea schemei de personal, așa cum este prevăzut la art. 4 lit. a) și b); … b)furnizorul nu asigură disponibilitatea soluției sau nu anunță modificările tehnice, așa cum este prevăzut la art. 4 lit. c) și art. 7; … c)furnizorul nu mai îndeplinește cerințele tehnice definite la art. 4 lit. d) și e). … +
Articolul 10În cazurile prevăzute la art. 9, autoritatea are dreptul de a emite pretenții asupra scrisorii de garanție bancară sau a poliței de asigurare, în limita prejudiciului. +
Articolul 11(1)Verificarea îndeplinirii condițiilor de acreditare se face de către un auditor numit de către autoritate în urma parcurgerii procedurii prevăzute la alin. (2)-(7).(2)Numirea auditorului se face în urma unui proces de calificare, pe baza criteriilor stabilite de către autoritate și în urma selecției acestuia dintre candidații calificați.(3)În acest scop, autoritatea va face public anunțul de selecție odată cu punerea la dispoziție oricărei părți interesate, contra cost, a condițiilor de calificare. Anunțul va cuprinde inclusiv data-limită de depunere a documentației de calificare.(4)Orice persoană juridică ce a intrat în posesia condițiilor de calificare conform alin. (3) poate participa la procesul de calificare.(5)Autoritatea verifică documentele de calificare din partea candidaților și respectarea criteriilor stabilite.(6)În termen de 30 de zile de la data primirii cererii pentru începerea procedurii de acreditare, autoritatea întocmește și comunică furnizorului de servicii de certificare lista candidaților calificați.(7)Furnizorul de servicii de certificare care solicită acreditarea selectează dintre candidații calificați auditorul care va fi numit de către autoritate pentru efectuarea auditului de acreditare. +
Articolul 12(1)În urma selecției efectuate de către furnizorul de servicii de certificare, autoritatea emite decizia de numire a auditorului.(2)Numirea auditorului se face prin decizie a președintelui autorității. Forma și conținutul deciziei de numire sunt prevăzute în anexa nr. 2, care face parte integrantă din prezenta decizie. +
Articolul 13Auditul se realizează pe cheltuiala furnizorului de servicii de certificare. +
Articolul 14Pe perioada efectuării auditului, autoritatea poate solicita orice documente referitoare la activitatea furnizorului de servicii de certificare care solicită acreditarea și poate desemna personal propriu pentru a participa la procesul de audit. +
Articolul 15(1)Rezultatul auditului efectuat asupra activității furnizorului de servicii de certificare va fi prezentat sub forma unui raport de audit însoțit de opinia de audit.(2)Autoritatea își rezervă dreptul de a respinge cererea de acreditare în urma analizei raportului de audit, precum și în cazul unei opinii de audit exprimate cu rezerve.(3)În cazul unor observații referitoare la raportul de audit prezentat, autoritatea are obligația comunicării acestora atât furnizorului de servicii de certificare, cât și auditorului în termen de 5 zile de la prezentarea raportului. +
Articolul 16(1)În termen de 10 zile de la prezentarea opiniei de audit favorabile, autoritatea emite decizia de acreditare și înscrie în registru mențiunea privind acreditarea furnizorului de servicii de certificare.(2)Acreditarea se face prin decizie a președintelui autorității. Forma și conținutul deciziei de acreditare sunt prevăzute în anexa nr. 3, care face parte integrantă din prezenta decizie.(3)În cazul respingerii cererii de acreditare, autoritatea va comunica furnizorului motivele respingerii. +
Articolul 17(1)Procedura de suspendare sau de retragere a deciziei de acreditare este prevăzută la art. 19 și 20 din Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare.(2)Suspendarea sau retragerea deciziei de acreditare se face prin decizie a președintelui autorității.(3)Pe perioada suspendării acreditării furnizorului de servicii de certificare încetează dreptul acestuia de a folosi în toate activitățile pe care le desfășoară o mențiune distinctivă care să se refere la această calitate.(4)Semnăturile electronice extinse bazate pe certificate calificate eliberate de către furnizorul de servicii de certificare pe perioada suspendării acreditării sunt exceptate de la prevederile art. 9 alin. (2) din Legea nr. 455/2001, republicată, cu modificările și completările ulterioare.(5)În cazul suspendării sau retragerii acreditării acordate furnizorului de servicii de certificare, autoritatea va face mențiunile necesare în registru. +
Articolul 18La data intrării în vigoare a prezentei deciziei se abrogă orice prevedere contrară. +
Articolul 19Prezenta decizie se publică în Monitorul Oficial al României, Partea I.
