Comunica experienta
MonitorulJuridic.ro
────────── Aprobate prin ORDINUL nr. 20.717 din 9 mai 2024, publicat în Monitorul Oficial al României, Partea I, nr. 438 din 13 mai 2024.────────── ART. 1 (1) Prezentele Norme tehnice privind procedura de acreditare a administratorilor de arhivă electronică şi procedura de avizare a sistemelor electronice de arhivare, denumite în continuare norme tehnice, se aplică activităţii de arhivare electronică a documentelor şi stabilesc procedura privind acordarea, suspendarea sau retragerea acreditării administratorilor de arhive electronice, precum şi procedura de avizare şi retragere a avizului tehnic pentru sistemele electronice de arhivare de către Autoritatea pentru Digitalizarea României, autoritatea de reglementare şi supraveghere specializată în domeniul arhivării electronice, denumită în continuare A.D.R. (2) Procedura de acreditare a administratorilor de arhivă electronică are în vedere acordarea, suspendarea sau retragerea acreditării administratorilor de arhive electronice este prevăzută în anexa nr. 1 la prezentele norme tehnice. (3) Procedura de avizare şi retragere a avizului tehnic pentru sistemele electronice de arhivare este prevăzută în anexa nr. 2 la prezentele norme tehnice. (4) Procedura de notificare pentru utilizarea de către persoane juridice române a sistemelor electronice de arhivare deţinute de persoane juridice din orice alt stat membru al Uniunii Europene este prevăzută în anexa nr. 3 la prezentele norme tehnice. ART. 2 (1) În cuprinsul prezentelor norme tehnice, următorii termeni se definesc astfel: a) beneficiar - titular al dreptului de dispoziţie asupra documentului conform art. 3 lit. h) din Legea nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, care depune spre păstrare documentele în format electronic într-o arhivă electronică; b) acreditare - constatarea de către A.D.R. a îndeplinirii condiţiilor legale pentru dobândirea calităţii de administrator al arhivei electronice; c) sistem electronic de arhivare - conform art. 3 lit. g) din Legea nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată; d) audit IT - activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic respectă parametrii de performanţe şi de lucru conform cerinţelor de proiectare, dacă asigură funcţionalităţile necesare cerinţelor de afaceri şi respectarea legislaţiei în domeniu, dacă este securizat, dacă menţine integritatea datelor prelucrate şi stocate, dacă permite atingerea obiectivelor strategice ale entităţii şi utilizarea eficientă a resurselor informaţionale; e) auditor IT - persoana fizică autorizată care deţine certificat de auditor IT sau persoana juridică cu personal certificat care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor şi bunelor practici în domeniu; f) raport de audit IT - instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, procedurile, constatările şi concluziile auditului, precum şi orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat; g) prestator de servicii de încredere - conform art. 3 pct. 19 din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; h) prestator de servicii de încredere calificat - conform art. 3 pct. 20 din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; i) semnătură electronică calificată - conform art. 3 pct. 12 din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; j) semnătură electronică extinsă - conform art. 4 pct. 4 din Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare; k) marcă temporală calificată - marcă temporală electronică calificată conform art. 3 pct. 34 din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; l) nomenclator arhivistic - un instrument de lucru utilizat în domeniul arhivistic, care se elaborează de către fiecare creator pentru organizarea şi gestionarea documentelor proprii, în conformitate cu prevederile Legii Arhivelor Naţionale nr. 16/1996, republicată, cu modificările şi completările ulterioare; m) prezervare pe termen lung - serviciu calificat de păstrare a semnăturilor electronice calificate conform art. 34 alin. (1) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; n) certificat calificat - certificat calificat pentru semnătură electronică conform art. 3 pct. 15 din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; o) procedura - metodă de evaluare sistematică, documentată, periodică şi obiectivă a performanţei sistemului de management şi a sistemului de arhivare electronică, în scopul verificării respectării cerinţelor prevăzute de legislaţia şi standardele din domeniu, în vigoare; p) jurnalul de audit - registru în care sunt înscrise toate acţiunile efectuate asupra datelor si/sau a documentelor în formă electronică sau sistemului însuşi, incluzând informaţii precum data şi ora acţiunii, utilizatorul implicat, tipul de acţiune (creare, modificare, ştergere etc.), precum şi orice alte detalii relevante; q) politica de acces pentru o arhivă electronică - un set formal de reguli şi proceduri stabilite pentru a controla şi gestiona accesul la informaţiile şi documentele stocate în format electronic în cadrul unei arhive. Această politică are rolul de a asigura că numai persoanele autorizate au acces la datele şi documentele stocate în arhivă şi că securitatea şi integritatea acestora sunt protejate în mod corespunzător; r) politica de securitate pentru o arhivă electronică - specificarea măsurilor de securitate necesare pentru a proteja informaţiile stocate în arhivă împotriva accesului neautorizat, modificărilor sau distrugerii (poate include criptarea datelor, implementarea unor politici stricte de gestionare a parolelor, monitorizarea accesului etc.); s) politica de păstrare a documentelor în formă electronică - stabilirea regulilor şi procedurilor pentru păstrarea şi gestionarea documentelor în arhivă pe termen lung, inclusiv definirea perioadelor de păstrare şi eliminare a documentelor în conformitate cu reglementările şi politicile administratorului de arhivă. (2) În cuprinsul prezentelor norme tehnice sunt, de asemenea, aplicabile prevederile din: a) Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; b) Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor); c) Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare; d) Legea nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date; e) Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare; f) Legea nr. 16/1996 privind Arhivele Naţionale, republicată, cu modificările şi completările ulterioare; g) Legea nr. 135/2007 privind arhivarea documentelor în formă electronică; h) Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România, cu modificările şi completările ulterioare; i) Legea nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare. ART. 3 Anexele nr. 1-3 fac parte integrantă din prezentele norme tehnice. ANEXA 1 la normele tehnice PROCEDURĂ de acreditare şi retragere a acreditării administratorilor de arhivă electronică ART. 1 Prezenta procedură reglementează acreditarea şi retragerea acreditării administratorilor de arhivă electronică. ART. 2 (1) Autoritatea pentru Digitalizarea României, denumită în continuare A.D.R., gestionează Registrul administratorilor de arhive electronice, denumit în continuare registru, care va fi actualizat permanent şi va fi disponibil spre consultare pe pagina sa de internet. (2) Conţinutul şi structura registrului sunt prevăzute în anexa nr. 1.1 la prezenta