Comunica experienta
MonitorulJuridic.ro
Având în vedere: - Hotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările ulterioare; – Ordonanţa de urgenţă a Guvernului nr. 68/2019 privind stabilirea unor măsuri la nivelul administraţiei publice centrale şi pentru modificarea şi completarea unor acte normative, aprobată cu modificări prin Legea nr. 77/2020; – prevederile art. 36 şi 37 din Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare; – prevederile art. 16-20 din Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare; – Adresa Serviciului Român de Informaţii nr. N218.156 din 22.09.2022; – Referatul de aprobare nr. SSI 981 din 4.10.2022, aprobat de preşedintele Autorităţii pentru Digitalizarea României, în temeiul art. 8 alin. (4) dinHotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările ulterioare, preşedintele Autorităţii pentru Digitalizarea României emite prezenta decizie. ART. 1 (1) Prezenta decizie se aplică furnizorilor de servicii de certificare care doresc să îşi desfăşoare activitatea ca furnizori acreditaţi şi stabileşte procedura privind acordarea, suspendarea şi retragerea deciziei de acreditare a furnizorilor de servicii de certificare de către Autoritatea pentru Digitalizarea României, autoritatea de reglementare şi supraveghere specializată în domeniu. (2) Prezenta decizie stabileşte condiţiile, conţinutul, durata de valabilitate şi condiţiile suspendării deciziei de acreditare a furnizorilor de servicii de certificare. ART. 2 În înţelesul prezentei decizii, termenii de mai jos au următoarele semnificaţii: a) autoritate - Autoritatea pentru Digitalizarea României, în calitate de autoritate de reglementare şi supraveghere specializată în domeniu, conform art. 25 şi 26 din Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare; b) acreditare - calificativul acordat de către autoritate unui furnizor de servicii de certificare, la solicitarea acestuia, în urma verificării documentaţiei şi a raportului de audit efectuat de o terţă parte, în vederea stabilirii concordanţei dintre sistemele, procedurile şi practicile afirmate şi cele existente în realitate; c) audit - procesul de verificare a concordanţei dintre sistemele, procedurile şi practicile afirmate de către furnizorul de servicii de certificare care solicită acreditarea şi cele existente în realitate; d) auditor - persoana juridică numită de către autoritate pentru efectuarea auditului de acreditare, în urma evaluării îndeplinirii criteriilor de selecţie; e) registru - Registrul furnizorilor de servicii de certificare, care este constituit şi actualizat de către autoritate şi care are rolul de a asigura, prin efectuarea înregistrărilor prevăzute de Legea nr. 455/2001, republicată, cu modificările şi completările ulterioare, stocarea datelor de identificare şi a unor informaţii legate de activitatea furnizorilor de servicii de certificare, precum şi informarea publicului cu privire la datele şi informaţiile stocate. ART. 3 Furnizorul de servicii de certificare care doreşte să fie acreditat va înainta autorităţii o cerere scrisă pentru începerea procedurii de acreditare. Forma şi conţinutul acestei cereri sunt prevăzute în anexa nr. 1, care face parte integrantă din prezenta decizie. ART. 4 În vederea acreditării, furnizorul de servicii de certificare trebuie să facă dovada: a) utilizării a cel puţin 5 persoane angajate în baza unor contracte individuale de muncă cu normă întreagă sau prin încheierea de contracte de prestări de servicii cu societăţi comerciale ori persoane fizice autorizate. Persoanele implicate în generarea şi gestionarea de certificate trebuie: (i) să deţină diplomă de absolvire a unei forme de învăţământ superior de lungă durată, eliberată de o instituţie de învăţământ superior acreditată, având înscrisă una dintre următoarele specializări: automatică, calculatoare, informatică, matematică, fizică, cibernetică, electronică; sau (ii) să deţină diplomă de masterat în una dintre specializările menţionate la pct. (i). Angajaţii implicaţi în generarea şi gestionarea de certificate trebuie să aibă cunoştinţe în domeniul securităţii informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu ori prin deţinerea cel puţin a uneia dintre certificările