Comunica experienta
MonitorulJuridic.ro
Email RSS Trimite prin Yahoo Messenger pagina:   NORME din 11 octombrie 2022  de aplicare a dispoziţiilor privind verificarea şi controlul îndeplinirii obligaţiilor de securitate cibernetică pentru spaţiul cibernetic naţional civil    Twitter Facebook
Cautare document
Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X

 NORME din 11 octombrie 2022 de aplicare a dispoziţiilor privind verificarea şi controlul îndeplinirii obligaţiilor de securitate cibernetică pentru spaţiul cibernetic naţional civil

EMITENT: Directoratul Naţional de Securitate Cibernetică
PUBLICAT: Monitorul Oficial nr. 1062 din 2 noiembrie 2022
──────────
    Aprobate prin ORDINUL nr. 105 din 11 octombrie 2022, publicat în Monitorul Oficial, Partea I, nr. 1062 din 2 noiembrie 2022.
──────────
    CAP. I
    Dispoziţii generale
    ART. 1
    Aplicabilitate
    (1) Prezentele norme de aplicare a dispoziţiilor privind verificarea şi controlul îndeplinirii obligaţiilor de securitate cibernetică pentru spaţiul cibernetic naţional civil, denumite în continuare norme, stabilesc cadrul legal pentru exercitarea activităţilor de control privind respectarea prevederilor Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare (denumită în continuare Legea nr. 362/2018), precum şi ale Ordonanţei de urgenţă a Guvernului nr. 104/2021 privind înfiinţarea Directoratului Naţional de Securitate Cibernetică, aprobată cu modificări şi completări prin Legea nr. 11/2022 (denumită în continuare OUG nr. 104/2021).
    (2) Elementele care stau la baza prezentelor norme sunt:
    a) conceptul şi tipurile de control;
    b) scopul şi principiile care stau la baza efectuării controalelor;
    c) competenţele structurii şi personalului cu atribuţii de control şi responsabilităţile acestora;
    d) obiectivele şi modalităţile de desfăşurare a controlului;
    e) documentele elaborate pentru materializarea acţiunilor de control;
    f) măsurile propuse de personalul cu atribuţii de control pentru îmbunătăţirea activităţii.

    (3) În înţelesul prezentelor norme, funcţia de autoritate competentă la nivel naţional de reglementare, supraveghere şi control, funcţia de autoritate naţională de certificare privind securitatea cibernetică, precum şi funcţia de evaluare şi certificare presupun pe lângă atribuţiile de reglementare a spaţiului cibernetic naţional civil şi îndeplinirea atribuţiilor de verificare şi control al îndeplinirii obligaţiilor de securitate cibernetică pe spaţiul civil naţional civil de către toate entităţile care intră sub incidenţa Legii nr. 362/2018 şi a OUG nr. 104/2021.
    (4) Prezentele norme se aplică pentru monitorizarea, verificarea şi controlul respectării obligaţiilor impuse prin:
    a) Legea nr. 362/2018: operatorilor de servicii esenţiale/ importante; furnizorilor de servicii digitale; auditorilor de securitate cibernetică; echipelor CSIRT; furnizorilor de servicii de formare a auditorilor de securitate cibernetică, membrilor echipelor CSIRT şi responsabililor cu securitatea reţelelor şi sistemelor informatice însărcinaţi cu monitorizarea canalelor de contact, denumiţi în continuare responsabili NIS;
    b) OUG nr. 104/2021: laboratoarelor civile de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor; furnizorilor de servicii de găzduire/hosting; furnizorilor de servicii de tip cloud; furnizorilor de reţele de distribuţie de conţinut.

    (5) Prezentele norme nu se aplică la nivelul instituţiilor din sistemul de apărare, ordine publică şi securitate naţională, din domeniul protecţiei infrastructurilor critice şi nici la nivelul infrastructurilor cibernetice care vehiculează informaţii clasificate.
    (6) Prezentele norme nu aduc atingere activităţilor care, prin acte normative de acelaşi nivel sau superior, sunt date în competenţa de control a altor organisme.

    ART. 2
    Termeni, expresii şi abrevieri
    (1) În cuprinsul prezentelor norme se utilizează următoarele abrevieri:
    a) DNSC - Directoratul Naţional de Securitate Cibernetică;
    b) DGRC - Direcţia generală reglementare şi control;
    c) DVC - Direcţia verificare şi control;
    d) CSIRT - echipă de răspuns la incidente de securitate cibernetică;
    e) FSD - furnizor de servicii digitale;
    f) OSE - operator de servicii esenţiale.

    (2) În cuprinsul prezentelor norme, precum şi în activitatea specifică domeniului securităţii reţelelor şi sistemelor informatice se utilizează următoarele concepte:
    a) activitatea de control - controlul îndeplinirii obligaţiilor de către operatorii de servicii esenţiale, furnizorii de servicii digitale, auditorii de securitate cibernetică atestaţi, echipele CSIRT autorizate şi furnizorii de servicii de formare în domeniul securităţii cibernetice autorizaţi, precum şi de către laboratoarele civile de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor autorizate, furnizorii de servicii de găzduire/hosting, furnizorii de servicii de tip cloud şi furnizorii de reţele de distribuţie de conţinut, desfăşurat în urma sesizărilor primite, din oficiu, sau în urma autosesizării şi finalizat printr-o notă de control;
    b) comisia de control - un grup de cel puţin doi membri, din care unul este preşedintele comisiei, constituit din personal de specialitate din cadrul structurii centrale de control, desemnat prin decizie a directorului DNSC, împuternicit să efectueze controlul şi care exercită atribuţii de control, în condiţiile prezentelor norme;
    c) entitate supusă controlului - persoană fizică sau juridică de drept public sau privat din categoria operatori de servicii esenţiale, furnizori de servicii digitale, auditori de securitate cibernetică, echipe CSIRT, furnizori de servicii de formare pentru auditori de securitate cibernetică, membrii echipelor CSIRT şi responsabili NIS, precum şi laboratoare civile de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor, furnizori de servicii de găzduire/hosting, furnizori de servicii de tip cloud şi furnizori de reţele de distribuţie de conţinut, toate entităţi cu obligaţii de implementare şi asigurare a cerinţelor minime de securitate cibernetică în spaţiul cibernetic naţional civil;
    d) notă de control - document elaborat de către structura de control la finalizarea unei activităţi de control;
    e) personal supus controlului - personal cu responsabilităţi în asigurarea securităţii cibernetice din cadrul entităţii supuse controlului;
    f) structura centrală de control - structura responsabilă cu monitorizarea şi controlul aplicării Legii nr. 362/2018 şi OUG nr. 104/2021, respectiv Direcţia verificare şi control, organizată la nivelul Direcţiei generale reglementare şi control din cadrul Directoratului Naţional de Securitate Cibernetică.


