Nou Capitolul ii - Norme generale privind activităţile de supraveghere, verificare şi control - Norma din 2025 de aplicare a dispoziţiilor privind supravegherea, verificarea şi controlul respectării prevederilor Ordonanţei de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil

M.Of. 1149

În vigoare
Versiune de la: 11 Decembrie 2025
CAPITOLUL II:Norme generale privind activităţile de supraveghere, verificare şi control
SECŢIUNEA 1:Personalul cu atribuţii de supraveghere şi control
Art. 3
(1)Direcţia verificare şi control din cadrul Direcţiei generale reglementare şi control este compartimentul funcţional al DNSC care exercită supravegherea, verificarea şi controlul respectării prevederilor Ordonanţei de urgenţă a Guvernului nr. 155/2024, precum şi ale actelor normative subsecvente acesteia.
(2)Personalul de control este personalul Direcţiei verificare şi control din cadrul Direcţiei generale reglementare şi control, desemnat prin decizie a directorului DNSC să desfăşoare activităţi de supraveghere, verificare şi control.
(3)La activităţile de supraveghere, verificare şi control poate participa, după caz, şi personal de specialitate din cadrul altor compartimente funcţionale din cadrul DNSC desemnat în acest sens prin decizie a directorului DNSC.
(4)În desfăşurarea activităţilor de supraveghere, verificare şi control DNSC poate coopera cu autorităţile competente sectorial, aplicând în mod corespunzător prevederile Ordonanţei de urgenţă a Guvernului nr. 155/2024.
Art. 4
În aplicarea dispoziţiilor art. 47 alin. (2) din Ordonanţa de urgenţă a Guvernului nr. 155/2024, personalul de control prevăzut la art. 3 alin. (2) îndeplineşte calitatea de agent constatator în înţelesul dispoziţiilor art. 15 alin. (1) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, şi este împuternicit să constate deficienţele privind îndeplinirea obligaţiilor prevăzute de dispoziţiile Ordonanţei de urgenţă a Guvernului nr. 155/2024, precum şi ale actelor normative subsecvente acesteia şi să propună măsuri pentru prevenirea şi remedierea deficienţelor constatate.
SECŢIUNEA 2:Drepturile şi obligaţiile autorităţii competente
Art. 5
(1)În exercitarea activităţilor de supraveghere DNSC, prin personalul desemnat, poate:
a)solicita informaţii necesare conform dispoziţiilor art. 46 alin. (1) lit. c) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
b)solicita acces la date, la documente şi la orice informaţii necesare conform dispoziţiilor art. 46 alin. (1) lit. d) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
c)solicita date, documente şi orice informaţii conform dispoziţiilor art. 46 alin. (1) lit. e) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
d)efectua scanări de securitate cibernetică neintruzive şi proactive conform dispoziţiilor art. 46 alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
e)dispune efectuarea de audituri de securitate cibernetică ad-hoc, realizate de un auditor de securitate cibernetică, conform dispoziţiilor art. 57 din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
f)solicita documente, clarificări, informaţii, situaţii centralizatoare, puncte de vedere în orice format, pe orice suport, în original sau copii certificate pentru conformitate cu originalul;
g)solicita declanşarea imediată a demersurilor de remediere a deficienţelor sau care impun adoptarea de măsuri urgente;
h)monitoriza modalitatea de implementare a planului de măsuri prevăzut pentru remedierea tuturor deficienţelor constatate şi respectarea termenelor asumate de către entităţi.
(2)În exercitarea activităţilor de control, suplimentar dispoziţiilor alin. (1), personalul desemnat din cadrul DNSC poate:
a)solicita acces la toate spaţiile în care entitatea supusă controlului îşi desfăşoară activitatea profesională;
b)solicita accesul la date, documente, componente hardware şi software, precum şi la informaţii de la personalul entităţii supuse controlului, conform dispoziţiilor art. 46 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 155/2024.