ISO/IEC 27001, CISA, CISM, LPT sau CISSP recunoscute la nivel internaţional. Orice modificare a schemei de personal va fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea acesteia; b) utilizării unei scheme de personal care să asigure un flux continuu de emitere, suspendare şi revocare a certificatelor şi segregarea rolurilor angajaţilor, asigurând acoperirea cel puţin a următoarelor roluri: operator pentru gestionarea cererilor de certificare (cel puţin două persoane), operator pentru verificarea cererilor şi emiterea certificatelor (cel puţin două persoane), administrator al sistemului de certificare, administrator de securitate şi auditor intern. Schema de personal va fi înaintată autorităţii; c) utilizării unei arhitecturi distribuite a sistemului de certificare şi sistemului de înregistrare, separând logic şi fizic funcţionalităţile publice: înregistrarea cererilor de certificate, registrul de certificate şi validarea cererilor de emitere a certificatelor. Furnizorul trebuie să dovedească disponibilitatea lunară de 99,98% a soluţiei de emitere, publicare şi validare a certificatelor, precum şi a registrului de certificare. Disponibilitatea reprezintă capacitatea sistemelor informatice ale furnizorului de a se afla în stare de funcţionare în orice moment din intervalul de observaţie de o lună calendaristică. Disponibilitatea se calculează după formula: D = [(To – Tî)/To]*100[%], unde: To = durata unei luni calendaristice, aproximată la 30 de zile * 24 de ore * 60 de minute = 43.200 de minute; Tî = durata însumată a întreruperilor de serviciu în minute. Arhitectura tehnică şi dovada îndeplinirii condiţiilor de disponibilitate a soluţiei vor fi înaintate autorităţii; d) deţinerii sau utilizării unui sediu de rezervă pentru continuarea operaţiunilor în cazul apariţiei unui eveniment care să împiedice utilizarea sediului principal. Sediul de rezervă trebuie să răspundă aceloraşi condiţii tehnice ca şi sediul principal şi să parcurgă aceleaşi proceduri de audit. Documentaţia privind sediul de rezervă şi rapoartele de audit vor fi înaintate autorităţii; e) certificărilor legate de sistemul de management al calităţii şi management al securităţii informaţionale, certificate în conformitate cu standardele ISO 9001 şi, respectiv, ISO 27001 sau Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare, ori cu ultimele versiuni ale acestora sau cu standardele care le înlocuiesc. Rapoartele de audit vor fi înaintate autorităţii. ART. 5 (1) Orice furnizor de servicii de certificare calificată poate solicita iniţierea procedurii de acreditare prin bifarea opţiunii din anexa nr. 2 la Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările şi completările ulterioare. (2) Procedura de acreditare poate fi iniţiată numai după începerea activităţii de furnizare de servicii de certificare calificată şi actualizarea registrului. Procedura de acreditare este prevăzută în anexa nr. 4, care face parte integrantă din prezenta decizie. ART. 6 (1) Pentru instituţiile din domeniul apărării, ordinii publice şi siguranţei naţionale care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii şi ale căror sisteme de generare, evidenţă şi distribuţie fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat, cuantumul garanţiei se stabileşte anual, prin decizia autorităţii de reglementare şi supraveghere specializate în domeniu, la propunerea conducerii instituţiilor respective, proporţional cu prejudiciile create în anul anterior, stabilite prin decizii judecătoreşti definitive. Extensia certificatului va conţine menţiuni referitoare la limitări privind utilizarea. (2) Serviciul Român de Informaţii este furnizor de servicii certificate calificate ale semnăturii electronice pentru sistemele informatice gestionate de acesta şi acreditate potrivit reglementărilor naţionale în vigoare. Certificatele calificate emise în cadrul Serviciului Român de Informaţii sunt recunoscute naţional şi pot fi folosite pentru: a) nevoi proprii; b) realizarea schimbului de date între acesta şi instituţiile din domeniul apărării, ordinii publice şi securităţii naţionale; c) semnarea corespondenţei digitale şi realizarea schimbului de corespondenţă digitală. ART. 7 (1) Furnizorul va notifica