NORME din 26 octombrie 2023

Notă …

Aprobate prin ORDINUL nr. 21.286 din 26 octombrie 2023 publicat în Monitorul Oficial al României, Partea I, nr. 1.000 din 3 noiembrie 2023.Capitolul I CONTEXT1.1Conceptul și valoarea interoperabilității … 1.2.Obiectivele NRRI … 1.3.Niveluri de interoperabilitate … Capitolul 2. DEFINIȚIICapitolul 3. OBLIGAȚII ȘI RESPONSABILITĂȚI ALE PARTICIPANȚILOR LA SCHIMBUL DE DATE3.1.Administratorul Platformei Naționale de Interoperabilitate (PNI)3.1.1.Responsabilități … 3.1.2.Modelul de gestionare a datelor. Registrele de bază … 3.1.3.Evaluarea impactului schimbărilor …  … 3.2.Administratorii registrelor de bază (autorități centrale sau locale sau alte entități publice) … 3.3.Administrația publică în calitate de utilizator al datelor furnizate prin PNI … 3.4.Utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entități care pot interoga registrele de bază prin PNI … Capitolul 4 PROCEDURA DE CONECTARE ȘI PARTICIPARE LA PLATFORMA NAȚIONALĂ DE INTEROPERABILITATE ȘI A SCHIMBULUI DE DATE4.1.Înregistrarea și autentificarea participanților în cadrul PNI4.1.1.Reguli generale … 4.1.2.Procedura de conectare a registrelor de bază la infrastructura informatică a PNI … 4.1.3.Procedura de încetare a accesului registrelor de bază la infrastructura informatică a PNI … 4.1.4.Procedura de conectare a administrației publice în calitate de utilizator la infrastructura informatică a PNI …  … 4.2.Contractul de schimb furnizare de date prin PNI – între administrator și utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, instanțe judecătorești, alte entități care pot interoga registrele de bază prin PNI … 4.3.Accesul la registrele de bază … 4.4.Catalogul de API-uri4.4.1.Definire catalog API … 4.4.2.Corelarea informațiilor …  … 4.5.Catalogul Național Semantic (semantic.gov.ro) … Capitolul 5 STANDARDE TEHNICE5.1.Standardele tehnice de interoperabilitate … 5.2.Utilizarea standardelor … 5.3.Standarde de interoperabilitate tehnică pentru modelele de date … 5.4.Standarde pentru conectarea prin API … 5.5.Standarde de autentificare …  + 
Capitolul ICONTEXTScopul elaborării Normelor de Referință pentru Realizarea Interoperabilității în domeniul tehnologiei informației și al comunicațiilor, denumite în continuare NRRI, este acela de a orienta autoritățile și instituțiile publice centrale și locale, dar și persoanele juridice de drept privat, pentru a simplifica efortul acestora în scopul asigurării interoperabilității sistemelor de comunicații și a sistemelor informatice din ecosistemul de aplicații al administrației publice.Urmărind o abordare cuprinzătoare, NRRI își propun să definească reguli și standarde tehnice ca bază pentru interoperabilitatea și compatibilitatea platformelor, aplicațiilor, sistemelor informatice existente sau care urmează să fie dezvoltate, precum și pentru standardizarea proceselor și a datelor.NRRI stabilesc condițiile și termenii de conformitate sub forma unui nucleu tehnic și semantic comun, la care autorități și instituții ale administrației publice trebuie să se alinieze, în conformitate cu dispozițiile prevăzute la art. 4, capitolul II al Legii nr. 242/2022 privind schimbul de date între sisteme informatice și crearea Platformei naționale de interoperabilitate, cadru legislativ de referință în materie.Un alt obiectiv fundamental al acestor norme este acela de a stabili practici și proceduri de cooperare pentru autoritățile centrale și locale, în vederea coordonării cooperării privind gestionarea și schimbul de date în administrația publică și dezvoltarea de servicii ITC interinstituționale. Obiectivul final al cooperării este de a oferi cetățenilor și mediului de afaceri servicii publice integrate și ușor de accesat și de le a reduce sarcina administrativă la accesarea serviciilor publice naționale. Mai mult, cooperarea va reprezenta îndeplinirea obiectivelor Legii nr 242/2022 privind schimbul de date între sisteme informatice și crearea Platformei naționale de interoperabilitate, și va ajuta la dezvoltarea practicilor organizaționale de gestionare a datelor în administrația publică precum și a serviciilor tehnice de schimb de date. Modificările și impactul acestora vor fi monitorizate în cadrul cooperării interinstituționale stabilite prin aceste norme de referință.NRRI urmăresc alinierea la arhitectura europeană dedicată interoperabilității, pe axele fundamentale – identitate digitală, servicii electronice, portalul unic digital cu componenta eDelivery, instituite prin Regulamentul elDAS – Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/ și Regulamentul Single Digital Gateway – Regulamentul (UE) 2018/1724 al Parlamentului European și al Consiliului din 2 octombrie 2018 privind înființarea unui portal digital unic (gateway) pentru a oferi acces la informații, la proceduri și la servicii de asistență Și de soluționare a problemelor și de modificare a Regulamentului (UE) nr. 1024/2012.Concentrându-se pe tehnologii în continuă schimbare, NRRI 1.0 este un document care va evolua și care va fi supus unor actualizări regulate. În următoarea versiune a documentului, după operaționalizarea platformei informatice PNI, se vor detalia procedurile și metodologiile aplicabile, inclusiv cele aplicabile persoanelor juridice de drept privat (conectare, deconectare, modalități de plată etc).1.1.Conceptul și valoarea interoperabilitățiiFără o standardizare semnificativă, fiecare sistem informatic ar avea nevoie de un efort suplimentar pentru a putea comunica sau partaja date și informații cu un altul. Într-un astfel de mediu insular tehnologic este foarte dificil să se realizeze o monitorizare reală a activității.Interoperabilitatea reprezintă capacitatea unor organizații distincte și diverse de a interacționa în scopul realizării unor obiective care aduc beneficii reciproce și sunt convenite mutual, care implică partajarea de informații și cunoștințe între organizații prin intermediul proceselor profesionale pe care acestea le sprijină, utilizând schimbul de date între respectivele sisteme informatice deținute de acestea.Interoperabilitatea optimă a sectorului public permite un schimb de date mai eficient și mai sigur pentru a furniza servicii publice neîntrerupte. Un nivel scăzut de interoperabilitate face ca cetățenii și întreprinderile să se confrunte cu sarcini administrative inutile, iar administrațiile publice să aibă de suportat costuri mai mari. Primul avantaj al interoperabilității sistemelor este costul mic, însă proiectarea, stabilirea, dezvoltarea, operarea și întreținerea acestora implică alegeri comune de standarde, de modele de schimb de informații, alegeri semantice comune. Pentru a facilita transferul de informații și date este obligatorie introducerea și adoptarea de standarde digitale coerente în cadrul diferitelor procese și proceduri. De asemenea, este necesară specificarea și documentarea detaliată a acestora.Acest lucru va elimina situația în care aceleași date sunt partajate prin protocoale de transfer diferite între diverse instituții și departamente. Mai mult, modelarea uniformă a datelor va permite trecerea de la partajarea datelor de tip nestructurat (.pdf, .jpg) la partajarea datelor de tip structurat în mesaj criptat.Doar alegerea unui standard nu rezolvă, însă, aspectele complexe legate de interoperabilitate. În plus, uneori, modul de punere în aplicare a unui standard poate crea dificultăți, care pot conduce, chiar, la reducerea interoperabilității între sisteme. Specificațiile standardelor nu pot prevedea toate cazurile sau nevoile de punere în aplicare, prin urmare, este certă necesitatea de a menține și utiliza standarde eficiente, fără ca acest lucru să împiedice evoluția sistemelor în cauză sau cercetarea și mai ales inovarea.Politicile și standardele naționale și internaționale relevante cu privire la interoperabilitate nominalizate în NRRI trebuie revizuite periodic. De asemenea, trebuie analizat, încă de la început, cât de bine susține ecosistemul actual identitatea entității, managementul înregistrărilor și calitatea datelor.NRRI iau în considerare și acordurile de partajare a datelor, care trebuie să abordeze, în mod specific, provocările și echitatea serviciilor interinstituționale, precum și a celor care partajează informații cu entitățile private.NRRI stabilește repere pentru politica de guvernanță a datelor și pentru implementarea tehnică a soluțiilor de partajare care, în mod obligatoriu, nu trebuie să aibă un impact negativ asupra calității sau siguranței prestării serviciilor publice sau asupra capacității administrației publice de a satisface interesul public. Atât stabilirea regulilor privind guvernanța și a semanticii, cât și alegerea modalității de conjugare a standardelor de interoperabilitate, a arhitecturilor, dar și a soluțiilor (componente, software, infrastructură) sunt la fel de importante. Atunci când mulți actori sunt implicați în proiectarea, definirea și caracterizarea interfețelor dintre sisteme, este important să se adopte o abordare normativă, precum NRRI.NRRI identifică, astfel, în această primă versiune, versiunea 1.0, doar standardele esențiale și principiile care stau la baza interoperabilității. Prin urmare, NRRI, care va fi gestionat în mod agil, se limitează în acest moment la stabilirea unor reguli minimale în mod voluntar, cu scopul de a evita proliferarea costisitoare a alegerilor eterogene. Această primă versiune va fi revizuită periodic cu sprijinul tuturor entităților implicate, precum și prin consultarea cu comunitatea ITC. … 1.2.Obiectivele NRRILa elaborarea NRRI au fost avute în vedere următoarele obiective:a)Cooperarea – Facilitarea cooperării între diferitele aplicații de guvernare electronică pentru a reuși un schimb eficient de informații și date între guvern și cetățeni, întreprinderi și alți parteneri … b)Reutilizarea – Reutilizarea modelelor de procese și de date, a sistemelor, serviciilor și componentelor în diverse proiecte de guvernare digitală pentru a genera sinergii și a reduce costuri; … c)Utilizarea de standarde deschise – Includerea de standarde deschise în aplicațiile de guvernare digitală pentru a promova capacitatea de utilizare pe termen lung a acestora; … d)Reducerea costurilor și a riscurilor – creșterea eficienței și reducerea costurilor din sectorul public din România prin modernizarea administrației; … e)Scalabilitatea – Asigurarea capacității de utilizare a aplicațiilor pe măsură ce cerințele se modifică în ceea ce privește volumul și frecvența tranzacțiilor; … f)Integritatea, coerența