    ART. 3
    Structura centrală de control
    (1) Directoratul Naţional de Securitate Cibernetică, prin Direcţia verificare şi control din cadrul Direcţiei generale reglementare şi control, exercită controlul respectării prevederilor Legii nr. 362/2018 şi ale Ordonanţei de urgenţă a Guvernului nr. 104/2021, a obligaţiilor impuse prin actele emise de DNSC în aplicarea celor două acte normative, în limitele competenţelor legale de monitorizare sau de verificare.
    (2) Structura centrală de control, în temeiul Legii nr. 362/2018, al OUG nr. 104/2021 şi al actelor subsecvente emise:
    a) monitorizează aplicarea prevederilor legale în spaţiul cibernetic naţional civil;
    b) verifică respectarea de către operatorii de servicii esenţiale, furnizorii de servicii digitale, auditorii de securitate cibernetică atestaţi, echipele CSIRT autorizate şi furnizorii de servicii de formare în domeniul securităţii cibernetice autorizaţi, precum şi de către laboratoarele civile de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor, furnizorii de servicii de găzduire/hosting, furnizorii de servicii de tip cloud şi furnizorii de reţele de distribuţie de conţinut a obligaţiilor ce le revin;
    c) efectuează acţiuni de control, în urma sesizărilor primite, din oficiu, sau în urma autosesizării, precum şi în situaţia existenţei unor indicii temeinice privind sustragerea entităţilor de la obligaţiile ce le revin ori încălcarea obligaţiilor ce le revin;
    d) solicită şi primeşte, la faţa locului (la sediul entităţii supuse controlului) şi/sau la termenul solicitat, informaţiile necesare pentru efectuarea controlului, stabilind termene până la care aceste informaţii să îi fie furnizate, în condiţiile legii, inclusiv ale prevederilor referitoare la păstrarea confidenţialităţii tuturor documentelor şi informaţiilor primite;
    e) aplică sancţiuni, în cazul descoperirii nerespectării de către o entitate a unei obligaţii prevăzute, transmiţând entităţii în cauză o notificare prin care îi va aduce la cunoştinţă încălcarea constatată, măsurile cu caracter obligatoriu ce trebuie luate în vederea remedierii deficienţelor constatate şi stabilind termenul de conformare, precum şi sancţiunea aplicabilă;
    f) emite dispoziţii cu caracter obligatoriu pentru entităţile supuse controlului în vederea conformării şi remedierii deficienţelor constatate şi stabileşte termenul până la care acestea trebuie să se conformeze;
    g) primeşte, verifică şi răspunde la sesizări cu privire la neîndeplinirea obligaţiilor de către entităţile cărora li se aplică prevederile legale de mai sus.


    CAP. II
    Norme generale privind activitatea de control
    SECŢIUNEA 1
    Concepte, funcţii şi principii ale activităţii de control
    ART. 4
    Concepte şi tipuri de control
    (1) În sensul prezentelor norme, controlul desemnează activitatea specifică constând în analiza, verificarea, stabilirea şi indicarea măsurilor ce se impun pe parcursul ori la sfârşitul acestei activităţi pentru menţinerea stării de normalitate a securităţii cibernetice la nivelul entităţii supuse controlului.
    (2) Tipurile de control care se organizează şi se desfăşoară potrivit prezentelor norme, sunt următoarele:
    a) controlul de fond: este un control planificat, prevăzut în planul anual de control, dispus de directorul DNSC, care se desfăşoară cu notificarea prealabilă a entităţii supuse controlului şi care constă în verificarea respectării de către aceasta a Legii nr. 362/2018, a OUG nr. 104/2021 şi a actelor subsecvente emise de DNSC, în scopul evaluării modului de îndeplinire a cerinţelor minime de securitate cibernetică, a identificării şi corectării deficienţelor, disfuncţiilor sau neregulilor constatate;
    b) controlul tematic: este un control planificat, prevăzut în planul anual de control, asupra căruia se notifică în prealabil entitatea supusă controlului şi reprezintă verificarea prin care se urmăreşte constatarea, analizarea, evaluarea, îndrumarea şi/sau sprijinul în condiţiile apariţiei unor incidente de securitate cibernetică;
    c) controlul inopinat: este un control neplanificat, la efectuarea căruia nu se notifică în prealabil entitatea controlată şi reprezintă verificarea desfăşurată cu operativitate în vederea identificării unor eventuale deficienţe privind legalitatea, corectitudinea şi exactitatea îndeplinirii atribuţiilor entităţii supuse controlului (control la sesizare, autosesizare, din oficiu).


    ART. 5
    Scopul controlului
    Efectuarea controalelor prevăzute la art. 4 alin. (2) se desfăşoară în scopul:
    a) identificării modului prin care au fost implementate prevederile legale în vigoare, inclusiv cerinţele minime de securitate pentru asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice;
    b) identificării neregulilor şi soluţionării problemelor cu care se confruntă entitatea supusă controlului;
    c) stabilirii măsurilor optime pentru prevenirea unor deficienţe sau disfuncţii.


    ART. 6
    Funcţii şi principii ale activităţii de control
    (1) Funcţiile activităţii de control sunt:
    a) funcţia de monitorizare - se realizează prin identificarea modului de aplicare a Legii nr. 362/2018, a OUG nr. 104/2021 şi a actelor subsecvente acestora la nivelul entităţilor supuse controlului;
    b) funcţia de prevenţie - se realizează prin îndrumările metodologice, cu scopul de a preîntâmpina producerea unor nereguli sau abateri de la legalitate ori regularitate în activitate şi de a asigura continuitatea asigurării furnizării serviciilor esenţiale şi/sau digitale de către entităţile supuse controlului;
    c) funcţia corectivă - are în vedere corijarea conduitei organizaţionale, profesionale sau, după caz, comportamentale a entităţii supuse controlului, în scopul armonizării acesteia cu dispoziţiile legale din aria de competenţă a DNSC.