procedură. (3) A.D.R. face publice, spre consultare, următoarele date din registru: a) tipul administratorului de arhive electronice, denumit în continuare administrator - persoană fizică sau juridică; b) numele şi prenumele sau denumirea administratorului, după caz; c) data la care şi-a început activitatea; d) descrierea politicii administratorului privind arhivarea electronică; e) domiciliul sau sediul - ţară, oraş, judeţ/sector, stradă, număr, bloc, scară, etaj, apartament, cod poştal, telefon, e-mail, pagină de internet; f) cetăţenia, pentru persoana fizică, sau naţionalitatea, pentru persoana juridică; g) situaţia activităţii administratorului: operaţională, suspendată, încetată, în curs de transferare; h) sistemul electronic de arhivare utilizat, avizat de A.D.R. sau de alte autorităţi cu atribuţii în domeniul arhivării electronice de pe teritoriul Uniunii Europene (UE); i) datele de identificare ale centrului de date utilizat autorizat de A.D.R. sau de alte autorităţi cu atribuţii în domeniu de pe teritoriul UE, care găzduieşte arhiva electronică şi rezidenţa. ART. 3 (1) Controlul respectării dispoziţiilor Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, ale Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, precum şi ale prezentei proceduri revine A.D.R., care acţionează prin personalul de control numit în acest scop prin decizie a preşedintelui A.D.R. (2) A.D.R. are dreptul de a efectua controale asupra administratorului, din oficiu sau la solicitarea oricărei persoane interesate. Persoana interesată este acea persoană care ar putea suferi un prejudiciu în urma deteriorării, divulgării neautorizate, pierderii sau distrugerii documentelor aflate în arhiva electronică. (3) Controalele sunt realizate periodic. (4) În vederea exercitării atribuţiilor de control, personalul numit prin decizia prevăzută la alin. (1) este autorizat: a) să verifice conformitatea dintre informaţiile declarate în cursul procesului de acreditare şi realitate; b) să solicite orice document sau informaţie necesar/necesară în vederea verificării respectării obligaţiilor ce incumbă administratorului; c) să verifice punerea în aplicare a oricăror proceduri utilizate de către administratorul supus controlului; d) să constate contravenţiile şi să aplice sancţiunile prevăzute la art. 19 şi art. 20 din Legea nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată. ART. 4 (1) Administratorul este persoana fizică care are rolul de supervizare şi implementare a activităţii de management al unei arhive electronice pentru terţi, respectiv persoana juridică ce are rolul de supervizare şi implementare a activităţii de management al unei arhive electronice în nume propriu sau pentru terţi şi este responsabilă cu activitatea de administrare a sistemului electronic de arhivare şi a documentelor arhivate electronic. (2) Orice persoană care intenţionează să devină administrator, denumită în continuare solicitant, are obligaţia să transmită A.D.R. o notificare în acest sens cu 30 de zile înainte de începerea activităţii. (3) Notificarea se va realiza în mod obligatoriu prin completarea formularului-tip prevăzut în anexa nr. 1.2 la prezenta procedură. (4) Odată cu efectuarea notificării prevăzute la alin. (2), solicitantul are obligaţia de a transmite A.D.R. următoarele documente, care fac parte integrantă din notificare: a) atestări pentru persoana fizică sau pentru angajatul/angajaţii persoanei juridice care intenţionează să devină administrator ori al persoanei juridice subcontractate în acest scop (atestările pot fi deţinute cumulativ de mai mulţi angajaţi ai persoanei juridice): 1. diplomă de absolvent de studii superioare în domeniul tehnologiei informaţiei; 2. calificări/atestări care să certifice cunoaşterea standardului ISO/IEC 27001 şi a cel puţin unui alt standard din seria ISO/IEC 27000 sau a versiunilor ulterioare ale acestora; 3. certificări/atestări ale angajaţilor cu expertiză în domeniul administrării bazelor de date şi a sistemelor de operare; 4. calificări/atestări în domeniul arhivistic sau ale persoanei externe cu competenţe în domeniul arhivistic; 5. dovada instruirii privind operarea sistemului electronic de arhivare utilizat şi conservarea arhivei pe termen lung; b) denumirea sistemului electronic de arhivare avizat de către A.D.R. sau de alte autorităţi cu atribuţii în domeniul arhivării electronice de pe teritoriul U.E.; c) datele de identificare ale centrului de date autorizat de A.D.R. sau de alte autorităţi cu atribuţii în domeniu de pe teritoriul UE care găzduieşte arhiva electronică; d) politicile şi procedurile referitoare la securitatea şi conservarea datelor, respectiv politica de protecţie a datelor cu caracter personal, politica de acces, politica de securitate, politica de conservare a documentelor pe termen lung, fără a se limita la acestea; e) declaraţia reprezentatului legal cu privire la respectarea prevederilor Regulamentului (UE) 2016/679 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, şi Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare; f) în cazul în care solicitantul intenţionează să ofere servicii de arhivare electronică pentru terţi, va prezenta, pe lângă documentele prevăzute la lit. a-e), o scrisoare de garanţie din partea unei instituţii financiare de specialitate sau o poliţă de asigurare de răspundere civilă pentru prestarea serviciilor de arhivare electronică emisă de o societate de asigurări, în valoare cel puţin egală cu echivalentul în lei al sumei de 300.000 euro şi cu o valabilitate de minimum 12 luni, prin care să acopere prejudiciile pe care le-ar putea cauza cu prilejul desfăşurării activităţilor de arhivare electronică. Scrisoarea de garanţie, respectiv poliţa de asigurare de răspundere civilă pentru prestarea serviciilor de arhivare electronică trebuie reînnoită cu cel puţin 5 zile înainte de expirare, iar dovada reînnoirii se va transmite către A.D.R. în termen de 5 zile de la data reînnoirii. ART. 5 (1) Notificarea şi documentele anexate se transmit la sediul A.D.R. în unul dintre următoarele moduri: a) ca înscris în formă electronică căruia i s-a încorporat, i s-a ataşat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv şi generată cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice, emisă în conformitate cu prevederile Legii nr. 455/2001 privind semnătura electronică, republicată, sau ca înscris în formă electronică, căruia i s-a aplicat un certificat calificat emis de un prestator de servicii de încredere calificat, în baza Regulamentului UE nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; b) pe suport hârtie, semnate olograf, depuse personal sau de către reprezentantul legal, cu înregistrare la Registratura A.D.R; c) printr-un serviciu poştal, semnate olograf. (2) Este considerată dată a transmiterii, după caz, data înregistrării în registrul general de intrare-ieşire a corespondenţei al A.D.R., data confirmării primirii documentelor la sediul A.D.R. printr-un serviciu poştal cu confirmare de primire sau data confirmării primirii înscrisului în formă electronică. ART. 6 (1) Solicitantul care a realizat notificarea în termenul şi în condiţiile prevăzute de prezenta procedură şi îndeplineşte condiţiile de acreditare ca administrator de arhivă electronică dobândeşte calitatea de administrator de la data indicată în formularul-tip al notificării ca fiind data estimativă a