și disponibilitatea datelor – Asigurarea validității, consecvenței, acurateții și consistenței datelor, inclusiv asigurarea continuă (fără întreruperi) a datelor/informațiilor/documentelor și a resurselor de infrastructură necesare activităților specifice curente; … g)Dreptul de acces la informații prin platforma PDUro – În contextul guvernării digitale, dreptul de acces se referă la capacitatea cetățenilor de a obține și de a vizualiza informațiile și datele lor personale procesate prin intermediul unei platforme digitale specifice, în acest caz, Punctul Digital Unic al României (PDUro). Acest drept este fundamental în reglementările privind protecția datelor, cum ar fi GDPR, și este esențial pentru asigurarea transparenței și a responsabilității. Acesta permite cetățenilor să cunoască ce date personale sunt deținute și accesate de organizații și cum sunt utilizate, să verifice exactitatea datelor și să solicite corectarea sau ștergerea acestora, dacă este cazul. În plus, poate oferi oportunități pentru cetățeni de a interacționa mai eficient cu guvernul, de a accesa serviciile publice digitale; … h)Dreptul de a fi informat/notificat prin Platforma de Jurnalizare și Notificare (PJN) – Datele tranzacționate prin PNI vor fi jurnalizate prin Platforma de Jurnalizare și Notificare (PJN) și fiecare cetățean va putea fi informat/notificat atunci când datele sale sunt accesate. …  … 1.3.Niveluri de interoperabilitateUn schimb reușit între părțile interesate necesită luarea în considerare a diferitelor aspecte care pot fi definite ca "niveluri de interoperabilitate", în acord cu Cadrul european și național de interoperabilitate.Fiecărui nivel îi corespund standarde și principii la care părțile trebuie să se alinieze pentru a concepe și a efectua schimburi eficiente. + 
Nivelul juridicSchimburile de date trebuie să respecte: cadrul juridic de care depind părțile interesate (dreptul național și internațional, proprietatea intelectuală, confidențialitatea etc.) sau acordurile contractuale între părțile interesate (modalități de schimb, niveluri de servicii etc.). În ceea ce privește autoritățile și instituțiile publice nivelul juridic vizează asigurarea faptului că diversele cadre juridice în temeiul cărora funcționează diferite organizații nu împiedică furnizarea de servicii publice neîntrerupte.Primul pas spre abordarea interoperabilității juridice este de a efectua "verificări ale interoperabilității" prin examinarea legislației existente în vederea identificării barierelor în calea interoperabilității: restricții sectoriale sau geografice privind utilizarea și stocarea datelor, modele de licențe de date diferite și vagi, obligații prea stricte de a utiliza tehnologii digitale sau moduri de livrare specifice pentru furnizarea serviciilor publice, cerințe contradictorii pentru procese operaționale identice sau similare sau nevoi de securitate și protecție a datelor depășite etc.Coerența actelor legislative, în vederea asigurării interoperabilității, trebuie să fie evaluată înainte de adoptare. Cetățenii români, ca și cetățenii europeni, au așteptări în ceea ce privește accesarea unor servicii publice ușor mai ales prin intermediul canalelor digitale. În acest context, tehnologiile TIC și interoperabilitatea sistemelor ce urmează a fi dezvoltate cu cele deja existente trebuie luate în considerare cât mai devreme posibil în procesul de elaborare a legilor.În special legislația trebuie supusă unei "verificări digitale":● pentru a asigura că aceasta este adecvată nu numai fizic, ci și în mediul digital;● pentru a identifica orice obstacole în calea transferului digital;● pentru a identifica și a evalua impactul TIC asupra părților interesate.Acest fapt va facilita interoperabilitatea între serviciile publice digitale la niveluri inferioare (semantic și tehnic) și, de asemenea, va crește potențialul de reutilizare a soluțiilor TIC existente, contribuind astfel la reducerea timpului și a costurilor necesare implementării. + 
Nivelul organizaționalReprezintă coordonarea eficace între diferitele organisme din sectorul public de la toate nivelurile de guvernare în ceea ce privește furnizarea de servicii publice. Interoperabilitatea organizațională este legată de organizații și procese, în special acelea care sunt puse în aplicare pentru a promova și a opera schimburile de informații. Aceasta se referă, de asemenea, la competențele și cunoștințele asociate cu funcționarea acestor organizații. În practică, interoperabilitatea organizațională înseamnă documentarea și integrarea sau alinierea proceselor operaționale și a informațiilor relevante schimbate. Interoperabilitatea organizațională presupune totodată îndeplinirea cerințelor comunității de utilizatori prin oferirea unor servicii disponibile, accesibile și centrate pe utilizator.1.Importanța alinierii proceselor operaționalePentru furnizarea serviciilor publice este necesar ca diferitele autorități și instituții publice să poată colabora eficient și eficace. În acest context, procesele operaționale existente trebuie, fie aliniate la nivelul acestor instituții, fie trebuie redefinite și aplicate procese operaționale noi.Alinierea proceselor operaționale presupune documentarea acestora conform standardelor tehnice și cu ajutorul unor tehnici de modelare a datelor stabilite de prezentul act, astfel încât toate autoritățile și instituțiile publice participante la furnizarea serviciilor publice să poată înțelege ansamblul procesului operațional și rolul care le revine în cadrul acestuia. … 2.Importanța relațiilor organizaționaleAutoritățile și instituțiile publice trebuie să fie orientate către serviciu urmărind să clarifice și să formalizeze relațiile organizaționale în vederea creării și furnizării serviciilor publice. Relația dintre furnizorii serviciului și clienții serviciului trebuie definită strategic prin găsirea de instrumente pentru formalizarea asistenței reciproce, a acțiunilor comune și pentru interconectarea proceselor operaționale ca parte a furnizării serviciului. Această formalizare poate lua forma unor acorduri asupra nivelului de servicii, pe model european sau național.În ceea ce privește organizarea, de exemplu, este vorba despre definirea rolurilor și responsabilităților persoanelor care participă la acest schimb în cadrul entității lor. În ceea ce privește procesul, este vorba de a defini cine trimite datele, când, dar și modul în care rolurile și responsabilitățile sunt împărțite între diferitele părți ale organizațiilor. …  + 
Nivelul semanticInteroperabilitatea semantică reprezintă procesul prin care fiecare sistem poate înțelege informațiile primite de la alte sisteme, iar informațiile pot fi utilizate și interpretate fără ambiguitate. De asemenea, este necesară stocarea informațiilor, utilizând o modalitate comună de organizare și interpretare a datelor stocate la Utilizator al Serviciilor de Cloud. Astfel, se asigură faptul că formatul și semnificația datelor și a informațiilor, care fac obiectul schimburilor de date, sunt păstrate și înțelese în cadrul oricărui schimb între părți.Aceasta implică utilizarea unor programe specifice de codificare și mesagerie. De asemenea, este necesară stocarea informațiilor, utilizând o modalitate comună de organizare a datelor. Semantica acoperă atât semnificația cuvintelor, relația dintre înțelesul cuvintelor cât și ciclul de viață al unei informații, regulile sale de agregare sau descompunere etc. Însemnătatea cuvintelor variază în funcție de organizații, profesii, actori și contexte. Orice colaborare între entități necesită comunicare, în sensul unui schimb de informații. În acest scop, aceste entități convin asupra semnificației datelor pe care le schimbă și asupra contextului schimbului respectiv Interoperabilitatea semantică se referă așadar atât la aspecte semantice, cât și sintactice:● aspectul semantic se referă la sensul elementelor de date și la relațiile dintre acestea. Acesta include dezvoltarea unor vocabulare și scheme pentru descrierea schimburilor de date și garantarea înțelegerii elementelor de date în același mod de către toate părțile care comunică;● aspectul sintactic se referă la descrierea formatului exact al informațiilor care urmează să fie schimbate din punct de vedere gramatical, al formatului și al modelelor.Pentru a realiza interoperabilitatea semantică datele și informațiile trebuie înțelese ca un bun public de valoare și gestionarea acestora trebuie realizată în acord cu prezentul act. Acesta va stabili referențialul datelor sub formă de taxonomii și vocabulare controlate, liste de coduri și structuri/modele de date reutilizabile. + 
Nivelul tehnic: protocol de schimb și sintaxăInteroperabilitatea tehnică se referă la capacitatea tehnică de interconectare a sistemelor informatice cu scopul de a comunica și a schimba date într-un mod consistent și eficient. Aceasta include specificațiile de interfață, serviciile de interconectare, serviciile de integrare a aplicațiilor, a datelor, serviciile de securitate, accesibilitate, prezentarea și schimbul de date etc.. Nivelul tehnic se referă la protocoalele de schimb de date și la formatele acestora, dar și la condițiile și formatele pentru "stocarea" acestor date. În mod uzual, acest nivel este abordat din două unghiuri. Astfel, vorbim despre "protocol de schimb" pentru tot ceea ce este legat de fluxul de date și, prin urmare, de "magistrala" pe care circulă datele și despre "sintaxă", pentru tot ceea ce privește formatele tehnice care permit transmiterea datelor (structura lor, codificarea etc), indiferent de semnificația lor tratată la nivel semantic.Conformitatea cu NRRIToate autoritățile publice și entitățile private care se integrează cu PNI sunt obligate să urmeze recomandările NRRI. Astfel, rolul fiecărei autorități administrative sau entități private este de a se alinia la NRRI pentru a proiecta, crea și menține sisteme interoperabile, respectiv de a interoga date/informații integrate. …  + 