    (2) Principiile care stau la baza executării activităţii de control sunt:
    a) principiul legalităţii - presupune ca toate activităţile specifice controlului să fie desfăşurate cu respectarea prevederilor Constituţiei şi ale legislaţiei în vigoare;
    b) principiul obiectivităţii - acţiunile/activităţile realizate în cadrul activităţii de control sunt guvernate de imparţialitate, evitarea conflictelor de interese sau a altor influenţe care să afecteze judecata profesională sau să denatureze concluziile misiunii de control, presupune o evaluare corectă şi reală a rezultatelor obţinute, a cauzelor care au determinat neregulile şi a măsurilor necesare înlăturării ori diminuării efectelor negative şi integrării celor pozitive;
    c) principiul responsabilităţii - personalul ce desfăşoară activităţi de control răspunde pentru corectitudinea şi plenitudinea constatărilor, precum şi de acţiunile susţinute în procesul de control;
    d) principiul eficacităţii - se referă la oportunitatea şi finalitatea activităţii de control, în scopul atingerii obiectivelor propuse;
    e) principiul eficienţei - are în vedere maximizarea rezultatelor activităţii de control în raport cu resursele utilizate: umane, financiare şi de timp;
    f) principiul prevenţiei - presupune prevederea şi identificarea posibilelor erori şi nereguli în scopul prevenirii acestora pe întreg parcursul desfăşurării procesului de management al securităţii cibernetice;
    g) principiul viziunii unitare - activitatea de control trebuie să aibă la bază o viziune unitară a problematicii, atât în sensul reglementărilor, cât şi al generalizării experienţei pozitive;
    h) principiul perfecţionării - presupune specializarea personalului care efectuează activitatea de control, precum şi diseminarea informaţiilor, a bunelor practici şi a instrumentelor de lucru în domeniu;
    i) principiul continuităţii - activitatea de control trebuie să aibă un caracter permanent;
    j) principiul operativităţii - presupune efectuarea şi finalizarea la timp şi în mod complet a activităţii de control, într-o manieră cât mai simplificată, în vederea înlăturării disfuncţionalităţilor constatate, cu respectarea regulilor prevăzute în legislaţia aplicabilă;
    k) principiul libertăţii şi respectării demnităţii umane - în exercitarea activităţii de control trebuie respectate drepturile şi libertăţile fundamentale ale omului;
    l) principiul transparenţei - activitatea de control se realizează într-o manieră deschisă, în care accesul liber şi neîngrădit la informaţiile de interes public constituie regula, iar limitarea accesului constituie excepţia, în condiţiile legii.


    SECŢIUNEA a 2-a
    Competenţe şi atribuţii principale
    ART. 7
    Competenţa structurii centrale de control
    Regulile generale privind competenţa sunt următoarele:
    a) structura centrală de control este constituită la nivel de direcţie care se află în Direcţia generală reglementare şi control din Directoratul Naţional de Securitate Cibernetică şi are competenţă materială şi teritorială generală în efectuarea controalelor la entităţile supuse controlului;
    b) Direcţia verificare şi control în calitate de structură centrală de control efectuează controale de fond, controale tematice şi controale inopinate (la sesizare, autosesizare sau din oficiu);
    c) controlul de fond se desfăşoară la entităţi, în limitele competenţelor stabilite de Legea nr. 362/2018 şi OUG nr. 104/2021, precum şi de actele subsecvente elaborate la nivelul DNSC;
    d) în condiţiile legii, la dispoziţia directorului DNSC, controalele tematice şi cele inopinate se efectuează la entităţile supuse controlului.


    ART. 8
    Atribuţii principale ale structurii centrale de control
    În cadrul acţiunii de control, la entităţile supuse controlului, Direcţia verificare şi control îndeplineşte următoarele atribuţii principale:
    a) desfăşoară activităţi de control constând în verificarea şi analizarea implementării prevederilor legale privind securitatea cibernetică, documentaţia privind securitatea cibernetică, raportarea acestora la normele legale aplicabile, obiectivele planificate şi aprobate în planul de control stabilit în anexa nr. 1, precum şi verificarea îndeplinirii obligaţiilor de către entitatea supusă controlului, având ca scop depistarea abaterilor de la prevederile legale;
    b) controlează modul de respectare a dispoziţiilor legale şi a reglementărilor referitoare la modul de organizare şi funcţionare a structurilor de securitate cibernetică;
    c) acordă sprijin şi îndrumare entităţilor supuse controlului, pe timpul desfăşurării activităţii de control ori la finalizarea acesteia, pentru identificarea nevoilor ori a necesităţii de adoptare a măsurilor eficiente pentru asigurarea continuităţii furnizării serviciilor esenţiale şi/sau digitale. Pentru îndeplinirea acestei atribuţii, Direcţia verificare şi control poate formula recomandări şi puncte de vedere, pe care entitatea supusă controlului le va analiza şi va putea dispune măsuri în acest sens.


    CAP. III
    Activitatea de control
    SECŢIUNEA 1
    Reguli generale privind controalele
    ART. 9
    Etapele activităţii de control
    Activitatea de control desfăşurată de către structura centrală de control, Direcţia verificare şi control, la nivelul entităţilor supuse controlului implică parcurgerea următoarelor etape:
    a) planificarea activităţii de control;
    b) organizarea activităţii de control;
    c) desfăşurarea controlului;
    d) valorificarea rezultatelor controlului.


    SECŢIUNEA a 2-a
    Planificarea activităţii de control
    ART. 10
    Planul anual de control
    (1) Controalele de fond şi controalele tematice se realizează în baza planului anual de control, la propunerea făcută de managerul superior de securitate cibernetică al DGRC, cu avizul adjunctului directorului DNSC care coordonează activitatea de reglementare şi control, şi se aprobă de către directorul DNSC.
    (2) Planul anual de control este întocmit pe baza unei analize efectuate la nivelul Direcţiei verificare şi control după consultarea direcţiilor din cadrul Direcţiei generale reglementare şi control, avându-se în vedere următoarele:
    a) rezultatele obţinute în urma procesului de monitorizare a activităţii entităţilor;
    b) dificultăţile întâmpinate de entităţi în activitatea lor curentă;
    c) rezultatele/sesizările consemnate cu ocazia controalelor şi auditurilor de securitate cibernetică efectuate anterior;
    d) disfuncţionalităţile constatate cu ocazia cercetării aspectelor semnalate în sesizările soluţionate la nivelul DNSC;
    e) perioada scursă de la ultima activitate de control;
    f) dispoziţiile adjunctului directorului DNSC care coordonează activitatea de reglementare şi control şi ale directorului DNSC.

    (3) Planul anual de control poate fi revizuit, în cursul anului, cu aprobarea directorului DNSC, după avizarea de către adjunctul directorului DNSC care coordonează activitatea de reglementare şi control, la propunerea făcută de către managerul superior securitate cibernetică al DGRC, dacă situaţia sau volumul de activitate o impune.
    (4) Controlul inopinat se realizează în baza deciziei directorului DNSC, după avizarea de către adjunctul directorului DNSC care coordonează activitatea de reglementare şi control, şi este dispus când există date şi/sau informaţii cu privire la încălcarea flagrantă a prevederilor legale, producerea de ilegalităţi sau abuzuri şi situaţia de risc iminent a unui atac cibernetic.