Președintele Autorității pentru Digitalizarea României,
Dragoș-Cristian VladBucurești, 4 octombrie 2022.Nr. 630. +
Anexa nr. 1
CERERE
pentru începerea procedurii de acreditareStimate Domnule Președinte,Având în vedere prevederile art. 2 lit. b) și ale art. 5 lit. f) dinHotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare, în temeiul dispozițiilor art. 36 din Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările și completările ulterioare, și ale art. 16 din Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare, vă solicităm să dispuneți începerea procedurii de acreditare a ………………………………(numele și prenumele/denumirea solicitantului)…………………………………,furnizor de servicii de certificare, având domiciliul/sediul în ……………………..(adresa completă, inclusiv telefon și fax)………………….., înregistrat la OficiulRegistrului Comerțului de pe lângă Tribunalul ……………………, cod unic de înregistrare/cod de identificare fiscală …………….., reprezentat legal prin ………………(numele și prenumele) ……………….., domiciliat(ă) în ……………………(adresa completă, inclusiv telefon)……………….., identificat(ă)prin actul de identitate …………………(serie, număr, cod numeric personal)……………… .
Semnătura reprezentantului legal și ștampila solicitantului
………………………………………………………………. +
Anexa nr. 2
DECIZIE
pentru desemnarea auditoruluiAvând în vedere prevederile Legii nr. 455/2001 privind semnătura electronică, republicată, cu modificările și completările ulterioare, precum și ale Normelor tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,în baza Deciziei președintelui Autorității pentru Digitalizarea României nr. 630/2022 privind procedura de acordare, suspendare și retragere a deciziei de acreditare a furnizorilor de servicii de certificare,în temeiul art. 8 alin. (4) dinHotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare,având în vedere Referatul de aprobare nr. …………../………….. al Serviciului societatea informațională,președintele Autorității pentru Digitalizarea României emite prezenta decizie. +
Articolul 1…………….(denumirea auditorului)………….., cu domiciliul/sediul în ………………………, înregistrat la Oficiul Registrului Comerțuluide pe lângă Tribunalul ………………….., cod unic de înregistrare/cod de identificare fiscală ……………………, este desemnat pentru a efectua auditul în vederea acreditării furnizorului de servicii de certificare ……………..(denumirea furnizorului)………………, +
Articolul 2……………(denumirea auditorului)…………. va prezenta Autorității pentru Digitalizarea României raportul de audit, însoțit deopinia de audit, efectuate în vederea acreditării furnizorului de servicii de certificare …………………(denumirea furnizorului),……………, în termen de 30 de zile de la comunicarea prezentei decizii. +
Articolul 3Prezenta decizie se comunică …………….(denumirea auditorului)…………..,
Președintele Autorității pentru Digitalizarea României,
…………………………………… +
Anexa nr. 3
DECIZIE
de acreditareAvând în vedere prevederile Legii nr. 455/2001 privind semnătura electronică, republicată, cu modificările și completările ulterioare, precum și ale Normelor tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,în baza Deciziei președintelui Autorității pentru Digitalizarea României nr. 630/2022 privind procedura de acordare, suspendare și retragere a deciziei de acreditare a furnizorilor de servicii de certificare,în temeiul art. 8 alin. (4) dinHotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare,având în vedere Referatul de aprobare nr. ………………/………………. al Serviciului societatea informațională,președintele Autorității pentru Digitalizarea României emite prezenta decizie. +
Articolul 1Începând cu data comunicării prezentei decizii, …………….(denumirea furnizorului)……….., dobândește calitatea de furnizor acreditat de servicii de certificare. +
Articolul 2Acreditarea se acordă pe o perioadă de 3 ani de la data comunicării prezentei decizii și poate fi reînnoită pe baza procedurii prevăzute în Decizia președintelui Autorității pentru Digitalizarea României nr. 630/2022 privind procedura de acordare, suspendare și retragere a deciziei de acreditare a furnizorilor de servicii de certificare. +
Articolul 3Prezenta decizie se comunică …………..(denumirea furnizorului)………… atât pe suport hârtie, cât și în format electronic, semnat digital.
