Comunica experienta
MonitorulJuridic.ro
────────── Aprobate prin ORDINUL nr. 106 din 14 octombrie 2022, publicat în Monitorul Oficial al României, Partea I, nr. 1076 din 8 noiembrie 2022.────────── CAP. I Dispoziţii generale ART. 1 Aplicabilitate (1) Prezentele norme referitoare la autorizarea furnizorilor de servicii de formare pentru securitate cibernetică, denumite în continuare norme, stabilesc cadrul legal privind autorizarea furnizorilor de servicii de formare pentru securitate cibernetică, respectiv pentru formarea auditorilor de securitate cibernetică, a membrilor echipelor CSIRT şi/sau a responsabililor cu securitatea reţelelor şi sistemelor informatice, în vederea autorizării acestora în condiţiile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare. (2) Autorizarea reprezintă procesul în urma căruia furnizorii de servicii de formare pentru securitate cibernetică pot organiza programe de formare iniţială sau continuă în domeniul securităţii cibernetice, finalizate cu certificate de specializare sau de participare recunoscute de DNSC în calitate de autoritate competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice. (3) În înţelesul prezentelor norme, furnizorii de servicii de formare pentru securitate cibernetică pot fi persoane juridice înscrise în registrele naţionale ale furnizorilor de formare profesională, respectiv Registrul naţional al furnizorilor de formare continuă (gestionat de Ministerul Educaţiei) şi/sau Registrul naţional al furnizorilor de formare profesională a adulţilor (gestionat de Ministerul Muncii şi Solidarităţii Sociale), care dispun de formatori, îndeplinesc cerinţele prevăzute în prezentele norme şi desfăşoară cel puţin o activitate prin care se realizează formarea şi/sau instruirea auditorilor de securitate cibernetică, a membrilor echipelor CSIRT sau a responsabililor cu securitatea reţelelor şi sistemelor informatice însărcinaţi cu monitorizarea canalelor de contact, denumiţi în continuare responsabili NIS. (4) Prezentele norme nu se aplică la nivelul instituţiilor din sistemul de apărare, ordine publică şi securitate naţională, din domeniul protecţiei infrastructurilor critice şi nici la nivelul infrastructurilor cibernetice care vehiculează informaţii clasificate. (5) Formarea profesională specifică pentru securitate cibernetică tratată în prezentele norme cuprinde: a) formarea auditorilor de securitate cibernetică; b) formarea membrilor echipelor CSIRT; c) formarea responsabililor NIS. ART. 2 Termeni, expresii şi abrevieri (1) În cuprinsul prezentelor norme se utilizează următoarele abrevieri: a) DNSC - Directoratul Naţional de Securitate Cibernetică; b) DGRC - Direcţia generală reglementare şi control; c) DAA - Direcţia atestare şi autorizare; d) CSIRT sau echipă CSIRT - echipă de răspuns la incidente de securitate cibernetică; e) RENFOSEC - Registrul naţional al furnizorilor de servicii de formare pentru securitate cibernetică. (2) În cuprinsul prezentelor norme, precum şi în activitatea specifică domeniului securităţii cibernetice se utilizează următoarele concepte: a) autorizaţie de furnizor de servicii de formare pentru securitate cibernetică - document emis de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice pe baza criteriilor de evaluare, cu valabilitate limitată de patru ani, prin care se certifică îndeplinirea condiţiilor de către furnizorul de servicii de formare pentru securitate cibernetică privind desfăşurarea uneia dintre activităţile de formare precizate la art. 1 alin. (5); b) centru de formare pentru securitate cibernetică - mediul fizic sau online, logic şi organizaţional în care se formează/instruiesc auditorii de securitate cibernetică, membrii echipelor CSIRT şi/sau responsabilii NIS; c) certificat de specializare auditor de securitate cibernetică - document eliberat de către DNSC la solicitarea unui furnizor de servicii de formare pentru securitate cibernetică autorizat de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice, la finalizarea procesului de formare, care certifică specializarea personalului în vederea atestării pentru a desfăşura activităţi de audit de securitate cibernetică; d) certificat de specializare membru echipă CSIRT - document eliberat de către DNSC la solicitarea unui furnizor de servicii de formare pentru securitate cibernetică autorizat de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice, la finalizarea procesului de formare, care certifică formarea personalului în vederea autorizării ca membru în cadrul unei echipe CSIRT; e) certificat de specializare responsabil NIS - document eliberat de către DNSC la solicitarea unui furnizor de servicii de formare pentru securitate cibernetică autorizat de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice, la finalizarea procesului de formare, care certifică pregătirea personalului în vederea numirii/desemnării ca responsabil cu securitatea reţelelor şi sistemelor informatice la nivelul operatorilor economici care furnizează servicii esenţiale şi/sau digitale; f) certificat evaluare expertiză privind securitatea cibernetică - document eliberat de către DNSC în calitate de autoritate competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice în urma promovării examenului/evaluării expertizei în domeniul auditului de securitate cibernetică, examen desfăşurat la sediul DNSC sau într-un centru de formare pentru securitate cibernetică; g) formarea auditorilor de securitate cibernetică - activitatea prin care se asigură creşterea şi diversificarea competenţelor profesionale, prin specializare iniţială şi perfecţionarea continuă a auditorilor de securitate cibernetică care urmează a fi atestaţi sau reatestaţi în vederea desfăşurării activităţilor de auditare a reţelelor şi sistemelor informatice; h) formarea membrilor echipelor CSIRT - activitatea prin care se asigură creşterea şi diversificarea competenţelor profesionale, prin formarea iniţială şi perfecţionarea continuă a membrilor echipelor CSIRT care urmează să fie autorizaţi sau reatestaţi în vederea participării în echipe CSIRT şi furnizării de servicii de tip CSIRT necesare asigurării securităţii reţelelor şi sistemelor informatice ale operatorilor de servicii esenţiale şi/sau furnizorilor de servicii digitale; i) formarea responsabililor NIS - activitatea prin care se asigură creşterea şi diversificarea competenţelor profesionale, prin pregătirea, iniţierea şi perfecţionarea continuă a responsabililor NIS care urmează a fi desemnaţi sau desfăşoară activităţi în vederea elaborării/implementării procedurilor, în implementarea cerinţelor minime de securitate cibernetică şi a măsurilor de protecţie ce trebuie implementate la nivelul reţelelor şi sistemelor informatice; j) formator pentru securitate cibernetică - persoană fizică, cu studii superioare, având atribuţii de instruire teoretică şi/sau practică în cadrul unui furnizor de servicii de formare pentru securitate cibernetică, ce are profil sau specialităţi corespunzătoare programei de pregătire pentru securitate cibernetică; k) furnizor de servicii de formare pentru securitate cibernetică - persoană juridică autorizată de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice, înscrisă în Registrul naţional al furnizorilor de servicii de formare pentru securitate cibernetică; l) lista furnizorilor de servicii de formare pentru securitate cibernetică cuprinde toţi furnizorii de servicii de formare pentru securitate cibernetică valabil autorizaţi de către autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice şi este publicată pe site-ul instituţiei; m) procedura de evaluare şi autorizare a furnizorului de servicii de formare pentru securitate cibernetică - procesul organizat şi desfăşurat la nivelul autorităţii competente la nivel naţional pentru securitatea reţelelor şi sistemelor informatice prin care sunt evaluate şi analizate atât documentele care stau la baza solicitării autorizării, cât şi experienţa formatorilor, finalizat cu emiterea sau neemiterea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică; n) Registrul naţional al