privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare(actualizat până la data de 29 noiembrie 2010*)
––––*) Forma actualizată a acestui act normativ până la data de 29 noiembrie 2010 este realizată de către Departamentul juridic din cadrul S.C. "Centrul Teritorial de Calcul Electronic" S.A. Piatra-Neamţ prin includerea tuturor modificărilor şi completărilor aduse de către: ORDINUL nr. 1.000 din 26 noiembrie 2010.Conţinutul acestui act nu este un document cu caracter oficial, fiind destinat pentru informarea utilizatorilorAvând în vedere prevederile art. 36 şi 37 din Legea nr. 455/2001 privind semnătura electronică, precum şi ale art. 16-20 din Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,în temeiul art. 4 alin. (1) pct. 55 şi al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare,ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin. +
Articolul 1(1) Prezentul ordin se aplică furnizorilor de servicii de certificare care doresc să îşi desfăşoare activitatea ca furnizori acreditaţi şi stabileşte procedura privind acordarea, suspendarea şi retragerea deciziei de acreditare a furnizorilor de servicii de certificare de către Ministerul Comunicaţiilor şi Societăţii Informaţionale, autoritatea de reglementare şi supraveghere specializată în domeniu. … (2) Prezentul ordin stabileşte condiţiile, conţinutul, durata de valabilitate şi efectele suspendării sau retragerii deciziei de acreditare a furnizorilor de servicii de certificare. … –––Alin. (2) al art. 1 a fost modificat de pct. 1 al art. I din ORDINUL nr. 1.000 din 26 noiembrie 2010, publicat în MONITORUL OFICIAL nr. 797 din 29 noiembrie 2010. +
Articolul 2În înţelesul prezentului ordin, termenii de mai jos au următoarele semnificaţii:a) autoritate – Ministerul Comunicaţiilor şi Societăţii Informaţionale, în calitate de autoritate de reglementare şi supraveghere specializată în domeniu, conform art. 25 şi 26 din Legea nr. 455/2001 privind semnătura electronică; … b) acreditare – calificativul acordat de către autoritate unui furnizor de servicii de certificare, la solicitarea acestuia, în urma verificării documentaţiei şi a raportului de audit efectuat de o terţă parte, în vederea stabilirii concordanţei dintre sistemele, procedurile şi practicile afirmate şi cele existente în realitate; … c) audit – procesul de verificare a concordanţei dintre sistemele, procedurile şi practicile afirmate de către furnizorul de servicii de certificare care solicită acreditarea şi cele existente în realitate; … d) auditor – persoana juridică numită de către autoritate pentru efectuarea auditului de acreditare, în urma evaluării îndeplinirii criteriilor de selecţie; … e) registru – Registrul furnizorilor de servicii de certificare, care este constituit şi actualizat de către autoritate şi care are rolul de a asigura, prin efectuarea înregistrărilor prevăzute de Legea nr. 455/2001, stocarea datelor de identificare şi a unor informaţii legate de activitatea furnizorilor de servicii de certificare, precum şi informarea publicului cu privire la datele şi informaţiile stocate. … +
Articolul 3Furnizorul de servicii de certificare care doreşte să fie acreditat va înainta autorităţii o cerere scrisă pentru începerea procedurii de acreditare. Forma şi conţinutul acestei cereri sunt prevăzute în anexa nr. 1, care face parte integrantă din prezentul ordin. +