începerii activităţii, însă nu mai devreme de 30 de zile de la data realizării notificării în condiţiile alin. (2) sau (3), după caz. (2) Notificarea este considerată realizată dacă au fost îndeplinite toate cerinţele legale privind transmiterea, forma şi conţinutul său. (3) În cazul în care notificarea nu îndeplineşte condiţiile prevăzute de prezenta procedură, A.D.R. solicită completarea documentaţiei. În acest caz, notificarea este considerată realizată la data transmiterii către A.D.R. a documentelor care atestă îndeplinirea condiţiilor. (4) În cazul în care constată îndeplinirea tuturor condiţiilor legale pentru dobândirea calităţii de administrator, A.D.R. emite şi comunică solicitantului decizia de acreditare şi înscrie administratorul în registru. ART. 7 (1) Orice modificare a datelor cuprinse în notificare, precum şi a documentelor prevăzute la art. 4 alin. (4) vor fi comunicate A.D.R. în termen de 15 zile, prin transmiterea unei informări însoţite, acolo unde este cazul, de actele doveditoare, în copie certificată pentru conformitate cu originalul. (2) Administratorul are obligaţia de a comunica A.D.R., cu cel puţin 10 zile în avans, orice intenţie de modificare a procedurilor de securitate şi de conservare, cu precizarea datei şi a orei la care modificarea intră în vigoare, precum şi obligaţia de a confirma, în termen de 24 de ore, modificarea efectuată. (3) În cazurile urgente în care securitatea serviciilor de arhivare este afectată, administratorul poate efectua modificări ale procedurilor de securitate şi de conservare, urmând să comunice A.D.R. în termen de 24 de ore modificările efectuate şi justificarea deciziei luate. ART. 8 (1) În situaţia în care A.D.R. constată că administratorul nu mai îndeplineşte una sau mai multe dintre condiţiile prevăzute la art. 4, acreditarea va fi suspendată. În acest caz, A.D.R. transmite administratorului o notificare, stabilind un termen de maximum 30 de zile în care acesta trebuie să remedieze deficienţele semnalate. (2) Pe perioada suspendării acreditării, administratorul nu poate primi în arhiva electronică documente noi, dar are obligaţia de a asigura operaţiunile de conservare a documentelor existente, precum şi operaţiunile de consultare a documentelor, dacă această acţiune nu afectează siguranţa documentelor. (3) A.D.R. poate retrage acreditarea în următoarele cazuri: a) dacă administratorul nu remediază deficienţele constatate în termenul prevăzut la alin. (1); b) la data dizolvării sau a intrării în faliment a administratorului de arhivă electronică, în condiţiile prevăzute de lege. ART. 9 (1) Administratorul care intenţionează să îşi înceteze activitatea are obligaţia de a informa A.D.R., cu cel puţin 60 de zile înainte de data încetării activităţii, despre existenţa şi natura împrejurării care justifică imposibilitatea de continuare a activităţii, completând formularul de notificare prevăzut în anexa nr. 1.3 la prezenta procedură. (2) Administratorul este obligat să transfere activităţile sale unui alt administrator de arhive electronice, cu respectarea următoarelor condiţii: a) va înştiinţa fiecare beneficiar, cu cel puţin 60 de zile în avans, despre intenţia sa de transferare a activităţilor legate de arhivarea electronică unui alt administrator, menţionând şi identitatea administratorului căruia intenţionează să îi transfere activităţile sale; b) va face cunoscută beneficiarilor săi posibilitatea de a refuza acest transfer, precum şi modalitatea de transfer către alt administrator ales de către beneficiar. ART. 10 (1) Administratorul are obligaţia de a crea şi de a opera un registru în formă electronică. (2) Referinţa în registrul arhivei electronice la un document care nu este public sau care face parte din categoria documentelor clasificate în conformitate cu prevederile Legii nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare, poate fi obţinută în funcţie de drepturile de acces ale solicitantului. (3) Conţinutul minimal şi structura registrului prevăzut la alin. (1) sunt prevăzute în anexa nr. 1.4 la prezenta procedură. ART. 11 Arhivarea electronică a documentelor este guvernată de aceleaşi reguli ca şi în cazul documentelor pe suport hârtie şi se supune prevederilor legislaţiei arhivistice în vigoare, cu următoarele precizări: a) înregistrarea documentelor în formă electronică de către sistemul electronic de arhivare atestă existenţa oficială a documentelor respective. Numărul de înregistrare identifică în mod unic documentul în cadrul sistemului. Odată înregistrat, documentul nu mai poate suferi niciun fel de modificări de conţinut. Concomitent cu înregistrarea se completează fişa electronică a documentului, în condiţiile art. 8 alin. (2) şi (3) din Legea nr. 135/2007, republicată; b) în cazul în care documentele sunt transferate din sistem, respectiv migrate de pe suportul iniţial, evidenţa documentelor pe noile suporturi va include evidenţa suporturilor externe şi evidenţa conţinutului documentelor cuprinse. Pe un suport extern vor fi grupate documentele cu acelaşi termen de păstrare; c) sistemul electronic de arhivare trebuie să fie avizat tehnic conform procedurii din anexa nr. 2 la normele tehnice sau notificat conform procedurii prevăzute în anexa nr. 3 la normele tehnice, după caz; d) documentele şi dosarele arhivate în formă electronică sunt cuprinse în nomenclatorul arhivistic al organizaţiei, precizându-se la rubrica „Observaţii“: „în formă electronică“; e) extragerea documentelor din arhiva electronică spre consultare este permisă doar administratorului de arhivă electronică, la solicitarea expresă a titularului dreptului de dispoziţie asupra documentului respectiv. ART. 12 (1) Arhivarea electronică a documentelor clasificate şi accesul la acestea se vor realiza cu respectarea dispoziţiilor Legii nr. 182/2002, cu modificările şi completările ulterioare, precum şi ale Standardelor naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare. (2) Administratorul sau persoana împuternicită de acesta să realizeze şi să implementeze politica de securitate a informaţiilor clasificate arhivate trebuie să deţină un certificat de securitate pentru cel mai înalt nivel de clasificare a informaţiilor stocate, procesate sau transmise prin aceste sisteme, în conformitate cu prevederile Legii nr. 182/2002, cu modificările şi completările ulterioare. (3) Modalităţile şi măsurile de protecţie a informaţiilor clasificate în formă electronică sunt similare celor aplicate pentru informaţiile clasificate pe suport hârtie. (4) Măsurile INFOSEC acoperă securitatea calculatoarelor, a transmisiilor, securitatea criptografică, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse datele şi sistemele. (5) Sistemele de arhivare pot fi utilizate în vederea stocării, procesării sau transmiterii de informaţii clasificate numai dacă sunt autorizate în conformitate cu prevederile Legii nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare, precum şi ale Standardelor naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare. ART. 13 Activitatea de arhivare electronică se realizează cu respectarea prevederilor Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 (Regulamentul general privind protecţia datelor), precum şi ale Legii nr. 190/2018, cu modificările ulterioare. ART. 14 Administratorii care oferă servicii de arhivare electronică pentru terţi au obligaţia de a face publice, prin