Capitolul 2DEFINIȚIIÎn sensul prezentelor norme de referință, termenii și expresiile de mai jos au următoarele semnificații:a)date structurate – date organizate care au o lungime și un format definite corespunzător unui proces de procesare automată, stocate într-un format predefinit, de obicei tabelar, dar și în formate de tip ierarhic sau rețea; în cazul datelor în format tabelar, valorile sunt organizate secvențial pe rânduri și coloane, conform art. 2 alineatul h) din Legea nr. 179 din 9 iunie 2022 privind datele deschise și reutilizarea informațiilor din sectorul public; … b)document – orice conținut informațional sau orice parte a unui astfel de conținut, indiferent de forma de stocare a datelor, pe hârtie, în formă electronică sau sub formă de înregistrare audio, video sau audiovizuală, în înțelesul NRRI conform art. 2 alineatul i) din Legea nr. 179 din 9 iunie 2022 privind datele deschise și reutilizarea informațiilor din sectorul public; … c)interfețele de programare a aplicației (API) – set de funcții, proceduri, definiții și protocoale pentru comunicarea dintre mașini și schimbul fără sincope de date, definiție potrivit conform art. 2 alineatul p) din Legea nr. 179 din 9 iunie 2022 privind datele deschise și reutilizarea informațiilor din sectorul public; … d)metadate – informații structurate care descriu, explică, localizează sau facilitează regăsirea, utilizarea sau gestionarea unei resurse de informații; sunt adesea numite date despre date sau informații despre informații. Metadatele oferă informații care permit înțelegerea datelor – ex. documente, imagini, seturi de date; concepte – ex. scheme de clasificare; entități din lumea reală – ex. oameni, organizații, locuri, picturi, produse, conform art. 2 alineatul u) din Legea nr. 179 din 9 iunie 2022 privind datele deschise și reutilizarea informațiilor din sectorul public; … e)date reutilizate – datele deținute de către organisme din sectorul public, utilizate de către persoane fizice sau juridice în scopuri comerciale sau necomerciale diferite de scopul inițial pentru care au fost produse, scop care decurge din misiunea lor de serviciu public, cu excepția schimbului de date care are loc între organismele din sectorul public strict în contextul îndeplinirii misiunii lor de serviciu public; … f)organisme de drept public – definiție potrivit art. 4 alin. (2) din Legea nr. 98/2016 privind achizițiile publice, cu modificările și completările ulterioare; … g)servicii publice – definite potrivit art. 5 lit. kk) din Ordonanța de urgență a Guvernului nr. 57/2019, cu modificările și completările ulterioare. … h)catalog semantic – colecție organizată și structurată de ontologii și scheme semantice utilizate într-un domeniu specific sau într-o organizație. Catalogul semantic servește drept resursă centrală pentru gestionarea și accesul la ontologii și scheme semantice utilizate în cadrul unei infrastructuri de interoperabilitate. … i)REST API (Representational State Transfer Application Programming Interface) – stil arhitectural bazat pe protocolul HTTP care facilitează schimbul de informații și managementul resurselor între două sau mai multe sisteme informatice, folosind standarde de comunicare sigure și eficiente. … j)RDF (Resource Description Framework) – standard W3C pentru reprezentarea informațiilor semantice utilizând tripleți sub formă de subiect-predicat-obiect. RDF permite descrierea și interconectarea informațiilor într-un mod standardizat și interoperabil. … k)OWL (Web Ontology Language) – standard W3C pentru descrierea ontologiilor web. OWL permite definirea relațiilor complexe și a restricțiilor într-o ontologie, facilitând interogarea și inferența asupra informațiilor semantice. … l)SPARQL (SPARQL Protocol and RDF Query Language) – standard W3C pentru interogarea datelor RDF. SPARQL oferă un limbaj de interogare flexibil și puternic, care permite extragerea informațiilor din surse de date RDF și interoperabilitatea între sistemele care utilizează RDF. … m)OData (Open Data Protocol) – protocol și un set de standarde care permit accesul și manipularea datelor prin intermediul serviciilor web RESTful. OData facilitează interoperabilitatea între diferitele aplicații și sisteme care utilizează servicii web. … n)JSON-LD (JSON for Linked Data) – format de serializare a datelor semantice în format JSON. JSON-LD permite reprezentarea informațiilor semantice utilizând structura JSON, ceea ce facilitează integrarea datelor semantice în aplicații și sisteme care utilizează JSON. … o)OAUTH 2.0 (Open Authorization) – standard deschis (RFC 6749) folosit pentru delegarea drepturilor de acces, în principal de către deținătorii de resurse ca o modalitate de a oferi unui client [aplicație] acces delegat securizat la resursele serverului, prin intermediul unui token de acces. … p)JWT (JSON Web Token) – standard deschis (RFC 7519) care definește o modalitate compactă și autonomă de transmitere în siguranță a informațiilor între părți ca obiect JSON. Aceste informații pot fi verificate și de încredere, deoarece sunt semnate digital. …  + 
Capitolul 3OBLIGAȚII ȘI RESPONSABILITĂȚI ALE PARTICIPANȚILOR LA SCHIMBUL DE DATEEntitățile care participă la schimbul de date prin PNI:1)administratorul PNI – Autoritatea pentru Digitalizarea României (ADR) … 2)administratorii registrelor de bază: autorități publice centrale sau locale, alte entități publice … 3)autorități publice centrale sau locale în calitate de utilizator al datelor care provin din alte registre de bază decât cele administrate de respectiva autoritate publică centrală sau locală … 4)utilizatorii persoane juridice de drept privat, persoanele care exercită profesii liberale reglementate, și alte entități care pot interoga registrele de bază prin PNI. … Participanții la schimbul de date pot avea simultan rol de furnizor și de consumator de date, conform al. 5, art 13 al Legii 242/2022 privind privind schimbul de date între sisteme informatice și crearea Platformei naționale de interoperabilitate.Administratorul PNI, utilizatorul și administratorii registrelor de bază trebuie să își desfășoare activitatea în conformitate cu dispozițiile prevăzute în prezentele NRRI.Toate etapele interacțiunii participanților, cu și prin intermediul infrastructurii PNI, se consideră a fi făcute în temeiul Legii 242/2022 privind schimbul de date între sisteme informatice și crearea platformei naționale de interoperabilitate și al HG 908/2017 pentru aprobarea Cadrului Național de Interoperabilitate.3.1.Administratorul Platformei Naționale de Interoperabilitate (PNI)3.1.1.ResponsabilitățiÎn calitate de administrator al Platformei Naționale de Interoperabilitate, Autoritatea pentru Digitalizarea României (ADR):1)se asigură că sunt înțelese responsabilitățile participanților în vederea punerii în aplicare a prevederilor ce vizează gestionarea datelor primare prevăzute în Legea 242/2022 privind schimbul de date între sisteme informatice și crearea Platformei naționale de interoperabilitate; … 2)se asigură că personalul propriu deține cunoștințele necesare și asigură utilizarea eficientă a instrumentelor aferente punerii în aplicare a obligațiilor care îi revin în ceea ce privește gestionarea informațiilor/documentelor și infrastructurii PNI; … 3)se asigură că este efectuată instruirea personalului și a terțelor părți care acționează în numele administratorului PNI, cu privire la reglementările și instrucțiunile în vigoare privind gestionarea informațiilor, prelucrarea datelor, accesul public la documente etc; … 4)se asigură că dispune de instrumente adecvate pentru punerea în aplicare a obligațiilor privind gestionarea informațiilor; … 5)desfășoară o supraveghere adecvată a respectării reglementărilor, normelor și instrucțiunilor referitoare la gestionarea informațiilor; … 6)sunt garantate nivelurile de servicii convenite cu participanții la schimbul de date, și se asigură că sunt luate măsurile necesare pentru menținerea nivelurilor de servicii convenite; … 7)propune actualizarea NRRI și informează în timp util părțile implicate de eventuale modificări; … 8)administrează Registrul Național al Registrelor (RNR), componentă a PNI; … 9)asigură dezvoltarea continuă a componentelor tehnice a PNI; … 10)asigură buna funcționare a tuturor componentelor PNI, inclusiv prin implementarea măsurilor de disponibilitate înaltă; … 11)stabilește și menține setul de cerințe de securitate pentru participanții la schimbul de date; … 12)asigură conectarea participanților la schimbul de date din domeniul public și cel privat la PNI conform solicitărilor și în conformitate cu cerințele de securitate; … 13)dezvoltă și menține Catalogul Național Semantic, care are funcționalități pentru gestiunea activelor semantice de către posesorii acestor active; … 14)monitorizează procesul de schimb de date și asigură jurnalizarea evenimentelor de schimb de date. … 15)asigură crearea posibilității ca utilizatorii să înainteze propuneri de îmbunătățire a fluxurilor și a platformei în sine. …  … 3.1.2.Modelul de gestionare a datelor. Registrele de bazăAdministratorul PNI, în colaborare cu administratorii registrelor de bază, elaborează un model de gestionare a registrelor de bază, care să asigure coerența informațională și disponibilitatea datelor pentru a implementa interoperabilitatea între sistemele informatice și resursele informaționale și pentru a menține securitatea informațiilor.Modelul de gestionare a datelor va fi realizat pentru a planifica și implementa ușor servicii de e- guvernare, pentru a pune în aplicare drepturi și restricții privind accesul la date, pentru a reduce colectarea de mai multe ori a acelorași date, reducând astfel sarcina administrativă a autorităților competente, dar și a cetățenilor și mediului de afaceri.Documentarea Registrelor de bază trebuie să includă cel puțin următoarele informații:a)baza legală, denumirea sistemului informatic care gestionează registrul de bază, autoritatea responsabilă de sistemul informatic, scopul utilizării sistemului informatic, relaționarea cu alte registre de bază, terminologie, acces la date, conectarea sistemului informatic la alte sisteme informatice și metodele de transfer de date utilizate pentru conectare (descrierea API-urilor de acces, a IP- urilor, regulile de securitate a informațiilor), servicii furnizate, regulile de utilizare a datelor, categoriile cheie de date (metadate) din seturile de date, condițiile de divulgare a datelor și perioadele de stocare a datelor; … b)descrierea proceselor colectării datelor și a schimbului de date, valabilitatea datelor, inclusiv perioada și condițiile de actualizare a registrului; … c)descrierea legăturilor dintre sursele de date și modalitatea de conformare la Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), denumit în continuare GDPR; … d)instituțiile și autoritățile publice care au acces la aceste date; … e)metode utilizate pentru autentificarea și autorizarea accesului utilizatorilor la date și la schimbul de date; …  … 3.1.3.Evaluarea impactului schimbărilorAtunci când se planifică anumite reforme administrative, care pot să afecteze conținutul modelului de gestionare a datelor și punerea în aplicare a sistemelor informatice în PNI, efectele acestor modificări asupra sistemului PNI vor fi evaluate de ADR în calitate de administrator al PNI, în raport cu responsabilitățile de gestionare a datelor, cerințele și măsurile de securitate a informațiilor.