Articolul 3^1(1) În vederea acreditării, furnizorul de certificate calificate trebuie să facă dovada deţinerii: … a) a cel puţin 5 angajaţi care au diplomă de absolvire a unei forme de învăţământ superior de lungă durată, eliberată de o instituţie de învăţământ superior acreditată, având înscrisă una dintre următoarele specializări: automatică, calculatoare, informatică, matematică, cibernetică, electronică. Angajaţii trebuie să aibă cunoştinţe în domeniul securităţii informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu ori prin deţinerea cel puţin a uneia dintre certificările CISA, CISM sau CISSP recunoscute la nivel internaţional. Schema de personal va fi înaintată autorităţii şi publicată în registrul furnizorilor. Orice modificare a schemei de personal va fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea acesteia; … b) unei scheme de personal care să asigure un flux continuu de emitere, suspendare şi revocare a certificatelor şi segregarea rolurilor angajaţilor, asigurând acoperirea cel puţin a următoarelor roluri: operator pentru crearea cererilor de certificare (cel puţin două persoane), operator pentru verificarea cererilor şi emiterea certificatelor (cel puţin două persoane), administrator al sistemului de certificare, administrator de securitate şi auditor intern. Schema de personal va fi înaintată autorităţii şi publicată în registrul furnizorilor. Orice modificare a schemei de personal va fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea acesteia; … c) unei arhitecturi distribuite a sistemului de certificare şi sistemului de înregistrare, separând logic şi fizic funcţionalităţile publice: înregistrarea cererilor de certificate, registrul de certificate şi validarea certificatelor de emitere a certificatelor digitale. Furnizorul trebuie să dovedească disponibilitatea lunară de 99,98% a soluţiei de emitere, publicare şi validare a certificatelor, precum şi a registrului de certificare. Disponibilitatea reprezintă capacitatea sistemelor informatice ale furnizorului de a se afla în stare de funcţionare în orice moment din intervalul de observaţie de o lună calendaristică. Disponibilitatea se calculează după formula: … T(O) – T(Î) D = ─────────── * 100 [%], T(O)unde:T(O) = durata unei luni calendaristice, aproximată la 30 zile * 24 ore * 60 minute = 43.200 minute;T(Î) = durata însumată a întreruperilor de serviciu în minute.Arhitectura tehnică şi dovada îndeplinirii condiţiilor de disponibilitate a soluţiei vor fi înaintate autorităţii şi publicate în registrul furnizorilor;d) unui sediu de rezervă pentru continuarea operaţiunilor în cazul apariţiei unui eveniment care să împiedice utilizarea sediului principal. Sediul de rezervă trebuie să răspundă aceloraşi condiţii tehnice ca şi sediul principal şi să parcurgă aceleaşi proceduri de audit. Documentaţia privind sediul de rezervă şi rapoartele de audit vor fi înaintate autorităţii şi publicate în registrul furnizorilor; … e) unor sisteme de management al calităţii, management al securităţii informaţionale, management de mediu şi management al sănătăţii şi securităţii ocupaţionale, certificate în conformitate cu standardele ISO 9001, ISO 27001, ISO 14001, respectiv OHSAS 18001, sau ultimele versiuni ale acestora ori standardele care le înlocuiesc. Rapoartele de audit vor fi înaintate autorităţii şi publicate în registrul furnizorilor. … (2) Furnizorii de certificate calificate deja acreditaţi vor trebui să facă dovada îndeplinirii condiţiilor prevăzute la alin. (1) lit. a)-e) în cel mult 6 luni de la data publicării în Monitorul Oficial al României, Partea I, a prezentului ordin. … –––Art. 3^1 a fost introdus de pct. 2 al art. I din ORDINUL nr. 1.000 din 26 noiembrie 2010, publicat în MONITORUL OFICIAL nr. 797 din 29 noiembrie 2010. +
Articolul 3^2Solicitarea acreditării se poate face nu înainte de un an de la începerea activităţii ca furnizor de certificate calificate.–––Art. 3^2 a fost introdus de pct. 2 al art. I din ORDINUL nr. 1.000 din 26 noiembrie 2010, publicat în MONITORUL OFICIAL nr. 797 din 29 noiembrie 2010. +
Articolul 3^3Raportul de audit care demonstrează îndeplinirea condiţiilor de funcţionare ca furnizor acreditat va fi obligatoriu publicat de către autoritate în registrul furnizorilor.–––Art. 3^3 a fost introdus de pct. 2 al art. I din ORDINUL nr. 1.000 din 26 noiembrie 2010, publicat în MONITORUL OFICIAL nr. 797 din 29 noiembrie 2010. +