    ART. 11
    Obiectivele controlului
    (1) Cu ocazia executării controalelor se urmăreşte realizarea obiectivelor generale şi a unor obiective specifice.
    (2) Obiectivele generale urmărite cu ocazia executării controalelor vizează, după caz, următoarele:
    a) modul de implementare, la nivelul entităţii supuse controlului, a prevederilor Legii nr. 362/2018, ale OUG nr. 104/2021 şi ale actelor subsecvente emise de DNSC;
    b) capacitatea managerială de implementare a unui program coerent şi continuu de pregătire, instruire, perfecţionare şi antrenament, în relaţionare directă cu specificul atribuţiilor;
    c) organizarea şi desfăşurarea activităţilor specifice de securitate cibernetică conform atribuţiilor funcţionale, în limita competenţelor conferite de lege personalului de control.

    (3) Obiectivele specifice urmărite cu ocazia executării controalelor sunt stabilite în planul de control.

    ART. 12
    Planul de control
    (1) Controlul se execută pe baza planului de control, respectiv de fond, tematic sau inopinat, după caz.
    (2) Planul de control se elaborează la nivelul structurii centrale de control, se avizează de către managerul superior securitate cibernetică al DGRC şi se aprobă de către directorul DNSC. Modelul planului de control este prevăzut în anexa nr. 1.
    (3) Planul de control are următoarea structură:
    a) tipul controlului;
    b) entitatea supusă controlului;
    c) scopul şi obiectivele controlului;
    d) perioada de activitate supusă controlului;
    e) componenţa comisiei de control;
    f) data începerii controlului şi durata estimată de desfăşurare a controlului.

    (4) Controlul inopinat se poate iniţia, fără plan de control, din dispoziţia directorului DNSC, fără a emite în prealabil o decizie în acest sens, activitatea desfăşurându-se în baza dispoziţiilor şi delegaţiilor de control; ulterior, prin grija managerului securitate cibernetică al DVC, urmează a fi emisă decizia directorului DNSC. În acest caz, planul de control are structura prevăzută la alin. (3) lit. a)-e) şi se aprobă în prima zi lucrătoare de la declanşarea controlului.
    (5) În funcţie de situaţia operativă şi temeinic justificată, la propunerea DVC se poate supune aprobării directorului DNSC o decizie de completare sau o nouă decizie cu privire la:
    a) completarea sau modificarea componenţei comisiei de control;
    b) extinderea obiectivelor de control;
    c) suspendarea controlului sau extinderea timpului iniţial alocat acţiunii de control.


    ART. 13
    Comisia de control
    (1) Controlul se efectuează de o comisie de control formată din personal al structurii centrale de control din cadrul DNSC, precum şi, după caz, din specialişti ai altor structuri.
    (2) Componenţa comisiei de control se stabileşte în planul de control sau, în situaţia de la art. 12 alin. (4), prin dispoziţia scrisă a persoanei care a dispus controlul.
    (3) Comisiile de control sunt alcătuite din cel puţin doi specialişti numiţi prin dispoziţie, cu respectarea prevederilor legale privitoare la conflictul de interese ori incompatibilităţi.
    (4) Comisia de control este condusă de un preşedinte, calitate care revine:
    a) managerului securitate cibernetică sau unui coordonator principal securitate cibernetică din cadrul structurii centrale de control - pentru controale de fond;
    b) personalului de la lit. a) sau unei alte persoane stabilite în planul de control sau numite prin decizie a directorului DNSC - pentru controalele tematice şi controalele inopinate.

    (5) Pentru urmărirea îndeplinirii obiectivelor generale prevăzute la art. 11 alin. (2), în componenţa comisiei de control sunt cooptaţi, la solicitarea preşedintelui acesteia, specialişti/ experţi cu experienţă profesională în domeniul evaluat.
    (6) Specialiştii prevăzuţi la alin. (5) provin din structurile DNSC, sunt desemnaţi de şefii acestora şi participă în comisii de control pe timpul efectuării de către structura centrală de control a controalelor de fond, tematice şi inopinate.
    (7) Pe durata desfăşurării controlului, membrii echipei au obligaţia de a respecta prevederile prezentelor norme, subordonându-se direct preşedintelui comisiei de control.
    (8) Personalul Direcţiei verificare şi control efectuează acţiuni de control şi de documentare în baza delegaţiei de control şi a planului de control. Modelul delegaţiei de control este prevăzut în anexa nr. 2.

    SECŢIUNEA a 3-a
    Organizarea şi desfăşurarea controalelor
    ART. 14
    Pregătirea şi înştiinţarea controlului
    (1) Preşedintele comisiei de control răspunde de pregătirea controlului, sens în care dispune, înaintea declanşării acestuia, măsurile necesare documentării şi instruirii membrilor comisiei în legătură cu specificul şi sarcinile entităţii supuse controlului, precum şi cunoaşterea legislaţiei în domeniu.
    (2) Preşedintele comisiei de control îl înştiinţează pe conducătorul entităţii supuse controlului cu privire la desfăşurarea activităţii.
    (3) Înştiinţarea prevăzută la alin. (2) se realizează cu cel puţin 5 zile înaintea declanşării controlului. Conducătorul entităţii înştiinţate întreprinde măsuri de pregătire a personalului pentru efectuarea controlului.
    (4) Prin excepţie de la prevederile alin. (2), controlul inopinat se execută fără înştiinţarea conducătorului entităţii supuse controlului.

    ART. 15
    Demararea controlului
    (1) Controlul debutează prin prezentarea de către preşedintele comisiei de control, la sediul entităţii supuse controlului sau în orice alt loc în care aceasta îşi desfăşoară activitatea, a scopului, obiectivelor controlului, duratei şi programului de desfăşurare, precum şi a componenţei comisiei de control.
    (2) Controlul se efectuează fără a influenţa desfăşurarea activităţilor curente ale entităţii supuse controlului.
    (3) În cazul controalelor inopinate, când echipa de control se află la sediul entităţii supuse controlului, dar din motive independente de aceasta este în imposibilitatea de a efectua misiunea, se întocmeşte un proces-verbal, asumat prin semnătură de către membrii echipei de control şi reprezentantul legal al entităţii supuse controlului, în care se cuprind motivele ce au împiedicat desfăşurarea activităţii de control.
    (4) Dacă persoanele sau entităţile refuză să se supună controlului ori să permită accesul membrilor echipei de control în spaţiile pe care le deţin sau manifestă orice formă de opoziţie, inclusiv prin refuzul de a furniza informaţii, documente sau alte date solicitate, membrii echipei de control încheie o notă de informare prin care vor aduce la cunoştinţă aceste incidente, de îndată, managerului superior securitate cibernetică al DGRC.
    (5) Situaţiile prevăzute la alin. (3) şi (4) sunt aduse de îndată la cunoştinţa directorului DNSC de către managerul superior securitate cibernetică al DGRC, însoţite de propuneri de măsuri.

