Comunica experienta
MonitorulJuridic.ro
──────────
Aprobată prin DECIZIA nr. 162 din 20 martie 2026, publicată în Monitorul Oficial al României, Partea I, nr. 246 din 30 martie 2026.
──────────
(a se vedea imaginea asociată)
CAP. I
Dispoziţii generale
ART. 1
Prezenta procedură reglementează acordarea/retragerea avizului tehnic al Autorităţii pentru Digitalizarea României, denumită în continuare A.D.R., pentru sistemul electronic de arhivare utilizat de către prestatorii de servicii de încredere necalificate şi de către prestatorii de servicii de încredere calificate.
ART. 2
Prezenta procedură stabileşte cerinţele minime tehnice şi de securitate pe care trebuie să le îndeplinească sistemele electronice de arhivare.
ART. 3
Prestatorul de servicii de încredere necalificate şi prestatorul de servicii de încredere calificate, în procesul de prestare a serviciului de arhivare electronică, respectiv arhivare electronică calificată, trebuie să utilizeze un sistem electronic de arhivare avizat tehnic de către A.D.R. sau de alte autorităţi cu atribuţii în domeniul arhivării electronice de pe teritoriul U.E şi care să respecte standardele în vigoare.
ART. 4
Se supun spre avizare sistemele electronice de arhivare deţinute, operate sau utilizate în vederea prestării de servicii de arhivare/păstrare de documente pe teritoriul României, inclusiv în regim transfrontalier, indiferent de statul de stabilire al deţinătorului/operatorului, cu obligaţia asigurării cooperării cu ADR, a accesului la informaţiile şi mediile necesare verificării şi a desemnării unui punct de contact, cu plata către ADR a tarifului de analiză a documentaţiei în vederea avizării în cuantum de 2.500 lei cu TVA inclus.
ART. 5
(1) Cerinţele tehnice ale sistemelor electronice de arhivare se referă la:
1. confidenţialitatea şi integritatea comunicaţiilor dintre beneficiar şi arhiva electronică;
2. mecanismele care să garanteze confidenţialitatea şi nerepudierea operaţiunilor efectuate utilizând sistemul electronic de arhivare;
3. autenticitatea părţilor care participă la operaţiunile de arhivare şi existenţa metodelor de autentificare în concordanţă cu nivelul de securitate al sistemului electronic de arhivare, precum şi mijloacele de garantare a identităţii;
4. confidenţialitatea, autenticitatea şi integritatea informaţiilor/ datelor utilizate în procesul de arhivare, în timpul procesării, stocării şi arhivării acestora;
5. păstrarea secretului profesional;
6. trasabilitatea operaţiunilor în arhiva electronică;
7. respectarea protecţiei datelor cu caracter personal în sistemele electronice de arhivare;
8. controlul accesului fizic şi logic la sistemul electronic de arhivare;
9. trasabilitatea accesului fizic şi logic la arhiva electronică;
10. înregistrarea tuturor acţiunilor efectuate asupra documentelor şi a sistemului într-un jurnal de audit;
11. permiterea accesului şi a efectuării modificărilor doar utilizatorilor autorizaţi în acest sens, acţiuni înregistrate în jurnalul de audit;
12. generarea automată a unui jurnal de audit în care sunt înregistrate, fără posibilitatea de a fi modificate, toate deciziile şi acţiunile care se produc asupra unui document din momentul înregistrării şi până la distrugerea sau transferul acestuia către Arhivele Naţionale şi/sau alt administrator de arhivă electronică;
13. stocarea, păstrarea datelor înregistrate şi jurnalizarea acestora;
14. prevenirea/limitarea/înlăturarea impactului incidentelor de securitate informatică şi reluarea în siguranţă a activităţii de arhivare;
15. detectarea, înregistrarea şi gestionarea incidentelor de securitate informatică;
16. evaluarea riscurilor de securitate informatică şi măsuri de gestionare a acestora;
17. continuitatea serviciilor oferite beneficiarilor;
18. gestionarea şi administrarea sistemului electronic de arhivare;
19. impactul operaţiilor de modificare a planului de securitate specific sistemului electronic de arhivare.
(2) Sistemul electronic de arhivare avizat pentru prestarea serviciului de arhivare electronică ca serviciu de încredere trebuie să includă, în mod obligatoriu, mecanisme de conservare pe termen lung (LTP) care să asigure menţinerea integrităţii, autenticităţii şi verificabilităţii documentelor pe durata legală/contractuală de păstrare, inclusiv dincolo de perioada de valabilitate tehnologică a certificatelor şi algoritmilor. Această cerinţă poate fi îndeplinită prin mecanisme interne ale sistemului şi/sau prin integrare cu servicii de prezervare (preservation), cu utilizarea mărcilor temporale calificate şi a standardelor relevante.