autoritatea în legătură cu orice modificare a soluţiei tehnice sau a procedurilor de lucru. Notificarea va fi însoţită de opinia auditorului intern al furnizorului, opinie din care să rezulte faptul că furnizarea serviciilor de certificare se face în continuare cu respectarea standardelor în domeniu şi a legislaţiei în vigoare. (2) Notificarea prevăzută la alin. (1) se va face cu 10 zile înainte de data la care modificările specificate la alin. (1) devin operaţionale sau, în cazul unor urgenţe ori evenimente neprevăzute, justificate, în termen de maximum 24 de ore de la efectuarea modificărilor. (3) În urma notificării adresate de către furnizor autorităţii, dacă se consideră că modificările efectuate afectează major procesul de furnizare a serviciilor de certificare, în sensul nerespectării standardelor în domeniu sau a legislaţiei în vigoare, autoritatea poate solicita reînnoirea acreditării. (4) Furnizorul acreditat va testa anual nivelul de securitate al sistemului informatic. În urma testării, acesta trebuie să înainteze către autoritate un raport de testare de securitate (test de penetrare) a întregului sistem informatic utilizat pentru furnizarea de servicii de certificare. Testele vor fi realizate de personal specializat, echipa de testare fiind compusă din minimum un expert în teste de penetrare cu certificare (LPT sau echivalent) şi un auditor certificat în auditarea sistemelor informatice (CISA). Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât şi din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internaţional. Raportul de testare va conţine toate testele efectuate, vulnerabilităţile identificate, precum şi nivelul de risc asociat acestora. În urma raportului de testare, autoritatea va putea solicita furnizorului implementarea măsurilor de securitate în vederea reducerii nivelului de risc. (5) Instituţiile care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii şi ale căror sisteme de generare, evidenţă şi distribuţie fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat vor realiza testele de penetrare şi auditul de securitate cu personal propriu care deţine cunoştinţe în domeniul securităţii informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu, având o experienţă de cel puţin 5 ani în domeniul securităţii sistemelor informatice. Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât şi din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internaţional. Raportul de testare va conţine toate testele efectuate, vulnerabilităţile identificate, precum şi nivelul de risc asociat acestora. În urma raportului de testare, autoritatea va putea solicita instituţiei implementarea măsurilor de securitate în vederea reducerii nivelului de risc. ART. 8 Verificarea informaţiilor din cererea de eliberare a certificatului va fi realizată atât la înregistrarea cererii, cât şi la emiterea certificatului, în conformitate cu prevederile art. 19 din Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare. ART. 9 Autoritatea poate dispune suspendarea activităţii furnizorului de servicii de certificare până la încetarea cauzelor care au determinat luarea măsurii şi în următoarele situaţii: a) furnizorul nu îndeplineşte cerinţele privind personalul sau nu anunţă modificarea schemei de personal, aşa cum este prevăzut la art. 4 lit. a) şi b); b) furnizorul nu asigură disponibilitatea soluţiei sau nu anunţă modificările tehnice, aşa cum este prevăzut la art. 4 lit. c) şi art. 7; c) furnizorul nu mai îndeplineşte cerinţele tehnice definite la art. 4 lit. d) şi e). ART. 10 În cazurile prevăzute la art. 9, autoritatea are dreptul de a emite pretenţii asupra scrisorii de garanţie bancară sau a poliţei de asigurare, în limita prejudiciului. ART. 11 (1) Verificarea îndeplinirii condiţiilor de acreditare se face de către un auditor numit de către autoritate în urma parcurgerii procedurii prevăzute la alin. (2)-(7). (2) Numirea auditorului se face în urma unui proces de calificare, pe baza criteriilor stabilite de către autoritate şi în urma selecţiei acestuia dintre candidaţii calificaţi. (3) În acest scop, autoritatea va face public anunţul de selecţie odată cu punerea la dispoziţie oricărei părţi interesate, contra cost, a condiţiilor de