Notă …
Aprobate prin ORDINUL nr. 105 din 11 octombrie 2022, publicat în Monitorul Oficial, Partea I, nr. 1062 din 2 noiembrie 2022. +
Capitolul IDispoziții generale +
Articolul 1Aplicabilitate(1)Prezentele norme de aplicare a dispozițiilor privind verificarea și controlul îndeplinirii obligațiilor de securitate cibernetică pentru spațiul cibernetic național civil, denumite în continuare norme, stabilesc cadrul legal pentru exercitarea activităților de control privind respectarea prevederilor Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare (denumită în continuare Legea nr. 362/2018), precum și ale Ordonanței de urgență a Guvernului nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică, aprobată cu modificări și completări prin Legea nr. 11/2022 (denumită în continuare OUG nr. 104/2021).(2)Elementele care stau la baza prezentelor norme sunt:a)conceptul și tipurile de control; … b)scopul și principiile care stau la baza efectuării controalelor; … c)competențele structurii și personalului cu atribuții de control și responsabilitățile acestora; … d)obiectivele și modalitățile de desfășurare a controlului; … e)documentele elaborate pentru materializarea acțiunilor de control; … f)măsurile propuse de personalul cu atribuții de control pentru îmbunătățirea activității. … (3)În înțelesul prezentelor norme, funcția de autoritate competentă la nivel național de reglementare, supraveghere și control, funcția de autoritate națională de certificare privind securitatea cibernetică, precum și funcția de evaluare și certificare presupun pe lângă atribuțiile de reglementare a spațiului cibernetic național civil și îndeplinirea atribuțiilor de verificare și control al îndeplinirii obligațiilor de securitate cibernetică pe spațiul civil național civil de către toate entitățile care intră sub incidența Legii nr. 362/2018 și a OUG nr. 104/2021.(4)Prezentele norme se aplică pentru monitorizarea, verificarea și controlul respectării obligațiilor impuse prin:a)Legea nr. 362/2018: operatorilor de servicii esențiale/ importante; furnizorilor de servicii digitale; auditorilor de securitate cibernetică; echipelor CSIRT; furnizorilor de servicii de formare a auditorilor de securitate cibernetică, membrilor echipelor CSIRT și responsabililor cu securitatea rețelelor și sistemelor informatice însărcinați cu monitorizarea canalelor de contact, denumiți în continuare responsabili NIS; … b)OUG nr. 104/2021: laboratoarelor civile de testare, evaluare și certificare a securității cibernetice a produselor și serviciilor; furnizorilor de servicii de găzduire/hosting; furnizorilor de servicii de tip cloud; furnizorilor de rețele de distribuție de conținut. … (5)Prezentele norme nu se aplică la nivelul instituțiilor din sistemul de apărare, ordine publică și securitate națională, din domeniul protecției infrastructurilor critice și nici la nivelul infrastructurilor cibernetice care vehiculează informații clasificate.(6)Prezentele norme nu aduc atingere activităților care, prin acte normative de același nivel sau superior, sunt date în competența de control a altor organisme. +
Articolul 2Termeni, expresii și abrevieri(1)În cuprinsul prezentelor norme se utilizează următoarele abrevieri:a)DNSC – Directoratul Național de Securitate Cibernetică; … b)DGRC – Direcția generală reglementare și control; … c)DVC – Direcția verificare și control; … d)CSIRT – echipă de răspuns la incidente de securitate cibernetică; … e)FSD – furnizor de servicii digitale; … f)OSE – operator de servicii esențiale. … (2)În cuprinsul prezentelor norme, precum și în activitatea specifică domeniului securității rețelelor și sistemelor informatice se utilizează următoarele concepte:a)activitatea de control – controlul îndeplinirii obligațiilor de către operatorii de servicii esențiale, furnizorii de servicii digitale, auditorii de securitate cibernetică atestați, echipele CSIRT autorizate și furnizorii de servicii de formare în domeniul securității cibernetice autorizați, precum și de către laboratoarele civile de testare, evaluare și certificare a securității cibernetice a produselor și serviciilor autorizate, furnizorii de servicii de găzduire/hosting, furnizorii de servicii de tip cloud și furnizorii de rețele de distribuție de conținut, desfășurat în urma sesizărilor primite, din oficiu, sau în urma autosesizării și finalizat printr-o notă de control; … b)comisia de control – un grup de cel puțin doi membri, din care unul este președintele comisiei, constituit din personal de specialitate din cadrul structurii centrale de control, desemnat prin decizie a directorului DNSC, împuternicit să efectueze controlul și care exercită atribuții de control, în condițiile prezentelor norme; … c)entitate supusă controlului – persoană fizică sau juridică de drept public sau privat din categoria operatori de servicii esențiale, furnizori de servicii digitale, auditori de securitate cibernetică, echipe CSIRT, furnizori de servicii de formare pentru auditori de securitate cibernetică, membrii echipelor CSIRT și responsabili NIS, precum și laboratoare civile de testare, evaluare și certificare a securității cibernetice a produselor și serviciilor, furnizori de servicii de găzduire/hosting, furnizori de servicii de tip cloud și furnizori de rețele de distribuție de conținut, toate entități cu obligații de implementare și asigurare a cerințelor minime de securitate cibernetică în spațiul cibernetic național civil; … d)notă de control – document elaborat de către structura de control la finalizarea unei activități de control; … e)personal supus controlului – personal cu responsabilități în asigurarea securității cibernetice din cadrul entității supuse controlului; … f)structura centrală de control – structura responsabilă cu monitorizarea și controlul aplicării Legii nr. 362/2018 și OUG nr. 104/2021, respectiv Direcția verificare și control, organizată la nivelul Direcției generale reglementare și control din cadrul Directoratului Național de Securitate Cibernetică. … +