furnizorilor de servicii de formare pentru securitate cibernetică - document constituit în format electronic, gestionat şi administrat la nivelul autorităţii competente la nivel naţional pentru securitatea reţelelor şi sistemelor informatice, care cuprinde evidenţa cronologică a autorizării, suspendării, revocării şi reautorizării activităţilor furnizorilor de servicii de formare în domeniul securităţii cibernetice; o) Registrul naţional de evidenţă a certificatelor pentru securitate cibernetică - document constituit în format electronic, gestionat şi administrat la nivelul autorităţii competente la nivel naţional pentru securitatea reţelelor şi sistemelor informatice, care cuprinde evidenţa tuturor certificatelor menţionate la lit. c)-f); p) responsabil NIS - responsabil cu securitatea reţelelor şi sistemelor informatice însărcinat cu monitorizarea canalelor de contact cu autoritatea naţională competentă, desemnat/stabilit la nivelul operatorului economic care furnizează servicii esenţiale şi/sau digitale. ART. 3 Autoritatea competentă la nivel naţional (1) Pentru eliberarea, revocarea sau reînnoirea autorizaţiilor furnizorilor de servicii de formare pentru securitate cibernetică ce desfăşoară programe de pregătire/specializare pentru auditorii de securitate cibernetică, pentru membrii echipelor CSIRT şi/sau pentru responsabilii NIS, Directoratul Naţional de Securitate Cibernetică este autoritatea competentă la nivel naţional în conformitate cu prevederile art. 15 alin. (1) coroborat cu art. 20 lit. q) din Legea nr. 362/2018, cu modificările şi completările ulterioare. (2) Directoratul Naţional de Securitate Cibernetică, în calitate de autoritate competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice, coordonează procesul de autorizare şi verificare a furnizorilor de servicii de formare pentru securitate cibernetică. (3) Organizarea şi gestionarea activităţii sunt asigurate de Direcţia atestare şi autorizare din cadrul Direcţiei generale reglementare şi control. (4) Verificarea şi controlul activităţii desfăşurate de furnizorii de servicii de formare pentru securitate cibernetică sunt asigurate de Direcţia verificare şi control din cadrul Direcţiei generale reglementare şi control. (5) Autorizarea reprezintă un proces desfăşurat de către personalul Direcţiei atestare şi autorizare ce presupune analiza şi evaluarea documentaţiei depuse de furnizorii de formare şi are ca rezultat eliberarea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică în baza căreia se pot furniza servicii de formare şi/sau instruire în domeniul securităţii cibernetice. Modelul autorizaţiei este prezentat în anexa nr. 1. (6) Soluţionarea cererilor de autorizare se face în termen de 60 de zile de la data înregistrării. (7) Directoratul Naţional de Securitate Cibernetică, în calitate de autoritate competentă la nivel naţional, asigură: a) menţinerea şi actualizarea permanentă a Registrului naţional al furnizorilor de servicii de formare pentru securitate cibernetică; b) acordarea, prelungirea, suspendarea sau retragerea autorizaţiilor furnizorilor de servicii de formare pentru securitate cibernetică; c) evaluarea procesului de pregătire/specializare a auditorilor în vederea atestării ca auditori de securitate cibernetică, a membrilor echipelor CSIRT şi/sau a responsabililor NIS atât prin verificarea şi actualizarea tematicilor elaborate şi aprobarea programelor de pregătire, cât şi prin comisiile de examen/evaluare de securitate şi eliberarea certificatelor de specialitate/evaluare. ART. 4 Condiţii privind eliberarea autorizaţiei pentru furnizorii de servicii de formare (1) Pentru a se supune autorizării în vederea furnizării de servicii de formare pentru securitate cibernetică, furnizorii de servicii de formare profesională stabiliţi în România trebuie să îndeplinească următoarele condiţii de eligibilitate: a) să fie legal constituiţi; b) să aibă prevăzute în statut sau, după caz, în actul de înfiinţare activităţi de formare profesională; c) să îşi îndeplinească obligaţiile de plată a impozitelor, taxelor şi contribuţiilor datorate, potrivit legislaţiei în vigoare. (2) Pentru a deveni furnizor de servicii de formare pentru securitate cibernetică şi a fi înscris în Registrul naţional al furnizorilor de servicii de formare pentru securitate cibernetică, solicitantul trebuie să parcurgă următorul proces: a) să solicite, în scris, printr-o cerere autorizarea ca furnizor de servicii de formare pentru securitate cibernetică; b) să fie înscris în unul dintre registrele naţionale specificate la art. 1 alin. (3); c) să dispună de formatori cu experienţă în domeniul securităţii cibernetice pentru desfăşurarea procesului de pregătire/instruire a auditorilor de securitate cibernetică, a membrilor echipelor CSIRT şi/sau a responsabililor NIS. (3) În procesul de autorizare sunt autorizaţi furnizorii de servicii de formare pentru securitate cibernetică, şi nu formatorii pentru securitate cibernetică. (4) Un formator nu poate solicita autorizare pentru desfăşurarea uneia dintre activităţile de formare precizate la art. 1 alin. (5), ci numai un furnizor de servicii de formare legal constituit. (5) Un furnizor de servicii de formare pentru securitate cibernetică nu poate solicita autorizarea ca furnizor de servicii de formare fără a deţine o listă de formatori de cel puţin două persoane fizice. (6) Autorizaţia de furnizor de servicii de formare pentru securitate cibernetică se eliberează pentru fiecare dintre categoriile de pregătire pentru care furnizorul de servicii de formare pentru securitate cibernetică organizează programe de formare profesională. ART. 5 Criteriile de evaluare a furnizorilor de servicii de formare pentru securitate cibernetică în vederea autorizării (1) Criteriile de evaluare a furnizorilor de servicii de formare pentru securitate cibernetică au în vedere următoarele elemente: a) programul de formare profesională pentru cel puţin o activitate de formare dintre cele prevăzute la art. 1 alin. (5); b) experienţa furnizorilor de formare profesională şi rezultatele activităţii lor anterioare obţinerii autorizării sau în alte programe de formare profesională pe care le-au realizat, dacă este cazul; c) capacitatea furnizorului de servicii de formare de a asigura resursele umane, materiale şi financiare necesare pentru elaborarea, susţinerea şi desfăşurarea programului de formare; d) autorizaţiile şi avizele necesare desfăşurării programelor de formare profesională, după caz. (2) În vederea autorizării, furnizorii de servicii de formare pentru securitate cibernetică trebuie să facă dovada că realizează programele de formare profesională cu formatori care au profiluri sau specialităţi corespunzătoare programei de pregătire, respectiv care au pregătirea specifică educaţiei adulţilor conform standardelor ocupaţionale. (3) La analizarea programei de pregătire, specialiştii Direcţiei atestare şi autorizare din cadrul Direcţiei generale reglementare şi control au în vedere dacă: a) structura programei de pregătire este în concordanţă cu prezentele norme; b) fiecare modul, respectiv pentru auditorii de securitate cibernetică, membrii echipelor CSIRT şi responsabilii NIS, permite dobândirea cunoştinţelor necesare desfăşurării activităţilor; c) obiectivele generale ale programului sunt formulate în conformitate cu tipul formării auditorilor de securitate cibernetică, membrilor echipelor CSIRT şi responsabililor NIS; d) conţinutul tematic: (i) este adecvat nivelului de pregătire al participanţilor; (ii) este formulat în concordanţă cu terminologia şi legislaţia în vigoare; (iii) respectă tematicile de specializare a auditorilor de securitate cibernetică, a membrilor echipelor CSIRT şi a responsabililor NIS, aprobate prin decizia directorului DNSC publicată în Monitorul Oficial al României, Partea I; e) metodele/formele de activitate sunt adecvate procesului de formare şi sunt stabilite în concordanţă cu conţinutul tematic; f) mijloacele de instruire şi materialele de învăţare sunt corespunzătoare pentru atingerea obiectivelor de