intermediul paginii proprii de internet, cel puţin următoarele informaţii: a) datele de contact ale administratorului; b) descrierea generală a politicilor, procedurilor şi tehnologiilor utilizate în activitatea de arhivare electronică; c) limitări ale dreptului de acces la documentele arhivate; d) obligaţiile beneficiarilor; e) disponibilitatea serviciilor; f) denumirea sistemului electronic de arhivare autorizat de A.D.R. sau de alte autorităţi cu atribuţii în domeniu de pe teritoriul UE, pe care îl utilizează; g) datele de identificare a centrului de date autorizat de A.D.R. sau de alte autorităţi cu atribuţii în domeniu de pe teritoriul UE care găzduieşte arhiva electronică şi rezidenţa. ART. 15 (1) Orice persoană fizică sau juridică poate beneficia de servicii de arhivare electronică a documentelor. (2) Pentru depunerea unui document în arhiva electronică, beneficiarul trebuie să îndeplinească atât condiţiile prevăzute la art. 7 din Legea nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, cât şi următoarele condiţii: a) să deţină un certificat digital calificat pentru semnătura electronică, în termen de valabilitate; b) sa deţină un serviciu calificat de păstrare a semnăturilor electronice calificate, serviciu ce poate fi prestat numai de către un prestator de servicii de încredere calificat care utilizează proceduri şi tehnologii capabile să extindă fiabilitatea semnăturilor electronice calificate dincolo de perioada de validitate tehnologică conform prevederilor Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014. (3) Beneficiarul are următoarele drepturi: a) stabilirea regimului de acces la documentul arhivat, precum şi modificarea acestuia, în conformitate cu prevederile art. 14 din Legea nr. 135/2007, republicată; b) atestarea valorii de original sau de copie a documentului arhivat; c) accesul online la registrul în formă electronică al arhivei electronice; d) accesul online la fişa electronică ataşată în mod obligatoriu fiecărui document intrat în arhiva electronică, conform regimului de acces stabilit; e) accesul la programele utilizate de administrator în cadrul activităţii de arhivare, necesare pentru accesul la documentele personale care au fost arhivate. (4) Accesul online la documentele arhivate care nu au regim de acces public şi la fişele electronice ale acestora se consideră asigurat atunci când persoanele care au drept de acces la documente şi la fişele electronice ale acestora le pot consulta printr-o reţea care nu este conectată la internet. Este necesar acordul scris al beneficiarului în ceea ce priveşte utilizarea respectivei reţele. ART. 16 Anexele nr. 1.1-1.4 fac parte integrantă din prezenta procedură. ANEXA 1.1 la procedura de acreditare şi retragere a acreditării administratorilor de arhivă electronică CONŢINUTUL ŞI STRUCTURA Registrului administratorilor de arhive electronice
┌───┬──────────────────────────────────┐
│1. │Numărul de ordine al │
│ │înregistrării, generat automat │
├───┼──────────────────────────────────┤
│2. │Codul de identificare a │
│ │administratorului │
├───┼──────────────────────────────────┤
│3. │Tipul administratorului: persoană │
│ │fizică/juridică │
├───┼──────────────────────────────────┤
│ │Numele şi prenumele (pentru │
│4. │persoana fizică)/Denumirea (pentru│
│ │persoana juridică) │
├───┼──────────────────────────────────┤
│5. │Naţionalitatea/Cetăţenia │
├───┼──────────────────────────────────┤
│ │Adresa (ţară, oraş, judeţ/sector, │
│6. │stradă, număr, bloc, scară, etaj, │
│ │apartament, cod poştal, telefon, │
│ │e-mail, adresă pagină de internet)│
├───┼──────────────────────────────────┤
│ │Cod unic de înregistrare/Cod de │
│7. │identificare fiscală (pentru │
│ │persoana juridică) │
├───┼──────────────────────────────────┤
│8. │Data la care a început activitatea│
├───┼──────────────────────────────────┤
│9. │Tipul garanţiei administratorului │
├───┼──────────────────────────────────┤
│ │Societatea de asigurări/Instituţia│
│10.│financiară care garantează │
│ │capacitatea financiară a │
│ │administratorului │
├───┼──────────────────────────────────┤
│11.│Suma asigurată/Suma acoperită prin│
│ │scrisoarea de garanţie │
├───┼──────────────────────────────────┤
│12.│Descrierea politicii generale a │
│ │administratorului │
├───┼──────────────────────────────────┤
│ │Situaţii critice: câmp ce poate │
│ │conţine referiri la ultima │
│ │situaţie critică (de exemplu, │
│13.│întreruperea temporară a │
│ │activităţii din cauza unor │
│ │probleme tehnice, modificarea │
│ │procedurilor, sancţiuni etc.) │
├───┼──────────────────────────────────┤
│14.│Data şi ora ultimei actualizări │
├───┼──────────────────────────────────┤
│15.│Data şi ora ultimei verificări │
├───┼──────────────────────────────────┤
│ │Situaţia activităţii │
│16.│administratorului (operaţională, │
│ │suspendată, încetată, în curs de │
│ │transferare) │
├───┼──────────────────────────────────┤
│ │Motivul suspendării/reluării/ │
│17.│încetării activităţii (dacă este │
│ │cazul) │
├───┼──────────────────────────────────┤
│18.│Administratorul care preia │
│ │activitatea │
└───┴──────────────────────────────────┘
ANEXA 1.2 la procedura de acreditare şi retragere a acreditării administratorilor de arhivă electronică NOTIFICARE în vederea dobândirii calităţii de administrator al arhivei electronice Către: Autoritatea pentru Digitalizarea României (A.D.R.)
┌─────────────────────────────────────────────┬──────────────┐
│ │ADR nr. │
│ │..............│
├─────────────────────────────────────────────┴──────────────┤
│Denumirea/Numele şi prenumele: │
├────────────────────────────────┬────────────┬──────────────┤
│Statutul: │I_I persoană│I_I persoană │
│ │fizică │juridică │
├───────────┬───────┬───┬────────┼────────────┼──────────────┤
│Sediul/ │Strada:│Nr.│Bl. │Sc. │Ap. │
│Domiciliul:│ │ │ │ │ │
├───────────┴───────┴───┴────────┼────────────┼──────────────┤
│ │Localitatea:│Codul poştal: │
├────────────────────────────────┴────────────┼──────────────┤
│ │Judeţul/ │
│ │Sectorul: │
├────────────────────────────────┬────────────┼──────────────┤
│ │Telefon: │ │
├────────────────────────────────┼────────────┼──────────────┤
│ │E-mail: │Pagină de │
│ │ │internet: │
├────────────────────────────────┴────────────┼──────────────┤
│Codul de identificare fiscală/Codul unic de │ │
│înregistrare (pentru persoane juridice): │ │
├─────────────────────────────────────────────┼──────────────┤
│CNP (pentru persoane fizice): │ │
├────────────────────────────────┬────────────┼──────────────┤
│Reprezentant legal: │Numele: │Funcţia: │
├───────────────────────┬────────┼────────────┼──────────────┤
│ │Telefon:│Fax: │E-mail: │
├───────────────────────┴────────┼────────────┼──────────────┤
│Persoană de contact: │Numele: │Funcţia: │
├───────────────────────┬────────┼────────────┼──────────────┤
│ │Telefon:│Fax: │E-mail: │
└───────────────────────┴────────┴────────────┴──────────────┘