ART. 6
Măsurile tehnice şi organizatorice întreprinse pentru îndeplinirea cerinţelor tehnice enumerate la art. 5 sunt în concordanţă cu tehnologia utilizată şi cu riscurile potenţiale.
ART. 7
Deţinătorul sistemului electronic de arhivare are obligaţia de a implementa măsuri de securitate informatică, de a monitoriza continuu şi de a evalua anual riscurile operaţionale generate de utilizarea sistemului electronic de arhivare, cu respectarea legislaţiei interne şi a reglementărilor europene.
CAP. II
Eliberarea avizului
ART. 8
Documentele necesare pentru eliberarea avizului tehnic sunt:
1. cerere adresată A.D.R., conform modelului prevăzut Anexa 5.1 la prezenta procedură;
2. împuternicire şi copie a cărţii de identitate pentru persoana delegată să reprezinte deţinătorul sistemului electronic de arhivare în relaţia cu A.D.R., dacă este cazul;
3. descrierea funcţională a sistemului electronic de arhivare, din care să rezulte că acesta îndeplineşte condiţiile tehnice prevăzute la art. 5;
4. declaraţia reprezentantului legal al persoanei juridice care deţine sistemul electronic de arhivare, din care să rezulte efectuarea testelor de penetrare, perioada de efectuare a testelor, precum şi datele de identificare ale echipei de testare;
5. certificările profesionale ale echipei de testare, recunoscute internaţional. Certificările profesionale agreate pentru efectuarea testelor de penetrare acceptate trebuie să fie în termenul de valabilitate şi să se regăsească în lista prevăzută în anexa nr. 5.2 la prezenta procedură;
6. planul de securitate al sistemului electronic de arhivare, semnat de către deţinătorul acestuia, cuprinzând descrierea măsurilor tehnice şi organizatorice prevăzute pentru asigurarea cerinţelor tehnice enumerate la art. 5;
7. raportul de audit, întocmit cu maximum 60 de zile înainte de data depunerii documentaţiei, de către un auditor IT din Lista auditorilor IT gestionată de A.D.R.;
8. dovada plăţii către ADR a tarifului de analiză a documentaţiei în vederea avizării în cuantum de 2.500 lei cu TVA inclus.
ART. 9
(1) Documentele prevăzute la art. 8 se transmit către A.D.R., în limba română, sunt semnate de către reprezentantul legal al deţinătorului sistemului electronic de arhivare şi sunt certificate pentru conformitate cu originalul.
(2) Documentaţia trebuie paginată şi însoţită de un opis.
ART. 10
Documentaţia aferentă planului de securitate trebuie să aibă următoarea structură:
1. informaţii de identificare:
a) denumirea deţinătorului sistemului electronic de arhivare;
b) denumirea sistemului electronic de arhivare;
c) descrierea generală a sistemului electronic de arhivare;
d) datele de contact ale persoanelor responsabile.
2. măsuri pentru securitatea sistemului:
a) evaluarea şi managementul riscurilor potenţiale;
b) identificarea, analizarea şi remedierea riscurilor de securitate în conformitate cu cele mai bune practici în gestionarea acestora;
c) măsurile tehnice de securitate implementate;
d) situaţia cu înregistrarea şi analizarea incidentelor de securitate informatică;
e) măsurile aplicate pentru asigurarea securităţii logice şi fizice.
CAP. III
Condiţii privind desfăşurarea auditului IT
ART. 11
(1) Auditarea se efectuează în baza unui contract încheiat între deţinătorul sistemului electronic de arhivare care a solicitat auditarea şi un auditor înscris în Lista auditorilor IT gestionată de către A.D.R.
(2) Deţinătorul sistemului electronic de arhivare nu poate contracta auditarea cu acelaşi auditor IT pentru mai mult de două auditări consecutive.
(3) Deţinătorul sistemului electronic de arhivare are obligaţia de a se asigura că în contractul de auditare sunt cuprinse în mod obligatoriu clauze cu privire la faptul că auditorul IT trebuie să respecte cerinţele impuse pentru efectuarea auditului sistemelor informatice, în conformitate cu prevederile prezentei proceduri şi cu bunele practici în domeniu.
(4) Activitatea de auditare trebuie să respecte conduita etică şi profesională, nu presupune încălcarea secretului profesional impus prin clauze contractuale sau prin prevederi legale şi nu atrage niciun fel de răspundere asupra persoanei fizice şi/sau juridice în cauză ca urmare a respectării prevederilor prezentei proceduri.
ART. 12
Perioada supusă auditării reprezintă perioada cuprinsă între două auditări consecutive.
ART. 13
Pe timpul auditării, auditorul IT are obligaţia de a analiza situaţia deficienţelor şi vulnerabilităţilor identificate, întocmită cu ocazia auditării precedente, precum şi măsurile întreprinse de către deţinătorul sistemului electronic de arhivare.