referinţă, respectiv pentru dobândirea competenţelor specifice; g) criteriile de evaluare asigură cuantificarea rezultatelor obţinute în urma desfăşurării procesului de pregătire. (4) În procesul de evaluare şi autorizare, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice colaborează cu instituţii cu responsabilităţi în domeniul apărării, ordinii publice şi securităţii naţionale, cu alte instituţii şi autorităţi, după caz, precum şi cu instituţii cu responsabilităţi în aplicarea legii în vederea evaluării înscrisurilor trimise de către solicitant. (5) Criteriile care stau la baza autorizării furnizorilor de servicii de formare pentru securitate cibernetică stau şi la baza monitorizării şi verificării acestora. (6) Neîndeplinirea criteriilor de autorizare determină neacordarea sau, după caz, retragerea autorizaţiei. (7) Rezultatul activităţii de evaluare/autorizare se concretizează, după caz, în: a) emiterea autorizaţiei în vederea furnizării de servicii de formare pentru securitate cibernetică, când sunt îndeplinite toate condiţiile prevăzute în prezentele norme; b) respingerea cererii de autorizare. (8) Autorizaţia de furnizor de servicii de formare pentru securitate cibernetică se semnează de directorul DNSC şi se avizează de adjunctul directorului DNSC care coordonează activitatea de reglementare şi control, managerul superior al DGRC şi managerul DAA. (9) În cazul respingerii eliberării autorizaţiei, în adresa de răspuns se vor consemna motivele care au stat la baza acesteia. CAP. II Autorizarea furnizorilor de servicii de formare pentru securitate cibernetică SECŢIUNEA 1 Autorizarea furnizorilor de servicii de formare ART. 6 Documente necesare pentru autorizare (1) Autorizaţia de furnizor de servicii de formare pentru securitate cibernetică se obţine în baza cererii de autorizare şi a dosarului pentru emiterea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică. Modelul de cerere este prevăzut în anexa nr. 2. (2) Dosarul pentru emiterea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică trebuie să cuprindă următoarele documente: a) documentul de înfiinţare/înregistrare al persoanei juridice, respectiv certificat de înregistrare în registrele naţionale, după caz, Registrul comerţului, Registrul asociaţiilor şi fundaţiilor, Registrul federaţiilor etc.; b) certificat constatator emis de instituţia care gestionează registrul în care se ţine evidenţa înfiinţării persoanei juridice, cu starea la zi a persoanei juridice, nu mai vechi de 30 de zile; c) codul unic de înregistrare/codul de înregistrare fiscală; d) autorizaţia de furnizor de formare profesională, prin care se confirmă înscrierea în Registrul naţional al furnizorilor de formare continuă (gestionat de Ministerul Educaţiei) şi/sau Registrul naţional al furnizorilor de formare profesională a adulţilor (gestionat de Ministerul Muncii şi Solidarităţii Sociale); e) lista formatorilor care vor participa la desfăşurarea programului de formare şi temele alocate acestora; f) documente specifice pentru fiecare formator, stabilite la alin. (3); g) programa de formare specifică pentru fiecare categorie în parte, respectiv pentru formarea auditorilor de securitate cibernetică, membrilor echipelor CSIRT şi responsabililor NIS (programa de pregătire, întocmită în conformitate cu standardele de pregătire profesională, aprobate în condiţiile reglementărilor în vigoare); h) lista dotărilor utilizate în realizarea pregătirii teoretice şi practice, corelată cu dotările prevăzute în programa de pregătire; i) dovada achitării tarifului de evaluare şi procesare în vederea autorizării ca furnizor de servicii de formare pentru securitate cibernetică, pentru fiecare tip de formare stabilit la art. 1 alin. (5). (3) Documentele specifice pentru formatori sunt: a) actul de identitate, în copie; b) certificatul de absolvire curs de formatori sau dovada pentru profesare în funcţie didactică în învăţământul superior sau expert în securitate cibernetică; c) curriculum vitae - model europass, cu detalierea secţiunii „experienţă profesională“ ce va conţine justificarea privind experienţa în domeniu, respectiv cele stabilite la art. 19 alin. (3); d) diplomă de studii superioare, respectiv licenţă, master etc.; e) certificate, brevete, adeverinţe sau alte documente care fac dovada îndeplinirii de către formatori a criteriilor privind deţinerea unui nivel minim de experienţă de cinci ani în domeniul securităţii cibernetice. ART. 7 Transmitere documente pentru autorizare (1) Dosarul pentru emiterea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică se constituie şi se transmite, în format electronic, împreună cu cererea de autorizare, sub semnătură electronică sau olografă (scanate), la autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice, prin e-mail la dgrc-autorizare@dnsc.ro. (2) Documentaţia va fi în limba română, paginată şi însoţită de un opis. (3) Autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice va confirma primirea documentelor/înscrisurilor. (4) Orice modificare ulterioară a documentelor prevăzute la art. 6 alin. (2) şi (3) va fi transmisă, în format electronic, la autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice în termen de maximum 15 zile de la data producerii acesteia, folosind procedura stabilită la alin. (1). ART. 8 Iniţierea procedurii de evaluare şi autorizare (1) După confirmarea primirii documentaţiei, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice procedează la iniţierea procedurii de evaluare şi autorizare a furnizorului de servicii de formare pentru securitate cibernetică. (2) Procedura de evaluare şi autorizare presupune parcurgerea a patru etape procedurale, respectiv: evaluarea documentaţiei de autorizare; evaluarea expertizei formatorilor; evidenţa furnizorului de servicii; finalizarea procedurii de autorizare. (3) În cazul în care autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice constată că pentru finalizarea procedurii de evaluare şi autorizare sunt necesare înscrisuri suplimentare şi/sau expertize ori constată că anumite documente depuse nu îndeplinesc condiţiile legale de fond sau de formă ori că lipsesc anumite documente doveditoare sau nu au fost achitate taxele legale, solicită noi informaţii/documente şi acordă un termen de până la 30 de zile pentru furnizarea acestora. (4) Neprezentarea completărilor în termenul precizat la alin. (3) conduce la întreruperea procedurii de evaluare şi autorizare, restituirea dosarului şi informarea solicitantului cu privire la refuzul eliberării autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică. (5) Procedura de evaluare şi autorizare, respectiv luarea în evidenţă a furnizorului de servicii de formare pentru securitate cibernetică sau refuzul privind autorizarea, se finalizează la nivelul autorităţii competente la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice, în termen de maximum 60 de zile de la primirea documentaţiei complete de la solicitant. ART. 9 Evaluarea documentaţiei de autorizare (1) Autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice constituie mapa furnizorului de servicii de formare pentru securitate cibernetică, evaluează documentele transmise de către solicitant, solicită date, informaţii sau înscrisuri suplimentare, dacă este cazul, şi, în funcţie de situaţie, dispune continuarea sau întreruperea procedurii de evaluare şi autorizare. (2) Mapa furnizorului de servicii de formare pentru securitate cibernetică ce cuprinde cererea solicitantului, dosarul pentru emiterea autorizaţiei, alte informaţii/înscrisuri suplimentare, dacă este cazul, şi informaţii cu privire la etapele procedurale aplicate se păstrează la autoritatea competentă la nivel naţional, în format electronic. ART. 10 Evaluarea expertizei formatorilor (1) Autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice analizează/ evaluează valabilitatea documentelor specifice şi certificărilor profesionale pentru fiecare formator în conformitate cu art. 6 alin. (3). (2) În urma evaluării expertizei formatorilor, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice dispune continuarea sau întreruperea procedurii de evaluare şi autorizare. ART. 11 Evidenţa furnizorului de servicii (1) Direcţia atestare şi autorizare din cadrul Direcţiei generale reglementare şi control întocmeşte raportul final de evaluare şi autorizare prin care se propune emiterea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică sau restituirea dosarului. (2) În baza raportului final de evaluare şi autorizare, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice emite autorizaţia de furnizor de servicii de formare pentru securitate cibernetică, ia în evidenţă furnizorul de servicii de formare pentru securitate cibernetică şi actualizează lista furnizorilor de servicii de formare pentru securitate cibernetică. (3) Lista furnizorilor de servicii de formare pentru securitate cibernetică se publică pe site-ul instituţiei. (4) Evidenţa furnizorilor de servicii de formare pentru securitate cibernetică se ţine de către autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice, în format electronic, pe baza registrului naţional al furnizorilor de servicii de formare pentru securitate cibernetică. ART. 12 Finalizarea procedurii de autorizare (1) Autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice transmite solicitantului autorizaţia de furnizor de servicii de formare pentru securitate cibernetică. (2) Autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice actualizează bazele de date specifice şi trece la monitorizarea respectării aplicării Legii nr. 362/2018, cu modificările şi completările ulterioare, de către furnizorul de servicii de formare pentru securitate cibernetică. (3) În termen de 10 zile de la primirea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică, persoana juridică va efectua plata tarifului de autorizare a furnizorilor de servicii de formare în conformitate cu Decizia directorului Directoratului Naţional de Securitate Cibernetică nr. 301/2021 pentru aprobarea Listei cuantumului tarifelor pentru serviciile din activităţile prevăzute la art. 22 alin. (1) lit. l), art. 32 alin. (2) lit. c) şi e) şi la art. 33 alin. (2) lit. c) şi e) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice. (4) Neachitarea taxei duce la revocarea autorizaţiei şi radierea furnizorului de servicii de formare pentru securitate cibernetică din evidenţele autorităţii competente la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice. (5) Dosarele solicitanţilor care nu se încadrează în prevederile prezentelor norme, precum şi dosarele incomplete ale solicitanţilor care nu au fost completate în termenul stabilit la art. 8 alin. (3) se restituie acestora, fiind însoţite de o adresă de informare cu privire la restituire. Taxa de evaluare şi procesare în vederea autorizării ca furnizor de servicii de formare nu se restituie. SECŢIUNEA a 2-a Revocarea autorizaţiei de furnizor de servicii de formare ART. 13 Revocarea autorizaţiei (1) Directoratul Naţional de Securitate Cibernetică, în calitate de autoritate competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice, dispune revocarea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică în următoarele situaţii: a) neîndeplinirea criteriilor de autorizare determină neacordarea sau, după caz, retragerea autorizaţiei; b) nerespectarea în procesul de pregătire a programei, a tematicii sau a standardelor şi specificaţiilor europene şi internaţionale; c) nerespectarea în întocmirea programelor de pregătire a tematicilor pentru fiecare activitate de formare elaborate de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice; d) neachitarea tarifelor de furnizor de servicii de formare pentru securitate cibernetică sau de reînnoire a autorizaţiei; e) neachitarea amenzilor contravenţionale stabilite de personalul de control din cadrul autorităţii competente la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice în urma controalelor impuse de sesizările primite, din oficiu sau în urma autosesizării ori încălcării de către furnizorul de servicii de formare pentru securitate cibernetică a obligaţiilor ce îi revin în temeiul Legii nr. 362/2018, cu modificările şi completările ulterioare; f) suspendarea de trei ori consecutiv a autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică în timpul unei perioade de valabilitate a acesteia; g) comiterea de infracţiuni în domeniul securităţii cibernetice; h) în cazul unui program, dacă la două serii consecutive se constată că rata de promovare este mai mică de 70% sau rata de abandon este mai mare de 50%, se face o reevaluare a furnizorului de servicii de formare pentru securitate cibernetică şi, dacă este cazul, i se retrage autorizaţia. (2) La cererea expresă a furnizorului de servicii de formare pentru securitate cibernetică privind renunţarea la autorizaţie, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice dispune revocarea autorizaţiei şi radierea furnizorului de servicii de formare pentru securitate cibernetică din registrul naţional. Modelul de cerere este prezentat în anexa nr. 3. ART. 14 Finalizarea procedurii de revocare a autorizaţiei (1) După revocarea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice informează persoana în cauză, radiază furnizorul de servicii de formare pentru securitate cibernetică din evidenţele autorităţii, respectiv Registrul naţional al furnizorilor de servicii de formare pentru securitate cibernetică, şi actualizează lista furnizorilor de servicii de formare pentru securitate cibernetică de pe site-ul instituţiei. (2) Furnizorul de servicii de formare pentru securitate cibernetică căruia i-a fost revocată autorizaţia poate solicita o nouă autorizaţie după intrarea în legalitate, dar nu mai devreme de un an. SECŢIUNEA a 3-a Reînnoirea autorizaţiei de furnizor de servicii de formare ART. 15 Reînnoirea autorizaţiei (1) Cu 60 de zile înainte de expirarea termenului de valabilitate a autorizaţiei, furnizorul de servicii de formare pentru securitate cibernetică va solicita Directoratului Naţional de Securitate Cibernetică reînnoirea autorizaţiei prin completarea şi transmiterea unei cereri de reînnoire a autorizaţiei, însoţită de dosarul pentru reînnoirea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică. Modelul de cerere este prezentat în anexa nr. 4. (2) Dosarul pentru reînnoirea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică va cuprinde următoarele documente: a) documentele stabilite la art. 6 alin. (2), actualizate la zi; b) documentele stabilite la art. 6 alin. (3) pentru fiecare formator; c) tariful de evaluare şi procesare în vederea reînnoirii autorizării ca furnizor de servicii de formare pentru securitate cibernetică (acelaşi cu cel pentru autorizarea iniţială); d) lista programelor de formare pentru securitate cibernetică desfăşurate pe perioada de valabilitate a autorizaţiei, conform modelului prezentat în anexa nr. 5. (3) În procedura de evaluare şi reînnoire a autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice aplică prevederile secţiunii 1 din prezentul capitol. (4) În termen de 10 zile de la primirea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică, furnizorul va efectua plata tarifului de autorizare furnizori de servicii de formare în conformitate cu Decizia directorului Directoratului Naţional de Securitate Cibernetică nr. 301/2021 pentru aprobarea Listei cuantumului tarifelor pentru serviciile din activităţile prevăzute la art. 22 alin. (1) lit. l), art. 32 alin. (2) lit. c) şi e) şi la art. 33 alin. (2) lit. c) şi e) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice. (5) Neachitarea tarifului precizat la alin. (4) duce la revocarea autorizaţiei şi radierea furnizorului de servicii de formare pentru securitate cibernetică din registrul naţional. SECŢIUNEA a 4-a Suspendarea autorizaţiei de furnizor de servicii de formare ART. 16 Suspendarea autorizaţiei (1) Autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice poate dispune suspendarea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică, pentru o perioadă stabilită de autoritate, în următoarele situaţii: a) în cazul descoperirii