Articolul 3Structura centrală de control(1)Directoratul Național de Securitate Cibernetică, prin Direcția verificare și control din cadrul Direcției generale reglementare și control, exercită controlul respectării prevederilor Legii nr. 362/2018 și ale Ordonanței de urgență a Guvernului nr. 104/2021, a obligațiilor impuse prin actele emise de DNSC în aplicarea celor două acte normative, în limitele competențelor legale de monitorizare sau de verificare.(2)Structura centrală de control, în temeiul Legii nr. 362/2018, al OUG nr. 104/2021 și al actelor subsecvente emise:a)monitorizează aplicarea prevederilor legale în spațiul cibernetic național civil; … b)verifică respectarea de către operatorii de servicii esențiale, furnizorii de servicii digitale, auditorii de securitate cibernetică atestați, echipele CSIRT autorizate și furnizorii de servicii de formare în domeniul securității cibernetice autorizați, precum și de către laboratoarele civile de testare, evaluare și certificare a securității cibernetice a produselor și serviciilor, furnizorii de servicii de găzduire/hosting, furnizorii de servicii de tip cloud și furnizorii de rețele de distribuție de conținut a obligațiilor ce le revin; … c)efectuează acțiuni de control, în urma sesizărilor primite, din oficiu, sau în urma autosesizării, precum și în situația existenței unor indicii temeinice privind sustragerea entităților de la obligațiile ce le revin ori încălcarea obligațiilor ce le revin; … d)solicită și primește, la fața locului (la sediul entității supuse controlului) și/sau la termenul solicitat, informațiile necesare pentru efectuarea controlului, stabilind termene până la care aceste informații să îi fie furnizate, în condițiile legii, inclusiv ale prevederilor referitoare la păstrarea confidențialității tuturor documentelor și informațiilor primite; … e)aplică sancțiuni, în cazul descoperirii nerespectării de către o entitate a unei obligații prevăzute, transmițând entității în cauză o notificare prin care îi va aduce la cunoștință încălcarea constatată, măsurile cu caracter obligatoriu ce trebuie luate în vederea remedierii deficiențelor constatate și stabilind termenul de conformare, precum și sancțiunea aplicabilă; … f)emite dispoziții cu caracter obligatoriu pentru entitățile supuse controlului în vederea conformării și remedierii deficiențelor constatate și stabilește termenul până la care acestea trebuie să se conformeze; … g)primește, verifică și răspunde la sesizări cu privire la neîndeplinirea obligațiilor de către entitățile cărora li se aplică prevederile legale de mai sus. … +
Capitolul IINorme generale privind activitatea de control +
Secţiunea 1Concepte, funcții și principii ale activității de control +
Articolul 4Concepte și tipuri de control(1)În sensul prezentelor norme, controlul desemnează activitatea specifică constând în analiza, verificarea, stabilirea și indicarea măsurilor ce se impun pe parcursul ori la sfârșitul acestei activități pentru menținerea stării de normalitate a securității cibernetice la nivelul entității supuse controlului.(2)Tipurile de control care se organizează și se desfășoară potrivit prezentelor norme, sunt următoarele:a)controlul de fond: este un control planificat, prevăzut în planul anual de control, dispus de directorul DNSC, care se desfășoară cu notificarea prealabilă a entității supuse controlului și care constă în verificarea respectării de către aceasta a Legii nr. 362/2018, a OUG nr. 104/2021 și a actelor subsecvente emise de DNSC, în scopul evaluării modului de îndeplinire a cerințelor minime de securitate cibernetică, a identificării și corectării deficiențelor, disfuncțiilor sau neregulilor constatate; … b)controlul tematic: este un control planificat, prevăzut în planul anual de control, asupra căruia se notifică în prealabil entitatea supusă controlului și reprezintă verificarea prin care se urmărește constatarea, analizarea, evaluarea, îndrumarea și/sau sprijinul în condițiile apariției unor incidente de securitate cibernetică; … c)controlul inopinat: este un control neplanificat, la efectuarea căruia nu se notifică în prealabil entitatea controlată și reprezintă verificarea desfășurată cu operativitate în vederea identificării unor eventuale deficiențe privind legalitatea, corectitudinea și exactitatea îndeplinirii atribuțiilor entității supuse controlului (control la sesizare, autosesizare, din oficiu). … +
Articolul 5Scopul controluluiEfectuarea controalelor prevăzute la art. 4 alin. (2) se desfășoară în scopul:a)identificării modului prin care au fost implementate prevederile legale în vigoare, inclusiv cerințele minime de securitate pentru asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice; … b)identificării neregulilor și soluționării problemelor cu care se confruntă entitatea supusă controlului; … c)stabilirii măsurilor optime pentru prevenirea unor deficiențe sau disfuncții. … +
Articolul 6Funcții și principii ale activității de control(1)Funcțiile activității de control sunt:a)funcția de monitorizare – se realizează prin identificarea modului de aplicare a Legii nr. 362/2018, a OUG nr. 104/2021 și a actelor subsecvente acestora la nivelul entităților supuse controlului; … b)funcția de prevenție – se realizează prin îndrumările metodologice, cu scopul de a preîntâmpina producerea unor nereguli sau abateri de la legalitate ori regularitate în activitate și de a asigura continuitatea asigurării furnizării serviciilor esențiale și/sau digitale de către entitățile supuse controlului; … c)funcția corectivă – are în vedere corijarea conduitei organizaționale, profesionale sau, după caz, comportamentale a entității supuse controlului, în scopul armonizării acesteia cu dispozițiile legale din aria de competență a DNSC. … (2)Principiile care stau la baza executării activității de control sunt:a)principiul legalității – presupune ca toate activitățile specifice controlului să fie desfășurate cu respectarea prevederilor Constituției și ale legislației în vigoare; … b)principiul obiectivității – acțiunile/activitățile realizate în cadrul activității de control sunt guvernate de