Având în vedere prevederile art. 36 și 37 din Legea nr. 455/2001 privind semnătura electronică, precum și ale art. 16-20 din Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,
    în temeiul art. 4 alin. (1) pct. 55 și al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare,

    ministrul comunicațiilor și societății informaționale emite prezentul ordin.

  

Art. I. - Ordinul ministrului comunicațiilor și societății informaționale nr. 473/2009 privind procedura de acordare, suspendare și retragere a deciziei de acreditare a furnizorilor de servicii de certificare, publicat în Monitorul Oficial al României, Partea I, nr. 411 din 16 iunie 2009, cu modificările și completările ulterioare, se modifică și se completează după cum urmează:
  

1. La articolul 1, alineatul (2) se modifică și va avea următorul cuprins:
    "(2) Prezentul ordin stabilește condițiile, conținutul, durata de valabilitate și condițiile suspendării deciziei de acreditare a furnizorilor de servicii de certificare."
  

2. Articolul 3^1 se modifică și va avea următorul cuprins:
    "Art. 3^1. - în vederea acreditării, furnizorul de servicii de certificare trebuie să facă dovada:
    a) utilizării a cel puțin 5 persoane angajate în baza unor contracte individuale de muncă cu normă întreagă sau prin încheierea de contracte de prestări de servicii cu societăți comerciale ori persoane fizice autorizate.
    Persoanele implicate în generarea și gestionarea de certificate trebuie:
    (i) să dețină diplomă de absolvire a unei forme de învățământ superior de lungă durată, eliberată de o instituție de învățământ superior acreditată, având înscrisă una dintre următoarele specializări: automatică, calculatoare, informatică, matematică, fizică, cibernetică, electronică; sau
    (ii) să dețină diplomă de masterat în una dintre specializările menționate la pct. (i).
    Angajații implicați în generarea și gestionarea de certificate trebuie să aibă cunoștințe în domeniul securității informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu ori prin deținerea cel puțin a uneia dintre certificările ISO/IEC 27001, CISA, CISM, LPT sau CISSP recunoscute la nivel internațional. Orice modificare a schemei de personal va fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea acesteia;
    b) utilizării unei scheme de personal care să asigure un flux continuu de emitere, suspendare și revocare a certificatelor și segregarea rolurilor angajaților, asigurând acoperirea cel puțin a următoarelor roluri: operator pentru gestionarea cererilor de certificare (cel puțin două persoane), operator pentru verificarea cererilor și emiterea certificatelor (cel puțin două persoane), administrator al sistemului de certificare, administrator de securitate și auditor intern. Schema de personal va fi înaintată autorității;
    c) utilizării unei arhitecturi distribuite a sistemului de certificare și sistemului de înregistrare, separând logic și fizic funcționalitățile publice: înregistrarea cererilor de certificate, registrul de certificate și validarea cererilor de emitere a certificatelor. Furnizorul trebuie să dovedească disponibilitatea lunară de 99,98% a soluției de emitere, publicare și validare a certificatelor, precum și a registrului de certificare. Disponibilitatea reprezintă capacitatea sistemelor informatice ale furnizorului de a se afla în stare de funcționare în orice moment din intervalul de observație de o lună calendaristică. Disponibilitatea se calculează după formula:

    D = [(To-Tî)/To]*100 [%],

    unde:
    To = durata unei luni calendaristice, aproximată la 30 de zile * 24 de ore * 60 de minute = 43.200 de minute;
    Tî = durata însumată a întreruperilor de serviciu în minute.
    Arhitectura tehnică și dovada îndeplinirii condițiilor de disponibilitate a soluției vor fi înaintate autorității;
    d) deținerii sau utilizării unui sediu de rezervă pentru continuarea operațiunilor în cazul apariției unui eveniment care să împiedice utilizarea sediului principal. Sediul de rezervă trebuie să răspundă acelorași condiții tehnice ca și sediul principal și să parcurgă aceleași proceduri de audit. Documentația privind sediul de rezervă și rapoartele de audit vor fi înaintate autorității;
    e) certificărilor legate de sistemul de management al calității și management al securității informaționale, certificate în conformitate cu standardele ISO 9001 și, respectiv, ISO 27001 sau Standardele naționale de protecție a informațiilor clasificate definite prin Hotărârea Guvernului nr. 585/2002 ori ultimele versiuni ale acestora sau standardele care le înlocuiesc. Rapoartele de audit vor fi înaintate autorității."
  

3. Articolul 3^2 se modifică și va avea următorul cuprins:
    "Art. 3^2. - (1) Orice furnizor de servicii de certificare calificată poate solicita inițierea procedurii de acreditare prin bifarea opțiunii din anexa nr. 2 la Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare.
    (2) Procedura de acreditare poate fi inițiată numai după începerea activității de furnizare de servicii de certificare calificată și actualizarea registrului. Procedura de acreditare este prevăzută în anexa nr. 4, care face parte integrantă din prezentul ordin."
  

