Nou Secţiunea 3 - Drepturile şi obligaţiile entităţilor - Norma din 2025 de aplicare a dispoziţiilor privind supravegherea, verificarea şi controlul respectării prevederilor Ordonanţei de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil
M.Of. 1149
În vigoare Versiune de la: 11 Decembrie 2025
SECŢIUNEA 3:Drepturile şi obligaţiile entităţilor
Art. 9
În cadrul desfăşurării activităţilor de supraveghere, verificare şi control entitatea are următoarele drepturi:
a)să fie înştiinţată cu privire la activităţile de control;
b)să pună la dispoziţia DNSC orice informaţii sau documente justificative relevante în vederea circumstanţierii şi stabilirii corecte a situaţiei de fapt şi de drept, a clarificării scrise sau verbale a unor situaţii identificate în timpul derulării activităţilor de supraveghere, verificare şi control, precum şi a evaluării modului de îndeplinire a obligaţiilor care revin entităţii conform dispoziţiilor Ordonanţei de urgenţă a Guvernului nr. 155/2024 şi ale actelor normative subsecvente acesteia;
c)să formuleze punct de vedere cu privire la aspectele, neconformităţile şi, după caz, deficienţele consemnate în cuprinsul notei de constatare, conform dispoziţiilor art. 47 alin. (3) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
d)să solicite justificat prelungirea termenului pentru formularea punctului de vedere, aplicând corespunzător dispoziţiile art. 47 alin. (4) din Ordonanţa de urgenţă a Guvernului nr. 155/2024.
Art. 10
(1)În cadrul desfăşurării activităţilor de supraveghere entitatea are următoarele obligaţii:
a)să întocmească şi să transmită planul de măsuri în vederea remedierii tuturor deficienţelor constatate conform dispoziţiilor art. 47 alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
b)să pună la dispoziţia DNSC, în formatul şi în termenele indicate, toate informaţiile, datele, documentele, evidenţele şi actele specifice solicitate, în original sau, după caz, în copie, în conformitate cu dispoziţiile art. 46 alin. (1) lit. c)-e) din Ordonanţa de urgenţă a Guvernului nr. 155/2024. La solicitarea personalului de control, atunci când documentele sunt în format letric, acestea vor fi certificate cu menţiunea "conform cu originalul", semnate şi datate, după caz;
c)să colaboreze cu personalul DNSC în vederea determinării situaţiei de fapt, prin prezentarea corectă şi completă a faptelor cunoscute, precum şi a tuturor documentelor justificative, şi să implementeze măsurile dispuse de către personalul de control în termenele prevăzute;
d)să permită accesul personalului de control la date, documente şi orice alte informaţii care atestă respectarea măsurilor de gestionare a riscurilor de securitate cibernetică, cum ar fi, dar fără a se limita la rezultatele auditurilor de securitate cibernetică efectuate de un auditor atestat şi mijloacele de probă care stau la baza acestora, planuri de măsuri proprii, rezultate ale autoevaluărilor de securitate, rezultate ale testărilor proprii de securitate, inventare ale activelor etc.;
e)să răspundă pentru veridicitatea, integralitatea şi exactitatea informaţiilor furnizate personalului de control al DNSC.
(2)În desfăşurarea activităţilor de control entitatea supusă acestora are, suplimentar dispoziţiilor alin. (1), următoarele obligaţii:
a)să permită accesul personalului de control în toate spaţiile în care îşi desfăşoară activitatea;
b)să permită accesul la date, componente hardware şi software, precum şi la informaţii de la personalul acesteia, în baza solicitării formulate de personalul de control, conform dispoziţiilor art. 46 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
c)să pună la dispoziţia personalului de control registrul de riscuri, situaţii centralizatoare referitoare la bazele de date administrate, să permită accesul la aplicaţiile informatice utilizate la nivelul entităţii supuse controlului, inventarul software-ului utilizat, al licenţelor utilizate în cadrul entităţii, evidenţe ale aplicaţiilor dezvoltate, necesare pentru îndeplinirea activităţilor de control, precum şi orice alte informaţii şi documente solicitate de către personalul de control;
d)să pună la dispoziţia personalului de control un spaţiu adecvat desfăşurării activităţilor de control, în cazul în care controlul presupune activităţi la faţa locului;
e)să permită desfăşurarea activităţilor de control prin mijloace la distanţă, dispoziţiile art. 24 aplicându-se în mod corespunzător.