de către autoritatea competentă la nivel naţional a nerespectării de către un furnizor de servicii de formare pentru securitate cibernetică a unei obligaţii prevăzute de Legea nr. 362/2018, cu modificările şi completările ulterioare, sau prezentele norme sau de un act emis de autoritatea competentă la nivel naţional în baza Legii nr. 362/2018, cu modificările şi completările ulterioare - până la remedierea deficienţelor constatate şi conformare cu Legea nr. 362/2018, cu modificările şi completările ulterioare; b) în cazul procedurii de reînnoire a autorizaţiei pentru nerespectarea termenului stabilit la art. 8 alin. (3) - de la a 31-a zi de la data efectuării modificării şi până la îndeplinirea cerinţei stabilite, dar nu mai mult de 60 de zile. (2) În cazul suspendării autorizaţiei de furnizor de servicii pentru securitate cibernetică, furnizorul de servicii de formare căruia i s-a suspendat autorizaţia nu va mai putea desfăşura activităţi de formare pentru securitate cibernetică în condiţiile Legii nr. 362/2018, cu modificările şi completările ulterioare, şi nici să emită certificate de specialitate până la remedierea neregulilor şi intrarea în legalitate. (3) Modelul deciziei de suspendare a autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică este prezentat în anexa nr. 6. SECŢIUNEA a 5-a Registrul naţional al furnizorilor de servicii de formare pentru securitate cibernetică ART. 17 Constituirea, întreţinerea şi actualizarea registrului (1) Directoratul Naţional de Securitate Cibernetică constituie, la nivelul Direcţiei atestare şi autorizare din cadrul Direcţiei generale reglementare şi control, Registrul naţional al furnizorilor de servicii de formare pentru securitate cibernetică (RENFOSEC), ce este întreţinut şi actualizat în permanenţă. (2) Registrul se constituie în format electronic pe activităţi de formare pentru securitate cibernetică prezentate la art. 1 alin. (5) şi cuprinde date şi informaţii cu privire la furnizorii de servicii de formare pentru securitate cibernetică supuşi procesului de autorizare, revocare sau suspendare a autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică. (3) Modelul registrului este prezentat în anexa nr. 7. (4) Pentru informarea publică, respectiv a operatorilor de servicii esenţiale, furnizorilor de servicii digitale, auditorilor de securitate cibernetică şi echipelor CSIRT, inclusiv a solicitanţilor de atestate sau autorizaţii, în baza Registrului naţional al furnizorilor de servicii de formare pentru securitate cibernetică, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice elaborează, actualizează în permanenţă şi publică pe site-ul instituţiei lista furnizorilor de servicii de formare pentru securitate cibernetică. (5) Eliberarea, revocarea şi reînnoirea autorizaţiilor de furnizor de servicii de formare pentru securitate cibernetică se consemnează de către autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice în evidenţele proprii. CAP. III Formarea şi furnizarea serviciilor de formare pentru securitate cibernetică ART. 18 Furnizorul de servicii de formare pentru securitate cibernetică (1) Furnizor de servicii de formare pentru securitate cibernetică poate fi orice persoană juridică ce realizează pe teritoriul României activităţi de formare profesională ce îndeplineşte condiţiile stabilite în prezentele norme şi care asigură pregătire/specializarea auditorilor de securitate cibernetică, membrilor echipelor CSIRT şi/sau responsabililor NIS. (2) Furnizorii de servicii de formare pentru securitate cibernetică îşi desfăşoară activitatea în centre de formare, online sau onsite, prin personal de specialitate (formatori pentru securitate cibernetică) şi realizează activităţi de pregătire/ specializare în domeniul securităţii cibernetice. (3) Furnizorii de servicii de formare pentru securitate cibernetică sunt autorizaţi de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice, iar evidenţa acestora este ţinută în Registrul naţional al furnizorilor de servicii de formare pentru securitate cibernetică. (4) Calitatea de furnizor de servicii de formare pentru securitate cibernetică se dovedeşte prin autorizaţia de furnizor de servicii de formare pentru securitate cibernetică eliberată de către Directoratul Naţional de Securitate Cibernetică în calitate de autoritate competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice. (5) Autorizaţia de furnizor de servicii de formare pentru securitate cibernetică este nominală, netransmisibilă şi are valabilitate trei ani de la data emiterii. ART. 19 Formatorul pentru securitate cibernetică (1) Formator pentru securitate cibernetică poate fi orice persoană fizică, calificată, cu atribuţii de instruire teoretică şi practică, cu profiluri sau specialităţi corespunzătoare programei de pregătire pentru securitate cibernetică. (2) Formatorul pentru securitate cibernetică deţine specializări corespunzătoare programei de pregătire. (3) Formatorul pentru securitate cibernetică trebuie să îndeplinească cumulativ următoarele: a) să fi absolvit un curs de formare cu certificat de absolvire sub antetul Autorităţii Naţionale pentru Calificări sau să deţină dovada pentru profesare în funcţie didactică în învăţământul superior sau pentru profesare ca expert în securitate cibernetică; b) nivelul studiilor: studii superioare absolvite cu diplomă; c) să aibă experienţă de minim cinci ani în domeniul securităţii cibernetice. ART. 20 Activităţi de formare pentru securitate cibernetică (1) Activităţile de formare pentru securitate cibernetică sunt: a) formarea auditorilor de securitate cibernetică; b) formarea membrilor echipelor CSIRT; c) formarea responsabililor NIS. (2) Formarea pentru securitate cibernetică cuprinde formarea iniţială şi formarea continuă organizate prin alte forme decât cele specifice sistemului naţional de învăţământ. (3) Formarea iniţială asigură pregătirea necesară pentru dobândirea competenţelor minime necesare pentru a putea desfăşura activităţi specifice, respectiv auditor de securitate cibernetică, membru al unei echipe CSIRT sau responsabil NIS. (4) Formarea continuă este ulterioară formării iniţiale şi asigură personalului angrenat în activităţi specifice Legii nr. 362/2018, cu modificările şi completările ulterioare, fie dezvoltarea competenţelor profesionale deja dobândite, fie dobândirea de noi competenţe. ART. 21 Programa de formare pentru securitate cibernetică (1) Programa de formare pentru securitate cibernetică cuprinde, fără a se limita la acestea, următoarele elemente: a) obiectivele programului de formare exprimate în competenţele profesionale ce urmează să fie dobândite de fiecare persoană fizică ce urmează programul; b) durata de pregătire pentru realizarea obiectivelor propuse; c) numărul minim şi maxim de participanţi pentru un ciclu sau o serie de pregătire; d) locul de desfăşurare; e) calificarea persoanelor cu atribuţii de instruire teoretică şi practică, respectiv a formatorilor; f) programa de pregătire, conform anexei nr. 8; g) mijloacele şi metodele prin care se asigură transmiterea şi asimilarea cunoştinţelor şi formarea deprinderilor practice necesare desfăşurării activităţilor pentru care se desfăşoară programul; h) dotările, echipamentele şi materialele necesare formării; i) procedura de evaluare în conformitate cu obiectivele specifice programului de formare profesională. (2) Programa de formare este aprobată la nivel naţional de Directoratul Naţional de Securitate Cibernetică, odată cu autorizarea furnizorului de servicii de formare pentru securitate cibernetică, şi se adresează numai absolvenţilor de studii superioare. (3) Tematicile pentru specializarea auditorilor de securitate cibernetică, a membrilor echipelor CSIRT şi a responsabililor NIS se elaborează la nivelul autorităţii competente naţionale, se aprobă prin decizia directorului DNSC şi se publică în Monitorul Oficial al României, Partea I. (4) Durata minimă a programului de formare pentru securitate cibernetică, exprimată în ore de pregătire, pentru pregătirea teoretică şi practică, pentru care se