În evaluarea modificărilor în gestionare a datelor, administratorul PNI ține seama de interoperabilitatea și de gradul de utilizare a resurselor de date existente, în vederea asigurării continuității în ceea ce privește utilizarea seturilor de date existente și constituirea viitoarelor modele de date interoperabile.Administratorul PNI trebuie informat de administratorii registrelor de bază, anterior cu cel puțin 30 de zile, cu privire la toate și oricare modificări referitoare la resursele de date pentru actualizarea registrelor și a PNI.Pe baza evaluării, administratorul platformei ia măsurile necesare pentru a modifica modelul de gestionare a datelor și pentru a pune în aplicare modificările, în termen de 60 zile de la data notificării corespunzătoare.În calitate de administrator al Registrului Național al Registrelor (RNR), ADR va introduce, la cerere, noi registre de date în RNR, numai după verificarea următoarelor precondiții:a)există o cerere de introducere a unui nou registru de bază în RNR, formulată de către un solicitant eligibil; … b)registrul public propus nu colectează date care sunt deja colectate ca date primare în alte registre de bază; … c)registrul de date respectă toate regulile și standardele de interoperabilitate prevăzute în NRRI și Legea nr. 242/ 2022 privind schimbul de date între sisteme informatice și crearea Platformei naționale de interoperabilitate; … d)proprietarul datelor justifică necesitatea constituirii respectivului registru ca parte a arhitecturii de interoperabilitate a serviciilor publice digitale naționale; … e)respectarea procedurii prevăzute de art. 7(2) din Legea 242/2022 privind schimbul de date între sisteme informatice și crearea Platformei naționale de interoperabilitate. …  …  … 3.2.Administratorii registrelor de bază (autorități centrale sau locale sau alte entități publice)Entitățile care administrează unul sau mai multe registre de bază au următoarele drepturi și obligații:1)să identifice și să definească propriile responsabilități și sarcini care decurg din punerea în aplicare a Legii nr. 242/2022 privind schimbul de date între sisteme informatice și crearea Platformei Naționale de Interoperabilitate și să le comunice administratorului platformei; … 2)să ofere instrucțiuni actualizate pentru prelucrarea seturilor de date, utilizarea sistemelor informatice, drepturile de prelucrare a datelor, punerea în aplicare a responsabilităților de gestionare a informațiilor și pentru drepturile de acces la informații, măsurile de securitate a datelor și pregătirea pentru situații excepționale; … 3)să pună la dispoziție instrumente adecvate pentru punerea în aplicare a obligațiilor legate de registrele de bază; … 4)să organizeze supravegherea adecvată a respectării dispozițiilor, reglementărilor și instrucțiunilor referitoare la administrarea registrelor de bază; … 5)să proiecteze sistemele informatice, structurile de date ale resurselor informaționale și prelucrarea datelor aferente utilizând standarde deschise compatibile cu cele prevăzute de prezentele Norme, astfel încât accesul la date să poată fi pus în aplicare; … 6)să desemneze un responsabil pentru fiecare din registrele de bază prevăzute în RNR și să organizeze programe de formare profesională pentru a se asigura că personalul și cei care acționează în numele administratorului registrului de bază au cunoștințe adecvate cu privire la dispozițiile, reglementările și instrucțiunile aferente procesului de gestionare a informațiilor, în vigoare, referitoare la gestionarea informațiilor, prelucrarea datelor, publicarea și securitatea și confidențialitatea documentelor; … 7)să se asigură că datele jurnalizate necesare a fi utilizate cu privire la sistemele sale informatice sunt folosite doar în scopul de a monitoriza utilizarea informațiilor sau de a investiga potențialele erori tehnice; … 8)să notifice administratorul PNI anterior cu cel puțin 90 de zile asupra oricărei modificări intervenite în structura registrului de bază, a fluxurilor etc. … 9)să asigure funcționarea neîntreruptă a registrului/registrelor de bază de care sunt responsabili, parte a Registrului Național al Registrelor, inclusiv prin aplicarea măsurilor de disponibilitate înaltă. …  … 3.3.Administrația publică în calitate de utilizator al datelor furnizate prin PNIPentru interogarea registrelor de bază, autoritățile și instituțiile administrației publice au obligația de a utiliza doar PNI pentru accesarea datelor necesare furnizării serviciilor publice. Autoritățile și instituțiile administrației publice sunt obligate să asigure prestarea serviciilor publice fără a solicita documente suplimentare, care conțin informații disponibile prin PNI sau în scopul obținerii unor date, care pot fi furnizate prin intermediul PNI.Autoritățile și instituțiile administrației publice care oferă servicii publice nu au dreptul să solicite persoanelor fizice și juridice dovezi sau certificări ale datelor deja colectate sau disponibile prin PNI sau create de către administratorii registrelor de bază. Datele utilizate în furnizarea serviciilor publice trebuie preluate exclusiv din registrele de bază disponibile prin intermediul platformei.Instituțiile publice pot reutiliza sau distribui date pe care persoanele fizice și juridice le-au furnizat unei autorități și instituții ale administrației publice, în conformitate cu Regulamentul (UE) 2022/868 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor).Distribuirea sau reutilizarea informației se va realiza într-o manieră transparentă și securizată, cu respectarea Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.Instituțiile și autoritățile publice au obligația de a-și schimba procedurile de lucru, conform recomandărilor din Capitolul 1.3 Niveluri de interoperabilitate, pentru a presta serviciile publice aflate în responsabilitatea lor, exclusiv în baza datelor ce pot fi obținute prin platforma de interoperabilitate. … 3.4.Utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entități care pot interoga registrele de bază prin PNIPentru interogarea registrelor de bază și accesarea datelor prin PNI, persoanele juridice de drept privat și persoanele care exercită profesii liberale, precum și alte entități abilitate de lege, care au încheiat un contract de schimb de date cu administratorul PNI, vor putea utiliza Platforma Națională de Interoperabilitate (PNI).Administratorul PNI va crea, în PNI, conturi de utilizator, care vor conține formele (modelul) de aplicare/autentificare ale acestor entități.Entitățile vor completa o cerere utilizând modalitățile puse la dispoziție de către Administratorul PNI special în acest scop.În procesul de evaluare și verificare a solicitării de acces la PNI, formulat de către persoanele juridice de drept privat, Administratorul PNI va urmări:– conformitatea tehnică a sistemelor informatice; … – oportunitatea interacțiunii cu registrele de bază furnizate de administrația publică, în funcție de valoarea datelor de care dispune și a nevoii de a interconecta persoana juridică de drept privat și autoritățile și instituțiile publice; … – potențiala valorificare a datelor deținute de persoana juridică de drept privat pentru cetățean, precum și contextul legislativ european și/sau național. … Solicitarea de conectare sau deconectare a persoanelor juridice de drept privat la PNI va fi analizată și evaluată din punct de vedere tehnic de către reprezentanții Administratorului PNI împreună cu reprezentanții administratorilor registrelor de bază. Criteriile de evaluare vor fi stabilite de reprezentanții mai sus menționați după operaționalizarea platformei informatice PNI.Validarea solicitării se va face direct în platformă, prin semnarea electronică (semnătură electronică calificată) a unui contract de schimb de date, de către utilizator și administratorul platformei, după care administratorul PNI efectuează înregistrarea entității solicitante în PNI, cu atribuirea unui număr de înregistrare și afișarea publică în PNI a tipurilor de registre de bază la care utilizatorul poate avea acces.Contractul de schimb de date este cu titlu oneros, iar costurile vor fi stabilite de administratorul PNI și vor depinde de costurile operaționale ale administratorilor registrelor de bază consultate, respectiv ale administratorului PNI. …  + 
Capitolul 4PROCEDURA DE CONECTARE ȘI PARTICIPARE LA PLATFORMA NAȚIONALĂ DE INTEROPERABILITATE ȘI A SCHIMBULUI DE DATE4.1.Înregistrarea și autentificarea participanților în cadrul PNI4.1.1.Reguli generale(1)Participanții asigură înregistrarea individuală în cadrul PNI, potrivit fluxului prevăzut în cadrul anexelor tehnice agreate.(2)În vederea realizării înregistrării prevăzute la alin. (1), participanții desemnează o persoană împuternicită care se va asigura că utilizează mijloace de autentificare aliniate infrastructurii naționale de identificare și autorizare, așa cum acestea sunt prevăzute de către ADR, în cadrul sistemului transfrontalier prevăzut în Regulamentul UE (2014) 910 (elDAS) privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE, prin Platforma de autentificare electronică ROeID, Cartea Electronică de Identitate, cât și prin REST API pentru conexiunea între sistemele informatice.(3)Apelarea fluxului de înregistrare în PNI este realizată cu ajutorul Platformelor de Identificare Unice (PIU) puse la dispoziție de Guvernul României prin instituțiile abilitate (ex. PSCID-ROeID, CEI, altele).(4)PNI este interconectată cu oricare platformă în vederea extragerii datelor unice ale CUI-ului introdus de utilizatorul inițial.(5)Modelele de interogare a registrelor, care vor include condițiile de furnizare a serviciului și contribuția la întreținerea acestuia, vor fi aprobate prin Decizie de către Administratorul PNI. … 4.1.2.Procedura de conectare a registrelor de bază la infrastructura informatică a PNI(1)Administratorul unui registru de bază asigură conectarea la PNI prin intermediul infrastructurii platformei.(2)Administratorul PNI validează împreună cu administratorii registrelor de bază înregistrarea registrelor și asigură configurările necesare în vederea asigurării interoperabilității.