ART. 14
Auditorul IT notifică A.D.R., în scris, în maximum 5 zile de la constatare, orice fapt sau act care:
a) este de natură să afecteze utilizarea în siguranţă a sistemului electronic de arhivare;
b) poate conduce la o opinie de audit negativă sau la imposibilitatea exprimării acesteia.
ART. 15
În termen de maximum 10 zile de la solicitarea scrisă a A.D.R., auditorul IT trebuie să comunice următoarele, fără a se limita la acestea:
a) orice raport sau document care a fost adus la cunoştinţa deţinătorului sistemului electronic de arhivare auditat;
b) motivaţia de reziliere a contractului de audit, dacă aceasta a avut loc înainte de finalizarea auditării.
ART. 16
(1) A.D.R. poate participa la procesul de auditare, prin reprezentanţi desemnaţi prin decizie a preşedintelui A.D.R.
(2) A.D.R. poate solicita auditorului, în scris, clarificări, precum şi documentaţia de audit, după caz.
(3) Deţinătorul sistemului electronic de arhivare are obligaţia de a permite accesul reprezentanţilor A.D.R. prevăzuţi la alin. (1).
ART. 17
(1) Documentele prevăzute la art. 8 se înaintează către A.D.R. cu minimum 40 de zile înaintea expirării avizului anterior şi vor fi întocmite într-un singur exemplar.
(2) A.D.R. emite avizul tehnic pentru sistemul electronic de arhivare în termen de 40 de zile de la depunerea documentaţiei complete.
(3) A.D.R. remite solicitantului un exemplar al avizului tehnic, în termen de 3 zile calendaristice după acordarea acestuia.
(4) Avizul acordat este netransmisibil.
(5) Avizul tehnic pentru sistemul electronic de arhivare are o valabilitate de 2 ani.
(6) Forma avizului tehnic acordat este prevăzută în anexa nr. 5.3 la prezenta procedură.
(7) Sistemul electronic de arhivare este înscris în Registrul sistemelor electronice de arhivare, gestionat şi publicat de către A.D.R. pe site-ul său.
ART. 18
Avizul tehnic pentru sistemul electronic de arhivare eliberat de către A.D.R. este valabil pe întreg teritoriul României.
ART. 19
A.D.R. poate efectua verificări la sediul deţinătorului sistemului electronic de arhivare avizat sau în curs de avizare prin personal desemnat prin decizie a preşedintelui A.D.R.
ART. 20
(1) Deţinătorul sistemului electronic de arhivare notifică A.D.R. orice dezvoltare, modificare a acestuia şi a procedurilor operaţionale care ar putea afecta funcţionarea şi securitatea sistemului electronic de arhivare, în termen de 15 zile de la data în care devin operaţionale. Notificarea conţine descrierea modificării/dezvoltării efectuate şi a impactului acesteia asupra funcţionării şi securităţii sistemului electronic de arhivare.
(2) Deţinătorul sistemului electronic de arhivare va notifica A.D.R., în termen de maximum 24 de ore, orice incident de securitate care a afectat în mod direct beneficiarii. Notificarea trebuie să cuprindă cauza şi măsurile ce urmează a fi luate în vederea remedierii situaţiei apărute.
(3) A.D.R. poate solicita un nou raport de audit pentru sistemul electronic de arhivare, după analizarea notificărilor prevăzute la alin. (1) şi (2).
CAP. IV
Retragerea avizului tehnic
ART. 21
A.D.R. transmite deţinătorului sistemului electronic de arhivare o notificare prealabilă prin care i se aduc la cunoştinţă motivele pentru care se va proceda la iniţierea demersurilor pentru retragerea avizului tehnic.
ART. 22
Retragerea avizului tehnic pentru sistemul electronic de arhivare se face de către A.D.R. în următoarele condiţii:
a) sistemul electronic de arhivare nu mai îndeplineşte cerinţele tehnice şi de securitate prevăzute la art. 5;
b) în urma verificărilor la sediul deţinătorului sau pe sistemul electronic de arhivare, se constată nerespectarea prevederilor conţinute în documentaţia de avizare;
c) deţinătorul sistemului electronic de arhivare nu a prezentat raportul de audit menţionat la art. 20 alin. (3);
d) au fost semnalate incidente de securitate, iar deţinătorul sistemului electronic de arhivare nu a transmis notificarea acestora conform art. 20 alin. (2).
ART. 23
A.D.R. retrage avizul tehnic dacă, în termen de 30 de zile de la primirea notificării prevăzute la art. 21, deţinătorul sistemului electronic de arhivare nu trimite documentele justificative privind remedierea aspectelor notificate.
ART. 24
După retragerea avizului tehnic în condiţiile art. 23 este necesară parcurgerea procedurii de acordare a avizului tehnic prevăzută în prezenta anexă.