eliberează certificatul de specializare sau certificatul de participare este de: a) 30 de ore - formă iniţială; b) 20 de credite/an - formă continuă. (5) Creditele de la alin. (4) lit. b) pot fi realizate prin participarea la conferinţe, simpozioane, sesiuni de pregătire tehnică, exerciţii, cursuri sau alte forme de pregătire, care vor fi atestate prin documente justificative privind participarea la acestea. (6) Stabilirea creditelor pentru activităţile de la alin. (5) se va face prin decizie a directorului DNSC care va fi publicată pe siteul instituţiei. (7) Echivalarea nivelului continuu de specializare se realizează de către autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice cu ocazia reînnoirii atestării sau autorizării. (8) Timpul alocat programului de formare pentru securitate cibernetică va fi corelat cu scopul, obiectivele, conţinuturile şi strategiile de realizare. (9) Activităţilor practice li se alocă cel mult jumătate şi nu mai puţin de o treime din durata totală a programului de formare. ART. 22 Certificate de pregătire (1) Programul de formare pentru securitate cibernetică se finalizează printr-un examen. (2) Din comisia de examen poate face parte şi un reprezentant al autorităţii competente la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice. (3) În vederea stabilirii datelor, premergător examenului de finalizare a programului de formare, furnizorul de servicii de formare pentru securitate cibernetică organizator va informa autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice despre activitate, respectiv perioada/data de desfăşurare, locul şi numărul de cursanţi. Autoritatea competentă la nivel naţional va înştiinţa, după caz, de participare sau nu, inclusiv persoana nominalizată în comisia de examen şi rolul acesteia. (4) Informarea autorităţii competente la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice se face cel mai târziu în prima zi a modulului de pregătire din programul de formare, prin informare electronică, prin e-mail la dgrcautorizare@dnsc.ro (5) După finalizarea examenului/programului, furnizorul de servicii de formare pentru securitate cibernetică transmite tabelul cu absolvenţii, rezultatele şi documentele aferente programului de formare la autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice. (6) După finalizarea programului de formare pentru securitate cibernetică se eliberează: a) certificat de specializare - pentru pregătirea iniţială; b) certificat de participare - pentru pregătirea continuă. (7) Certificatul de specializare este emis de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice pe baza documentelor aferente programului de formare specificate la alin. (3). Modelul de certificat de specializare se găseşte în anexa nr. 9. (8) Evidenţa certificatelor de specializare se ţine la nivelul Direcţiei atestare şi autorizare pe baza Registrului naţional de evidenţă a certificatelor pentru securitate cibernetică (RENFOSEC). Modelul registrului se identifică în anexa nr. 10. (9) Certificatul de participare este eliberat de furnizorul de servicii de formare pentru securitate cibernetică sau de organizatorii activităţilor stabilite la art. 21 alin. (5). (10) Certificatele de specializare şi de participare sunt utilizate în procesul de atestare ca auditor de securitate cibernetică, autorizare echipe CSIRT şi/sau desfăşurare activitate ca responsabil NIS la nivelul operatorilor de servicii esenţiale sau furnizori de servicii digitale şi sunt recunoscute de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice. CAP. IV Verificarea activităţii furnizorilor de servicii de formare pentru securitate cibernetică ART. 23 Verificarea activităţii furnizorilor de servicii de formare (1) Directoratul Naţional de Securitate Cibernetică, în calitate de autoritate competentă la nivel naţional, prin Direcţia verificare şi control din cadrul Direcţiei generale reglementare şi control, verifică modul de îndeplinire a activităţii de către furnizorii de servicii de formare pentru securitate cibernetică, în baza planului de control anual, a sesizărilor primite sau a activităţii de monitorizare a aplicării prevederilor Legii nr. 362/2018, cu modificările şi completările ulterioare, la nivelul României. (2) În cazul în care, în urma verificărilor, se constată nerespectarea prevederilor prezentelor norme sau a Legii nr. 362/2018, cu modificările şi completările ulterioare, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice poate dispune suspendarea pe o perioadă de timp stabilită în vederea remedierii sau revocarea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică. (3) Direcţia verificare şi control din cadrul Direcţiei generale reglementare şi control verifică, în urma sesizărilor sau din oficiu, în conformitate cu prevederile art. 35-42 din Legea nr. 362/2018, cu modificările şi completările ulterioare, îndeplinirea de către furnizorii de servicii de formare pentru securitate cibernetică a obligaţiilor legale ce le revin şi dispune, după caz, măsuri de remediere, suspendare a activităţii pe o perioadă specificată sau revocarea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică. (4) Anual, în primul trimestru, furnizorii de servicii de formare pentru securitate cibernetică vor transmite la Directoratul Naţional de Securitate Cibernetică la Direcţia verificare şi control, în format electronic, la adresa de e-mail dgrc-control@dnsc.ro, o situaţie a programelor de formare pentru securitate cibernetică, pe activităţi de formare şi niveluri de specializare, desfăşurate în anul calendaristic precedent, respectiv numărul, beneficiarii programelor, perioadele, neregulile constatate şi dificultăţile întâmpinate. Modelul de situaţie se regăseşte în anexa nr. 11. CAP. V Organizarea şi desfăşurarea examenului/evaluării în domeniul auditului de securitate cibernetică ART. 24 Organizarea examinării/evaluării pentru auditori de securitate cibernetică (1) În aplicarea art. 25 din Regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică, aprobat prin Ordinul secretarului general al Guvernului nr. 559/2021, la nivelul Directoratului Naţional de Securitate Cibernetică sau centrelor de formare pentru securitate cibernetică se organizează activităţi de examinare/evaluare în domeniul auditului de securitate cibernetică. (2) Activitatea de examinare/evaluare se desfăşoară la datele stabilite de către autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice. (3) Coordonarea întregii activităţi de examinare/evaluare revine Directoratului Naţional de Securitate Cibernetică în calitate de autoritate competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice. ART. 25 Participanţi şi taxă de participare (1) La activitatea de examinare/evaluare în domeniul auditului de securitate cibernetică pot participa absolvenţi de studii superioare cu experienţă în domeniul securităţii cibernetice şi care nu deţin certificări profesionale pentru atestare în vederea desfăşurării activităţii de auditor de securitate cibernetică. (2) Pentru a participa la examinare/evaluare solicitantul va completa şi înainta o cerere de solicitare la autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice, în format electronic, la adresa dgrc-autorizare@dnsc.ro. Modelul de cerere se identifică în anexa nr. 12. (3) Cererea de solicitare va fi însoţită de dosarul de participare, în format electronic, compus din următoarele documente, în copie: a) actul de identitate; b) document de atestare a pregătirii de bază (studii superioare absolvite); c) curriculum vitae - model europass; d) dovada achitării taxei de evaluare participare la examen - 300 lei, plătită online, în contul Directoratului Naţional de Securitate Cibernetică. ART. 26 Desfăşurarea examinării/evaluării pentru auditori de securitate cibernetică (1) În funcţie de numărul solicitanţilor, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice va stabili locul şi data desfăşurării examinării/evaluării şi va publica pe site-ul instituţiei tematica, precum şi datele de organizare a activităţii. (2) Participanţii se vor prezenta la locaţia