(3)Administratorii registrelor de bază se asigură că la nivel intern este îndeplinită procedura de avizare și aprobare a înregistrării registrelor în vederea conectării la PNI.(4)În conformitate cu prevederile alin. (3), administratorii registrelor urmează următorii pași:a.Identificarea registrelor de bază necesar a fi conectate la PNI … b.Stabilirea tipului de date și a importanței acestora în contextul conectării la PNI, … c.Identificarea oricăror elemente și/sau condiții de conectare pe care registrul de bază trebuie să le îndeplinească anterior conectării, atât din perspectiva securității cibernetice cât și din perspectiva standardelor utilizate, … d.Obținerea oricăror aprobări interne necesare în vederea conectării registrului de bază la PNI. … (5)În vederea realizării conectării la PNI, administratorul PNI informează administratorul registrului de bază cu privire la orice cerințe de conectare necesar a fi îndeplinite, inclusiv cu privire la:a.Aspecte tehnice de conectare; … b.Tipul de date incluse în cadrul registrului de bază; … c.Cerințe suplimentare privitoare la securitatea și standardele de date. … (6)În cazul în care sunt introduse condiții de acces care modifică elemente tehnice privitoare la modul de realizare a conectării, administratorul PNI asigură informarea fiecărui administrator a registrelor de bază cu privire la acestea. Implementarea acestor condiții este realizată de către fiecare administrator de registru de bază, în mod independent și potrivit deciziilor interne aplicabile.(7)Ca urmare a înregistrării valabile a registrului de bază acesta devine accesibil de către oricare terțe persoane potrivit regulilor de accesare aplicabile PNI. … 4.1.3.Procedura de încetare a accesului registrelor de bază la infrastructura informatică a PNI(1)Încetarea accesului la un registru de bază conectat la PNI se va aduce la cunoștința administratorului PNI de către administratorul registrului de bază cu cel puțin 90 de zile înainte, prin notificare. încetarea existenței registrului de bază sau convertirea acestuia în alt registru va fi notificată, la rândul său, de administratorul PNI și se va constata prin ordin al Ministrului Cercetării, Inovării și Dezvoltării. Cu această ocazie, MCID, la propunerea ADR, va propune Guvernului integrarea în PNI a noului registru de bază, care corespunde registrului de bază desființat, conform art. 7 alin. 2 din Legea 242/2022.(2)În vederea punerii în aplicare a încetării, administratorul PNI se asigură că este publicat un anunț cu privire la încetarea publicării respectivelor registre de bază și, în cazul în care este disponibilă, modalitatea de acces alternativă la respectivele date. Administratorul PNI se asigură că include în conținutul anunțului informații cu privire la administratorul registrului de bază, în cazul în care aceste informații urmează să fie făcute disponibile într-un alt mod.(3)Administratorul registrului de bază transmite notificarea prevăzută la alin. (1), indicând cel puțin următoarele informații:a.motivele pentru care s-a decis încetarea conectării la PNI, … b.aspecte tranzitorii referitoare la registrele de bază publicate. Dacă va fi necesară ștergerea completă a acestor date sau dacă acestea pot fi arhivate de către administratorul PNI, … c.modul de punere la dispoziția terților a respectivelor registre de bază, ca urmare a încetării conectării la PNI. … (4)Începând cu data încetării publicării registrelor de bază prin intermediul PNI, administratorul PNI dispune arhivarea sau ștergerea datelor tehnice de conectare și furnizare anterioare, având în vedere decizia comunicată de către administratorul registrului de bază.(5)Administratorul PNI va face toate demersurile necesare pentru ca impactul asupra consumatorilor de date din respectivul registru să fie minim.(6)Retragerea unui registru din PNI este permisă doar în urma rezilierii contractelor de schimb de date încheiate cu persoane juridice de drept privat, care s-au integrat cu PNI în principal pentru accesarea respectivului registru de bază. … 4.1.4.Procedura de conectare a administrației publice în calitate de utilizator la infrastructura informatică a PNI(1)Pentru a realiza schimbul necesar de date, autoritățile administrației publice centrale și locale, în calitate de utilizatori, completează în cadrul platformei PNI, un formular de adeziune, solicitând conectarea la infrastructura informatică a PNI.(2)Autoritățile și instituțiile administrației publice centrale și cele locale vor accesa PNI, identificându-se cu conturi de utilizator prin platforma unică de identificare, ROeID, create de administratorul platformei, în baza formularului de adeziune la PNI(3)Solicitarea de conectare, ce se regăsește în platforma PNI și va fi completată electronic, va cuprinde cel puțin următoarele informații:a)cererea de înregistrare; … b)inventarul de registre de bază pe care dorește să le interogheze, cu indicarea datelor ce urmează a fi colectate din fiecare registru de bază și a scopului interogării, inventarul de servicii electronice pe care le furnizează și care necesită date din acele registre de bază, precum și acceptul voluntar al condițiilor de utilizare stabilite de administratorul PNI; … c)identificarea persoanei împuternicite ca administrator al registrului de bază; … d)un raport justificativ și economic, semnat electronic, în care se specifică numărul total al procedurilor, precum și o estimare a volumului apelurilor fiecărui tip de procedură în parte, care urmează să fie efectuate prin intermediul platformei, registrului sau serviciului electronic în cauză, efectele bugetare și economice și orice alt motiv de interes general care justifică aderarea acestora. Acest raport inițial va fi prevăzut în cadrul platformei în format standardizat. După ce este completat în platformă va fi semnat electronic tot în cadrul acesteia; … e)Formular privind îndeplinirea condițiilor de securitate cerute de Administratorul PNI, completată electronic în platformă și semnată electronic. … (4)Aderarea la platforma PNI și interogarea unui registru de bază nu implică vreun drept exclusiv de procesare al datelor, un drept exclusiv asupra proceselor și acțiunilor administrative, acestea fiind corespunzătoare entității administrative competente pentru administrarea respectivului registru.(5)Administratorul PNI se asigură că fiecare solicitare de interogare va fi jurnalizată conform art.10 al Legii nr 242/2022 privind schimbul de date între sisteme informatice și crearea Platformei Naționale de Interoperabilitate și conform art. 10 al Ordonanței de urgență nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice.(6)Jurnalizarea se va desfășura prin sistemul de Jurnalizare existent în Cloud-ul Guvernamental. …  … 4.2.Contractul de schimb de date prin PNI – între administrator și utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, instanțe judecătorești, alte entități care pot interoga registrele de bază prin PNIContractul de schimb de date prin intermediul Platformei de interoperabilitate se va încheia între cele două părți prin platforma PNI – administratorul PNI și utilizatorii persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entități care pot interoga registrele de bază prin PNI.Elementele esențiale ale contractului de furnizare de date sunt:a)Reglementarea drepturilor Administratorului PNI, respectiv:– să asigure preluarea datelor de la participantul la schimbul de date (administratorul registrului de bază) în condițiile parametrilor tehnici agreați și a datelor minim necesare conform contractului de schimb de date care specifică nivelul agreat de servicii; … – să asigure transmiterea datelor către solicitantul cererii de interogare a RNR, participantului privat sau instituției publice, în conformitate cu drepturile și obligațiile legale ale acestuia rezultate în urma aderării la RNR și în parametrii tehnici agreați; … – să efectueze agregarea și/sau consolidarea datelor disponibile/transmise prin intermediul PNI, în conformitate cu prevederile din Legea nr 242/2022 privind schimbul de date între sisteme informatice și crearea Platformei naționale de interoperabilitate; … – să decidă asupra cazurilor privind suspendarea și/sau deconectarea serviciilor de schimb de date prin PNI, în conformitate cu prevederile legale; … – să monitorizeze respectarea de către participantul privat a procedurilor de conectare, suspendare și deconectare de la PNI și a modului de utilizare, respectarea nivelului agreat de servicii; … – să sesizeze organele competente în caz de depistare a încălcărilor comise de către participanții la schimbul de date în contextul utilizării PNI; … – să notifice participanților la schimbul de date (administratorului registrului de bază) conectarea participantului privat, cu indicarea temeiului legal de acces la datele puse la dispoziție; … – să solicite de la participantul privat informații de referință (feedback) privind utilizarea PNI; … – să ofere asistență și consultanță participantului privat în procesul de identificare a necesităților de consum de date și descriere tehnică a acestora; … – să solicite de la participantul privat detaliile și informațiile necesare pentru soluționarea erorilor, a incidentelor înregistrate, cu implicarea acestora, după caz. …  … b)Reglementarea obligațiilor aplicabile Administratorului PNI, respectiv:– să asigure accesul la serviciile platformei PNI și utilizarea acesteia de către utilizatorul care posedă atributele necesare; … – să asigure interogarea datelor pentru participantul privat, prin PNI, fără denaturarea acestora; … – să asigure, necondiționat, acordarea asistenței metodologice și tehnice participantului privat în procesul de conectare a acestuia la PNI; … – să informeze participantul privat despre certificatele noi obținute pentru sistemele informaționale integrate în PNI cu cel puțin 10 zile lucrătoare înainte de expirarea celor utilizate curent; … – să desemneze persoane de contact responsabile de proiectele de integrare; … – să asigure respectarea nivelului agreat al serviciilor pentru schimbul de date, în condițiile prezentelor norme; … – să informeze utilizatorul despre vulnerabilitățile și incidentele de securitate la utilizarea PNI, imediat sau în termenul cel mai scurt posibil din momentul depistării acestora; … – să asigure înregistrarea, investigarea, monitorizarea, soluționarea și înlăturarea în termenele stabilite a erorilor comunicate de participanți, a vulnerabilităților și a incidentelor depistate; … – să dezvolte gratuit, la cerere, pentru consumatorii