Art. 6
(1)În exercitarea activităţilor de supraveghere DNSC, prin personalul desemnat, are următoarele obligaţii:
a)în aplicarea dispoziţiilor art. 5 alin. (1) lit. a)-c), să precizeze informaţiile prevăzute de dispoziţiile art. 47 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
b)să protejeze interesele de securitate şi comerciale ale entităţilor, precum şi confidenţialitatea informaţiilor furnizate de către acestea, conform dispoziţiilor art. 3 alin. (3) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
c)să comunice nota de constatare către entitate atunci când sunt reţinute fapte care ar putea constitui contravenţii, conform dispoziţiilor art. 47 alin. (3) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
d)să solicite, să analizeze şi să consemneze punctul de vedere al entităţii în nota de constatare, inclusiv eventualele obiecţii ale acesteia în situaţia prevăzută la art. 47 alin. (3) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
e)să consemneze în nota de constatare observaţiile şi constatările conform dispoziţiilor art. 47 alin. (2) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
f)să argumenteze toate neconformităţile constatate şi recomandările de măsuri de conformare sau, după caz, propunerile de sancţionare formulate în cuprinsul notei de constatare, precizând totodată şi dispoziţiile legale încălcate.
(2)În exercitarea activităţilor de control DNSC, prin personalul desemnat, suplimentar dispoziţiilor alin. (1), are următoarele obligaţii:
a)să îşi decline calitatea, prin prezentarea delegaţiei de control/ordinului de deplasare, precum şi a legitimaţiei de control a coordonatorului echipei de control, anterior începerii activităţilor de control;
b)să solicite registrul unic de control şi să înscrie, anterior începerii activităţii de control, următoarele elemente: numele şi prenumele persoanelor împuternicite de a efectua controlul, instituţia de care aparţin, numărul legitimaţiei de control a coordonatorului echipei de control, numărul şi data delegaţiei/ordinului de deplasare, obiectivele controlului, perioada controlului, perioada controlată, precum şi temeiul legal în baza căruia se efectuează controlul, conform dispoziţiilor art. 3 alin. (2) din Legea nr. 252/2003 privind registrul unic de control;
c)să înscrie în registrul unic de control, ulterior finalizării controlului, datele menţionate de prevederile art. 4 din Legea nr. 252/2003;
d)să desfăşoare activitatea de control în situaţia neprezentării registrului unic de control şi să consemneze în cuprinsul notei de constatare cauzele neprezentării registrului unic de control, conform dispoziţiilor art. 3 alin. (1), (4) şi (5) din Legea nr. 252/2003.
(3)Modelul legitimaţiei de control este prevăzut în anexa nr. 1 care face parte integrantă din prezentele norme de aplicare.
Art. 7
Activitatea de verificare presupune efectuarea de activităţi de documentare, solicitare de informaţii de date, clarificări sau documente de orice fel, în contextul exercitării sarcinilor de supraveghere sau de control al respectării dispoziţiilor Ordonanţei de urgenţă a Guvernului nr. 155/2024 şi ale actelor normative subsecvente acesteia.
Art. 8
DNSC îşi exercită atribuţiile de supraveghere şi control prevăzute de Ordonanţa de urgenţă a Guvernului nr. 155/2024, inclusiv la solicitarea motivată a Centrului Naţional de Coordonare a Protecţiei Infrastructurilor Critice, denumit în continuare CNCPIC, precum şi a autorităţilor prevăzute la art. 3 alin. (1) lit. a) din Legea nr. 294/2024 privind rezilienţa entităţilor critice, precum şi pentru modificarea unor acte normative, pentru entităţile identificate critice conform dispoziţiilor acesteia.