Articolul 3^4Orice modificare a soluţiei tehnice sau a procedurilor de lucru ale furnizorului va presupune reluarea procedurii de reînnoire a acreditării. În acest caz furnizorul este obligat să reia procedura de acreditare în cel mult 10 zile de la producerea modificărilor.–––Art. 3^4 a fost introdus de pct. 2 al art. I din ORDINUL nr. 1.000 din 26 noiembrie 2010, publicat în MONITORUL OFICIAL nr. 797 din 29 noiembrie 2010. +
Articolul 3^5Pentru marcarea riguroasă a creării semnăturii electronice extinse şi verificarea ulterioară a faptului că la acel moment certificatul utilizat pentru crearea semnăturii nu era suspendat sau revocat, aşa cum este definit în art. 5 din Legea nr. 455/2001, se va realiza o marcă temporală, aşa cum este definită în Legea nr. 451/2004privind marca temporală.–––Art. 3^5 a fost introdus de pct. 2 al art. I din ORDINUL nr. 1.000 din 26 noiembrie 2010, publicat în MONITORUL OFICIAL nr. 797 din 29 noiembrie 2010. +
Articolul 3^6Verificarea informaţiilor din cererea de eliberare a certificatului va fi realizată atât la înregistrarea cererii, cât şi la emiterea certificatului, numai de personalul încadrat în schema de personal al furnizorului cu atribuţii în acest scop.–––Art. 3^6 a fost introdus de pct. 2 al art. I din ORDINUL nr. 1.000 din 26 noiembrie 2010, publicat în MONITORUL OFICIAL nr. 797 din 29 noiembrie 2010. +
Articolul 3^7Autoritatea poate dispune suspendarea activităţii furnizorului până la încetarea cauzelor care au determinat luarea măsurii şi în următoarele situaţii:1. furnizorul nu îndeplineşte cerinţele privind personalul sau nu anunţă modificarea schemei de personal, aşa cum este prevăzut la art. 3^1 alin. (1) lit. a) şi b);2. furnizorul nu asigură disponibilitatea soluţiei sau nu anunţă modificările tehnice prevăzute la art. 3^1 alin. (1) lit. c);3. furnizorul nu mai îndeplineşte cerinţele tehnice definite la art. 3^1 alin. (1) lit. d) şi e) şi la art. 3^5;4. furnizorul nu îndeplineşte cerinţele definite la art. 3^6. Toate certificatele emise fără respectarea acestei prevederi vor fi revocate.–––Art. 3^7 a fost introdus de pct. 2 al art. I din ORDINUL nr. 1.000 din 26 noiembrie 2010, publicat în MONITORUL OFICIAL nr. 797 din 29 noiembrie 2010. +
Articolul 3^8În cazurile prevăzute la art. 3^7 pct. 1-4, autoritatea are dreptul de a emite pretenţii asupra scrisorii de garanţie bancară sau a poliţei de asigurare, în limita prejudiciului creat.–––Art. 3^8 a fost introdus de pct. 2 al art. I din ORDINUL nr. 1.000 din 26 noiembrie 2010, publicat în MONITORUL OFICIAL nr. 797 din 29 noiembrie 2010. +
Articolul 4(1) Verificarea îndeplinirii condiţiilor de acreditare se face de către un auditor numit de către autoritate în urma parcurgerii procedurii prevăzute la alin. (2)-(7). … (2) Numirea auditorului se face în urma unui proces de calificare, pe baza criteriilor stabilite de către autoritate şi în urma selecţiei acestuia dintre candidaţii calificaţi. … (3) În acest scop autoritatea va face public anunţul de selecţie odată cu punerea la dispoziţie oricărei parţi interesate, contra cost, a condiţiilor de calificare. Anunţul va cuprinde inclusiv data-limită de depunere a documentaţiei de calificare. … (4) Orice persoană juridică care a intrat în posesia condiţiilor de calificare conform alin. (3) poate participa la procesul de calificare. … (5) Autoritatea verifică documentele de calificare din partea candidaţilor şi respectarea criteriilor stabilite. … (6) În termen de 30 de zile de la data primirii cererii pentru începerea procedurii de acreditare, autoritatea întocmeşte şi comunică furnizorului de servicii de certificare lista candidaţilor calificaţi. … (7) Furnizorul de servicii de certificare care solicită acreditarea selectează dintre candidaţii calificaţi auditorul care va fi numit de către autoritate pentru efectuarea auditului de acreditare. … +