Solicit acreditarea ca administrator de arhive electronice şi mă angajez să îmi desfăşor activitatea în conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, precum şi ale reglementărilor emise în domeniu de către Autoritatea pentru Digitalizarea României, în calitate de autoritate de reglementare şi supraveghere specializată în domeniul furnizării serviciilor de arhivare electronică. Solicit acreditarea în scopul prestării de servicii de arhivare electronică: [ ] în nume propriu; [ ] pentru terţi. Anexez prezentei cereri următoarele documente: - diplomă de absolvent de studii superioare în domeniul tehnologiei informaţiei; – calificări/atestări care să certifice cunoaşterea standardului ISO/IEC 27001 şi a cel puţin unui alt standard din seria ISO/IEC 27000 sau a versiunilor ulterioare ale acestora - certificări/atestări în domeniul administrării bazelor de date şi a sistemelor de operare; – calificări/atestări în domeniul arhivistic; – certificări/atestări în domeniul administrării bazelor de date şi a sistemelor de operare; – dovada instruirii privind operarea sistemului electronic de arhivare utilizat; – denumirea sistemului electronic de arhivare avizat de către A.D.R. sau de alte autorităţi cu atribuţii în domeniul arhivării electronice de pe teritoriul Uniunii Europene (UE); – datele de identificare a centrului de date avizat de către A.D.R. sau de alte autorităţi cu atribuţii în domeniul arhivării electronice de pe teritoriul UE care găzduieşte arhiva electronică; – politicile şi procedurile referitoare la securitatea şi conservarea datelor, respectiv politica de protecţie a datelor cu caracter personal, politica de acces, politica de securitate, politica de păstrare a documentelor; – declaraţia reprezentatului legal cu privire la respectarea prevederilor Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), precum şi ale Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare. Ca modalitate asigurătoare pentru acoperirea prejudiciilor pe care le-aş putea cauza cu prilejul desfăşurării activităţii, anexez (se va preciza una dintre următoarele variante)*): ........................................................................... [ ] o scrisoare de garanţie în valoare de ........... (cel puţin 300.000 euro) din partea ..........(denumirea instituţiei financiare).........; [ ] o poliţă de asigurare în valoare de .............. (cel puţin 300.000 euro) la .............(denumirea societăţii de asigurare)........... . Data estimativă a începerii activităţii ....................................... Semnătura reprezentantului legal al solicitantului ................... *) Se va completa în cazul în care solicitantul va oferi servicii de arhivare electronică pentru terţi şi se va anexa dovada măsurii asiguratorii pentru care administratorul a optat. ANEXA 1.3 la procedura de acreditare şi retragere a acreditării administratorilor de arhivă electronică NOTIFICARE în vederea încetării activităţii de administrator al arhivei electronice Către: Autoritatea pentru Digitalizarea României
┌┬─────────────────────────────────────┐
││A.D.R. nr. ............... │
├┴─────────────────────────────────────┤
│Numele şi prenumele/Denumirea │
│administratorului │
│............................... │
│Numărul din Registrul │
│administratorilor de arhive │
│electronice │
├──────────────────────────────────────┤
│Data încetării activităţii: ..... │
│/...../......... (zi/luna/an) │
├──────────────────────────────────────┤
│Motivele încetării activităţii │
├──────────────────────────────────────┤
│Numele şi prenumele/Denumirea │
│administratorului care va prelua │
│activitatea ....................... │
│Numărul din Registrul │
│administratorilor de arhive │
│electronice .............. │
│Documente anexate privitoare la │
│preluarea activităţii │
├──────────────────────────────────────┤
│Măsuri luate referitoare la │
│beneficiari │
│Semnătura reprezentantului legal al │
│administratorului care îşi încetează │
│activitatea │
│Semnătura reprezentantului legal al │
│administratorului care preia │
│activitatea │
└──────────────────────────────────────┘
ANEXA 1.4 la procedura de acreditare şi retragere a acreditării administratorilor de arhivă electronică Conţinutul minimal şi structura registrului arhivei electronice A. Date privind beneficiarul: - numele şi prenumele/denumirea; – adresa; – codul. B. Date privind documentele stocate de către beneficiar: - forma utilizată; – cuvinte-cheie necesare identificării documentului în formă electronică (taguri); – politica de acces la documentele arhivate; – dimensiunea documentului arhivat; – data introducerii în arhivă; – data expirării perioadei de arhivare. ANEXA 2 la normele tehnice PROCEDURĂ de acordare/retragere a avizului tehnic pentru sistemele electronice de arhivare CAP. I Dispoziţii generale ART. 1 Prezenta procedură reglementează acordarea/retragerea avizului tehnic al Autorităţii pentru Digitalizarea României, denumită în continuare A.D.R., pentru sistemul electronic de arhivare pus la dispoziţie de către deţinătorii centrelor de date autorizate sau administratorii de arhivă electronică acreditaţi drept deţinătorii acestora. ART. 2 Prezenta procedură stabileşte cerinţele minime tehnice şi de securitate pe care trebuie să le îndeplinească sistemele electronice de arhivare. ART. 3 Arhivarea electronică se poate efectua numai prin intermediul unui sistem electronic de arhivare avizat tehnic de către A.D.R. ART. 4 Se supun spre avizare sistemele electronice de arhivare deţinute de persoane juridice române, cu plata taxei de analiză a documentaţiei în vederea avizării în cuantum de 2.500 lei. ART. 5 Cerinţele tehnice ale sistemelor electronice de arhivare se referă la: 1. confidenţialitatea şi integritatea comunicaţiilor dintre beneficiar şi arhiva electronică; 2. mecanismele care să garanteze confidenţialitatea şi nerepudierea operaţiunilor efectuate utilizând sistemul electronic de arhivare; 3. autenticitatea părţilor care participă la operaţiunile de arhivare şi existenţa metodelor de autentificare în concordanţă cu nivelul de securitate al sistemului electronic de arhivare, precum şi mijloacele de garantare a identităţii; 4. confidenţialitatea, autenticitatea şi integritatea informaţiilor/ datelor utilizate în procesul de arhivare, în timpul procesării, stocării şi arhivării acestora; 5. păstrarea secretului profesional; 6. trasabilitatea operaţiunilor în arhiva electronică; 7. respectarea protecţiei datelor cu caracter personal în sistemele electronice de arhivare; 8. controlul accesului fizic şi logic la sistemul electronic de arhivare; 9. trasabilitatea accesului fizic şi logic la arhiva electronică; 10. înregistrarea tuturor acţiunilor efectuate asupra documentelor şi a sistemului într-un jurnal de audit; 11. permiterea accesului şi a efectuării modificărilor doar utilizatorilor autorizaţi în acest sens, acţiuni înregistrate în jurnalul de audit; 12. generarea automată a unui jurnal de audit în care sunt înregistrate, fără posibilitatea de a fi modificate, toate deciziile şi acţiunile care se produc asupra unui document din momentul înregistrării şi până la distrugerea sau transferul acestuia către Arhivele Naţionale şi/sau alt administrator de arhivă electronică; 13. stocarea, păstrarea datelor înregistrate şi jurnalizarea acestora; 14. prevenirea/limitarea/înlăturarea impactului incidentelor de securitate informatică şi reluarea în siguranţă a activităţii de arhivare; 15. detectarea, înregistrarea şi gestionarea incidentelor de securitate informatică; 16. evaluarea riscurilor de securitate informatică şi măsuri de gestionare a acestora; 17. continuitatea serviciilor oferite beneficiarilor; 18. gestionarea şi administrarea sistemului electronic de arhivare; 19. impactul operaţiilor de modificare a planului de securitate specific sistemului electronic de arhivare. ART. 6 