imparțialitate, evitarea conflictelor de interese sau a altor influențe care să afecteze judecata profesională sau să denatureze concluziile misiunii de control, presupune o evaluare corectă și reală a rezultatelor obținute, a cauzelor care au determinat neregulile și a măsurilor necesare înlăturării ori diminuării efectelor negative și integrării celor pozitive; … c)principiul responsabilității – personalul ce desfășoară activități de control răspunde pentru corectitudinea și plenitudinea constatărilor, precum și de acțiunile susținute în procesul de control; … d)principiul eficacității – se referă la oportunitatea și finalitatea activității de control, în scopul atingerii obiectivelor propuse; … e)principiul eficienței – are în vedere maximizarea rezultatelor activității de control în raport cu resursele utilizate: umane, financiare și de timp; … f)principiul prevenției – presupune prevederea și identificarea posibilelor erori și nereguli în scopul prevenirii acestora pe întreg parcursul desfășurării procesului de management al securității cibernetice; … g)principiul viziunii unitare – activitatea de control trebuie să aibă la bază o viziune unitară a problematicii, atât în sensul reglementărilor, cât și al generalizării experienței pozitive; … h)principiul perfecționării – presupune specializarea personalului care efectuează activitatea de control, precum și diseminarea informațiilor, a bunelor practici și a instrumentelor de lucru în domeniu; … i)principiul continuității – activitatea de control trebuie să aibă un caracter permanent; … j)principiul operativității – presupune efectuarea și finalizarea la timp și în mod complet a activității de control, într-o manieră cât mai simplificată, în vederea înlăturării disfuncționalităților constatate, cu respectarea regulilor prevăzute în legislația aplicabilă; … k)principiul libertății și respectării demnității umane – în exercitarea activității de control trebuie respectate drepturile și libertățile fundamentale ale omului; … l)principiul transparenței – activitatea de control se realizează într-o manieră deschisă, în care accesul liber și neîngrădit la informațiile de interes public constituie regula, iar limitarea accesului constituie excepția, în condițiile legii. … +
Secţiunea a 2-aCompetențe și atribuții principale +
Articolul 7Competența structurii centrale de controlRegulile generale privind competența sunt următoarele:a)structura centrală de control este constituită la nivel de direcție care se află în Direcția generală reglementare și control din Directoratul Național de Securitate Cibernetică și are competență materială și teritorială generală în efectuarea controalelor la entitățile supuse controlului; … b)Direcția verificare și control în calitate de structură centrală de control efectuează controale de fond, controale tematice și controale inopinate (la sesizare, autosesizare sau din oficiu); … c)controlul de fond se desfășoară la entități, în limitele competențelor stabilite de Legea nr. 362/2018 și OUG nr. 104/2021, precum și de actele subsecvente elaborate la nivelul DNSC; … d)în condițiile legii, la dispoziția directorului DNSC, controalele tematice și cele inopinate se efectuează la entitățile supuse controlului. … +
Articolul 8Atribuții principale ale structurii centrale de controlÎn cadrul acțiunii de control, la entitățile supuse controlului, Direcția verificare și control îndeplinește următoarele atribuții principale:a)desfășoară activități de control constând în verificarea și analizarea implementării prevederilor legale privind securitatea cibernetică, documentația privind securitatea cibernetică, raportarea acestora la normele legale aplicabile, obiectivele planificate și aprobate în planul de control stabilit în anexa nr. 1, precum și verificarea îndeplinirii obligațiilor de către entitatea supusă controlului, având ca scop depistarea abaterilor de la prevederile legale; … b)controlează modul de respectare a dispozițiilor legale și a reglementărilor referitoare la modul de organizare și funcționare a structurilor de securitate cibernetică; … c)acordă sprijin și îndrumare entităților supuse controlului, pe timpul desfășurării activității de control ori la finalizarea acesteia, pentru identificarea nevoilor ori a necesității de adoptare a măsurilor eficiente pentru asigurarea continuității furnizării serviciilor esențiale și/sau digitale. Pentru îndeplinirea acestei atribuții, Direcția verificare și control poate formula recomandări și puncte de vedere, pe care entitatea supusă controlului le va analiza și va putea dispune măsuri în acest sens. … +
Capitolul IIIActivitatea de control +
Secţiunea 1Reguli generale privind controalele +
Articolul 9Etapele activității de controlActivitatea de control desfășurată de către structura centrală de control, Direcția verificare și control, la nivelul entităților supuse controlului implică parcurgerea următoarelor etape:a)planificarea activității de control; … b)organizarea activității de control; … c)desfășurarea controlului; … d)valorificarea rezultatelor controlului. … +
Secţiunea a 2-aPlanificarea activității de control +
Articolul 10Planul anual de control(1)Controalele de fond și controalele tematice se realizează în baza planului anual de control, la propunerea făcută de managerul superior de securitate cibernetică al DGRC, cu avizul adjunctului directorului DNSC care coordonează activitatea de reglementare și control, și se aprobă de către directorul DNSC.(2)Planul anual de control este întocmit pe baza unei analize efectuate la nivelul Direcției verificare și control după consultarea direcțiilor din cadrul Direcției generale reglementare și control, avându-se în vedere următoarele:a)rezultatele obținute în urma procesului de monitorizare a activității entităților; … b)dificultățile întâmpinate de entități în activitatea lor curentă; … c)rezultatele/sesizările consemnate cu ocazia controalelor și auditurilor de securitate cibernetică efectuate anterior; … d)disfuncționalitățile constatate cu ocazia cercetării aspectelor semnalate în sesizările soluționate la nivelul DNSC; … e)perioada scursă de la ultima activitate de control; … f)dispozițiile adjunctului directorului DNSC care coordonează activitatea de reglementare și control și ale directorului DNSC. … (3)Planul anual de control poate fi revizuit, în cursul anului, cu aprobarea directorului DNSC, după avizarea de către adjunctul directorului DNSC care coordonează activitatea de reglementare și control, la propunerea făcută de către managerul superior securitate cibernetică al DGRC, dacă situația sau volumul de activitate o impune.