CAP. V
Registrul sistemelor electronice de arhivare
ART. 25
(1) A.D.R. gestionează Registrul sistemelor electronice de arhivare, denumit în continuare registru, care este actualizat permanent şi este disponibil spre consultare pe pagina sa de internet.
(2) Conţinutul şi structura registrului sunt prevăzute în anexa nr. 5.4 la prezenta procedură.
(3) A.D.R. face publice, spre consultare, următoarele date din registru:
a) numele deţinătorului sistemului electronic de arhivare;
b) denumirea sistemului electronic de arhivare;
c) perioada de valabilitate a avizului tehnic pentru sistemul electronic de arhivare;
d) datele de contact ale deţinătorului sistemului electronic de arhivare.
CAP. VI
Dispoziţii finale
ART. 26
Anexele nr. 5.1 - 5.4 fac parte integrantă din prezenta procedură.
ANEXA 5.1
la procedura de acordare/retragere a avizului tehnic pentru sistemele electronice de arhivare
CERERE
de eliberare a avizului tehnic pentru deţinătorul
sistemului electronic de arhivare
......... (denumirea deţinătorului sistemului electronic de arhivare) ........., având sediul în ......... (adresa completă, inclusiv e-mail, telefon şi fax) ........., înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerţului cu nr. ......... (numărul de înregistrare/codul unic de înregistrare) ........., cod fiscal ........., reprezentat(ă) legal prin ......... (numele şi prenumele) ........., domiciliat(ă) în ......... (adresa completă, inclusiv e-mail şi telefon) ........., identificat(ă) prin ......... (actul de identitate: seria, numărul şi emitentul, precum şi codul numeric personal) ........., în conformitate cu prevederile Hotărârii Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările şi completările ulterioare şi Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare, vă solicităm eliberarea avizului tehnic pentru funcţionarea sistemului electronic de arhivare ......... (denumirea sistemului electronic de arhivare) ......... .
Sistemul electronic de arhivare funcţionează la sediul din .........
Numele şi prenumele solicitantului .........
Data .........
ANEXA 5.2
la procedura de acordare/retragere a avizului tehnic pentru sistemele electronice de arhivare
LISTA
certificărilor profesionale agreate pentru
efectuarea testelor de penetrare
Echipa de testare ce efectuează testele de penetrare trebuie să deţină cel puţin una dintre certificările menţionate mai jos - certificări recunoscute internaţional:
CEPT - Certified Expert Penetration Tester;
CPT - Certified Penetration Tester;
GPEN - GIAC Certified Penetration Tester;
GWAPT - GIAC Web Application;
LPT - Licensed Penetration Tester;
OPST - OSSTMM Professional Security Tester Accredited Certification;
OSCE - Offensive Security Certified Expert;
OSCP - Offensive Security Certified Professional;
PTC - MILLE2 Certified Penetration Testing Consultant.
ANEXA 5.3
la procedura de acordare/retragere a avizului tehnic pentru sistemele electronice de arhivare
AVIZ TEHNIC
Având în vedere:
- Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare;
– Hotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările şi completările ulterioare;
– prevederile Deciziei prim-ministrului nr ......... privind numirea ......... în funcţia de preşedinte, cu rang de secretar de stat;
– Cererea nr ........., înregistrată la Registratura Autorităţii pentru Digitalizarea României cu nr .........;
– Nota nr ......... referitoare la îndeplinirea condiţiilor de acordare a avizului tehnic pentru sistemul electronic de arhivare .........,
Autoritatea pentru Digitalizarea României eliberează prezentul
AVIZ TEHNIC
......... (denumirea deţinătorului sistemului electronic de arhivare) ........., având sediul în ......... (adresa completă, inclusiv e-mail, telefon) ........., înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerţului cu nr ........., cod fiscal ........., reprezentat(ă) legal prin (numele şi prenumele) ........., a obţinut avizul tehnic pentru sistemul electronic de arhivare (denumirea sistemului electronic de arhivare) .........
Prezentul document s-a eliberat în două exemplare, dintre care unul s-a transmis deţinătorului sistemului electronic de arhivare pentru operarea şi punerea la dispoziţie a sistemului electronic de arhivare.
Prezentul aviz tehnic are valabilitate 2 (doi) ani începând cu data de ......... şi nu este transmisibil.
Preşedintele Autorităţii pentru Digitalizarea României,
..............
Nr. ....... data .......
ANEXA 5.4
la procedura de acordare/retragere a avizului tehnic pentru sistemele electronice de arhivare
Registrul sistemelor electronice de arhivare
1. Denumirea deţinătorului sistemului electronic de arhivare
2. Sediul deţinătorului sistemului electronic de arhivare
3. Datele de contact
4. Reprezentantul legal
5. Valabilitatea avizului tehnic
6. Observaţii
-------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