de date din PNI, instituții publice centrale și locale, API-urile necesare conectării la platforma dacă aceștia nu au posibilitatea tehnică să le dezvolte; … – să asigure funcționarea, administrarea și dezvoltarea continuă a PNI; … – să asigure securitatea informațională a PNI; … – să inițieze procesul de deconectare de la PNI în cazurile prevăzute de prezentele norme; … – să asigure minimizarea, acuratețea, integritatea și confidențialitatea datelor comunicate; … – să asigure urmărirea accesărilor și a operațiunilor efectuate, așa cum sunt identificate în prezentele norme și asociate cu utilizarea PNI, precum și stocarea acestora pentru perioada strict necesară; … – să asigure jurnalizarea schimbului de date efectuat prin intermediul PNI; … – să monitorizeze permanent disponibilitatea serviciilor, să publice în timp real statistici în acest sens; … – să publice în prealabil termenele de întreținere ale serviciilor; … – să definească soluții pentru situațiile în care un utilizator nu-și poate îndeplini obligațiile din cauza indisponibilității serviciilor; … – să anunțe orice modificare a protocolului în funcție de complexitate cu cel puțin 30-60 de zile înainte; … – să pună la dispoziția dezvoltatorilor de programe soluții de testare gratuite, eventual conturi de acces speciale. …  … c)Reglementarea drepturilor utilizatorilor persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entități care pot interoga registrele de bază prin PNI, respectiv:– să solicite conectarea la PNI, în scopul consumului de date, adresând administratorului PNI o solicitare de conectare conform modelului prestabilit; … – să solicite administratorului PNI inițierea proiectelor de integrare pentru a putea consuma sau furniza un set diferit de date ori cu alți parametri tehnici decât cei stabiliți anterior în anexele tehnice agreate; … – să consulte catalogul semantic și să identifice seturile de date pe care intenționează să le consume; … – în caz de necesitate, să analizeze și să modifice procesele de lucru, fluxurile și resursele informaționale necesare pentru realizarea proiectelor de integrare; … – să acceseze și să utilizeze PNI în conformitate cu prevederile legislației în vigoare; … – să revizuiască și/sau să rezilieze contractele sau acordurile existente cu ceilalți participanți în vederea implementării schimbului de date prin PNI ; … – să solicite administratorului PNI adaptarea și/sau reutilizarea datelor disponibile/transmise prin intermediul PNI ; … – să solicite administratorului PNI informații referitoare la respectarea nivelului agreat al serviciilor prevăzut de contract (Service Level Agreement – SLA) conform indicatorilor stabiliți; … – să solicite administratorului PNI informații privind participanții care solicită date din resursele informaționale pe care le dețin; … – să reutilizeze datele puse la dispoziție de organismul din sectorul public, după depunerea cererii de utilizare, conform Regulamentului (UE) 2022/868 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor), în următoarele condiții: … – datele au fost anonimizate, în cazul celor cu caracter personal; … – datele au fost modificate, agregate sau tratate prin orice altă metodă de control al divulgării, în cazul informațiilor comerciale confidențiale, inclusiv al secretelor comerciale sau al conținutului protejat prin drepturi de proprietate intelectuală; … – accesează și reutilizează datele de la distanță într-un mediu de prelucrare securizat, care este pus la dispoziție sau controlat de organismul din sectorul public; …  … d)Reglementarea obligațiilor utilizatorilor persoane juridice de drept privat, persoane care exercită profesii liberale reglementate, alte entități care pot interoga registrele de bază prin PNI, respectiv:– să justifice scopul, volumul și modul de utilizare a informației consumate prin PNI; … – să respecte regimul corespunzător de confidențialitate și securitate a informației; … – să obțină și să gestioneze, pe cont propriu, certificatele fiecărui sistem informațional deținut, care urmează a fi integrat cu PNI; … – să anunțe administratorul PNI despre certificatele noi obținute pentru sistemele informaționale integrate cu PNI cu cel puțin 10 zile lucrătoare înainte de expirarea celor utilizate curent; … – să obțină și gestioneze pe cont propriu conexiunea VPN, necesară asigurării accesului în rețeaua de transmisii de date securizate, în scopul implementării schimbului de date prin PNI; … – să asigure consumul de date prin intermediul PNI având la bază un temei legal, în scopul exercitării atribuțiilor sale legale și utilizarea acestora, pe proprie răspundere, în limitele și în conformitate cu competențele stabilite de lege; … – să asigure respectarea prevederilor Regulamentului (UE) nr.2016/679 privind protecția datelor cu caracter personal în cazul consumului și/sau furnizării prin intermediul PNI a unor astfel de date; … – să informeze administratorul PNI despre erorile apărute în procesul schimbului de date, vulnerabilitățile, inclusiv incidentele de securitate ale sistemelor informaționale conectate la PNI, imediat, iar dacă aceasta nu este posibil, în termen de cel mult două zile lucrătoare din momentul depistării acestora; … – să prezinte necondiționat administratorului PNI informația necesară pentru înlăturarea erorilor și a vulnerabilităților și pentru soluționarea incidentelor de securitate; … – să asigure veridicitatea și actualitatea datelor care sunt implicate în schimburile de date, precum și sustenabilitatea sistemelor informaționale care sunt conectate la PNI; … – să respecte obligația de a nu modifica datele consumate prin PNI; … – să aplice măsurile necesare în scopul neadmiterii transmiterii (publicării, difuzării) și/sau utilizării nesancționate de către persoane terțe a informației primite; … – să nu divulge unei terțe persoane informații legate de modalitatea de autentificare și/sau autorizare, modalitatea tehnică de conectare, schimb de date și monitorizare, precum și oricare altă informație ce ține de schimbul de date prin PNI; … – în cazul în care are loc o reutilizare neautorizată a datelor fără caracter personal, noul utilizator informează, fără întârziere și, dacă este cazul, cu sprijinul organismului din sectorul public, persoanele juridice ale căror drepturi și interese pot fi afectate; … – să ofere informația solicitată de către administratorul PNI cu privire la utilizarea PNI în scopul îmbunătățirii calității acesteia; … – să desemneze persoane de contact responsabile de implementarea proiectelor de integrare, iar în caz de schimbare a acestora, să anunțe administratorul PNI în termen de cinci zile lucrătoare; … – să recepționeze serviciile de schimb de date puse la dispoziție de administratorul PNI și să semneze actele de prestare și acceptare a serviciilor de schimb de date înaintate de administratorul PNI … – să achite eventualele taxe (de configurare, pentru schimbul de date, etc) conform facturilor înaintate de administratorul PNI; … – să înainteze administratorului PNI o solicitare motivată de suspendare a schimbului de date prin PNI. …  …  … 4.3.Accesul la registrele de bazăAccesul la date și gestionarea permisiunilor de acces la API cu acces restricționat(1)Accesul la API-uri restricționate se realizează numai cu acordul administratorului PNI.(2)În vederea obținerii acordului administratorului PNI, utilizatorul trebuie să completeze o cerere prin intermediul platformei, în cadrul căreia se vor indica cel puțin:(a)datele la care se solicită accesul; … (b)motivele pentru care este necesar accesul; … (c)durata pentru care se solicită accesul; … (d)scopul și modul în care datele urmează a fi utilizate. … (3)Administratorul PNI decide asupra acordării accesului, precum și asupra duratei acestui acces.(4)Cererea de acordare a accesului se completează online prin intermediul PNI, și va cuprinde informațiile incluse în cadrul alin. (2). Administratorul PNI decide cu privire la acordarea accesului în termen de maxim 2 zile lucrătoare de la data solicitării acordului.(5)În vederea acordării accesului, utilizatorul respectă toate cerințele tehnice necesare și mecanismele de protecție adecvate pentru a proteja informațiile cu acces restricționat conform alin. (4).(6)În sensul prevederilor alin. (5) administratorul PNI informează și include condițiile de acces în mod clar și expres pe platforma PNI pentru a asigura informarea utilizatorului.(7)Neîndeplinirea condițiilor de securitate nu este și nu poate fi considerată drept o limitare a accesului.(8)API-urile consumatorului de date se vor baza pe un mecanism de autentificare pus la dispoziție de către administratorul PNI, care gestionează drepturile în cadrul platformei.(9)Accesul consumatorului la date se va jurnaliza și notifica prin Platforma Națională de Jurnalizare și Notificare din Cloud-ul Guvernamental conform art.36 din HG 112 din 2023. … 4.4.Catalogul de API-uri4.4.1.Definire catalog API(1)Catalogul de API-uri permite administratorilor registrelor de bază , dar și altor entități administrative care furnizează servicii publice să înregistreze și să publice interfețe, astfel încât acestea să poată fi consultate de toate părțile interesate și să poată fi solicitate..(2)Catalogul de API-uri este creat pentru a:– încuraja utilizarea serviciilor digitale prin publicarea API-urilor și prin punerea la dispoziție a documentației tehnice aferente; … – facilita gestionarea ciclului de viață al serviciilor publice digitale; … – atenua crearea de interfețe redundante și/sau de interfețe cu semantică suprapusă sau incompatibilă; … – asigura o gestionare clară a datelor și a informațiilor disponibile; … – a identifica posibilele restricții și cerințe suplimentare de acces; … – specifică durata minimă și maximă a accesului pentru fiecare tip de date în parte. … (3)Catalogul de API-uri se actualizează ori de câte ori este necesar, dar cel puțin anual, de către administratorul acestuia.