calificare. Anunţul va cuprinde inclusiv data-limită de depunere a documentaţiei de calificare. (4) Orice persoană juridică ce a intrat în posesia condiţiilor de calificare conform alin. (3) poate participa la procesul de calificare. (5) Autoritatea verifică documentele de calificare din partea candidaţilor şi respectarea criteriilor stabilite. (6) În termen de 30 de zile de la data primirii cererii pentru începerea procedurii de acreditare, autoritatea întocmeşte şi comunică furnizorului de servicii de certificare lista candidaţilor calificaţi. (7) Furnizorul de servicii de certificare care solicită acreditarea selectează dintre candidaţii calificaţi auditorul care va fi numit de către autoritate pentru efectuarea auditului de acreditare. ART. 12 (1) În urma selecţiei efectuate de către furnizorul de servicii de certificare, autoritatea emite decizia de numire a auditorului. (2) Numirea auditorului se face prin decizie a preşedintelui autorităţii. Forma şi conţinutul deciziei de numire sunt prevăzute în anexa nr. 2, care face parte integrantă din prezenta decizie. ART. 13 Auditul se realizează pe cheltuiala furnizorului de servicii de certificare. ART. 14 Pe perioada efectuării auditului, autoritatea poate solicita orice documente referitoare la activitatea furnizorului de servicii de certificare care solicită acreditarea şi poate desemna personal propriu pentru a participa la procesul de audit. ART. 15 (1) Rezultatul auditului efectuat asupra activităţii furnizorului de servicii de certificare va fi prezentat sub forma unui raport de audit însoţit de opinia de audit. (2) Autoritatea îşi rezervă dreptul de a respinge cererea de acreditare în urma analizei raportului de audit, precum şi în cazul unei opinii de audit exprimate cu rezerve. (3) În cazul unor observaţii referitoare la raportul de audit prezentat, autoritatea are obligaţia comunicării acestora atât furnizorului de servicii de certificare, cât şi auditorului în termen de 5 zile de la prezentarea raportului. ART. 16 (1) În termen de 10 zile de la prezentarea opiniei de audit favorabile, autoritatea emite decizia de acreditare şi înscrie în registru menţiunea privind acreditarea furnizorului de servicii de certificare. (2) Acreditarea se face prin decizie a preşedintelui autorităţii. Forma şi conţinutul deciziei de acreditare sunt prevăzute în anexa nr. 3, care face parte integrantă din prezenta decizie. (3) În cazul respingerii cererii de acreditare, autoritatea va comunica furnizorului motivele respingerii. ART. 17 (1) Procedura de suspendare sau de retragere a deciziei de acreditare este prevăzută la art. 19 şi 20 din Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare. (2) Suspendarea sau retragerea deciziei de acreditare se face prin decizie a preşedintelui autorităţii. (3) Pe perioada suspendării acreditării furnizorului de servicii de certificare încetează dreptul acestuia de a folosi în toate activităţile pe care le desfăşoară o menţiune distinctivă care să se refere la această calitate. (4) Semnăturile electronice extinse bazate pe certificate calificate eliberate de către furnizorul de servicii de certificare pe perioada suspendării acreditării sunt exceptate de la prevederile art. 9 alin. (2) din Legea nr. 455/2001, republicată, cu modificările şi completările ulterioare. (5) În cazul suspendării sau retragerii acreditării acordate furnizorului de servicii de certificare, autoritatea va face menţiunile necesare în registru. ART. 18 La data intrării în vigoare a prezentei deciziei se abrogă orice prevedere contrară. ART. 19 Prezenta decizie se publică în Monitorul Oficial al României, Partea I. Preşedintele Autorităţii pentru Digitalizarea României, Dragoş-Cristian Vlad Bucureşti, 4 octombrie 2022. Nr. 630. ANEXA 1 CERERE pentru începerea procedurii de acreditare Stimate Domnule Preşedinte, Având în vedere prevederile art. 2 lit. b) şi ale art. 5 lit. f) dinHotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările ulterioare, în temeiul dispoziţiilor art. 36 din Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare, şi ale art. 16 din Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare, vă solicităm să dispuneţi începerea procedurii de acreditare a ....................................