Articolul 5(1) În urma selecţiei efectuate de către furnizorul de servicii de certificare, autoritatea emite decizia de numire a auditorului. … (2) Numirea auditorului se face prin ordin al ministrului comunicaţiilor şi societăţii informaţionale. Forma şi conţinutul ordinului de numire sunt prevăzute în anexa nr. 2, care face parte integrantă din prezentul ordin. … +
Articolul 6Auditul se realizează pe cheltuiala furnizorului de servicii de certificare. +
Articolul 7Pe perioada efectuării auditului, autoritatea poate solicita orice documente referitoare la activitatea furnizorului de servicii de certificare care solicită acreditarea şi poate desemna personal propriu pentru a participa la procesul de audit. +
Articolul 8(1) Rezultatul auditului efectuat asupra activităţii furnizorului de servicii de certificare va fi prezentat sub forma unui raport de audit însoţit de opinia de audit. … (2) Autoritatea îşi rezervă dreptul de a respinge cererea de acreditare în urma analizei raportului de audit, precum şi în cazul unei opinii de audit exprimate cu rezerve. … (3) În cazul unor observaţii referitoare la raportul de audit prezentat, autoritatea are obligaţia comunicării acestora atât furnizorului de servicii de certificare, cât şi auditorului, în termen de 5 zile de la prezentarea raportului. … +
Articolul 9(1) În termen de 10 zile de la prezentarea opiniei de audit favorabile, autoritatea emite decizia de acreditare şi înscrie în registru menţiunea privind acreditarea furnizorului de servicii de certificare. … (2) Acreditarea se face prin ordin al ministrului comunicaţiilor şi societăţii informaţionale. Forma şi conţinutul ordinului de acreditare sunt prevăzute în anexa nr. 3, care face parte integrantă din prezentul ordin. … (3) În cazul respingerii cererii de acreditare, autoritatea va comunică furnizorului motivele respingerii. … +
Articolul 10(1) Procedura de suspendare sau de retragere a deciziei de acreditare este prevăzută la art. 19 şi 20 din Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare. … (2) Suspendarea sau retragerea deciziei de acreditare se face prin ordin al ministrului comunicaţiilor şi societăţii informaţionale. … (3) Pe perioada suspendării acreditării furnizorului de servicii de certificare încetează dreptul acestuia de a folosi în toate activităţile pe care le desfăşoară o menţiune distinctivă care să se refere la această calitate. … (4) Semnăturile electronice extinse bazate pe certificate calificate eliberate de către furnizorul de servicii de certificare pe perioada suspendării acreditării sunt exceptate de la prevederile art. 9 alin. (2) din Legea nr. 455/2001. … (5) În cazul suspendării sau retragerii acreditării acordate furnizorului de servicii de certificare, autoritatea va face menţiunile necesare în registru. … +
Articolul 11(1) La data intrării în vigoare a prezentului ordin se abrogă Decizia preşedintelui Autorităţii Naţionale pentru Reglementare în Comunicaţii şi Tehnologia Informaţiei nr. 31/2008 privind procedura de acreditare a furnizorilor de servicii de certificare, publicată în Monitorul Oficial al României, Partea I, nr. 46 din 21 ianuarie 2008. … (2) Prezentul ordin se publică în Monitorul Oficial al României, Partea I. … Ministrul comunicaţiilor şi societăţii informaţionale,Gabriel SanduBucureşti, 9 iunie 2009.Nr. 473. +