4. Articolul 3^3 se modifică și va avea următorul cuprins:
    "Art. 3^3. - Pentru instituțiile din domeniul apărării, ordinii publice și siguranței naționale care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii și ale căror sisteme de generare, evidență și distribuție fac parte dintr-un sistem informatic acreditat pentru gestionarea informațiilor clasificate secret de stat, cuantumul garanției se stabilește anual, prin decizia autorității de reglementare și supraveghere specializate în domeniu, la propunerea conducerii instituțiilor respective, proporțional cu prejudiciile create în anul anterior, stabilite prin decizii judecătorești definitive. Extensia certificatului va conține mențiuni referitoare la limitări privind utilizarea."
  

5. Articolul 3^4 se modifică și va avea următorul cuprins:
    "Art. 3^4. - (1) Furnizorul va notifica autoritatea în legătură cu orice modificare a soluției tehnice sau a procedurilor de lucru. Notificarea va fi însoțită de opinia auditorului intern al furnizorului, opinie din care să rezulte faptul că furnizarea serviciilor de certificare se face în continuare cu respectarea standardelor în domeniu și a legislației în vigoare.
    (2) Notificarea prevăzută la alin. (1) se va face cu 10 zile înainte de data la care modificările specificate la alin. (1) devin operaționale sau în cazul unor urgențe ori evenimente neprevăzute, justificate, în termen de maximum 24 de ore de la efectuarea modificărilor.
    (3) în urma notificării adresate de către furnizor autorității, dacă se consideră că modificările efectuate afectează major procesul de furnizare a serviciilor de certificare, în sensul nerespectării standardelor în domeniu sau a legislației în vigoare, autoritatea poate solicita reînnoirea acreditării.
    (4) Furnizorul acreditat va testa anual nivelul de securitate al sistemului informatic. în urma testării, acesta trebuie să înainteze către autoritate un raport de testare de securitate (test de penetrare) a întregului sistem informatic utilizat pentru furnizarea de servicii de certificare. Testele vor fi realizate de personal specializat, echipa de testare fiind compusă din minimum un expert în teste de penetrare cu certificare (LPT sau echivalent) și un auditor certificat în auditarea sistemelor informatice (CISA). Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât și din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internațional. Raportul de testare va conține toate testele efectuate, vulnerabilitățile identificate, precum și nivelul de risc asociat acestora. în urma raportului de testare, autoritatea va putea solicita furnizorului implementarea măsurilor de securitate în vederea reducerii nivelului de risc.
    (5) Instituțiile care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii și ale căror sisteme de generare, evidență și distribuție fac parte dintr-un sistem informatic acreditat pentru gestionarea informațiilor clasificate secret de stat vor realiza testele de penetrare și auditul de securitate cu personal propriu care deține cunoștințe în domeniul securității informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu, având o experiență de cel puțin 5 ani în domeniul securității sistemelor informatice. Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât și din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internațional. Raportul de testare va conține toate testele efectuate, vulnerabilitățile identificate, precum și nivelul de risc asociat acestora. în urma raportului de testare, autoritatea va putea solicita instituției implementarea măsurilor de securitate în vederea reducerii nivelului de risc."
  

6. Articolul 3^5 se abrogă.
  

7. Articolul 3^6 se modifică și va avea următorul cuprins:
    "Art. 3^6. - Verificarea informațiilor din cererea de eliberare a certificatului va fi realizată atât la înregistrarea cererii, cât și la emiterea certificatului, în conformitate cu prevederile art. 19 din Legea nr. 455/2001 privind semnătura electronică."
  

8. Articolul 3^7 se modifică și va avea următorul cuprins:
    "Art. 3^7. - Autoritatea poate dispune suspendarea activității furnizorului de servicii de certificare până la încetarea cauzelor care au determinat luarea măsurii și în următoarele situații:
    1. furnizorul nu îndeplinește cerințele privind personalul sau nu anunță modificarea schemei de personal, așa cum este prevăzut la art. 31 lit. a) și b);
    2. furnizorul nu asigură disponibilitatea soluției sau nu anunță modificările tehnice, așa cum este prevăzut la art. 31 lit. c) și art. 34;
    3. furnizorul nu mai îndeplinește cerințele tehnice definite la art. 31 lit. d) și e)."
  

9. Articolul 3^8 se modifică și va avea următorul cuprins:
    "Art. 3^8. - în cazurile prevăzute la art. 37, autoritatea are dreptul de a emite pretenții asupra scrisorii de garanție bancară sau a poliței de asigurare, în limita prejudiciului."
  

10. După anexa nr. 3 se introduce o nouă anexă, anexa nr. 4, al cărei cuprins este prevăzut în anexa la prezentul ordin.
  

Art. II. - Prevederile prezentului ordin intră în vigoare la 30 de zile de la publicarea sa în Monitorul Oficial al României, Partea I.