precizată, la data şi ora stabilite, iar accesul la examinare/evaluare se va face pe bază de carte de identitate. (3) Examenul/Evaluarea se susţine în faţa unei comisii de evaluare. (4) Comisia de evaluare este desemnată de către Directoratul Naţional de Securitate Cibernetică, prin decizia directorului DNSC la propunerea managerului superior securitate cibernetică al DGRC şi cu avizul adjunctului directorului DNSC coordonator al activităţii de reglementare şi control. (5) Compunerea comisiei de evaluare este următoarea: a) preşedinte - un reprezentant al autorităţii competente la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice; b) membri - un reprezentant din cadrul DNSC; un reprezentant din instituţiile membre ale Consiliului Operativ de Securitate Cibernetică (COSC); un reprezentant din mediul academic; c) secretar - un reprezentant din cadrul Direcţiei atestare şi autorizare sau un reprezentant din cadrul centrului de formare pentru securitate cibernetică, când activitatea se desfăşoară la sediul acestuia. (6) Examinarea/Evaluarea se realizează pe cele două tipuri principale de activităţi de audit, respectiv special şi comun. (7) Examinarea/Evaluarea presupune desfăşurarea unui test de evaluare, practic şi teoretic, care presupune: a) la proba teoretică: test-grilă; b) la proba practică: identificarea unor vulnerabilităţi şi stabilirea de recomandări pentru limitarea riscurilor de securitate; implementarea şi evaluarea cerinţelor minime de securitate cibernetică. ART. 27 Finalizarea examinării/evaluării pentru auditori de securitate cibernetică (1) La finalul procesului de examinare/evaluare, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice va emite un certificat de evaluare a expertizei privind securitatea cibernetică, document care ţine locul de certificare profesională şi este recunoscut numai la nivelul autorităţii competente la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice. Modelul de certificat este prezentat în anexa nr. 13. (2) Evidenţa emiterii certificatelor de evaluare a expertizei se ţine la nivelul Direcţiei atestare şi autorizare din cadrul Direcţiei generale reglementare şi control pe baza Registrului naţional de evidenţă a certificatelor pentru securitate cibernetică. (3) Taxa de examinare/evaluare şi emitere certificat, în valoare de 700 lei, se plăteşte online, în contul DNSC. După confirmarea plăţii taxei autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice va elibera certificatul şi îl va transmite solicitantului. (4) Neplata taxei duce la imposibilitatea eliberării certificatului. CAP. VI Dispoziţii finale ART. 28 Modificări ale condiţiilor de funcţionare (1) Orice schimbare în statutul şi activitatea furnizorului de servicii de formare pentru securitate cibernetică, care modifică condiţiile în care a fost autorizat, va fi adusă la cunoştinţa autorităţii competente la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice, electronic, la adresa dgrcautorizare@dnsc.ro, în cel mult 15 zile de la data producerii schimbărilor. (2) În cazul în care furnizorul de servicii de formare pentru securitate cibernetică nu mai deţine formatori autorizaţi, autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice dispune suspendarea până la dovedirea îndeplinirii condiţiei de la art. 4 alin. (5), dar nu mai târziu de 60 de zile. (3) În cazul în care furnizorul de servicii de formare pentru securitate cibernetică nu mai este înscris în unul dintre registrele naţionale ale furnizorilor de formare profesională, respectiv Registrul naţional al furnizorilor de formare continuă (gestionat de Ministerul Educaţiei) sau Registrul naţional al furnizorilor de formare profesională a adulţilor (gestionat de Ministerul Muncii şi Solidarităţii Sociale), autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice dispune revocarea autorizaţiei de furnizor de servicii de formare pentru securitate cibernetică şi radierea din Registrul naţional al furnizorilor de servicii de formare pentru securitate cibernetică. ART. 29 Condiţii particulare privind formarea de securitate cibernetică (1) În aplicarea art. 36 alin. (1) din Regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică, aprobat prin Ordinul secretarului general al Guvernului nr. 559/2021, în primele şase luni de la intrarea în vigoare a prezentelor norme, auditorii de securitate cibernetică, persoane fizice, au obligaţia de a finaliza un curs de specializare auditor la unul dintre furnizorii de servicii de formare autorizaţi de către autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice. (2) Pregătirea iniţială la un furnizor de servicii de formare neautorizat de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice nu este recunoscută de către autoritatea competentă la nivel naţional pentru securitatea reţelelor şi a sistemelor informatice în aplicarea Legii nr. 362/2018, cu modificările şi completările ulterioare. ART. 30 Anexe Anexele nr. 1-13 fac parte integrantă din prezentele norme. ANEXA 1 *) Anexa nr. 1 la norme este reprodusă în facsimil. la norme (a se vedea imaginea asociată) (Verso Autorizaţie) AVIZE ......................... Adjunctul directorului DNSC ........................... Managerul superior DGRC ........................... Managerul DAA Autorizaţia a fost emisă la data de ...... şi a fost înscrisă în RENFOSEC la poziţia ... . ANEXA 2 *) Anexa nr. 2 la norme este reprodusă în facsimil. la norme CERERE DE AUTORIZARE furnizor de servicii de formare pentru securitate cibernetică (a se vedea imaginea asociată) (a se vedea imaginea asociată) ANEXA 3 *) Anexa nr. 3 la norme este reprodusă în facsimil. la norme CERERE DE RENUNŢARE la autorizaţia de furnizor de servicii de formare pentru securitate cibernetică (a se vedea imaginea asociată) ANEXA 4 *) Anexa nr. 4 la norme este reprodusă în facsimil. la norme CERERE DE REÎNNOIRE autorizaţie furnizor de servicii de formare pentru securitate cibernetică (a se vedea imaginea asociată) ANEXA 5 *) Anexa nr. 5 la norme este reprodusă în facsimil. la norme (a se vedea imaginea asociată) ANEXA 6 *) Anexa nr. 6 la norme este reprodusă în facsimil. la norme (a se vedea imaginea asociată) (Verso Autorizaţie) AVIZE ........................... Adjunctul directorului DNSC ......................... Managerul superior DGRC ........................... Managerul DAA Decizia a fost emisă la data de ...... şi a fost înscrisă în RENFOSEC la poziţia ... . ANEXA 7 la norme REGISTRUL NAŢIONAL al furnizorilor de servicii de formare pentru securitate cibernetică (RENFOSEC)
┌────┬────────────────────────────────────────────┬───────────────────────────┬───────────────────────────────┬──────────┐
│ │Datele despre furnizorul de servicii de │Programul de formare │Date autorizare DNSC │ │
│ │formare │ │ │ │
│ ├──────────────────────────┬─────────────────┼────────┬─────┬────────────┼───────────────────────────────┤ │
│Nr. │Datele de identificare │Reprezentantul │ │ │ │Date autorizaţie │Observaţii│
│crt.│ │legal │ │ │Responsabili│ │ │
│ ├─────────┬───┬──────┬─────┼─────────┬───────┤Auditori│CSIRT│NIS ├─────┬─────┬─────────────┬─────┤ │
│ │Denumirea│CUI│Adresa│IDFSF│Numele şi│Funcţia│ │ │ │Seria│Număr│Valabilitatea│Stare│ │
│ │ │ │ │ │prenumele│ │ │ │ │ │ │ │ │ │
├────┼─────────┼───┼──────┼─────┼─────────┼───────┼────────┼─────┼────────────┼─────┼─────┼─────────────┼─────┼──────────┤
│0 │1 │2 │3 │4 │5 │6 │7 │8 │9 │10 │11 │12 │13 │14 │
├────┼─────────┼───┼──────┼─────┼─────────┼───────┼────────┼─────┼────────────┼─────┼─────┼─────────────┼─────┼──────────┤
│1 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
├────┼─────────┼───┼──────┼─────┼─────────┼───────┼────────┼─────┼────────────┼─────┼─────┼─────────────┼─────┼──────────┤
│... │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
└────┴─────────┴───┴──────┴─────┴─────────┴───────┴────────┴─────┴────────────┴─────┴─────┴─────────────┴─────┴──────────┘
ANEXA 8 la norme PROGRAMA DE PREGĂTIRE TIP DE FORMARE: [ ] Auditori securitate cibernetică/[ ] Membri CSIRT/[ ] Responsabili NIS Durata de pregătire (în ore): ..............