(4)Controlul inopinat se realizează în baza deciziei directorului DNSC, după avizarea de către adjunctul directorului DNSC care coordonează activitatea de reglementare și control, și este dispus când există date și/sau informații cu privire la încălcarea flagrantă a prevederilor legale, producerea de ilegalități sau abuzuri și situația de risc iminent a unui atac cibernetic. +
Articolul 11Obiectivele controlului(1)Cu ocazia executării controalelor se urmărește realizarea obiectivelor generale și a unor obiective specifice.(2)Obiectivele generale urmărite cu ocazia executării controalelor vizează, după caz, următoarele:a)modul de implementare, la nivelul entității supuse controlului, a prevederilor Legii nr. 362/2018, ale OUG nr. 104/2021 și ale actelor subsecvente emise de DNSC; … b)capacitatea managerială de implementare a unui program coerent și continuu de pregătire, instruire, perfecționare și antrenament, în relaționare directă cu specificul atribuțiilor; … c)organizarea și desfășurarea activităților specifice de securitate cibernetică conform atribuțiilor funcționale, în limita competențelor conferite de lege personalului de control. … (3)Obiectivele specifice urmărite cu ocazia executării controalelor sunt stabilite în planul de control. +
Articolul 12Planul de control(1)Controlul se execută pe baza planului de control, respectiv de fond, tematic sau inopinat, după caz.(2)Planul de control se elaborează la nivelul structurii centrale de control, se avizează de către managerul superior securitate cibernetică al DGRC și se aprobă de către directorul DNSC. Modelul planului de control este prevăzut în anexa nr. 1.(3)Planul de control are următoarea structură:a)tipul controlului; … b)entitatea supusă controlului; … c)scopul și obiectivele controlului; … d)perioada de activitate supusă controlului; … e)componența comisiei de control; … f)data începerii controlului și durata estimată de desfășurare a controlului. … (4)Controlul inopinat se poate iniția, fără plan de control, din dispoziția directorului DNSC, fără a emite în prealabil o decizie în acest sens, activitatea desfășurându-se în baza dispozițiilor și delegațiilor de control; ulterior, prin grija managerului securitate cibernetică al DVC, urmează a fi emisă decizia directorului DNSC. În acest caz, planul de control are structura prevăzută la alin. (3) lit. a)-e) și se aprobă în prima zi lucrătoare de la declanșarea controlului.(5)În funcție de situația operativă și temeinic justificată, la propunerea DVC se poate supune aprobării directorului DNSC o decizie de completare sau o nouă decizie cu privire la:a)completarea sau modificarea componenței comisiei de control; … b)extinderea obiectivelor de control; … c)suspendarea controlului sau extinderea timpului inițial alocat acțiunii de control. … +
Articolul 13Comisia de control(1)Controlul se efectuează de o comisie de control formată din personal al structurii centrale de control din cadrul DNSC, precum și, după caz, din specialiști ai altor structuri. (2)Componența comisiei de control se stabilește în planul de control sau, în situația de la art. 12 alin. (4), prin dispoziția scrisă a persoanei care a dispus controlul.(3)Comisiile de control sunt alcătuite din cel puțin doi specialiști numiți prin dispoziție, cu respectarea prevederilor legale privitoare la conflictul de interese ori incompatibilități.(4)Comisia de control este condusă de un președinte, calitate care revine:a)managerului securitate cibernetică sau unui coordonator principal securitate cibernetică din cadrul structurii centrale de control – pentru controale de fond; … b)personalului de la lit. a) sau unei alte persoane stabilite în planul de control sau numite prin decizie a directorului DNSC – pentru controalele tematice și controalele inopinate. … (5)Pentru urmărirea îndeplinirii obiectivelor generale prevăzute la art. 11 alin. (2), în componența comisiei de control sunt cooptați, la solicitarea președintelui acesteia, specialiști/ experți cu experiență profesională în domeniul evaluat.(6)Specialiștii prevăzuți la alin. (5) provin din structurile DNSC, sunt desemnați de șefii acestora și participă în comisii de control pe timpul efectuării de către structura centrală de control a controalelor de fond, tematice și inopinate.(7)Pe durata desfășurării controlului, membrii echipei au obligația de a respecta prevederile prezentelor norme, subordonându-se direct președintelui comisiei de control.(8)Personalul Direcției verificare și control efectuează acțiuni de control și de documentare în baza delegației de control și a planului de control. Modelul delegației de control este prevăzut în anexa nr. 2. +
Secţiunea a 3-aOrganizarea și desfășurarea controalelor +
Articolul 14Pregătirea și înștiințarea controlului(1)Președintele comisiei de control răspunde de pregătirea controlului, sens în care dispune, înaintea declanșării acestuia, măsurile necesare documentării și instruirii membrilor comisiei în legătură cu specificul și sarcinile entității supuse controlului, precum și cunoașterea legislației în domeniu.(2)Președintele comisiei de control îl înștiințează pe conducătorul entității supuse controlului cu privire la desfășurarea activității.(3)Înștiințarea prevăzută la alin. (2) se realizează cu cel puțin 5 zile înaintea declanșării controlului. Conducătorul entității înștiințate întreprinde măsuri de pregătire a personalului pentru efectuarea controlului. (4)Prin excepție de la prevederile alin. (2), controlul inopinat se execută fără înștiințarea conducătorului entității supuse controlului. +