Președintele Autorității pentru Digitalizarea României,
……………………………………….. +
Anexa nr. 4
PROCEDURĂ DE ACREDITARE
| Numărul activității |
Descrierea activității |
| 1. |
Procedura de acreditare |
| 2. |
I. Cererea furnizorului |
| 3. |
Cererea furnizorului de servicii de certificare (FSC) circulă de la registratură până la Serviciul societatea informațională (SSI). |
| 4. |
Autoritatea pentru Digitalizarea României (ADR) verifică numai documentația transmisă de furnizor. În cazul în care furnizorul nu a transmis documentația, aceasta este solicitată. |
| 5. |
II. Procesul de alegere a auditorului |
| 6. |
Desemnarea echipei responsabile cu îndeplinirea procesului de acreditare, formată din reprezentanți ai SSI |
| 7. |
Stabilirea de către ADR a condițiilor de calificare a auditorilor |
| 8. |
Aprobarea procedurii cu tot ce cuprinde |
| 9. |
Publicarea anunțului ADR referitor la lansarea procedurii de selecție a auditorilor |
| 10. |
Primirea ofertelor |
| 11. |
Verificarea îndeplinirii condițiilor de către auditorii care participă la procesul de calificare |
| 12. |
Desemnarea auditorului |
| 13. |
Raportul comisiei, inclusiv lista care trebuie aprobată |
| 14. |
Aprobarea listei |
| 15. |
Comunicarea listei |
| 16. |
Primirea răspunsului |
| 17. |
Desemnarea auditorului prin decizie a președintelui Autorității pentru Digitalizarea României (conform modelului din anexa nr. 2 la Decizia președintelui Autorității pentru Digitalizarea României nr. 630/2022 privind procedura de acordare, suspendare și retragere a deciziei de acreditare a furnizorilor de servicii de certificare) |
| 18. |
Comunicarea deciziei |
| 19. |
III. Realizarea auditului |
| 20. |
Efectuarea auditului și transmiterea raportului și opiniei de audit către ADR |
| 21. |
IV. Evaluarea și decizia acreditării |
| 22. |
SSI va primi rezultatul auditului efectuat asupra FSC. |
| 23. |
ADR respinge cererea de acreditare în urma analizei raportului de audit, precum și în cazul unei opinii de audit exprimate cu rezerve. |
| 24. |
În cazul unor observații referitoare la raportul de audit prezentat, ADR le va comunica atât furnizorului de servicii de certificare, cât și auditorului în termen de 5 zile de la prezentarea raportului. |
| 25. |
În termen de 10 zile de la prezentarea opiniei de audit favorabile, ADR emite decizia de acreditare și înscrie în registru mențiunea privind acreditarea FSC. |
| 26. |
Acreditarea se face prin decizie a președintelui ADR, forma și conținutul deciziei de acreditare fiind prevăzute în anexa nr. 3 la Decizia președintelui Autorității pentru Digitalizarea României nr. 630/2022. |
| 27. |
În cazul respingerii cererii de acreditare, ADR va comunica furnizorului motivele respingerii. |
| 28. |
Decizia de acreditare va fi comunicată furnizorului pe suport hârtie și în format electronic, semnată digital de către ADR. |
| 29. |
ADR va înscrie în Registrul furnizorilor de servicii de certificare mențiunea privind acreditarea FSC. |
–-
