Nou Secţiunea 1 - Planificarea activităţii de control - Norma din 2025 de aplicare a dispoziţiilor privind supravegherea, verificarea şi controlul respectării prevederilor Ordonanţei de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil
M.Of. 1149
În vigoare Versiune de la: 11 Decembrie 2025
SECŢIUNEA 1:Planificarea activităţii de control
Art. 15
(1)Personalul de control din cadrul DNSC desfăşoară controalele planificate în baza planului de control anual.
(2)Planul de control anual reprezintă documentul în baza căruia se planifică şi se desfăşoară activităţile de control cu scopul de a verifica respectarea de către entităţi a obligaţiilor prevăzute în sarcina acestora de dispoziţiile Ordonanţei de urgenţă a Guvernului nr. 155/2024 şi ale actelor normative subsecvente acesteia.
(3)Planul de control anual este elaborat de către managerul superior securitate cibernetică care coordonează activitatea Direcţiei verificare şi control, având în vedere Metodologia de prioritizare pe bază de risc a activităţilor de supraveghere, verificare şi control, prevăzută în anexa nr. 2 la ordin.
(4)Planul de control anual se aprobă de către directorul DNSC în primul trimestru al fiecărui an calendaristic, prin decizie, după avizare de către adjunctul directorului DNSC care coordonează activitatea de reglementare şi control a DNSC.
(5)Pe parcursul anului calendaristic planul de control anual este actualizat semestrial în raport cu rezultatele obţinute şi necesităţile constatate în cadrul activităţilor de control. Planul de control anual actualizat se avizează şi se aprobă în condiţiile prevăzute la alin. (4).
Art. 16
(1)DNSC se coordonează cu autorităţile competente sectorial în ceea ce priveşte planificarea şi derularea activităţilor de control desfăşurate cu privire la entităţile esenţiale şi importante care intră în sectorul acestora de competenţă.
(2)În cursul activităţii prevăzute la alin. (1), DNSC şi autorităţile competente sectorial efectuează un schimb reciproc de informaţii relevante cu scopul:
a)de a evita desfăşurarea simultană sau repetată a activităţilor de control asupra aceleiaşi entităţi, cu privire la următoarele elemente: perioada controlată, tematica şi obiectivele controlului, obligaţiile legale evaluate;
b)de a documenta măsurile dispuse cu privire la entităţi cu ocazia desfăşurării unor activităţi de supraveghere şi control anterioare şi modalitatea efectivă de implementare a acestora;
c)după caz, de a asigura respectarea principiului unicităţii aplicării sancţiunii.
Art. 17
(1)În cadrul derulării activităţii de control, personalul desemnat urmăreşte atât realizarea obiectivelor generale, cât şi a obiectivelor specifice.
(2)Obiectivele generale sunt următoarele:
a)verificarea modului de implementare de către entitatea supusă controlului a prevederilor Ordonanţei de urgenţă a Guvernului nr. 155/2024 şi ale actelor normative subsecvente acesteia;
b)evaluarea organizării şi desfăşurării activităţilor specifice de securitate cibernetică, în conformitate cu atribuţiile funcţionale şi în limita competenţelor conferite de lege personalului de control.
(3)Obiectivele specifice sunt stabilite pe baza unei documentări efectuate de către personalul Direcţiei verificare şi control ce constă atât în analiza aspectelor esenţiale, cât şi a particularităţilor activităţii entităţii supuse controlului.
(4)Obiectivele specifice urmărite cu ocazia desfăşurării controalelor alcătuiesc tematica de control şi sunt prevăzute în planul activităţii de control.
Art. 18
(1)Planul activităţii de control este elaborat de către personalul Direcţiei verificare şi control anterior începerii fiecărei activităţi de control.
(2)Planul activităţii de control include următoarele informaţii:
a)tipul controlului;
b)identificarea entităţii supuse controlului;
c)obiectivele controlului;
d)temeiul legal al efectuării controlului;
e)perioada din activitatea entităţii ce urmează a fi supusă controlului, după caz;
f)propunerea privind componenţa echipei de control;
g)data de începere a controlului şi durata estimată a desfăşurării acestuia;
h)mijloacele necesare desfăşurării activităţii de control, inclusiv măsuri de securitate şi confidenţialitate, după caz.
(3)Declanşarea activităţii de control, precum şi planul activităţii de control se aprobă de către directorul DNSC, prin decizie, după avizare de către adjunctul directorului DNSC care coordonează activitatea de reglementare şi control a DNSC.
Art. 19
(1)Controlul se efectuează de către o echipă de control desemnată prin decizia prevăzută la art. 18 alin. (3).
(2)Echipa de control este alcătuită din cel puţin o persoană din cadrul Direcţiei verificare şi control şi, după caz, persoane din cadrul altor compartimente funcţionale ale DNSC şi/sau ale autorităţilor competente sectorial, conform dispoziţiilor art. 37 din Ordonanţa de urgenţă a Guvernului nr. 155/2024.
(3)Echipa de control este condusă de către un coordonator, desemnat prin decizia prevăzută la alin. (1), din cadrul personalului Direcţiei verificare şi control, care răspunde de organizarea şi desfăşurarea activităţii de control.
Art. 20
(1)Controlul inopinat se poate dispune în următoarele situaţii:
a)producerea unui incident semnificativ în înţelesul dispoziţiilor art. 15 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
b)existenţa unor indicii temeinice cu privire la încălcarea flagrantă a măsurilor de securitate cibernetică de către o entitate aflată în domeniul de aplicare a dispoziţiilor Ordonanţei de urgenţă a Guvernului nr. 155/2024;
c)existenţa şi constatarea oricăror situaţii care justifică, în mod obiectiv şi rezonabil, desfăşurarea acţiunilor de control în scopul verificării îndeplinirii obligaţiilor reglementate de dispoziţiile Ordonanţei de urgenţă a Guvernului nr. 155/2024 şi ale actelor normative subsecvente acesteia.
(2)Declanşarea unui control inopinat este dispusă prin decizie emisă de către directorul DNSC.
(3)Atunci când se dispune desfăşurarea unui control inopinat planul activităţii de control se aprobă cel târziu în prima zi lucrătoare după iniţierea controlului, cu respectarea procedurii de avizare şi aprobare prevăzute la art. 18 alin. (3).