Articolul 15Demararea controlului(1)Controlul debutează prin prezentarea de către președintele comisiei de control, la sediul entității supuse controlului sau în orice alt loc în care aceasta își desfășoară activitatea, a scopului, obiectivelor controlului, duratei și programului de desfășurare, precum și a componenței comisiei de control.(2)Controlul se efectuează fără a influența desfășurarea activităților curente ale entității supuse controlului.(3)În cazul controalelor inopinate, când echipa de control se află la sediul entității supuse controlului, dar din motive independente de aceasta este în imposibilitatea de a efectua misiunea, se întocmește un proces-verbal, asumat prin semnătură de către membrii echipei de control și reprezentantul legal al entității supuse controlului, în care se cuprind motivele ce au împiedicat desfășurarea activității de control.(4)Dacă persoanele sau entitățile refuză să se supună controlului ori să permită accesul membrilor echipei de control în spațiile pe care le dețin sau manifestă orice formă de opoziție, inclusiv prin refuzul de a furniza informații, documente sau alte date solicitate, membrii echipei de control încheie o notă de informare prin care vor aduce la cunoștință aceste incidente, de îndată, managerului superior securitate cibernetică al DGRC.(5)Situațiile prevăzute la alin. (3) și (4) sunt aduse de îndată la cunoștința directorului DNSC de către managerul superior securitate cibernetică al DGRC, însoțite de propuneri de măsuri. +
Articolul 16Acțiuni pe timpul controlului(1)Pe timpul controlului, atât membrii comisiei de control, cât și personalul supus controlului trebuie să adopte o conduită ireproșabilă, în deplină concordanță cu reglementările legale în vigoare, fiindu-le interzis să recurgă la amenințări, intimidări, promisiuni ori violențe, inclusiv asupra petenților sau martorilor, cu scopul de a obține mărturisiri, rapoarte sau declarații ori de a influența rezultatul unor verificări sau constatări.(2)Personalul supus controlului este obligat să pună la dispoziția comisiei de control toate materialele și documentele întocmite sau deținute în exercitarea atribuțiilor de serviciu și să furnizeze toate datele și informațiile care au legătură cu îndeplinirea sarcinilor de serviciu. (3)Membrii comisiei de control pot să efectueze acțiuni de control în cadrul cărora pot să solicite, menționând temeiul legal și scopul solicitării, documente necesare pentru efectuarea controlului, să ridice copii de pe registre ori alte acte sau documente, în condițiile legii, inclusiv ale prevederilor referitoare la păstrarea confidențialității tuturor documentelor și informațiilor primite. +
Articolul 17Situații neprevăzute pe timpul controlului(1)În cazul în care personalul supus controlului se află în concediu de odihnă, în concediu medical, este internat în spital, se află în delegație, este detașat ori în alte situații obiective, controlul se realizează în lipsa acestuia.(2)La solicitarea președintelui comisiei de control, conducătorul entității supuse controlului are obligația de a comunica în scris, de îndată, data prezentării la serviciu a personalului prevăzut la alin. (1).(3)Personalului prevăzut la alin. (1) i se aduce la cunoștință rezultatul controlului în părțile care îl privesc, din oficiu, în termen de 5 zile de la data înregistrării comunicării primite, prevăzute la alin. (2), numai dacă au fost reținute aspecte imputabile acestuia sau, la cerere, de către:a)comisia de control, dacă persoana vizată este conducătorul entității supuse controlului; … b)conducătorul entității supuse controlului, dacă persoana vizată se află în subordinea acestuia. … +
Articolul 18Abateri pe timpul controlului(1)Atunci când pe timpul desfășurării controlului personalul supus controlului comite abateri disciplinare, președintele comisiei de control îl sesizează, în scris, cu privire la acest aspect pe conducătorul entității supuse controlului, în vederea dispunerii măsurilor legale.(2)În cazul în care pe timpul efectuării controlului se constată că anterior inițierii acestuia au fost săvârșite nereguli care constituie abateri disciplinare ori rezultă indicii temeinice că a fost prejudiciat patrimoniul entității supuse controlului, președintele comisiei de control dispune sau, după caz, propune spre aprobare măsuri potrivit dispozițiilor legale.(3)Ori de câte ori există o suspiciune rezonabilă cu privire la săvârșirea unei infracțiuni, membrii comisiei de control sunt obligați să întocmească un proces-verbal despre împrejurările constatate și să ia măsuri de conservare a locului săvârșirii infracțiunii și de ridicare sau conservare a mijloacelor materiale de probă. Aceștia au obligația de a consemna în procesul-verbal eventualele precizări sau explicații date de făptuitor sau persoanele prezente la locul constatării.(4)Actele încheiate în baza alin. (3) împreună cu mijloacele materiale de probă se înaintează, de îndată, organelor de urmărire penală competente de către președintele comisiei de control. Aceleași obligații le incumbă membrilor comisiei de control și dacă au luat cunoștință de săvârșirea unei infracțiuni pentru care acțiunea penală se pune în mișcare din oficiu. +
Articolul 19Atingerea obiectivelor controluluiPentru atingerea obiectivelor controlului, comisia de control desfășoară activități, cu respectarea prevederilor legale în vigoare, după cum urmează:a)verificarea și ridicarea unor înscrisuri sau documente; … b)constatarea la fața locului a unor situații de fapt; … c)controlul activității unor persoane; … d)solicitarea de rapoarte/declarații, inventarieri, revizii; … e)solicitarea unor puncte de vedere de specialitate; … f)orice alte activități necesare desfășurării controlului, permise de lege. … +