Măsurile tehnice şi organizatorice întreprinse pentru îndeplinirea cerinţelor tehnice enumerate la art. 5 sunt în concordanţă cu tehnologia utilizată şi cu riscurile potenţiale. ART. 7 Deţinătorul sistemului electronic de arhivare are obligaţia de a implementa măsuri de securitate informatică, de a monitoriza continuu şi de a evalua anual riscurile operaţionale generate de utilizarea sistemului electronic de arhivare, cu respectarea legislaţiei interne şi a reglementărilor europene. CAP. II Eliberarea avizului ART. 8 Documentele necesare pentru eliberarea avizului tehnic sunt: 1. cerere adresată A.D.R., conform modelului prevăzut în anexa nr. 2.1 la prezenta procedură; 2. împuternicire şi copie a cărţii de identitate pentru persoana delegată să reprezinte deţinătorul sistemului electronic de arhivare în relaţia cu A.D.R., dacă este cazul; 3. descrierea funcţională a sistemului electronic de arhivare, din care să rezulte că acesta îndeplineşte condiţiile tehnice prevăzute la art. 5; 4. declaraţia reprezentantului legal al persoanei juridice care deţine sistemul electronic de arhivare, din care să rezulte efectuarea testelor de penetrare, perioada de efectuare a testelor, precum şi datele de identificare ale echipei de testare; 5. certificările profesionale ale echipei de testare, recunoscute internaţional. Certificările profesionale agreate pentru efectuarea testelor de penetrare acceptate trebuie să fie în termenul de valabilitate şi să se regăsească în lista prevăzută în anexa nr. 2.2 la prezenta procedură; 6. planul de securitate al sistemului electronic de arhivare, semnat de către deţinătorul acestuia, cuprinzând descrierea măsurilor tehnice şi organizatorice prevăzute pentru asigurarea cerinţelor tehnice enumerate la art. 5; 7. raportul de audit, întocmit cu maximum 60 de zile înainte de data depunerii documentaţiei, de către un auditor IT din Lista auditorilor IT gestionată de A.D.R.; 8. dovada îndeplinirii obligaţiei prevăzute la art. 12 alin. (2) şi (3) din Legea nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, după caz; 9. dovada plăţii taxei de analiză a documentaţiei în vederea avizării în cuantum de 2.500 lei. ART. 9 (1) Documentele prevăzute la art. 8 se transmit către A.D.R., în limba română, sunt semnate de către reprezentantul legal al deţinătorului sistemului electronic de arhivare şi sunt certificate pentru conformitate cu originalul. (2) Documentaţia va fi paginată şi însoţită de un opis. ART. 10 Documentaţia aferentă planului de securitate va avea următoarea structură: 1. informaţii de identificare: a) denumirea deţinătorului sistemului electronic de arhivare; b) denumirea sistemului electronic de arhivare; c) descrierea generală a sistemului electronic de arhivare; d) datele de contact ale persoanelor responsabile; 2. măsuri pentru securitatea sistemului: a) evaluarea şi managementul riscurilor potenţiale; b) identificarea, analizarea şi remedierea riscurilor de securitate în conformitate cu cele mai bune practici în gestionarea acestora; c) măsurile tehnice de securitate implementate; d) situaţia cu înregistrarea şi analizarea incidentelor de securitate informatică; e) măsurile aplicate pentru asigurarea securităţii logice şi fizice. CAP. III Condiţii privind desfăşurarea auditului IT ART. 11 (1) Auditarea se va efectua în baza unui contract încheiat între deţinătorul sistemului electronic de arhivare care a solicitat auditarea şi un auditor înscris în Lista auditorilor IT gestionată de către A.D.R. (2) Deţinătorul sistemului electronic de arhivare nu poate contracta auditarea cu acelaşi auditor IT pentru mai mult de două auditări consecutive. (3) Deţinătorul sistemului electronic de arhivare are obligaţia de a se asigura că în contractul de auditare sunt cuprinse în mod obligatoriu clauze cu privire la faptul că auditorul IT trebuie să respecte cerinţele impuse pentru efectuarea auditului sistemelor informatice, în conformitate cu prevederile prezentei proceduri şi cu bunele practici în domeniu. (4) Activitatea de auditare trebuie să respecte conduita etică şi profesională, nu presupune încălcarea secretului profesional impus prin clauze contractuale sau prin prevederi legale şi nu atrage niciun fel de răspundere asupra persoanei fizice şi/sau juridice în cauză ca urmare a respectării prevederilor prezentei proceduri. ART. 12 Perioada supusă auditării reprezintă perioada cuprinsă între două auditări consecutive. ART. 13 Pe timpul auditării, auditorul IT are obligaţia de a analiza situaţia deficienţelor şi vulnerabilităţilor identificate, întocmită cu ocazia auditării precedente, precum şi măsurile întreprinse de către deţinătorul sistemului electronic de arhivare. ART. 14 Auditorul IT notifică A.D.R., în scris, în maximum 5 zile de la constatare, orice fapt sau act care: a) este de natură să afecteze utilizarea în siguranţă a sistemului electronic de arhivare; b) poate conduce la o opinie de audit negativă sau la imposibilitatea exprimării acesteia. ART. 15 În termen de maximum 10 zile de la solicitarea scrisă a A.D.R., auditorul IT trebuie să comunice următoarele, fără a se limita la acestea: a) orice raport sau document care a fost adus la cunoştinţa deţinătorului sistemului electronic de arhivare auditat; b) motivaţia de reziliere a contractului de audit, dacă aceasta a avut loc înainte de finalizarea auditării. ART. 16 (1) A.D.R. poate participa la procesul de auditare, prin reprezentanţi desemnaţi prin decizie a preşedintelui A.D.R. (2) A.D.R. poate solicita auditorului, în scris, clarificări, precum şi documentaţia de audit, după caz. (3) Deţinătorul sistemului electronic de arhivare va permite accesul reprezentanţilor A.D.R. prevăzuţi la alin. (1). ART. 17 (1) Documentele prevăzute la art. 8 se înaintează către A.D.R. cu minimum 40 de zile înaintea expirării avizului anterior şi vor fi întocmite într-un singur exemplar. (2) A.D.R. va emite avizul tehnic pentru sistemul electronic de arhivare în termen de 40 de zile de la depunerea documentaţiei complete. (3) A.D.R. va remite solicitantului un exemplar al avizului tehnic, în termen de 3 zile calendaristice după acordarea acestuia. (4) Avizul acordat este netransmisibil. (5) Avizul tehnic pentru sistemul electronic de arhivare va avea o valabilitate de 2 ani. (6) Forma avizului tehnic acordat este prevăzută în anexa nr. 2.3 la prezenta procedură. (7) Sistemul electronic de arhivare este înscris în Registrul sistemelor electronice de arhivare, gestionat şi publicat de către A.D.R. pe site-ul său. ART. 18 Avizul tehnic pentru sistemul electronic de arhivare eliberat de către A.D.R. este valabil pe întreg teritoriul României. ART. 19 A.D.R. poate efectua verificări la sediul deţinătorului sistemului electronic de arhivare avizat sau în curs de avizare prin personal desemnat prin decizie a preşedintelui A.D.R. ART. 20 (1) Deţinătorul sistemului electronic de arhivare va notifica A.D.R. orice dezvoltare, modificare a acestuia şi a procedurilor operaţionale care ar putea afecta funcţionarea şi securitatea sistemului electronic de arhivare, în termen de 15 zile de la data în care devin operaţionale. Notificarea conţine descrierea modificării/dezvoltării efectuate şi a impactului acesteia asupra funcţionării şi securităţii sistemului electronic de arhivare. (2) Deţinătorul sistemului electronic de arhivare va notifica A.D.R., în termen de maximum 24 de ore, orice