SECŢIUNEA 3:Drepturile şi obligaţiile entităţilor
Art. 9
În cadrul desfăşurării activităţilor de supraveghere, verificare şi control entitatea are următoarele drepturi:
a)să fie înştiinţată cu privire la activităţile de control;
b)să pună la dispoziţia DNSC orice informaţii sau documente justificative relevante în vederea circumstanţierii şi stabilirii corecte a situaţiei de fapt şi de drept, a clarificării scrise sau verbale a unor situaţii identificate în timpul derulării activităţilor de supraveghere, verificare şi control, precum şi a evaluării modului de îndeplinire a obligaţiilor care revin entităţii conform dispoziţiilor Ordonanţei de urgenţă a Guvernului nr. 155/2024 şi ale actelor normative subsecvente acesteia;
c)să formuleze punct de vedere cu privire la aspectele, neconformităţile şi, după caz, deficienţele consemnate în cuprinsul notei de constatare, conform dispoziţiilor art. 47 alin. (3) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
d)să solicite justificat prelungirea termenului pentru formularea punctului de vedere, aplicând corespunzător dispoziţiile art. 47 alin. (4) din Ordonanţa de urgenţă a Guvernului nr. 155/2024.
Art. 10
(1)În cadrul desfăşurării activităţilor de supraveghere entitatea are următoarele obligaţii:
a)să întocmească şi să transmită planul de măsuri în vederea remedierii tuturor deficienţelor constatate conform dispoziţiilor art. 47 alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
b)să pună la dispoziţia DNSC, în formatul şi în termenele indicate, toate informaţiile, datele, documentele, evidenţele şi actele specifice solicitate, în original sau, după caz, în copie, în conformitate cu dispoziţiile art. 46 alin. (1) lit. c)-e) din Ordonanţa de urgenţă a Guvernului nr. 155/2024. La solicitarea personalului de control, atunci când documentele sunt în format letric, acestea vor fi certificate cu menţiunea "conform cu originalul", semnate şi datate, după caz;
c)să colaboreze cu personalul DNSC în vederea determinării situaţiei de fapt, prin prezentarea corectă şi completă a faptelor cunoscute, precum şi a tuturor documentelor justificative, şi să implementeze măsurile dispuse de către personalul de control în termenele prevăzute;
d)să permită accesul personalului de control la date, documente şi orice alte informaţii care atestă respectarea măsurilor de gestionare a riscurilor de securitate cibernetică, cum ar fi, dar fără a se limita la rezultatele auditurilor de securitate cibernetică efectuate de un auditor atestat şi mijloacele de probă care stau la baza acestora, planuri de măsuri proprii, rezultate ale autoevaluărilor de securitate, rezultate ale testărilor proprii de securitate, inventare ale activelor etc.;
e)să răspundă pentru veridicitatea, integralitatea şi exactitatea informaţiilor furnizate personalului de control al DNSC.
(2)În desfăşurarea activităţilor de control entitatea supusă acestora are, suplimentar dispoziţiilor alin. (1), următoarele obligaţii:
a)să permită accesul personalului de control în toate spaţiile în care îşi desfăşoară activitatea;
b)să permită accesul la date, componente hardware şi software, precum şi la informaţii de la personalul acesteia, în baza solicitării formulate de personalul de control, conform dispoziţiilor art. 46 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
c)să pună la dispoziţia personalului de control registrul de riscuri, situaţii centralizatoare referitoare la bazele de date administrate, să permită accesul la aplicaţiile informatice utilizate la nivelul entităţii supuse controlului, inventarul software-ului utilizat, al licenţelor utilizate în cadrul entităţii, evidenţe ale aplicaţiilor dezvoltate, necesare pentru îndeplinirea activităţilor de control, precum şi orice alte informaţii şi documente solicitate de către personalul de control;
d)să pună la dispoziţia personalului de control un spaţiu adecvat desfăşurării activităţilor de control, în cazul în care controlul presupune activităţi la faţa locului;
e)să permită desfăşurarea activităţilor de control prin mijloace la distanţă, dispoziţiile art. 24 aplicându-se în mod corespunzător.