Articolul 20Nerealizarea obiectivelor stabilite(1)În situația în care obiectivele stabilite prin planul de control nu au fost realizate sau au apărut elemente de noutate pentru a căror lămurire sunt necesare alte verificări, perioada de desfășurare a controlului se poate prelungi până la realizarea acestora, la propunerea președintelui comisiei de control, cu aprobarea persoanei care a dispus efectuarea controlului și cu notificarea în mod corespunzător a entității supuse controlului.(2)În cazul controlului inopinat, dacă în termen de 5 zile nu a fost finalizat, se solicită persoanei care l-a dispus aprobarea prelungirii controlului.(3)Atunci când președintele comisiei de control apreciază că obiectivele verificărilor au fost atinse, declară închis controlul, cu informarea în scris a conducătorului entității supuse controlului. +
Articolul 21Documente elaborate pe timpul activității de control(1)Pe timpul controlului, membrii comisiei de control întocmesc, dacă este cazul, note de constatare sectoriale, în două exemplare, care conțin principalele concluzii rezultate la sfârșitul evaluării unui domeniu/sector de activitate, la nivelul unei structuri a entității supuse controlului. (2)Notele de constatare sectoriale se aduc la cunoștință, sub semnătură, personalului supus controlului în sarcina căruia au fost constatate deficiențe, căruia i se comunică un exemplar al acestora.(3)Cu ocazia desfășurării activităților prevăzute la alin. (2) se întocmește un proces-verbal în care se menționează eventuale observații, obiecții și puncte de vedere ale conducătorului entității supuse controlului, precum și ale persoanelor în sarcina cărora au fost reținute deficiențe. Acestea se analizează de către comisia de control cu ocazia întocmirii notei de control.(4)Conducătorul entității supuse controlului și persoanele în sarcina cărora au fost reținute deficiențe pot formula obiecții în scris, motivate, cu privire la conținutul notelor de constatare sectoriale, în termen de 3 zile lucrătoare de la data aducerii lor la cunoștință.(5)Procesul-verbal întocmit potrivit alin. (3) și obiecțiile formulate în scris potrivit alin. (4) se anexează la nota de control și fac parte integrantă din aceasta. +
Articolul 22Finalizarea controlului(1)Constatările efectuate pe timpul verificărilor, concluziile și măsurile propuse de comisia de control se materializează într-o notă de control. Modelul notei de control este prevăzut în anexa nr. 3.(2)Nota de control se elaborează de comisia de control, se aduce la cunoștința entității supuse controlului, pe bază de semnătură, se avizează de managerul superior securitate cibernetică al DGRC și se supune aprobării directorului DNSC, în termen de 30 de zile de la închiderea controlului.(3)Nota de control cuprinde:a)principalele realizări; … b)deficiențele, disfuncțiile, neregulile și măsurile de ordin organizatoric și administrativ; … c)concluziile comisiei de control privind observațiile, obiecțiile și punctele de vedere formulate cu privire la conținutul notelor de constatare sectoriale, dacă este cazul; … d)alte aspecte care pot contribui la creșterea eficacității și eficienței activităților evaluate. … (4)La nota de control se anexează planul cu măsuri pentru remedierea deficiențelor și îmbunătățirea activităților.(5)Nota de control, anexele acesteia și/sau notele de constatare sectoriale se clasifică numai dacă în conținutul acestora se regăsesc informații care presupun aplicarea prevederilor legale privind protecția informațiilor clasificate.(6)Nota de control aprobată în condițiile alin. (2) se comunică de către președintele comisiei de control, în 5 zile de la data aprobării, conducătorului entității supuse controlului, în vederea luării măsurilor necesare pentru remedierea aspectelor negative constatate și pentru punerea în aplicare a măsurilor dispuse.(7)Nota de control (și nota de informare) se comunică, după caz, organului de urmărire penală competent atunci când există indicii cu privire la săvârșirea unei posibile infracțiuni, cu respectarea prevederilor legale incidente. +
Secţiunea a 4-a Monitorizarea măsurilor stabilite +
Articolul 23Stadiul realizării măsurilor stabilite(1)Rezultatul privind stadiul realizării măsurilor prevăzute în nota de control se întocmește de către responsabilul NIS, se aprobă de conducătorul entității supuse controlului și se înaintează la DNSC/Direcția verificare și control, în format electronic, la e-mail: dgrc-control@dnsc.ro, în termenele stabilite.(2)În cazul în care, din motive obiective, anumite măsuri prevăzute în nota de control nu pot fi îndeplinite la termenele stabilite, entitatea supusă controlului, sub semnătura conducătorului/reprezentantului legal, poate solicita structurii centrale de control, electronic (e-mail: dgrc-control@dnsc.ro) prorogarea acestor termene. Prorogarea termenelor se avizează de managerul superior securitate cibernetică al DGRC și se aprobă de directorul DNSC.(3)Actele de control constituie documente pentru informarea sau valorificarea, după caz, a rezultatelor activității de control, în condițiile legii. +
Articolul 24Verificarea îndeplinirii măsurilor stabilite(1)Direcția verificare și control este responsabilă pentru verificarea îndeplinirii măsurilor stabilite cu ocazia controlului. (2)Verificarea se realizează prin evaluarea rapoartelor transmise de entitatea supusă controlului, prin solicitarea de date/informații suplimentare sau printr-un control de verificare.(3)Direcția verificare și control poate verifica modul de îndeplinire a măsurilor stabilite, în termen de 6 luni de la prezentarea notei de control. +
Capitolul IVDrepturile și obligațiile echipei de control +
