Nou Capitolul iv - Activitatea de control - Norma din 2025 de aplicare a dispoziţiilor privind supravegherea, verificarea şi controlul respectării prevederilor Ordonanţei de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil
M.Of. 1149
În vigoare Versiune de la: 11 Decembrie 2025
CAPITOLUL IV:Activitatea de control
SECŢIUNEA 1:Planificarea activităţii de control
Art. 15
(1)Personalul de control din cadrul DNSC desfăşoară controalele planificate în baza planului de control anual.
(2)Planul de control anual reprezintă documentul în baza căruia se planifică şi se desfăşoară activităţile de control cu scopul de a verifica respectarea de către entităţi a obligaţiilor prevăzute în sarcina acestora de dispoziţiile Ordonanţei de urgenţă a Guvernului nr. 155/2024 şi ale actelor normative subsecvente acesteia.
(3)Planul de control anual este elaborat de către managerul superior securitate cibernetică care coordonează activitatea Direcţiei verificare şi control, având în vedere Metodologia de prioritizare pe bază de risc a activităţilor de supraveghere, verificare şi control, prevăzută în anexa nr. 2 la ordin.
(4)Planul de control anual se aprobă de către directorul DNSC în primul trimestru al fiecărui an calendaristic, prin decizie, după avizare de către adjunctul directorului DNSC care coordonează activitatea de reglementare şi control a DNSC.
(5)Pe parcursul anului calendaristic planul de control anual este actualizat semestrial în raport cu rezultatele obţinute şi necesităţile constatate în cadrul activităţilor de control. Planul de control anual actualizat se avizează şi se aprobă în condiţiile prevăzute la alin. (4).
Art. 16
(1)DNSC se coordonează cu autorităţile competente sectorial în ceea ce priveşte planificarea şi derularea activităţilor de control desfăşurate cu privire la entităţile esenţiale şi importante care intră în sectorul acestora de competenţă.
(2)În cursul activităţii prevăzute la alin. (1), DNSC şi autorităţile competente sectorial efectuează un schimb reciproc de informaţii relevante cu scopul:
a)de a evita desfăşurarea simultană sau repetată a activităţilor de control asupra aceleiaşi entităţi, cu privire la următoarele elemente: perioada controlată, tematica şi obiectivele controlului, obligaţiile legale evaluate;
b)de a documenta măsurile dispuse cu privire la entităţi cu ocazia desfăşurării unor activităţi de supraveghere şi control anterioare şi modalitatea efectivă de implementare a acestora;
c)după caz, de a asigura respectarea principiului unicităţii aplicării sancţiunii.
Art. 17
(1)În cadrul derulării activităţii de control, personalul desemnat urmăreşte atât realizarea obiectivelor generale, cât şi a obiectivelor specifice.
(2)Obiectivele generale sunt următoarele:
a)verificarea modului de implementare de către entitatea supusă controlului a prevederilor Ordonanţei de urgenţă a Guvernului nr. 155/2024 şi ale actelor normative subsecvente acesteia;
b)evaluarea organizării şi desfăşurării activităţilor specifice de securitate cibernetică, în conformitate cu atribuţiile funcţionale şi în limita competenţelor conferite de lege personalului de control.
(3)Obiectivele specifice sunt stabilite pe baza unei documentări efectuate de către personalul Direcţiei verificare şi control ce constă atât în analiza aspectelor esenţiale, cât şi a particularităţilor activităţii entităţii supuse controlului.
(4)Obiectivele specifice urmărite cu ocazia desfăşurării controalelor alcătuiesc tematica de control şi sunt prevăzute în planul activităţii de control.
Art. 18
(1)Planul activităţii de control este elaborat de către personalul Direcţiei verificare şi control anterior începerii fiecărei activităţi de control.
(2)Planul activităţii de control include următoarele informaţii:
a)tipul controlului;
b)identificarea entităţii supuse controlului;
c)obiectivele controlului;
d)temeiul legal al efectuării controlului;
e)perioada din activitatea entităţii ce urmează a fi supusă controlului, după caz;
f)propunerea privind componenţa echipei de control;
g)data de începere a controlului şi durata estimată a desfăşurării acestuia;
h)mijloacele necesare desfăşurării activităţii de control, inclusiv măsuri de securitate şi confidenţialitate, după caz.
(3)Declanşarea activităţii de control, precum şi planul activităţii de control se aprobă de către directorul DNSC, prin decizie, după avizare de către adjunctul directorului DNSC care coordonează activitatea de reglementare şi control a DNSC.