    ART. 16
    Acţiuni pe timpul controlului
    (1) Pe timpul controlului, atât membrii comisiei de control, cât şi personalul supus controlului trebuie să adopte o conduită ireproşabilă, în deplină concordanţă cu reglementările legale în vigoare, fiindu-le interzis să recurgă la ameninţări, intimidări, promisiuni ori violenţe, inclusiv asupra petenţilor sau martorilor, cu scopul de a obţine mărturisiri, rapoarte sau declaraţii ori de a influenţa rezultatul unor verificări sau constatări.
    (2) Personalul supus controlului este obligat să pună la dispoziţia comisiei de control toate materialele şi documentele întocmite sau deţinute în exercitarea atribuţiilor de serviciu şi să furnizeze toate datele şi informaţiile care au legătură cu îndeplinirea sarcinilor de serviciu.
    (3) Membrii comisiei de control pot să efectueze acţiuni de control în cadrul cărora pot să solicite, menţionând temeiul legal şi scopul solicitării, documente necesare pentru efectuarea controlului, să ridice copii de pe registre ori alte acte sau documente, în condiţiile legii, inclusiv ale prevederilor referitoare la păstrarea confidenţialităţii tuturor documentelor şi informaţiilor primite.

    ART. 17
    Situaţii neprevăzute pe timpul controlului
    (1) În cazul în care personalul supus controlului se află în concediu de odihnă, în concediu medical, este internat în spital, se află în delegaţie, este detaşat ori în alte situaţii obiective, controlul se realizează în lipsa acestuia.
    (2) La solicitarea preşedintelui comisiei de control, conducătorul entităţii supuse controlului are obligaţia de a comunica în scris, de îndată, data prezentării la serviciu a personalului prevăzut la alin. (1).
    (3) Personalului prevăzut la alin. (1) i se aduce la cunoştinţă rezultatul controlului în părţile care îl privesc, din oficiu, în termen de 5 zile de la data înregistrării comunicării primite, prevăzute la alin. (2), numai dacă au fost reţinute aspecte imputabile acestuia sau, la cerere, de către:
    a) comisia de control, dacă persoana vizată este conducătorul entităţii supuse controlului;
    b) conducătorul entităţii supuse controlului, dacă persoana vizată se află în subordinea acestuia.


    ART. 18
    Abateri pe timpul controlului
    (1) Atunci când pe timpul desfăşurării controlului personalul supus controlului comite abateri disciplinare, preşedintele comisiei de control îl sesizează, în scris, cu privire la acest aspect pe conducătorul entităţii supuse controlului, în vederea dispunerii măsurilor legale.
    (2) În cazul în care pe timpul efectuării controlului se constată că anterior iniţierii acestuia au fost săvârşite nereguli care constituie abateri disciplinare ori rezultă indicii temeinice că a fost prejudiciat patrimoniul entităţii supuse controlului, preşedintele comisiei de control dispune sau, după caz, propune spre aprobare măsuri potrivit dispoziţiilor legale.
    (3) Ori de câte ori există o suspiciune rezonabilă cu privire la săvârşirea unei infracţiuni, membrii comisiei de control sunt obligaţi să întocmească un proces-verbal despre împrejurările constatate şi să ia măsuri de conservare a locului săvârşirii infracţiunii şi de ridicare sau conservare a mijloacelor materiale de probă. Aceştia au obligaţia de a consemna în procesul-verbal eventualele precizări sau explicaţii date de făptuitor sau persoanele prezente la locul constatării.
    (4) Actele încheiate în baza alin. (3) împreună cu mijloacele materiale de probă se înaintează, de îndată, organelor de urmărire penală competente de către preşedintele comisiei de control. Aceleaşi obligaţii le incumbă membrilor comisiei de control şi dacă au luat cunoştinţă de săvârşirea unei infracţiuni pentru care acţiunea penală se pune în mişcare din oficiu.

    ART. 19
    Atingerea obiectivelor controlului
    Pentru atingerea obiectivelor controlului, comisia de control desfăşoară activităţi, cu respectarea prevederilor legale în vigoare, după cum urmează:
    a) verificarea şi ridicarea unor înscrisuri sau documente;
    b) constatarea la faţa locului a unor situaţii de fapt;
    c) controlul activităţii unor persoane;
    d) solicitarea de rapoarte/declaraţii, inventarieri, revizii;
    e) solicitarea unor puncte de vedere de specialitate;
    f) orice alte activităţi necesare desfăşurării controlului, permise de lege.


    ART. 20
    Nerealizarea obiectivelor stabilite
    (1) În situaţia în care obiectivele stabilite prin planul de control nu au fost realizate sau au apărut elemente de noutate pentru a căror lămurire sunt necesare alte verificări, perioada de desfăşurare a controlului se poate prelungi până la realizarea acestora, la propunerea preşedintelui comisiei de control, cu aprobarea persoanei care a dispus efectuarea controlului şi cu notificarea în mod corespunzător a entităţii supuse controlului.
    (2) În cazul controlului inopinat, dacă în termen de 5 zile nu a fost finalizat, se solicită persoanei care l-a dispus aprobarea prelungirii controlului.
    (3) Atunci când preşedintele comisiei de control apreciază că obiectivele verificărilor au fost atinse, declară închis controlul, cu informarea în scris a conducătorului entităţii supuse controlului.