Articolul 25Drepturi ale membrilor echipei de control(1)În exercitarea atribuțiilor ce îi revin, pe durata activității de control, la sediul entității supuse controlului, echipa de control, prin orice membru al său, are următoarele drepturi:a)să utilizeze oricare dintre tehnicile și instrumentele de control consacrate, fără a se limita la acestea, precum chestionarul, sondajul, interviul, observarea, controlul încrucișat; … b)să aibă acces în toate locurile unde entitatea supusă controlului își desfășoară activitatea, să solicite și să verifice în totalitate sau prin sondaj orice tip de documente, de orice natură, pe orice suport, care au sau pot avea legătură cu activitatea vizată de acțiunea de control, precum și rețelele și sistemele informatice de evidență, stocare și prelucrare a datelor, în prezența unui reprezentant al entității supuse controlului; … c)să ridice copii ale documentelor, situații centralizatoare, în orice format, pe orice suport, și să solicite note explicative scrise conducerii entității supuse controlului și oricărui angajat al acesteia; … d)să audieze personalul din cadrul entității supuse controlului în vederea atingerii obiectivelor controlului; … e)să solicite declanșarea imediată a demersurilor de remediere a anumitor deficiențe în situații de risc major sau care impun măsuri urgente. … (2)În exercitarea atribuțiilor ce îi revin, pe timpul controlului, la sediul entității supuse controlului, echipei de control îi va fi pus la dispoziție un spațiu adecvat pentru desfășurarea în bune condiții a activității de control. +
Articolul 26Obligațiile membrilor echipei de control(1)În exercitarea atribuțiilor ce îi revin, pe durata activității de control, la sediul entității supuse controlului, echipa de control, prin orice membru al său, are următoarele obligații:a)să prezinte planul de control și să se identifice prin delegația de control și cartea de identitate; … b)să cunoască specificul activităților pe care le îndeplinește entitatea supusă controlului; … c)să cunoască legislația și instrucțiunile incidente domeniului controlat pentru o evaluare justă a activităților derulate de către entitatea supusă controlului; … d)să argumenteze toate abaterile constatate, precizând instrucțiunile sau dispozițiile legale încălcate; … e)să propună măsuri proporționale cu faptele, fezabile și oportune, în vederea punerii în legalitate a situațiilor constatate; … f)să aibă o conduită demnă și o atitudine ireproșabilă, să nu lezeze în niciun fel personalitatea și demnitatea celor cu care vine în contact pe timpul controlului; … g)să dovedească obiectivitate și corectitudine în aprecierea activității celor controlați, stabilind persoanele responsabile, prin raportare la reglementările legale încălcate de acestea și atribuțiile din fișele posturilor; … h)să își organizeze în bune condiții munca, astfel încât să se încadreze în timpul stabilit pentru activitatea de control; … i)să nu omită și să nu ascundă documente care prin natura datelor și informațiilor pe care le conțin ar putea împiedica stabilirea situației reale la nivelul entității supuse controlului; … j)să păstreze confidențialitatea asupra datelor și informațiilor obținute și dispozițiilor referitoare la informațiile clasificate, cu respectarea prevederilor legale. … (2)Echipa de control manifestă pe întreaga durată a activității de control o atitudine neutră și asigură rolul preventiv și corectiv al controlului.(3)În cazul în care membrii echipei de control, în exercitarea atribuțiilor, iau cunoștință de săvârșirea unor fapte susceptibile de a fi infracțiuni, sunt obligați să sesizeze de îndată organul de urmărire penală și să ia măsuri pentru conservarea mijloacelor de probă; actul de sesizare, împreună cu mijloacele de probă, se înaintează organului competent, sub semnătura directorului DNSC.(4)În cazul în care membrii echipei de control, în exercitarea atribuțiilor, iau cunoștință de producerea unor pagube, au obligația să sesizeze conducătorul entității supuse controlului, în vederea declanșării cercetării administrative. +
Capitolul VDrepturile și obligațiile entității supuse controlului +
Articolul 27Drepturile entității supuse controluluiPe durata efectuării controlului, entitatea supusă controlului, prin orice reprezentant sau angajat al său, are următoarele drepturi:a)să beneficieze din partea echipei de control de un tratament just și echitabil, bazat pe un dialog instituțional constructiv; … b)să furnizeze echipei de control orice explicații pe care le consideră necesare în vederea clarificării unor situații identificate în timpul controlului; … c)să formuleze, după caz, puncte de vedere, în concordanță cu prevederile art. 21. … +
Articolul 28Obligațiile entității supuse controlului(1)Pe durata efectuării controlului, entitatea supusă controlului, prin orice reprezentant sau angajat al său, are următoarele obligații:a)să permită accesul echipei de control în toate locurile unde își desfășoară activitatea, inclusiv la toate documentele și aplicațiile informatice utilizate la nivelul entității supuse controlului; … b)să asigure desfășurarea în bune condiții a activității de control și să acorde sprijinul necesar, fără a obstrucționa desfășurarea controlului; … c)să pună la dispoziția echipei de control, la termenele și în forma solicitată, orice document solicitat, de orice natură, pe orice suport indicat de către echipa de control, în original sau copii certificate pentru conformitate cu originalul, după caz, inclusiv note explicative; … d)să colaboreze, în vederea determinării situațiilor de fapt, prin prezentarea în întregime a faptelor cunoscute și a tuturor documentelor justificative și să implementeze măsurile urgente dispuse de către echipa de control prin procesele-verbale întocmite. … (2)Pe durata efectuării activității de control, entitatea supusă controlului va pune la dispoziția echipei de control un spațiu adecvat pentru desfășurarea în bune condiții a activității de control. +
Capitolul VIDispoziții finale +
Articolul 29Precizări generale privind controalele(1)Controalele inițiate înainte de data intrării în vigoare a prezentelor norme se finalizează potrivit reglementărilor în vigoare aplicabile la data inițierii acestora.(2)Controalele se efectuează concomitent cu desfășurarea activităților curente de către entitățile supuse controlului, fără a afecta serviciile oferite de către acestea. +