(4)Catalogul de API-uri este disponibil în mod liber și poate fi accesat de către utilizatori prin intermediul PNI. Acesta conferă posibilitatea utilizatorilor de a identifica în mod clar tipurile de API-uri, date și registre de bază corespunzătoare. … 4.4.2.Corelarea informațiilor(1)Descrierea serviciilor publice digitale din PNI va fi corelată cu informațiile existente în Catalogul Național al Serviciilor Publice și va fi efectuată de către entitățile conectate la PNI, care trebuie:– să asigure utilizarea tehnologiilor și aplicarea modelelor și a profilurilor de date specificate de către ADR prin prezentul act; … – să descrie serviciile publice pentru publicare în PNI conform recomandărilor din Capitolul 1, subcapitolul 1.3 Niveluri de interoperabilitate; … – să definească cerințele specifice care identifică atributele pe care trebuie să le posede utilizatorii pentru a accesa serviciul electronic specific; … – să indice durata de valabilitate a acceptului emis, ținând cont de tipul de serviciu electronic și de datele prelucrate, în conformitate cu reglementările privind protecția datelor cu caracter personal. … (2)Informațiile din catalogul API pentru fiecare serviciu electronic sunt cel puțin următoarele:– descriptori ai serviciului electronic; … – descrierea API, utilizând unul dintre limbajele de descriere a interfețelor prevăzute pentru a utiliza serviciul electronic; … – documentația accesoriilor și manualele de utilizare a serviciului electronic. … (3)Înregistrarea și corectitudinea acestor informații este responsabilitatea administratorilor de registre de bază, care trebuie să asigure gestionarea ciclului de viață al serviciilor electronice proprii prin intermediul departamentelor/ persoanelor desemnate.În ceea ce privește serviciul electronic individual înregistrat în catalogul API, administratorii serviciilor de bază trebuie să asigure utilizarea uneia dintre tehnologiile standardizate. …  … 4.5.Catalogul Național Semantic (semantic.gov.ro)Catalogul Național Semantic (semantic.gov.ro) este un sistem informațional destinat configurării, managementului și evidenței activelor semantice gestionate de entități, instituții din România, pentru a oferi informații actualizate despre activele semantice disponibile, dar și metadate relevante schimbului de date, organizat cu scopul asigurării interoperabilității semantice.ADR are ca atribuție realizarea, publicarea și actualizarea periodica a Catalogului Național Semantic (semantic.gov.ro).Catalogul Național Semantic este creat în același timp în cadrul PNI de către ADR și se actualizează ori de câte ori este necesar, dar cel puțin anual, de către administrator.Catalogul Național Semantic este disponibil în mod liber și poate fi accesat de către utilizatori prin intermediul PNI. Acesta conferă posibilitatea utilizatorilor de a identifica în mod clar tipurile de date și registre de bază corespunzătoare. …  + 
Capitolul 5STANDARDE TEHNICE5.1.Standardele tehnice de interoperabilitateStandardele tehnice de interoperabilitate descriu aspecte specifice ale unei game largi de subiecte, cum ar fi documentele electronice, digitizarea, fișierele electronice, copierea și conversia autentică, politica de semnătură, standardele, intermedierea datelor, modelele de date, gestionarea documentelor electronice, conexiunea la rețeaua de comunicații a administrației publice și modele de date pentru schimbul de înscrieri în registru și declarație de conformitate, toate acestea fiind necesare pentru a garanta aspectele mai practice și operaționale ale interoperabilității între instituțiile administrației publice și cetățeni. Aceste standarde de operabilitate tehnică vor fi dezvoltate și îmbunătățite în continuare, în timp, în concordanță cu progresul serviciilor de e-guvernare, infrastructura de suport a acestora și evoluția tehnologiei, pentru a îndeplini prevederile Legii 242/2022 privind schimbul de date între sisteme informatice și crearea Platformei Naționale de Interoperabilitate (PNI).În cadrul Standardelor Tehnice de Interoperabilitate, cel legat de publicarea modelului de date este în conformitate cu prevederile HG nr. 908/2017 pentru aprobarea Cadrului Național de Interoperabilitate, care stabilește Activele Semantice.Totodată, standardul tehnic de interoperabilitate pentru modele de date stabilește condițiile de proiectare și publicare a modelelor de date în conformitate cu standardele și practicile europene stabilite de Centrul European de Interoperabilitate Semantică – SEMIC.EU. În contextul evoluției standardelor tehnice și a dezvoltării de soluții dedicate la nivel european (ex. eDelivery, BRegDCAT, OOTS), PNI și alte sistemele informatice conexe acestuia se vor alinia cu acestea.Standardele tehnice vor putea fi discutate cu dezvoltatorii de software în cadrul Consiliului Național pentru Transformare Digitală (CNTD), organ consultativ al ADR, fără personalitate juridică. … 5.2.Utilizarea standardelorFiecare entitate publică sau organism de drept public:a)va selecta standardul sau standardele care se potrivesc cel mai bine nevoilor lor, cu obligația ca acestea să fie perfect aliniate standardelor europene prevăzute de W3C, DCAT-AP și CSPV-AP, în funcție de specificul lor pentru sarcina sau funcționalitatea ce urmează a fi acoperită, pentru documentele și serviciile pe care le pun la dispoziție cetățenilor sau altor entități publice, în conformitate cu condițiile stabilite în legislația de specialitate. Dacă o anumită funcționalitate sau nevoie nu este acoperită de niciunul dintre standardele cuprinse, poate fi selectat cel mai potrivit standard pentru sarcina respectivă, cu obligația de raportare a standardului selectat; … b)pentru interacțiunea cu alte instituții publice, va respecta standardele selectate de emitentul documentului solicitat sau de responsabilul serviciului la care se dorește accesul, care vor fi publicate în conformitate cu prezentele norme; … c)va publica, conform celor stabilite în reglementările aplicabile în fiecare caz, standardele selectate pentru serviciile sau procedurile pe care le pune la dispoziția cetățeanului; … Prin excepție față de cele de mai sus, pot fi utilizate alte formate atunci când există particularități care o justifică sau este necesar să se asigure valoarea probantă a informațiilor electronice ale activităților și procedurilor în cazul în care se procedează la conversia formatului acesteia. … 5.3.Standarde de interoperabilitate tehnică pentru modelele de date + 
ScopStandardul tehnic de interoperabilitate pentru modelele de date stabilește condițiile de proiectare și publicare a modelelor de date comune ale administrației publice și a modelelor de date în domeniile care fac obiectul schimbului de informații cu cetățenii și între entitățile publice, precum și definirea și codificarea acestora în vederea publicării unui viitor catalog. + 
Modele de date care urmează să fie publicateEntitățile publice și organismele publice conexe sau raportoare trebuie să stabilească și să partajeze modelele lor de date (precum și definițiile și codificarea acestora) în:a)Domeniile care fac obiectul schimbului de informații cu cetățenii și între entitățile publice. … b)Infrastructuri, servicii și instrumente comune care nu sunt destinate exclusiv utilizării interne. …  + 
Structura de schimb transfrontalier a modelului de date:Modelele de date vor fi similare cu cele publicate de Centrul European de Interoperabilitate Semantică – SEMIC, cu o structură care va conține:a)Active semantice în format XSD (Definiția schemei XML) … b)Ghiduri explicative în format PDF (Format de document portabil), în conformitate cu Standardul de interoperabilitate tehnică pentru cataloage standard, pentru diferitele schimburi de sisteme sau servicii de schimb, inclusiv:– Descrierea tipurilor de date schimbate și a definițiilor conform modelului de date în cauză, și descrierea funcțională a operațiunilor care pot fi efectuate; … – Scurtă descriere a măsurilor de securitate aplicabile schimburilor de date ale modelului; … – Cerințe care trebuie îndeplinite de destinatarii informațiilor cărora li se aplică modelul; … – Exemple de implementare a serviciului în cadrul modelului de date în cauză; … – Lista de mesaje de eroare, descrierea lor si exemple de tratare a erorilor; … – Manuale de utilizare pentru servicii de schimb și kituri de testare (opțional); …  …  + 
Identificarea modelelor de dateEntitățile publice și organismele publice conexe sau raportoare identifică structura de schimb a modelelor lor de date în scopul clasificării, oferind sarcinile de identificare, localizare și clasificare pentru modelele de date a căror publicare este centralizată. Descrierea modelului de date trebuie să respecte criteriile din Standardul tehnic de interoperabilitate pentru cataloagele standard. + 
Utilizarea modelelor de dateModelele de date deținute de organismele responsabile de domeniile care fac obiectul schimbului de informații cu cetățenii și între entitățile publice sau infrastructurile, serviciile și instrumentele comune publicate se aplică în mod obligatoriu.Modelele comune de date sunt identificate, clasificate și prioritizate de către ADR.În cazul în care modelele de date nu corespund modelelor standard, entitățile interesate informează ADR, care, la rândul său, informează instituția publica organismul sau agenția relevantă pentru ca aceștia să ia măsuri. + 
Tipuri de metadate

 + 
Standarde pentru metadate

*1) https://joinup.ec.europa.eu/page/core-vocabularies.*2) https://joinup.ec.europa.eu/page/core-vocabularies.*3) https://www.w3.org/RDF/ .*4) https://www.w3.org/RDF/ .*5) https://www.w3.org/OWL/ .*6) https://www.w3.org/TR/vocab-dcat/ .*7) https://dvcs.w3.org/hg/gld/raw-file/default/dcat/index.html.*8) https://www.w3.org/TR/vocab-adms/ .*9) https://www.w3.org/standards/techs/rdfvocabs#w3c all.*10) https://www.w3.org/TR/2013/REC-prov-dm-20130430/ .*11) http://www.w3.org/TR/prov-dm/ .*12) https://www.w3.org/TR/2013/REC-prov-o-20130430/*13) https://www.w3.org/2004/02/skos/ .*14) http://www.w3.org/2004/02/skos/overviewtemplate.html. Notă: autentificarea este necesară pentru a accesa acest site web.*15) https://www.w3.org/TR/sparql 11 -query/ .*16) http://www.w3.org/TR/sparql11 -query/ . … 5.4.Standarde pentru conectarea prin APILa proiectarea unui API trebuie luate în considerare cel puțin următoarele aspecte: semantică (vocabulare și modele de date), stiluri (protocoale și modele), interacțiuni (fluxul de lucru al apelurilor API), siguranță (proceduri pentru a evita greșelile de utilizare) și consecvență (de ex. cu alte API-uri instituționale).Există instrumente pentru a ajuta la proiectarea și prototiparea API-urilor, care le permit inginerilor să scrie API-ul într-un limbaj mai puțin tehnic, să genereze documentație interactivă și să creeze servere simulate, totul fără a scrie o linie de cod pentru API-ul în sine.API-urile pot fi explicate și folosind o definiție API (de exemplu, OAS, API Blueprint sau RAML) și partajarea acelui document cu utilizatorii pentru feedback. Definiția API poate fi folosită drept piatră de temelie pentru o mare parte a acestor teste. Încorporarea unei definiții API în procesul de proiectare permite utilizarea acesteia în etapele ulterioare ale ciclului de viață API, cum ar fi documentarea și testarea. Multe instrumente se integrează, de asemenea, astfel încât API-ul să poată fi testat ca parte a procesului de construire.API-urile sunt un facilitator tehnologic pentru îmbunătățirea operațiunilor și proceselor guvernamentale, pentru eficientizarea fluxurilor de date și pentru a facilita elaborarea politicilor. Cu toate acestea, captarea contribuției API-urilor în această transformare guvernamentală este un exercițiu provocator și este și mai dificil să se evalueze cantitativ impactul adoptării.Activarea și construirea API-urilor pentru reutilizare și interoperabilitate se realizează de către ADR în cadrul dezvoltării PNI, luând în considerare modelele de date partajate, care trebuie definite în mod comun cu fiecare instituție publică în parte, definind opțiunile arhitecturale comune și determinând ce componente ale serviciului pot fi utilizate și reutilizate. ADR va dezvolta gratuit, la cerere, pentru consumatorii de date din PNI, instituții publice centrale și locale, API-urile necesare conectării la platforma dacă aceștia nu au posibilitatea tehnică să le dezvolte. Supravegherea și dezvoltarea API-urilor asigură că accesul este securizat și adecvat pentru API-uri, astfel încât să permită expunerea în condiții sigure a serviciilor. + 