    ART. 21
    Documente elaborate pe timpul activităţii de control
    (1) Pe timpul controlului, membrii comisiei de control întocmesc, dacă este cazul, note de constatare sectoriale, în două exemplare, care conţin principalele concluzii rezultate la sfârşitul evaluării unui domeniu/sector de activitate, la nivelul unei structuri a entităţii supuse controlului.
    (2) Notele de constatare sectoriale se aduc la cunoştinţă, sub semnătură, personalului supus controlului în sarcina căruia au fost constatate deficienţe, căruia i se comunică un exemplar al acestora.
    (3) Cu ocazia desfăşurării activităţilor prevăzute la alin. (2) se întocmeşte un proces-verbal în care se menţionează eventuale observaţii, obiecţii şi puncte de vedere ale conducătorului entităţii supuse controlului, precum şi ale persoanelor în sarcina cărora au fost reţinute deficienţe. Acestea se analizează de către comisia de control cu ocazia întocmirii notei de control.
    (4) Conducătorul entităţii supuse controlului şi persoanele în sarcina cărora au fost reţinute deficienţe pot formula obiecţii în scris, motivate, cu privire la conţinutul notelor de constatare sectoriale, în termen de 3 zile lucrătoare de la data aducerii lor la cunoştinţă.
    (5) Procesul-verbal întocmit potrivit alin. (3) şi obiecţiile formulate în scris potrivit alin. (4) se anexează la nota de control şi fac parte integrantă din aceasta.

    ART. 22
    Finalizarea controlului
    (1) Constatările efectuate pe timpul verificărilor, concluziile şi măsurile propuse de comisia de control se materializează într-o notă de control. Modelul notei de control este prevăzut în anexa nr. 3.
    (2) Nota de control se elaborează de comisia de control, se aduce la cunoştinţa entităţii supuse controlului, pe bază de semnătură, se avizează de managerul superior securitate cibernetică al DGRC şi se supune aprobării directorului DNSC, în termen de 30 de zile de la închiderea controlului.
    (3) Nota de control cuprinde:
    a) principalele realizări;
    b) deficienţele, disfuncţiile, neregulile şi măsurile de ordin organizatoric şi administrativ;
    c) concluziile comisiei de control privind observaţiile, obiecţiile şi punctele de vedere formulate cu privire la conţinutul notelor de constatare sectoriale, dacă este cazul;
    d) alte aspecte care pot contribui la creşterea eficacităţii şi eficienţei activităţilor evaluate.

    (4) La nota de control se anexează planul cu măsuri pentru remedierea deficienţelor şi îmbunătăţirea activităţilor.
    (5) Nota de control, anexele acesteia şi/sau notele de constatare sectoriale se clasifică numai dacă în conţinutul acestora se regăsesc informaţii care presupun aplicarea prevederilor legale privind protecţia informaţiilor clasificate.
    (6) Nota de control aprobată în condiţiile alin. (2) se comunică de către preşedintele comisiei de control, în 5 zile de la data aprobării, conducătorului entităţii supuse controlului, în vederea luării măsurilor necesare pentru remedierea aspectelor negative constatate şi pentru punerea în aplicare a măsurilor dispuse.
    (7) Nota de control (şi nota de informare) se comunică, după caz, organului de urmărire penală competent atunci când există indicii cu privire la săvârşirea unei posibile infracţiuni, cu respectarea prevederilor legale incidente.

    SECŢIUNEA a 4-a
    Monitorizarea măsurilor stabilite
    ART. 23
    Stadiul realizării măsurilor stabilite
    (1) Rezultatul privind stadiul realizării măsurilor prevăzute în nota de control se întocmeşte de către responsabilul NIS, se aprobă de conducătorul entităţii supuse controlului şi se înaintează la DNSC/Direcţia verificare şi control, în format electronic, la e-mail: dgrc-control@dnsc.ro, în termenele stabilite.
    (2) În cazul în care, din motive obiective, anumite măsuri prevăzute în nota de control nu pot fi îndeplinite la termenele stabilite, entitatea supusă controlului, sub semnătura conducătorului/reprezentantului legal, poate solicita structurii centrale de control, electronic (e-mail: dgrc-control@dnsc.ro) prorogarea acestor termene. Prorogarea termenelor se avizează de managerul superior securitate cibernetică al DGRC şi se aprobă de directorul DNSC.
    (3) Actele de control constituie documente pentru informarea sau valorificarea, după caz, a rezultatelor activităţii de control, în condiţiile legii.

    ART. 24
    Verificarea îndeplinirii măsurilor stabilite
    (1) Direcţia verificare şi control este responsabilă pentru verificarea îndeplinirii măsurilor stabilite cu ocazia controlului.
    (2) Verificarea se realizează prin evaluarea rapoartelor transmise de entitatea supusă controlului, prin solicitarea de date/informaţii suplimentare sau printr-un control de verificare.
    (3) Direcţia verificare şi control poate verifica modul de îndeplinire a măsurilor stabilite, în termen de 6 luni de la prezentarea notei de control.

    CAP. IV
    Drepturile şi obligaţiile echipei de control
    ART. 25
    Drepturi ale membrilor echipei de control
    (1) În exercitarea atribuţiilor ce îi revin, pe durata activităţii de control, la sediul entităţii supuse controlului, echipa de control, prin orice membru al său, are următoarele drepturi:
    a) să utilizeze oricare dintre tehnicile şi instrumentele de control consacrate, fără a se limita la acestea, precum chestionarul, sondajul, interviul, observarea, controlul încrucişat;
    b) să aibă acces în toate locurile unde entitatea supusă controlului îşi desfăşoară activitatea, să solicite şi să verifice în totalitate sau prin sondaj orice tip de documente, de orice natură, pe orice suport, care au sau pot avea legătură cu activitatea vizată de acţiunea de control, precum şi reţelele şi sistemele informatice de evidenţă, stocare şi prelucrare a datelor, în prezenţa unui reprezentant al entităţii supuse controlului;
    c) să ridice copii ale documentelor, situaţii centralizatoare, în orice format, pe orice suport, şi să solicite note explicative scrise conducerii entităţii supuse controlului şi oricărui angajat al acesteia;
    d) să audieze personalul din cadrul entităţii supuse controlului în vederea atingerii obiectivelor controlului;
    e) să solicite declanşarea imediată a demersurilor de remediere a anumitor deficienţe în situaţii de risc major sau care impun măsuri urgente.

    (2) În exercitarea atribuţiilor ce îi revin, pe timpul controlului, la sediul entităţii supuse controlului, echipei de control îi va fi pus la dispoziţie un spaţiu adecvat pentru desfăşurarea în bune condiţii a activităţii de control.