Art. 19
(1)Controlul se efectuează de către o echipă de control desemnată prin decizia prevăzută la art. 18 alin. (3).
(2)Echipa de control este alcătuită din cel puţin o persoană din cadrul Direcţiei verificare şi control şi, după caz, persoane din cadrul altor compartimente funcţionale ale DNSC şi/sau ale autorităţilor competente sectorial, conform dispoziţiilor art. 37 din Ordonanţa de urgenţă a Guvernului nr. 155/2024.
(3)Echipa de control este condusă de către un coordonator, desemnat prin decizia prevăzută la alin. (1), din cadrul personalului Direcţiei verificare şi control, care răspunde de organizarea şi desfăşurarea activităţii de control.
Art. 20
(1)Controlul inopinat se poate dispune în următoarele situaţii:
a)producerea unui incident semnificativ în înţelesul dispoziţiilor art. 15 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
b)existenţa unor indicii temeinice cu privire la încălcarea flagrantă a măsurilor de securitate cibernetică de către o entitate aflată în domeniul de aplicare a dispoziţiilor Ordonanţei de urgenţă a Guvernului nr. 155/2024;
c)existenţa şi constatarea oricăror situaţii care justifică, în mod obiectiv şi rezonabil, desfăşurarea acţiunilor de control în scopul verificării îndeplinirii obligaţiilor reglementate de dispoziţiile Ordonanţei de urgenţă a Guvernului nr. 155/2024 şi ale actelor normative subsecvente acesteia.
(2)Declanşarea unui control inopinat este dispusă prin decizie emisă de către directorul DNSC.
(3)Atunci când se dispune desfăşurarea unui control inopinat planul activităţii de control se aprobă cel târziu în prima zi lucrătoare după iniţierea controlului, cu respectarea procedurii de avizare şi aprobare prevăzute la art. 18 alin. (3).
SECŢIUNEA 2:Organizarea şi desfăşurarea activităţii de control
Art. 21
(1)Direcţia verificare şi control verifică îndeplinirea măsurilor stabilite cu ocazia controlului.
(2)Coordonatorul echipei de control organizează activităţile premergătoare controlului şi, înainte de declanşarea acestuia, dispune măsurile necesare pentru documentarea şi organizarea activităţii membrilor echipei de control, prin:
a)consultarea documentelor întocmite în cadrul DNSC sau al autorităţilor competente sectorial cu ocazia unor acţiuni de supraveghere şi control anterioare, care au vizat entitatea, după caz;
b)consultarea rapoartelor de audit, precum şi a autoevaluării nivelului de maturitate a măsurilor de gestionare a riscurilor de securitate cibernetică, după caz;
c)consultarea informaţiilor disponibile în spaţiul public sau a altor resurse la care DNSC poate avea acces;
d)orice alte activităţi considerate necesare, utile, oportune derulării activităţii de control.
(3)Echipa de control efectuează activităţi de control în baza deciziei menţionate la art. 18 alin. (3) şi conform planului activităţii de control.
(4)Membrii personalului de control şi de specialitate prezintă delegaţia de control anterior începerii activităţilor de control.
(5)Modelul delegaţiei de control emise pentru personalul de control şi de specialitate din cadrul DNSC este prevăzut în anexa nr. 2 care face parte integrantă din prezentele norme de aplicare.
Art. 22
(1)Entităţile incluse în planul de control anual sunt notificate cu privire la iniţierea activităţilor de control planificate.
(2)Sarcina notificării entităţilor supuse controlului revine coordonatorului echipei de control.
(3)În cazul controalelor planificate notificarea se comunică fie în format letric, prin scrisoare recomandată cu confirmare de primire, fie în format electronic, cu confirmare de primire, cu 30 de zile calendaristice anterior declanşării controlului. După caz, notificarea se poate transmite şi prin alte modalităţi care asigură o confirmare de primire a conţinutului notificării din partea entităţii.
(4)În cazul controalelor declanşate inopinat notificarea se poate aduce la cunoştinţa entităţii, în oricare dintre modalităţile prevăzute la alin. (3), cu 5 zile calendaristice anterior începerii controalelor sau, după caz, la data declanşării activităţii de control.