(numele şi prenumele/denumirea solicitantului)......................................., furnizor de servicii de certificare, având domiciliul/sediul în ..........................(adresa completă, inclusiv telefon şi fax)......................., înregistrat la Oficiul Registrului Comerţului de pe lângă Tribunalul ........................, cod unic de înregistrare/cod de identificare fiscală ................., reprezentat legal prin ..................(numele şi prenumele) ...................., domiciliat(ă) în ........................(adresa completă, inclusiv telefon)...................., identificat(ă) prin actul de identitate .....................(serie, număr, cod numeric personal).................. . Semnătura reprezentantului legal şi ştampila solicitantului ......................................................................... ANEXA 2 DECIZIE pentru desemnarea auditorului Având în vedere prevederile Legii nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare, precum şi ale Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare, în baza Deciziei preşedintelui Autorităţii pentru Digitalizarea României nr. 630/2022 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare, în temeiul art. 8 alin. (4) dinHotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările ulterioare, având în vedere Referatul de aprobare nr. ............../.............. al Serviciului societatea informaţională, preşedintele Autorităţii pentru Digitalizarea României emite prezenta decizie. ART. 1 ................(denumirea auditorului).............., cu domiciliul/sediul în ..........................., înregistrat la Oficiul Registrului Comerţului de pe lângă Tribunalul ......................., cod unic de înregistrare/cod de identificare fiscală ........................, este desemnat pentru a efectua auditul în vederea acreditării furnizorului de servicii de certificare .................(denumirea furnizorului).................., ART. 2 ...............(denumirea auditorului)............. va prezenta Autorităţii pentru Digitalizarea României raportul de audit, însoţit de opinia de audit, efectuate în vederea acreditării furnizorului de servicii de certificare .....................(denumirea furnizorului),..............., în termen de 30 de zile de la comunicarea prezentei decizii. ART. 3 Prezenta decizie se comunică ................(denumirea auditorului).............., Preşedintele Autorităţii pentru Digitalizarea României, .......................................... ANEXA 3 DECIZIE de acreditare Având în vedere prevederile Legii nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare, precum şi ale Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare, în baza Deciziei preşedintelui Autorităţii pentru Digitalizarea României nr. 630/2022 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare, în temeiul art. 8 alin. (4) dinHotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările ulterioare, având în vedere Referatul de aprobare nr. ................../................... al Serviciului societatea informaţională, preşedintele Autorităţii pentru Digitalizarea României emite prezenta decizie. ART. 1 Începând cu data comunicării prezentei decizii, ................(denumirea furnizorului)..........., dobândeşte calitatea de furnizor acreditat de servicii de certificare. ART. 2 Acreditarea se acordă pe o perioadă de 3 ani de la data comunicării prezentei decizii şi poate fi reînnoită pe baza procedurii prevăzute în Decizia preşedintelui Autorităţii pentru Digitalizarea României nr. 630/2022 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare. ART. 3 Prezenta decizie se comunică ..............(denumirea furnizorului)............ atât pe suport hârtie, cât şi în format electronic, semnat digital. Preşedintele Autorităţii pentru Digitalizarea României, ............................................... ANEXA 4 PROCEDURĂ DE ACREDITARE
┌───────────┬──────────────────────────┐
│Numărul │Descrierea activităţii │
│activităţii│ │
├───────────┼──────────────────────────┤
│1. │Procedura de acreditare │
├───────────┼──────────────────────────┤
│2. │I. Cererea furnizorului │
├───────────┼──────────────────────────┤
│ │Cererea furnizorului de │