    ART. 26
    Obligaţiile membrilor echipei de control
    (1) În exercitarea atribuţiilor ce îi revin, pe durata activităţii de control, la sediul entităţii supuse controlului, echipa de control, prin orice membru al său, are următoarele obligaţii:
    a) să prezinte planul de control şi să se identifice prin delegaţia de control şi cartea de identitate;
    b) să cunoască specificul activităţilor pe care le îndeplineşte entitatea supusă controlului;
    c) să cunoască legislaţia şi instrucţiunile incidente domeniului controlat pentru o evaluare justă a activităţilor derulate de către entitatea supusă controlului;
    d) să argumenteze toate abaterile constatate, precizând instrucţiunile sau dispoziţiile legale încălcate;
    e) să propună măsuri proporţionale cu faptele, fezabile şi oportune, în vederea punerii în legalitate a situaţiilor constatate;
    f) să aibă o conduită demnă şi o atitudine ireproşabilă, să nu lezeze în niciun fel personalitatea şi demnitatea celor cu care vine în contact pe timpul controlului;
    g) să dovedească obiectivitate şi corectitudine în aprecierea activităţii celor controlaţi, stabilind persoanele responsabile, prin raportare la reglementările legale încălcate de acestea şi atribuţiile din fişele posturilor;
    h) să îşi organizeze în bune condiţii munca, astfel încât să se încadreze în timpul stabilit pentru activitatea de control;
    i) să nu omită şi să nu ascundă documente care prin natura datelor şi informaţiilor pe care le conţin ar putea împiedica stabilirea situaţiei reale la nivelul entităţii supuse controlului;
    j) să păstreze confidenţialitatea asupra datelor şi informaţiilor obţinute şi dispoziţiilor referitoare la informaţiile clasificate, cu respectarea prevederilor legale.

    (2) Echipa de control manifestă pe întreaga durată a activităţii de control o atitudine neutră şi asigură rolul preventiv şi corectiv al controlului.
    (3) În cazul în care membrii echipei de control, în exercitarea atribuţiilor, iau cunoştinţă de săvârşirea unor fapte susceptibile de a fi infracţiuni, sunt obligaţi să sesizeze de îndată organul de urmărire penală şi să ia măsuri pentru conservarea mijloacelor de probă; actul de sesizare, împreună cu mijloacele de probă, se înaintează organului competent, sub semnătura directorului DNSC.
    (4) În cazul în care membrii echipei de control, în exercitarea atribuţiilor, iau cunoştinţă de producerea unor pagube, au obligaţia să sesizeze conducătorul entităţii supuse controlului, în vederea declanşării cercetării administrative.

    CAP. V
    Drepturile şi obligaţiile entităţii supuse controlului
    ART. 27
    Drepturile entităţii supuse controlului
    Pe durata efectuării controlului, entitatea supusă controlului, prin orice reprezentant sau angajat al său, are următoarele drepturi:
    a) să beneficieze din partea echipei de control de un tratament just şi echitabil, bazat pe un dialog instituţional constructiv;
    b) să furnizeze echipei de control orice explicaţii pe care le consideră necesare în vederea clarificării unor situaţii identificate în timpul controlului;
    c) să formuleze, după caz, puncte de vedere, în concordanţă cu prevederile art. 21.


    ART. 28
    Obligaţiile entităţii supuse controlului
    (1) Pe durata efectuării controlului, entitatea supusă controlului, prin orice reprezentant sau angajat al său, are următoarele obligaţii:
    a) să permită accesul echipei de control în toate locurile unde îşi desfăşoară activitatea, inclusiv la toate documentele şi aplicaţiile informatice utilizate la nivelul entităţii supuse controlului;
    b) să asigure desfăşurarea în bune condiţii a activităţii de control şi să acorde sprijinul necesar, fără a obstrucţiona desfăşurarea controlului;
    c) să pună la dispoziţia echipei de control, la termenele şi în forma solicitată, orice document solicitat, de orice natură, pe orice suport indicat de către echipa de control, în original sau copii certificate pentru conformitate cu originalul, după caz, inclusiv note explicative;
    d) să colaboreze, în vederea determinării situaţiilor de fapt, prin prezentarea în întregime a faptelor cunoscute şi a tuturor documentelor justificative şi să implementeze măsurile urgente dispuse de către echipa de control prin procesele-verbale întocmite.

    (2) Pe durata efectuării activităţii de control, entitatea supusă controlului va pune la dispoziţia echipei de control un spaţiu adecvat pentru desfăşurarea în bune condiţii a activităţii de control.

    CAP. VI
    Dispoziţii finale
    ART. 29
    Precizări generale privind controalele
    (1) Controalele iniţiate înainte de data intrării în vigoare a prezentelor norme se finalizează potrivit reglementărilor în vigoare aplicabile la data iniţierii acestora.
    (2) Controalele se efectuează concomitent cu desfăşurarea activităţilor curente de către entităţile supuse controlului, fără a afecta serviciile oferite de către acestea.

    ART. 30
    Înregistrarea şi fluxul documentelor
    (1) Documentele întocmite cu ocazia activităţilor premergătoare controlului, precum şi cele întocmite pe timpul controlului se înregistrează la Direcţia verificare şi control, structura centrală de control.
    (2) Membrii comisiei de control sunt responsabili de înregistrarea şi gestionarea documentelor pe timpul activităţii de control.
    (3) Actele, documentele sau orice informaţii, indiferent de suport, referitoare la activitatea de control, aflate în evidenţa Direcţiei verificare şi control, au caracter confidenţial. Caracterul confidenţial nu poate fi opus organelor de urmărire penală ori instanţelor de judecată şi nici altor instituţii prevăzute de lege.
    (4) Documentele referitoare la organizarea şi desfăşurarea activităţii de control pot fi transmise/primite atât în format tipărit, prin curier/poştă, cât şi electronic, prin intermediul mijloacelor electronice de comunicare.
    (5) Adresa de corespondenţă a DVC, structura centrală de control, este dgrc-control@dnsc.ro.

    ART. 31
    Sprijin în activitatea de control
    (1) În exercitarea funcţiei de control şi pentru realizarea atribuţiilor stabilite în sarcina sa, Direcţia verificare şi control poate solicita sprijinul unor autorităţi sau instituţii publice cu atribuţii în domeniul securităţii cibernetice, precum şi al altor organe de specialitate ale statului, inclusiv prin constituirea unor echipe mixte de control, în limitele competenţei şi cu respectarea prevederilor legale care reglementează activitatea acestor structuri.
    (2) La întocmirea actului de control, Direcţia verificare şi control poate valorifica în conţinutul acestuia informaţiile, datele, documentele furnizate de organele şi instituţiile prevăzute la alin. (1), cu respectarea prevederilor legale incidente.