(5)Coordonatele de contact utilizate pentru transmiterea notificării privind desfăşurarea controlului sunt, după caz, următoarele:
a)adresa sediului social cu care entitatea supusă controlului figurează înregistrată în evidenţele registrului comerţului sau datele indicate drept mijloace permanente de contact, în cazul entităţilor care au notificat DNSC în vederea înscrierii în registrul entităţilor, în condiţiile reglementate de dispoziţiile art. 18 din Ordonanţa de urgenţă a Guvernului nr. 155/2024 şi de prevederile Ordinului directorului DNSC nr. 1/2025 pentru aprobarea Cerinţelor privind procesul de notificare în vederea înregistrării şi metoda de transmitere a informaţiilor, denumit în continuare Ordinul nr. 1/2025;
b)adresa sediului social cu care entitatea supusă controlului figurează înregistrată în evidenţele registrului comerţului, în cazul entităţilor care nu au notificat DNSC în vederea înscrierii în registrul entităţilor, în condiţiile reglementate de dispoziţiile art. 18 din Ordonanţa de urgenţă a Guvernului nr. 155/2024 şi de prevederile Ordinului nr. 1/2025.
(6)Notificarea privind desfăşurarea controlului conţine cel puţin următoarele elemente:
a)durata estimată a activităţii de control;
b)perioada din activitatea entităţii, vizată de acţiunea de control, după caz;
c)temeiul legal, tipul şi obiectivele activităţii de control;
d)după caz, solicitarea de date, informaţii şi documente, cu indicarea termenului în care entitatea supusă controlului are obligaţia de conformare;
e)menţiunea că eventuale solicitări suplimentare de informaţii, date sau documente pot fi transmise de către DNSC pe tot parcursul controlului;
f)indicarea sancţiunii aplicabile în cazul neîndeplinirii obligaţiei de a se supune activităţii de control sau de a transmite datele, informaţiile sau documentele solicitate de către DNSC;
g)solicitarea asigurării prezenţei unui reprezentant legal sau, după caz, convenţional al entităţii supuse controlului, la data efectuării controlului.
(7)Dispoziţiile alin. (1) nu se aplică în cazul activităţilor de supraveghere desfăşurate în condiţiile prevăzute la cap. V.
Art. 23
(1)DNSC poate desfăşura activităţile de control la sediile entităţilor sau prin mijloace la distanţă.
(2)Coordonatorul echipei de control efectuează următoarele activităţi:
a)prezentarea membrilor echipei de control, a delegaţiilor de control, precum şi a legitimaţiei sale de control;
b)solicitarea prezenţei unui reprezentant legal sau convenţional al entităţii supuse controlului;
c)indicarea faptului că documentele întocmite la finalizarea activităţii de control urmează a fi comunicate prin modalităţile prevăzute la art. 22 alin. (3) şi (5);
d)prezentarea scopului şi a obiectivelor controlului şi stabilirea modalităţilor de punere la dispoziţie a informaţiilor şi documentelor ce vor fi verificate şi, după caz, ridicate de către echipa de control;
e)înscrierea în registrul unic de control, anterior declanşării activităţii de control, a informaţiilor prevăzute la art. 3 alin. (2) din Legea nr. 252/2003.
(3)Reprezentantul legal sau, după caz, convenţional al entităţii supuse controlului face dovada deţinerii acestei calităţi.
(4)Neprezentarea sau lipsa desemnării unui reprezentant legal sau convenţional de către entitatea supusă controlului nu constituie motive de suspendare sau încetare a desfăşurării controlului. Echipa de control consemnează aceste situaţii în cuprinsul notei de constatare.
Art. 24
(1)Atunci când activităţile de control se realizează prin mijloace la distanţă se aplică, în mod corespunzător, dispoziţiile referitoare la conţinutul deciziei prin care se dispune efectuarea activităţii de control, prevederile referitoare la documentele întocmite cu ocazia controlului, respectiv notificarea, procesele-verbale de ridicare sau preluare a documentelor, nota de constatare şi, după caz, decizia de constatare a contravenţiei şi aplicare a sancţiunii, precum şi la drepturile şi obligaţiile entităţii supuse controlului şi ale echipei de control.
(2)În situaţia prevăzută la alin. (1), interacţiunea dintre entitatea supusă controlului şi echipa de control se realizează prin intermediul mijloacelor de comunicare electronice, precum teleconferinţă, videoconferinţă, e-mail sau alte platforme electronice.
(3)Documentele emise pe parcursul activităţii de control sunt semnate de către membrii echipei de control şi/sau de reprezentantul entităţii supuse controlului, după caz, cu semnătură electronică calificată sau olograf şi fotocopiate sau scanate în format PDF.