│ │servicii de certificare │
│3. │(FSC) circulă de la │
│ │registratură până la │
│ │Serviciul societatea │
│ │informaţională (SSI). │
├───────────┼──────────────────────────┤
│ │Autoritatea pentru │
│ │Digitalizarea României │
│ │(ADR) verifică numai │
│4. │documentaţia transmisă de │
│ │furnizor. În cazul în care│
│ │furnizorul nu a transmis │
│ │documentaţia, aceasta este│
│ │solicitată. │
├───────────┼──────────────────────────┤
│5. │II. Procesul de alegere a │
│ │auditorului │
├───────────┼──────────────────────────┤
│ │Desemnarea echipei │
│ │responsabile cu │
│6. │îndeplinirea procesului de│
│ │acreditare, formată din │
│ │reprezentanţi ai SSI │
├───────────┼──────────────────────────┤
│ │Stabilirea de către ADR a │
│7. │condiţiilor de calificare │
│ │a auditorilor │
├───────────┼──────────────────────────┤
│8. │Aprobarea procedurii cu │
│ │tot ce cuprinde │
├───────────┼──────────────────────────┤
│ │Publicarea anunţului ADR │
│9. │referitor la lansarea │
│ │procedurii de selecţie a │
│ │auditorilor │
├───────────┼──────────────────────────┤
│10. │Primirea ofertelor │
├───────────┼──────────────────────────┤
│ │Verificarea îndeplinirii │
│11. │condiţiilor de către │
│ │auditorii care participă │
│ │la procesul de calificare │
├───────────┼──────────────────────────┤
│12. │Desemnarea auditorului │
├───────────┼──────────────────────────┤
│ │Raportul comisiei, │
│13. │inclusiv lista care │
│ │trebuie aprobată │
├───────────┼──────────────────────────┤
│14. │Aprobarea listei │
├───────────┼──────────────────────────┤
│15. │Comunicarea listei │
├───────────┼──────────────────────────┤
│16. │Primirea răspunsului │
├───────────┼──────────────────────────┤
│ │Desemnarea auditorului │
│ │prin decizie a │
│ │preşedintelui Autorităţii │
│ │pentru Digitalizarea │
│ │României (conform │
│ │modelului din anexa nr. 2 │
│ │la Decizia preşedintelui │
│17. │Autorităţii pentru │
│ │Digitalizarea României nr.│
│ │630/2022 privind procedura│
│ │de acordare, suspendare şi│
│ │retragere a deciziei de │
│ │acreditare a furnizorilor │
│ │de servicii de │
│ │certificare) │
├───────────┼──────────────────────────┤
│18. │Comunicarea deciziei │
├───────────┼──────────────────────────┤
│19. │III. Realizarea auditului │
├───────────┼──────────────────────────┤
│ │Efectuarea auditului şi │
│20. │transmiterea raportului şi│
│ │opiniei de audit către ADR│
├───────────┼──────────────────────────┤
│21. │IV. Evaluarea şi decizia │
│ │acreditării │
├───────────┼──────────────────────────┤
│ │SSI va primi rezultatul │
│22. │auditului efectuat asupra │
│ │FSC. │
├───────────┼──────────────────────────┤
│ │ADR respinge cererea de │
│ │acreditare în urma │
│23. │analizei raportului de │
│ │audit, precum şi în cazul │
│ │unei opinii de audit │
│ │exprimate cu rezerve. │
├───────────┼──────────────────────────┤
│ │În cazul unor observaţii │
│ │referitoare la raportul de│
│ │audit prezentat, ADR le va│
│ │comunica atât furnizorului│
│24. │de servicii de │
│ │certificare, cât şi │
│ │auditorului în termen de 5│
│ │zile de la prezentarea │
│ │raportului. │
├───────────┼──────────────────────────┤
│ │În termen de 10 zile de la│
│ │prezentarea opiniei de │
│ │audit favorabile, ADR │
│25. │emite decizia de │
│ │acreditare şi înscrie în │
│ │registru menţiunea privind│
│ │acreditarea FSC. │
├───────────┼──────────────────────────┤
│ │Acreditarea se face prin │
│ │decizie a preşedintelui │
│ │ADR, forma şi conţinutul │
│ │deciziei de acreditare │
│26. │fiind prevăzute în anexa │
│ │nr. 3 la Decizia │
│ │preşedintelui Autorităţii │
│ │pentru Digitalizarea │
│ │României nr. 630/2022. │
├───────────┼──────────────────────────┤
│ │În cazul respingerii │
│27. │cererii de acreditare, ADR│
│ │va comunica furnizorului │
│ │motivele respingerii. │
├───────────┼──────────────────────────┤
│ │Decizia de acreditare va │
│ │fi comunicată furnizorului│
│28. │pe suport hârtie şi în │
│ │format electronic, semnată│
│ │digital de către ADR. │
├───────────┼──────────────────────────┤
│ │ADR va înscrie în │
│ │Registrul furnizorilor de │
│29. │servicii de certificare │
│ │menţiunea privind │
│ │acreditarea FSC. │
└───────────┴──────────────────────────┘
----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.