    ART. 32
    Aplicarea de sancţiuni
    (1) Înainte de aplicarea unei sancţiuni, în cazul descoperirii nerespectării de către o entitate supusă controlului a unei obligaţii prevăzute de Legea nr. 362/2018, OUG nr. 104/2021 sau de un act subsecvent emis de DNSC în aplicarea acestora, DNSC va transmite entităţii în cauză o notificare prin care îi aduce la cunoştinţă încălcarea constatată, măsurile cu caracter obligatoriu ce trebuie luate în vederea remedierii deficienţelor constatate şi stabileşte termenul de conformare, precum şi sancţiunea aplicabilă.
    (2) Termenul de conformare se calculează începând cu data comunicării notificării de la alin. (1).

    ART. 33
    Verificare modului de organizare şi desfăşurare a activităţii de control
    (1) Managerul securitate cibernetică al DVC este direct răspunzător de buna organizare, desfăşurare şi finalizare a activităţilor de control, potrivit prevederilor prezentelor norme.
    (2) Managerul superior securitate cibernetică al DGRC verifică modalităţile în care Direcţia verificare şi control organizează şi desfăşoară activităţile de control stabilite prin prezentele norme.
    (3) Nerespectarea prevederilor prezentelor norme de către membrii echipelor de control sau orice altă persoană angrenată în activităţi de verificare şi control stabilite în baza Legii nr. 362/2018, a OUG nr. 104/2021 sau a actelor subsecvente acestora atrage răspunderea juridică a personalului, potrivit legii.

    ART. 34
    Anexe
    Anexele nr. 1-3 fac parte integrantă din prezentele norme.

    ANEXA 1

    la norme
 (a se vedea imaginea asociată)
    DIRECTORATUL NAŢIONAL DE SECURITATE CIBERNETICĂ
    DIRECŢIA GENERALĂ REGLEMENTARE ŞI CONTROL
    DIRECŢIA VERIFICARE ŞI CONTROL
    Nr. ... din ...
    Neclasificat
                       Aprob.
    Directorul Directoratului Naţional
          de Securitate Cibernetică,
    ....................................................
    Avizat
    Manager superior de securitate cibernetică,
    Direcţia generală reglementare şi control,
    ..............................................................
    Avizat
    Adjunct al directorului Directoratului Naţional de Securitate Cibernetică,
    ..............................................................
    PLAN DE CONTROL

┌────┬───────────┬────────────────────────┐
│Nr. │Denumirea │Descriere/Caracteristici│
│crt.│acţiunii │ │
├────┼───────────┼────────────────────────┤
│1. │Tipul │ │
│ │controlului│ │
├────┼───────────┼────────────────────────┤
│ │Entitatea │ │
│2. │supusă │ │
│ │controlului│ │
├────┼───────────┼────────────────────────┤
│ │Scopul şi │Scop: │
│3. │obiectivele│........................│
│ │controlului│Obiective: │
│ │ │........................│
├────┼───────────┼────────────────────────┤
│ │Perioada de│ │
│4. │activitate │ │
│ │supusă │ │
│ │controlului│ │
├────┼───────────┼────────────────────────┤
│ │ │Preşedinte: │
│ │Componenţa │.................... │
│5. │comisiei de│Membri: │
│ │control │.................... │
│ │ │.................... │
├────┼───────────┼────────────────────────┤
│ │Data │ │
│ │începerii │ │
│ │controlului│ │
│6. │şi durata │ │
│ │estimată de│ │
│ │desfăşurare│ │
│ │a │ │
│ │controlului│ │
└────┴───────────┴────────────────────────┘


    Manager securitate cibernetică,
    Direcţia verificare şi control,
    .....................................................

    ANEXA 2

    la norme
 (a se vedea imaginea asociată)
    DIRECTORATUL NAŢIONAL DE SECURITATE CIBERNETICĂ
    DELEGAŢIA DE CONTROL Seria .......... nr. ..........
    Domnul/Doamna ...................(numele şi prenumele).............. din cadrul Directoratului Naţional de Securitate Cibernetică, posesor/
    posesoare al/a CI seria ... nr. ...,este delegat(ă) să desfăşoare verificarea şi controlul îndeplinirii obligaţiilor de securitate cibernetică pentru spaţiul cibernetic naţional civil.
    Baza legală: Normele de aplicare a dispoziţiilor privind verificarea şi controlul îndeplinirii obligaţiilor de securitate cibernetică pentru spaţiul cibernetic naţional civil, aprobate prin Ordinul directorului Directoratului Naţional de Securitate Cibernetică nr. 105/2022.
    Perioada de valabilitate: zz.ll.an-zz.ll.an.

    Directorul Directoratului Naţional de Securitate Cibernetică,
    ...............................................................

    ANEXA 3

    la norme
 (a se vedea imaginea asociată)
    DIRECTORATUL NAŢIONAL DE SECURITATE CIBERNETICĂ
    DIRECŢIA GENERALĂ REGLEMENTARE ŞI CONTROL
    DIRECŢIA VERIFICARE ŞI CONTROL
    Nr. ... din ...
    Neclasificat
                       Aprob.
    Directorul Directoratului Naţional
          de Securitate Cibernetică,
    ....................................................

┌────────────────────────────────────────────────────┬────────────────────────────────────────────────────────────────────────┐
│Avizat │Avizat │
│Manager superior securitate cibernetică, │Adjunct al directorului Directoratului Naţional de Securitate │
│Direcţia generală reglementare şi control, │Cibernetică, │
│....................................................│........................................................................│
└────────────────────────────────────────────────────┴────────────────────────────────────────────────────────────────────────┘

    NOTĂ DE CONTROL
    Întocmită în urma activităţii de control .......................(tip control efectuat)...................... desfăşurate în perioada ........................................
    la ................................................................. , cuprinzând principalele concluzii rezultate şi recomandări privind creşterea asigurării
                         (entitatea supusă controlului)
    securităţii cibernetice la nivelul reţelelor şi sistemelor informatice.
    Capitolul 1. Date generale şi specifice
    ...

    Capitolul 2. Starea de securitate cibernetică
    ...

    Capitolul 3. Îndrumare, instruire şi conştientizare
    ...

    Capitolul 4. Deficienţe, nereguli şi disfuncţionalităţi constatate
    ...

    Capitolul 5. Recomandări, măsuri şi termene stabilite
    ...

    * * *
    Comisia de control
    Preşedinte ..................
    Membri ..................
                      ..................
    Entitatea supusă controlului
    Reprezentant legal ................................
    Responsabil NIS ................................
    Alte persoane ................................
                                   ................................
    ----

Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016

Comentarii


Maximum 3000 caractere.
Da, doresc sa primesc informatii despre produsele, serviciile etc. oferite de Rentrop & Straton.

Cod de securitate


Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
Rentrop & Straton
Banner5

Atentie, Juristi!

5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR"


Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016