incident de securitate care a afectat în mod direct beneficiarii. Notificarea va cuprinde cauza şi măsurile ce urmează a fi luate în vederea remedierii situaţiei apărute. (3) A.D.R. poate solicita un nou raport de audit pentru sistemul electronic de arhivare, după analizarea notificărilor prevăzute la alin. (1) şi (2). CAP. IV Retragerea avizului tehnic ART. 21 A.D.R. va transmite deţinătorului sistemului electronic de arhivare o notificare prealabilă prin care i se aduc la cunoştinţă motivele pentru care se va proceda la iniţierea demersurilor pentru retragerea avizului tehnic. ART. 22 Retragerea avizului tehnic pentru sistemul electronic de arhivare se va face de către A.D.R. în următoarele condiţii: a) sistemul electronic de arhivare nu mai îndeplineşte cerinţele tehnice şi de securitate prevăzute la art. 5; b) în urma verificărilor la sediul deţinătorului sau pe sistemul electronic de arhivare, se constată nerespectarea prevederilor conţinute în documentaţia de avizare; c) deţinătorul sistemului electronic de arhivare nu a prezentat raportul de audit menţionat la art. 20 alin. (3); d) au fost semnalate incidente de securitate, iar deţinătorul sistemului electronic de arhivare nu a transmis notificarea acestora conform art. 20 alin. (2). ART. 23 A.D.R. va retrage avizul tehnic dacă, în termen de 30 de zile de la primirea notificării prevăzute la art. 21, deţinătorul sistemului electronic de arhivare nu trimite documentele justificative privind remedierea aspectelor notificate. ART. 24 După retragerea avizului tehnic în condiţiile art. 23 este necesară parcurgerea procedurii de acordare a avizului tehnic prevăzută în prezenta anexă. CAP. V Registrul sistemelor electronice de arhivare ART. 25 (1) A.D.R. gestionează Registrul sistemelor electronice de arhivare, denumit în continuare registru, care va fi actualizat permanent şi va fi disponibil spre consultare pe pagina sa de internet. (2) Conţinutul şi structura registrului sunt prevăzute în anexa nr. 2.4. la prezenta procedură. (3) A.D.R. face publice, spre consultare, următoarele date din registru: a) numele deţinătorului sistemului electronic de arhivare; b) denumirea sistemului electronic de arhivare; c) perioada de valabilitate a avizului tehnic pentru sistemul electronic de arhivare; d) datele de contact ale deţinătorului sistemului electronic de arhivare. CAP. VI Dispoziţii finale ART. 26 Anexele nr. 2.1-2.4 fac parte integrantă din prezenta procedură. ANEXA 2.1 la procedura de acordare/retragere a avizului tehnic pentru sistemele electronice de arhivare CERERE de eliberare a avizului tehnic pentru deţinătorul sistemului electronic de arhivare ..........(denumirea deţinătorului sistemului electronic de arhivare)..............., având sediul în .......(adresa completă, inclusiv e-mail, telefon şi fax)......., înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerţului cu nr. ........(numărul de înregistrare/codul unic de înregistrare)............., cod fiscal .........................., reprezentat(ă) legal prin ...........(numele şi prenumele)............., domiciliat(ă) în ...........(adresa completă, inclusiv e-mail şi telefon).............., identificat(ă) prin ............. (actul de identitate: seria, numărul şi emitentul, precum şi codul numeric personal)............., în conformitate cu prevederile Hotărârii Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările şi completările ulterioare, Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE şi Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, vă solicităm eliberarea/menţinerea avizului tehnic pentru funcţionarea sistemului electronic de arhivare................(denumirea sistemului electronic de arhivare)............. . Sistemul electronic de arhivare funcţionează la sediul din ..............................................
┌──────────────────────────────────────────────────────────────────────┐
│Numele şi prenumele solicitantului │
│......................................................................│
│Data ........................... │
└──────────────────────────────────────────────────────────────────────┘
ANEXA 2.2 la procedura de acordare/retragere a avizului tehnic pentru sistemele electronice de arhivare LISTA certificărilor profesionale agreate pentru efectuarea testelor de penetrare Echipa de testare ce efectuează testele de penetrare trebuie să deţină cel puţin una dintre certificările menţionate mai jos - certificări recunoscute internaţional: CEPT - Certified Expert Penetration Tester; CPT - Certified Penetration Tester; GPEN - GIAC Certified Penetration Tester; GWAPT - GIAC Web Application; LPT - Licensed Penetration Tester; OPST - OSSTMM Professional Security Tester Accredited Certification; OSCE - Offensive Security Certified Expert; OSCP - Offensive Security Certified Professional; PTC - MILLE2 Certified Penetration Testing Consultant. ANEXA 2.3 la procedura de acordare/retragere a avizului tehnic pentru sistemele electronice de arhivare AVIZ TEHNIC Având în vedere: - Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; – Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare; – Legea Arhivelor Naţionale nr. 16/1996, republicată, cu modificările şi completările ulterioare; – Legea nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată; – Legea nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare; – Hotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările şi completările ulterioare; – Normele tehnice privind procedura de acreditare a administratorilor de arhivă electronică şi procedura de avizare a sistemelor electronice de arhivare, aprobate prin Ordinul ministrului cercetării, inovării şi digitalizării nr. 20.717/2024; – Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr. 489/2009 privind normele metodologice de autorizare a centrelor de date, cu modificările şi completările ulterioare; – prevederile Deciziei prim-ministrului nr. .................... privind numirea ................................. în funcţia de preşedinte, cu rang de secretar de stat; – Cererea nr. ............................., înregistrată la Registratura Autorităţii pentru Digitalizarea României cu nr. .......................; – Nota nr. ....................... referitoare la îndeplinirea condiţiilor de acordare a avizului tehnic pentru sistemul electronic de arhivare .............................,
┌──────────────────────────────────────┐
│Autoritatea pentru Digitalizarea │
│României eliberează prezentul │
│AVIZ TEHNIC. │
└──────────────────────────────────────┘
.........(denumirea deţinătorului sistemului electronic de arhivare)................, având sediul în .......(adresa completă, inclusiv e-mail, telefon)......, înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerţului cu nr. ........................, cod fiscal ...................................., reprezentat(ă) legal prin ..........(numele şi prenumele)........., a obţinut avizul tehnic pentru sistemul electronic de arhivare ..........(denumirea sistemului electronic de arhivare).......... . Prezentul document s-a eliberat în două exemplare, dintre care unul s-a transmis deţinătorului sistemului electronic de arhivare pentru operarea şi punerea la dispoziţie a sistemului electronic de arhivare. Prezentul aviz tehnic are valabilitate 2 (doi) ani începând cu data de ............................................ şi nu este transmisibil.