Art. 25
(1)În vederea realizării obiectivelor controlului, membrii echipei de control desfăşoară activităţi conform sarcinilor stabilite de către coordonatorul echipei de control, după cum urmează:
a)verificarea şi ridicarea unor înscrisuri sau documente;
b)efectuarea de copii ale înscrisurilor în format electronic sau letric;
c)efectuarea de copii ale fişierelor electronice;
d)constatarea la faţa locului a unor situaţii de fapt, inclusiv prin fotografiere sau filmare;
e)solicitarea de rapoarte, declaraţii, inventarieri;
f)solicitarea unor puncte de vedere de specialitate;
g)solicitarea de clarificări verbale sau scrise din partea personalului entităţii supuse controlului şi, după caz, consemnarea acestor activităţi în format audio şi/sau video;
h)solicitarea de informaţii, explicaţii sau documente justificative, inclusiv prin mijloace electronice, cu indicarea termenului de răspuns;
i)orice alte activităţi necesare desfăşurării controlului, permise de lege.
(2)În cadrul activităţii de control, la solicitarea DNSC, instituţiile şi autorităţile publice, operatorii economici şi orice alte persoane au obligaţia de a comunica în scris informaţiile, punctele de vedere şi documentele solicitate în cadrul activităţii de control.
(3)Activităţile prevăzute la alin. (1) şi (2) sunt efectuate cu respectarea prevederilor referitoare la păstrarea confidenţialităţii tuturor documentelor şi informaţiilor primite, precum şi a celor referitoare la protecţia datelor cu caracter personal.
(4)Activitatea de control se efectuează, în măsura în care este posibil, fără a perturba desfăşurarea activităţilor curente ale entităţii supuse controlului.
Art. 26
(1)Membrii echipei de control documentează efectuarea activităţilor şi colectează documentele relevante ridicate de la sediile entităţilor sau preluate prin mijloace electronice şi întocmesc procese-verbale, în două exemplare, care se aduc la cunoştinţă, sub semnătură, entităţii supuse controlului.
(2)În cuprinsul procesului-verbal sunt menţionate cel puţin următoarele:
a)elemente de identificare a documentelor ridicate sau preluate de către echipa de control în format electronic sau pe suport hârtie, cu precizarea numărului de pagini/file şi, după caz, a faptului că acestea sunt conforme cu originalul;
b)explicaţiile, clarificările, informaţiile primite de echipa de control;
c)referinţe cu privire la orice alte înscrisuri, date, situaţii şi/sau informaţii prezentate echipei de control;
d)eventuale observaţii, obiecţii şi puncte de vedere ale reprezentantului legal sau convenţional al entităţii supuse controlului.
(3)Refuzul reprezentantului legal sau convenţional al entităţii supuse controlului de a semna procesul-verbal se consemnează în cuprinsul documentului.
Art. 27
(1)În situaţia în care echipa de control, din motive independente de voinţa sa, se află în imposibilitatea de a desfăşura activităţile de control, se întocmeşte un proces-verbal, în două exemplare, semnat de către membrii echipei de control şi de reprezentantul legal sau convenţional al entităţii supuse controlului, în care se consemnează motivele care au împiedicat desfăşurarea activităţii de control.
(2)În cuprinsul procesului-verbal se menţionează, după caz, observaţiile, obiecţiile şi punctele de vedere ale reprezentantului legal sau convenţional al entităţii supuse controlului.
(3)Refuzul reprezentantului legal sau convenţional al entităţii supuse controlului de a semna procesul-verbal se consemnează în cuprinsul documentului.
Art. 28
(1)În situaţia în care obiectivele prevăzute în planul activităţii de control nu sunt realizate sau se constată circumstanţe sau elemente noi care necesită verificări suplimentare, perioada de desfăşurare a controlului se poate prelungi până la îndeplinirea acestora.
(2)Propunerea de prelungire a duratei controlului se formulează de către coordonatorul echipei de control şi se aprobă de către directorul DNSC, dispoziţiile art. 22 alin. (3) şi (5) aplicându-se în mod corespunzător.
Art. 29
(1)În situaţii justificate activitatea de control poate fi suspendată în baza unui referat întocmit de coordonatorul echipei de control şi supus aprobării directorului DNSC.
(2)La încetarea motivelor care au determinat suspendarea se întocmeşte un referat cu propunere de reluare a activităţii de control, supus aprobării în condiţiile prevăzute la alin. (1).
(3)Entitatea este informată cu privire la suspendarea şi reluarea activităţii de control în conformitate cu prevederile art. 22 alin. (3) şi (5).