┌────────────┬─────────────────────────┐
│Total, din │- instruire practică │
│care: │............ │
├────────────┼─────────────────────────┤
│ │- instruire teoretică │
│ │............ │
└────────────┴─────────────────────────┘
┌────┬────────────┬──────────┬────────┬──────────┬──────────┬───────────┐
│ │ │ │ │ │Mijloace │ │
│ │ │ │ │Metode/ │de │Criterii │
│Nr. │Nivel de │Competenţe│Conţinut│Forme de │instruire,│de │
│crt.│specializare│specifice │tematic │activitate│materiale │performanţă│
│ │ │ │ │ │de │ │
│ │ │ │ │ │învăţare │ │
├────┼────────────┼──────────┼────────┼──────────┼──────────┼───────────┤
│1 │2 │3 │4 │5 │6 │7 │
├────┼────────────┼──────────┼────────┼──────────┼──────────┼───────────┤
│ │ │ │ │ │ │ │
├────┼────────────┼──────────┼────────┼──────────┼──────────┼───────────┤
│ │ │ │ │ │ │ │
└────┴────────────┴──────────┴────────┴──────────┴──────────┴───────────┘
LISTA TEMELOR
┌────┬────────────┬─────────┬──────┬──────────┬────────┐
│ │ │ │ │Mijloace │ │
│ │ │ │ │de │ │
│Nr. │Titlu temă │Metoda de│Durata│instruire,│Formator│
│crt.│ │predare │[ore] │materiale │ │
│ │ │ │ │de │ │
│ │ │ │ │învăţare │ │
├────┼────────────┼─────────┼──────┼──────────┼────────┤
│1 │2 │3 │4 │5 │6 │
├────┼────────────┼─────────┼──────┼──────────┼────────┤
│ │Noţiuni │ │ │ │ │
│1 │introductive│Teoretică│2 │ │ │
│ │... │ │ │ │ │
├────┼────────────┼─────────┼──────┼──────────┼────────┤
│ │ │ │ │ │ │
├────┼────────────┼─────────┼──────┼──────────┼────────┤
│ │ │ │ │ │ │
└────┴────────────┴─────────┴──────┴──────────┴────────┘
TEMELE TEMA NR. .... Durata (în ore): .... Obiective generale: .... Tipul temei: .... Conţinutul temei: Tema1.pdf (se ataşează la Programa de pregătire.) ANEXA 9 *) Anexa nr. 9 la norme este reprodusă în facsimil. la norme (a se vedea imaginea asociată) (Verso Autorizaţie) AVIZE ................ Adjunctul directorului DNSC .................. Managerul superior DGRC .................. Managerul DAA .............. Reprezentantul legal FSF ................ Preşedintele Comisiei de examen ................ Secretarul Comisiei de examen Certificatul a fost emis la data de ............. şi a fost înscris în Registrul electronic naţional de evidenţă a certificatelor pentru securitate cibernetică (RENECSEC) la poziţia ... . ANEXA 10 la norme REGISTRUL NAŢIONAL DE EVIDENŢĂ a certificatelor pentru securitate cibernetică (RENECSEC)
┌────┬────────────────────┬───────────────────────────────────────────────┬─────────────┬──────────┐
│ │Datele posesorului │Datele certificatului │ │ │
│Nr. ├──────┬─────────┬───┼─────┬───────┬─────┬────────┬──────┬───────────┤Organizatorul│Observaţii│
│crt.│Numele│Prenumele│CNP│Seria│Numărul│Tipul│Data │Starea│Activitatea│(IDFSF) │ │
│ │ │ │ │ │ │ │emiterii│ │evaluată │ │ │
├────┼──────┼─────────┼───┼─────┼───────┼─────┼────────┼──────┼───────────┼─────────────┼──────────┤
│0 │1 │2 │3 │4 │5 │6 │7 │8 │9 │10 │11 │
├────┼──────┼─────────┼───┼─────┼───────┼─────┼────────┼──────┼───────────┼─────────────┼──────────┤
│1 │ │ │ │ │ │ │ │ │ │ │ │
├────┼──────┼─────────┼───┼─────┼───────┼─────┼────────┼──────┼───────────┼─────────────┼──────────┤
│... │ │ │ │ │ │ │ │ │ │ │ │
└────┴──────┴─────────┴───┴─────┴───────┴─────┴────────┴──────┴───────────┴─────────────┴──────────┘
ANEXA 11 *) Anexa nr. 11 la norme este reprodusă în facsimil. la norme (a se vedea imaginea asociată) ANEXA 12 *) Anexa nr. 12 la norme este reprodusă în facsimil. la norme CERERE SOLICITARE participare la examinare/evaluare în domeniul auditului de securitate cibernetică (a se vedea imaginea asociată) (a se vedea imaginea asociată) ANEXA 13 *) Anexa nr. 13 la norme este reprodusă în facsimil. la norme (a se vedea imaginea asociată) (Verso Autorizaţie) AVIZE ............... Adjunctul directorului DNSC .................. Managerul superior DGRC .................. Managerul DAA ............... Reprezentantul legal FSF ................ Preşedintele Comisiei de examen ................ Secretarul Comisiei de examen Certificatul a fost emis la data de ...... şi a fost înscris în Registrul naţional de evidenţă a certificatelor pentru securitate cibernetică (RENECSEC) la poziţia ... . -------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.