API-uri RESTAvând în vedere prevederile art. 18, alin. (1) din Legea nr. 242/2022 privind schimbul de date între sisteme informatice și crearea Platformei naționale de interoperabilitate, precum și standardele folosite în prezent în domeniul tehnologiei informației, asigurarea interoperabilității din punct de vedere tehnic se va realiza cu precădere folosind API-uri REST.Acest tip de API este utilizat de majoritatea companiilor, arhitecților de sisteme informatice și dezvoltatorilor în vederea asigurării schimbului de informații și a managementului resurselor web (operațiuni CRUD – creare, citire, editare/actualizare, ștergere), fiind un standard de facto în domeniu, atât pentru dezvoltarea de sisteme noi, în special bazate pe microservicii, cât și pentru integrarea unui sistem vechi (legacy) într-o infrastructură modernă.Stilul arhitectural REST este caracterizat prin 4 componente de bază, sau "niveluri de maturitate".În cazul unei rețele extinse sau a unui sistem cu o complexitate ridicată, este recomandată implementarea fiecărui nivel.● Nivelul 0 – se poate rezuma la folosirea protocolului HTTPS și definește reguli generale pentru structurarea URL-urilor folosite pentru puncte finale ale unui API;● Nivelul 1 – introduce noțiunea de Resursă, care stă la baza REST și definește reguli specifice pentru structurarea URL-urilor securizate folosite pentru accesarea unei anumite resurse;● Nivelul 2 – introduce noțiunea de verbe HTTPS, care reprezintă un mod standardizat pentru gestionarea resurselor prin operațiuni CRUD (creare, citire, editare, ștergere). Cele mai importante sunt: GET (citire), POST(creare), PUT(actualizare), PATCH (editare), DELETE (ștergere)● Nivelul 3 – se referă la controlul și negocierea conținutului prin hyperlink-uri, cunoscut sub acronimul HATEOAS (Hypertext As The Engine Of Application State). Aceasta înseamnă introducerea în răspunsul la un apel de interogare a unei resurse/link către toate punctele finale folosite pentru gestionarea respectivei resurse.Deoarece REST nu reprezintă un standard în sine, pentru asigurarea uniformității interfețelor se poate utiliza standardul oData, așa cum este definit în cuprinsul prezentelor Norme. + 
Proiectarea API-urilorAlocarea resurselor pentru stabilirea punctelor de ieșire finale (API) și alegerea formatelor de răspuns are loc înainte de a începe dezvoltarea, dar și pe tot parcursul dezvoltării și mentenanței.

 + 
Documentarea API-urilorDocumentarea este extrem de importantă pentru ca API-urile să poate fi utilizate și înțelese de către utilizatori. Nevoile de documentare pot fi diferite pentru utilizatorii interni și externi și trebuie create pentru fiecare tip de utilizator în parte. + 
DezvoltareaDezvoltarea unui API include toate deciziile pe care dezvoltatorii le iau atunci când implementează un API. Codul trebuie să prezinte o formă de control al versiunii (Git fiind cel mai popular sistem de control al versiunilor, orice forma de control al versiuni este acceptată).Codul sursă API trebuie, de asemenea, să fie găzduit pe un repository de tip git conectat la un serviciu CI/CD pus la dispoziție prin cloud-ul Guvernamental care să permită colaborarea, accesul în echipă, integrarea continuă și implementare continuă.Integrarea continuă este practica de a rula automat teste sau alte instrumente de compilare cu fiecare modificare a codului. Acest lucru asigură că tot codul nou este testat și respectă convențiile și cerințele echipei de implementare.Implementarea continuă este practica în dezvoltarea software care constă în automatizarea procesului de implementare a schimbărilor de cod în mediul de producție sau într-un mediu de testare apropiat de producție, imediat după ce aceste schimbări trec cu succes prin testele de calitate și verificările necesare. + 
TestareaCalitatea unui API depinde foarte mult de testarea acestuia. Instrumentele trebuie selectate pentru a testa API-ul pe mai multe niveluri:● testare de utilizare;● testare unitară – testare cod software (atât interfața și implementarea) în sine;● testarea integrării – testarea problemelor de implementare și interfață prin invocarea API-ului pentru fiecare dintre cazurile de utilizare;● testarea performanței și a sarcinii – trebuie testate toate cerințele funcționale ale unui API, cum ar fi simularea utilizării API-ului în condiții speciale (de exemplu, un număr mare de aplicații care apelează respectivul API);● testarea de securitate – identificarea vulnerabilităților de securitate cibernetică în interfața, implementarea și instanța API-ului;● testarea în producție – identificarea problemelor de utilizare, funcționalitate și performanță în mediul de producție;● standarde și teste de conformitate – se verifică dacă API-ul este conform cu standardele sau specificațiile tehnice, care pot fi cerute, de exemplu, de un regulament sau de o directivă a Uniunii Europene. + 
MonitorizareaOdată ce un API este activ, administratorii soluțiilor informatice trebuie să analizeze și să observe cu atenție utilizarea și comportamentul acestuia. Indicatorii de utilizare a API-ului, starea și vulnerabilitățile de securitate trebuie monitorizate în mod regulat. Valorile utilizate pentru monitorizarea API-ului trebuie să includă:● probleme (erori, defecțiuni, avertismente, blocări etc);● integritatea sistemului (unitatea centrală de procesare, memoria, intrarea/ieșirea și starea containerului);● elemente de securitate ale API-urilor;● elemente ale API (timpul de funcționare API, starea API și totalul de mesaje procesate);● jurnalele de mesaje (cerere și răspuns, corpuri de mesaje, anteturi de mesaje și metadate);● date de utilizare (de exemplu, numărul de solicitări, punctul final, utilizarea resurselor și cererile per consumator). + 
Descoperire și promovareAPI-urile guvernamentale pentru registrele de bază vor fi indexate într-un singur catalog, Catalogul Național al Serviciilor Publice pentru a fi accesate. + 
Managementul schimbăriiChiar dacă este proiectat cu mare atenție, poate fi necesar ca un API să fie modificat din motive întemeiate – schimbarea proceselor, adoptarea de noi standarde sau nevoile diferite ale utilizatorilor. Unele dintre aceste modificări pot fi semnificative, necesitând, spre exemplu, modificarea aplicației client.Recomandări și elemente de bună practică:● crearea de noi puncte finale (endpoint-uri API) pentru modificări semnificative;● introducerea numărului versiunii în URL;● evitarea modificărilor incompatibile cu versiunile anterioare ori de câte ori este posibil;● furnizarea de notificări pentru punctele finale (API) depreciate.● utilizarea formatului JSON pentru serializarea datelor partajate;● utilizarea HATEOAS (Hypermedia As Transfer Engine Of Application State) pentru a facilita navigarea și consumul unui REST API de către client;● utilizarea standardului OAUTH 2.0 pentru securizarea punctelor finale si gestionarea drepturilor de acces (autorizare);● utilizarea SWAGGER UI pentru facilitarea documentării și testării unui API. … 5.5.Standarde de autentificare + 
eIDAS – cadrul legal pentru identitatea digitalăPentru implementarea identității digitale nu este suficientă doar luarea în considerare a posibilelor protocoale pentru implementarea tehnică. Cadrul legal joacă și el un rol important. Acest lucru este deosebit de important pentru identificarea sigură din punct de vedere juridic sau semnarea validă din punct de vedere legal a unui document. Regulamentul UE eIDAS este de o importanță primordială aici. Această abreviere înseamnă servicii electronice de identificare, autentificare și încredere. Regulamentul stabilește cadrul legal pentru serviciile în acest domeniu. Următoarele secțiuni descriu principiile de baza ale regulamentului menționat: + 
Recunoașterea reciprocă a autentificării în cadrul UEFiecare țară din UE poate notifica ce sisteme de identificare electronică recunoaște și ce nivel de securitate au acestea. Celelalte state UE trebuie apoi să le recunoască și pe acestea – cel puțin în sectorul public. Cu toate acestea, răspunderea este întotdeauna asumată de statul care a făcut notificarea. În acest domeniu, România oferă, de exemplu, cartea electronică de identitate(CEI) și autentificare electronică (ROeID). + 
Marca de încredere UE pentru furnizorii calificațiÎn acest context, a fost introdus și o marcă de încredere UE. Furnizorii care îndeplinesc cerințele eIDAS pot aplica pentru statutul de calificare. Odată ce aceasta a fost acordată, furnizorii de servicii își pot face publicitate produselor cu marca de încredere UE. + 
Semnături electronice calificate: cerințe speciale pentru furnizoriCadrul legal pentru utilizarea semnăturilor electronice calificate este deosebit de important. Acestea sunt prevăzute în Regulamentul eIDAS. Acesta stabilește exact modul în care contractele care necesită formă scrisă pot fi semnate electronic.Deși identitatea digitală a fost utilizată până acum doar într-o măsură limitată, condițiile cadru sunt deja în vigoare cel puțin la nivel european. … 

	Redacția Lex24 Drept la Sursa!
	Articole Urmărește