Articolul 30Înregistrarea și fluxul documentelor(1)Documentele întocmite cu ocazia activităților premergătoare controlului, precum și cele întocmite pe timpul controlului se înregistrează la Direcția verificare și control, structura centrală de control.(2)Membrii comisiei de control sunt responsabili de înregistrarea și gestionarea documentelor pe timpul activității de control.(3)Actele, documentele sau orice informații, indiferent de suport, referitoare la activitatea de control, aflate în evidența Direcției verificare și control, au caracter confidențial. Caracterul confidențial nu poate fi opus organelor de urmărire penală ori instanțelor de judecată și nici altor instituții prevăzute de lege.(4)Documentele referitoare la organizarea și desfășurarea activității de control pot fi transmise/primite atât în format tipărit, prin curier/poștă, cât și electronic, prin intermediul mijloacelor electronice de comunicare.(5)Adresa de corespondență a DVC, structura centrală de control, este dgrc-control@dnsc.ro. +
Articolul 31Sprijin în activitatea de control(1)În exercitarea funcției de control și pentru realizarea atribuțiilor stabilite în sarcina sa, Direcția verificare și control poate solicita sprijinul unor autorități sau instituții publice cu atribuții în domeniul securității cibernetice, precum și al altor organe de specialitate ale statului, inclusiv prin constituirea unor echipe mixte de control, în limitele competenței și cu respectarea prevederilor legale care reglementează activitatea acestor structuri.(2)La întocmirea actului de control, Direcția verificare și control poate valorifica în conținutul acestuia informațiile, datele, documentele furnizate de organele și instituțiile prevăzute la alin. (1), cu respectarea prevederilor legale incidente. +
Articolul 32Aplicarea de sancțiuni(1)Înainte de aplicarea unei sancțiuni, în cazul descoperirii nerespectării de către o entitate supusă controlului a unei obligații prevăzute de Legea nr. 362/2018, OUG nr. 104/2021 sau de un act subsecvent emis de DNSC în aplicarea acestora, DNSC va transmite entității în cauză o notificare prin care îi aduce la cunoștință încălcarea constatată, măsurile cu caracter obligatoriu ce trebuie luate în vederea remedierii deficiențelor constatate și stabilește termenul de conformare, precum și sancțiunea aplicabilă.(2)Termenul de conformare se calculează începând cu data comunicării notificării de la alin. (1). +
Articolul 33Verificare modului de organizare și desfășurare a activității de control(1)Managerul securitate cibernetică al DVC este direct răspunzător de buna organizare, desfășurare și finalizare a activităților de control, potrivit prevederilor prezentelor norme.(2)Managerul superior securitate cibernetică al DGRC verifică modalitățile în care Direcția verificare și control organizează și desfășoară activitățile de control stabilite prin prezentele norme.(3)Nerespectarea prevederilor prezentelor norme de către membrii echipelor de control sau orice altă persoană angrenată în activități de verificare și control stabilite în baza Legii nr. 362/2018, a OUG nr. 104/2021 sau a actelor subsecvente acestora atrage răspunderea juridică a personalului, potrivit legii. +
Articolul 34AnexeAnexele nr. 1-3 fac parte integrantă din prezentele norme. +
Anexa nr. 1la norme
DIRECTORATUL NAȚIONAL DE SECURITATE CIBERNETICĂDIRECȚIA GENERALĂ REGLEMENTARE ȘI CONTROLDIRECȚIA VERIFICARE ȘI CONTROLNr. … din …NeclasificatAprob.Directorul Directoratului Național de Securitate Cibernetică,…………………………………………….AvizatManager superior de securitate cibernetică,Direcția generală reglementare și control,……………………………………………………..AvizatAdjunct al directorului Directoratului Național de Securitate Cibernetică,……………………………………………………..
PLAN DE CONTROL
| Nr. crt. |
Denumirea acțiunii |
Descriere/Caracteristici |
| 1. |
Tipul controlului |
|
| 2. |
Entitatea supusă controlului |
|
| 3. |
Scopul și obiectivele controlului |
Scop: …………………… Obiective: …………………… |
| 4. |
Perioada de activitate supusă controlului |
|
| 5. |
Componența comisiei de control |
Președinte: ……………….. Membri: ……………….. ……………….. |
| 6. |
Data începerii controlului și durata estimată de desfășurare a controlului |
|
Manager securitate cibernetică,
Direcția verificare și control,
…………………………………………….. +
Anexa nr. 2la norme
DIRECTORATUL NAȚIONAL DE SECURITATE CIBERNETICĂDELEGAȚIA DE CONTROL Seria ………. nr. ……….Domnul/Doamna ……………….(numele și prenumele)………….. din cadrul Directoratului Național de Securitate Cibernetică, posesor/posesoare al/a CI seria … nr. …,este delegat(ă) să desfășoare verificarea și controlul îndeplinirii obligațiilor de securitate cibernetică pentru spațiul cibernetic național civil.Baza legală: Normele de aplicare a dispozițiilor privind verificarea și controlul îndeplinirii obligațiilor de securitate cibernetică pentru spațiul cibernetic național civil, aprobate prin Ordinul directorului Directoratului Național de Securitate Cibernetică nr. 105/2022.Perioada de valabilitate: zz.ll.an-zz.ll.an.
Directorul Directoratului Național de Securitate Cibernetică,
……………………………………………………… +
Anexa nr. 3la norme
DIRECTORATUL NAȚIONAL DE SECURITATE CIBERNETICĂDIRECȚIA GENERALĂ REGLEMENTARE ȘI CONTROLDIRECȚIA VERIFICARE ȘI CONTROL
Nr. … din …
Neclasificat
Aprob.
Directorul Directoratului Național
de Securitate Cibernetică,
…………………………………………….
| Avizat Manager superior securitate cibernetică, Direcția generală reglementare și control, ……………………………………………. |
Avizat Adjunct al directorului Directoratului Național de Securitate Cibernetică, ……………………………………………………………… |
NOTĂ DE CONTROLÎntocmită în urma activității de control …………………..(tip control efectuat)…………………. desfășurate în perioada ………………………………….la ……………………………………………………….. , cuprinzând principalele concluzii rezultate și recomandări privind creșterea asigurării(entitatea supusă controlului) securității cibernetice la nivelul rețelelor și sistemelor informatice.Capitolul 1. Date generale și specifice…Capitolul 2. Starea de securitate cibernetică…Capitolul 3. Îndrumare, instruire și conștientizare…Capitolul 4. Deficiențe, nereguli și disfuncționalități constatate…Capitolul 5. Recomandări, măsuri și termene stabilite…
* * *Comisia de controlPreședinte ………………Membri ………………………………Entitatea supusă controluluiReprezentant legal …………………………..Responsabil NIS …………………………..Alte persoane …………………………..…………………………..