Anexa 1CERERE PENTRU ÎNCEPEREA PROCEDURII DE ACREDITAREStimate Domnule Ministru,Având în vedere prevederile art. 4 alin. (1) pct. 55 din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, în temeiul dispoziţiilor art. 36 din Legea nr. 455/2001 privind semnătura electronică şi ale art. 16 din Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare, vă solicităm să dispuneţi începerea procedurii de acreditare a ……./(numele şi prenumele/denumirea solicitantului)/…………… , furnizor de servicii de certificare, având domiciliul/sediul în …../(adresa completă, inclusiv telefon şi fax)/ …………… , înregistrată la Oficiul Registrului Comerţului de pe lângă Tribunalul ……………………, cod unic de înregistrare/cod de identificare fiscală …………….., reprezentat legal prin ……./(numele şi prenumele)/….., domiciliat(ă) în ……. /(adresa completă, inclusiv telefon)/ ……., identificat(ă) prin actul de identitate …….. /(serie, număr, cod numeric personal)/…………………. .Semnătura reprezentantului legal şi ştampila solicitantului……………………………….. +
Anexa 2ORDIN DE DESEMNARE A AUDITORULUIAvând în vedere prevederile Legii nr. 455/2001 privind semnătura electronică, precum şi ale Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,în baza Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 473/2009 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare,în temeiul art. 4 alin. (1) pct. 55 şi al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare,având în vedere Referatul de aprobare nr. ………/……. al Direcţiei ………*1),–––-*1) Se va menţiona denumirea direcţiei de specialitate din cadrul Ministerului Comunicaţiilor şi Societăţii Informaţionale care îndeplineşte atribuţiile de punere în aplicare a Legii nr. 455/2001 privind semnătura electronică.ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin.Art. 1. – ………./(denumirea auditorului)/………., cu domiciliul/sediul în ………………, înregistrat la Oficiul Registrului Comerţului de pe lângă Tribunalul …………….., cod unic de înregistrare/cod de identificare fiscală …………….., este desemnat pentru a efectua auditul în vederea acreditării furnizorului de servicii de certificare ………./(denumirea furnizorului)/ ………………. .Art. 2. – ……/(denumirea auditorului)/…………. va prezenta Ministerului Comunicaţiilor şi Societăţii Informaţionale raportul de audit, însoţit de opinia de audit, efectuate în vederea acreditării furnizorului de servicii de certificare ……../(denumirea furnizorului)/……………….., în termen de 30 de zile de la comunicarea prezentului ordin.Art. 3. – Prezentul ordin se comunică ………./(denumirea auditorului)/………….. .Ministrul comunicaţiilor şi societăţii informaţionale,……………………………………..Ordin nr. ……/…….Bucureşti +
Anexa 3ORDIN DE ACREDITAREAvând în vedere prevederile Legii nr. 455/2001 privind semnătura electronică, precum şi ale Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,în baza Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 473/2009 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare,în temeiul art. 4 alin. (1) pct. 55 şi al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare,având în vedere Referatul de aprobare nr. ………/……. al Direcţiei ………*1),––––*1) Se va menţiona denumirea direcţiei de specialitate din cadrul Ministerului Comunicaţiilor şi Societăţii Informaţionale care îndeplineşte atribuţiile de punere în aplicare a Legii nr. 455/2001 privind semnătura electronică.ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin.Art. 1. – Începând cu data comunicării prezentului ordin, ………/(denumirea furnizorului)/………. dobândeşte calitatea de furnizor acreditat de servicii de certificare.Art. 2. – Acreditarea se acordă pe o perioadă de 3 ani de la data comunicării prezentului ordin şi poate fi reînnoită pe baza procedurii prevăzute în Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr. ………………………… privind procedura de acreditare a furnizorilor de servicii de certificare.Art. 3. – Prezentul ordin se comunică ………./(denumirea furnizorului)/…………. atât pe suport hârtie, cât şi în format electronic, semnat digital.Ministrul comunicaţiilor şi societăţii informaţionale,…………………………………..Ordin nr. ………..Bucureşti––––