┌─────────────────────────────────────────────────────────┐
│Preşedintele Autorităţii pentru Digitalizarea României, │
│.........................................................│
└─────────────────────────────────────────────────────────┘
Nr. ......................... data ............................................ ANEXA 2.4 la procedura de acordare/retragere a avizului tehnic pentru sistemele electronice de arhivare Registrul sistemelor electronice de arhivare
┌─────────────┬─────────────┬───────┬──────────────┬─────────────┬──────────┐
│Denumirea │Sediul │ │ │ │ │
│deţinătorului│deţinătorului│Datele │Reprezentantul│Valabilitatea│ │
│sistemului │sistemului │de │legal │avizului │Observaţii│
│electronic de│electronic de│contact│ │tehnic │ │
│arhivare │arhivare │ │ │ │ │
└─────────────┴─────────────┴───────┴──────────────┴─────────────┴──────────┘
ANEXA 3 la normele tehnice PROCEDURĂ de notificare pentru utilizarea de către persoane juridice române a sistemelor electronice de arhivare deţinute de persoane juridice din orice alt stat membru al Uniunii Europene CAP. I Dispoziţii generale ART. 1 Administratorii de arhivă electronică, respectiv deţinătorii centrelor de date autorizate de către Autoritatea pentru Digitalizarea României, denumită în continuare A.D.R., care intenţionează să utilizeze un sistem electronic de arhivare deţinut de o persoană juridică din orice alt stat membru al Uniunii Europene (UE), au obligaţia de a notifica A.D.R. cu 40 de zile înainte de începerea activităţii de arhivare, conform anexei nr. 3.1. CAP. II Cerinţe privind notificarea ART. 2 Notificarea prevăzută la art. 1 trebuie să fie însoţită de următoarele documente: a) contract cu deţinătorul sistemului semnat olograf sau cu semnătură electronică calificată; b) raport de audit întocmit cu maximum 60 de zile înainte de data depunerii notificării, în baza standardelor în domeniu şi a prezentei proceduri, de un auditor IT care deţine cel puţin una din certificările prevăzute în anexa 3.2. În cuprinsul raportului de audit se menţionează rezultatul efectuării testelor de penetrare, perioada în care acestea s-au desfăşurat şi certificările echipei de testare; c) certificările deţinute de auditorul IT; d) declaraţia pe propria răspundere a reprezentantului legal al administratorului de arhivă electronică, respectiv deţinătorului centrului de date autorizat de către A.D.R. care utilizează sistemul electronic de arhivare în baza contractului prevăzut la lit. a) că sunt implementate măsuri de securitate informatică, se monitorizează continuu şi se evaluează anual riscurile operaţionale generate de utilizarea sistemului electronic de arhivare, cu respectarea reglementărilor şi standardelor în domeniu; e) politici şi proceduri privind securitatea informaţiei; f) descrierea funcţională a sistemului; g) dovada instruirii personalului pe sistemul utilizat; h) descrierea cerinţelor tehnice ale sistemelor electronice de arhivare care se referă la: 1. confidenţialitatea şi integritatea comunicaţiilor dintre beneficiar şi arhiva electronică; 2. mecanismele care să garanteze confidenţialitatea şi nerepudierea operaţiunilor efectuate utilizând sistemul electronic de arhivare; 3. autenticitatea părţilor care participă la operaţiunile de arhivare şi existenţa metodelor de autentificare în concordanţă cu nivelul de securitate al sistemului electronic de arhivare electronică, precum şi mijloacele de garantare a identităţii; 4. confidenţialitatea, autenticitatea şi integritatea informaţiilor/ datelor utilizate în procesul de arhivare şi în timpul procesării, stocării şi arhivării acestora; 5. păstrarea secretului profesional; 6. trasabilitatea operaţiunilor în arhiva electronică; 7. respectarea protecţiei datelor cu caracter personal în sistemele electronice de arhivare; 8. controlul accesului fizic şi logic la sistemul electronic de arhivare; 9. trasabilitatea accesului fizic şi logic la arhiva electronică; 10. înregistrarea tuturor acţiunilor efectuate asupra documentelor electronice şi a sistemului, într-un jurnal de audit; 11. permiterea accesului şi a efectuării modificărilor doar utilizatorilor autorizaţi în acest sens, acţiuni înregistrate în jurnalul de audit; 12. generarea automată a unui jurnal de audit, în care sunt înregistrate, fără posibilitatea de a fi modificate, toate deciziile şi acţiunile care se produc asupra unui document din momentul înregistrării şi până la distrugerea sau transferul acestuia către alt administrator de arhivă electronică; 13. stocarea, păstrarea datelor înregistrate şi jurnalizarea acestora; 14. prevenirea/limitarea/înlăturarea impactului incidentelor de securitate informatică şi reluarea în siguranţă a activităţii de arhivare; 15. detectarea, înregistrarea şi gestionarea incidentelor de securitate informatică; 16. evaluarea riscurilor de securitate informatică şi măsuri de gestionare a acestora; 17. continuitatea serviciilor oferite beneficiarilor; 18. gestionarea şi administrarea sistemului electronic de arhivare; 19. impactul operaţiilor de modificare a planului de securitate specific sistemului electronic de arhivare. CAP. III Dispoziţii finale ART. 3 (1) Documentele prevăzute la art. 2 se transmit către A.D.R., în limba română, sunt semnate de către reprezentantul legal al deţinătorului sistemului electronic de arhivare şi sunt certificate pentru conformitate cu originalul. (2) Documentaţia va fi paginată şi însoţită de un opis. ART. 4 Anexele nr. 3.1 şi 3.2 fac parte integrantă din prezenta procedură. ANEXA 3.1 la procedura de notificare pentru utilizarea de către persoane juridice române a sistemelor electronice de arhivare deţinute de persoane juridice din alt stat membru al Uniunii Europene NOTIFICARE privind utilizarea de către persoane juridice române a sistemelor electronice de arhivare deţinute de persoane juridice din orice alt stat membru al Uniunii Europene (model) Stimată/Stimate doamnă/domnule preşedinte, având în vedere prevederile art. 1 din anexa nr. 3 la Normele tehnice privind procedura de acreditare a administratorilor de arhivă electronică şi procedura de avizare a sistemelor electronice de arhivare, aprobate prin Ordinul ministrului cercetării, inovării şi digitalizării nr. 20.717/2024, ................(denumirea administratorului de arhivă electronică, respectiv deţinătorului centrului de date autorizat de către Autoritatea pentru Digitalizarea României care utilizează sistemul electronic de arhivare)......................... , cu domiciliul/sediul în .........(adresa completă, inclusiv telefon)........., înregistrat(ă) la Oficiul Registrului Comerţului de pe lângă Tribunalul ..................., cod unic de înregistrare/cod de identificare fiscală ......................................, reprezentat(ă) legal prin .........(numele şi prenumele)......, domiciliat(ă) în .........(adresa completă, inclusiv telefon)..........., identificat(ă) prin actul de identitate .......(serie, număr, cod numeric personal)....., vă informăm că începând cu data de ....................... vom utiliza sistemul electronic de arhivare ................................................ Anexăm la prezenta notificare următoarele documente: ...................................................... NOTĂ: Se vor ataşa documentele prevăzute la art. 2 din anexa nr. 3 la Normele tehnice privind procedura de acreditare a administratorilor de arhivă electronică şi procedura de avizare a sistemelor electronice de arhivare, aprobate prin Ordinul ministrului cercetării, inovării şi digitalizării nr. 20.717/2024. Semnătura reprezentantului legal ..................................................... ANEXA 3.2 la procedura de notificare pentru utilizarea de către persoane juridice române a sistemelor electronice de arhivare deţinute de persoane juridice din orice alt stat membru al Uniunii Europene LISTA certificărilor profesionale agreate pentru auditorii IT Raportul de audit se întocmeşte de către un auditor IT care trebuie să deţină cel puţin una dintre certificările menţionate mai jos - certificări recunoscute internaţional: ISACA - CISA - Certified Information Systems Auditor (auditorul pentru sisteme informatice, certificat de ISACA); GIAC (SANS) - GSNA Systems and Network Auditors; GIAC - GCCC Critical Controls Certification; CISSP - Certified Information Systems Security Professional. -----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
