Ordinul MCSI nr. 473/2009 - procedura de acordare, suspendare si retragere a deciziei de acreditare a furnizorilor de servicii de certificare

Avand in vedere prevederile art. 36 si 37 din Legea nr. 455/2001 privind semnatura electronica, precum si ale art. 16—20
din Normele tehnice si metodologice pentru aplicarea Legii nr. 455/2001 privind semnatura electronica, aprobate prin Hotararea Guvernului nr. 1.259/2001, cu modificarile ulterioare,
in temeiul art. 4 alin. (1) pct. 55 si al art. 6 alin. (6) din Hotararea Guvernului nr. 12/2009 privind organizarea si functionarea Ministerului Comunicatiilor si Societatii Informationale, cu modificarile si completarile ulterioare,

ministrul comunicatiilor si societatii informationale emite prezentul ordin.

Art. 1. — (1) Prezentul ordin se aplica furnizorilor de servicii de certificare care doresc sa isi desfasoare activitatea ca furnizori acreditati si stabileste procedura privind acordarea, suspendarea si retragerea deciziei de acreditare a furnizorilor de servicii de certificare de catre Ministerul Comunicatiilor si Societatii Informationale, autoritatea de reglementare si supraveghere specializata in domeniu.
(2) Prezentul ordin stabileste continutul, durata de valabilitate si efectele suspendarii sau retragerii deciziei de acreditare a furnizorilor de servicii de certificare.

Art. 2. — In intelesul prezentului ordin, termenii de mai jos au urmatoarele semnificatii:
a) autoritate — Ministerul Comunicatiilor si Societatii Informationale, in calitate de autoritate de reglementare si supraveghere specializata in domeniu, conform art. 25 si 26 din Legea nr. 455/2001 privind semnatura electronica;
b) acreditare — calificativul acordat de catre autoritate unui furnizor de servicii de certificare, la solicitarea acestuia, in urma verificarii documentatiei si a raportului de audit efectuat de o terta parte, in vederea stabilirii concordantei dintre sistemele, procedurile si practicile afirmate si cele existente in realitate;
c) audit — procesul de verificare a concordantei dintre sistemele, procedurile si practicile afirmate de catre furnizorul de servicii de certificare care solicita acreditarea si cele existente in realitate;
d) auditor — persoana juridica numita de catre autoritate pentru efectuarea auditului de acreditare, in urma evaluarii indeplinirii criteriilor de selectie;
e) registru — Registrul furnizorilor de servicii de certificare, care este constituit si actualizat de catre autoritate si care are rolul de a asigura, prin efectuarea inregistrarilor prevazute de Legea nr. 455/2001, stocarea datelor de identificare si a unor informatii legate de activitatea furnizorilor de servicii de certificare, precum si informarea publicului cu privire la datele si informatiile stocate.

Art. 3. — Furnizorul de servicii de certificare care doreste sa fie acreditat va inainta autoritatii o cerere scrisa pentru inceperea procedurii de acreditare. Forma si continutul acestei cereri sunt prevazute in anexa nr. 1, care face parte integranta din prezentul ordin.

Art. 4. — (1) Verificarea indeplinirii conditiilor de acreditare se face de catre un auditor numit de catre autoritate in urma parcurgerii procedurii prevazute la alin. (2)—(7).
(2) Numirea auditorului se face in urma unui proces de calificare, pe baza criteriilor stabilite de catre autoritate si in urma selectiei acestuia dintre candidatii calificati.
(3) In acest scop autoritatea va face public anuntul de selectie odata cu punerea la dispozitie oricarei parti interesate, contra cost, a conditiilor de calificare. Anuntul va cuprinde inclusiv data-limita de depunere a documentatiei de calificare.
(4) Orice persoana juridica care a intrat in posesia conditiilor de calificare conform alin. (3) poate participa la procesul de calificare.
(5) Autoritatea verifica documentele de calificare din partea candidatilor si respectarea criteriilor stabilite.
(6) In termen de 30 de zile de la data primirii cererii pentru inceperea procedurii de acreditare, autoritatea intocmeste si comunica furnizorului de servicii de certificare lista candidatilor calificati.
(7) Furnizorul de servicii de certificare care solicita acreditarea selecteaza dintre candidatii calificati auditorul care va fi numit de catre autoritate pentru efectuarea auditului de acreditare.

Art. 5. — (1) In urma selectiei efectuate de catre furnizorul de servicii de certificare, autoritatea emite decizia de numire a auditorului.
(2) Numirea auditorului se face prin ordin al ministrului comunicatiilor si societatii informationale. Forma si continutul ordinului de numire sunt prevazute in anexa nr. 2, care face parte integranta din prezentul ordin.

Art. 6. — Auditul se realizeaza pe cheltuiala furnizorului de servicii de certificare.

Art. 7. — Pe perioada efectuarii auditului, autoritatea poate solicita orice documente referitoare la activitatea furnizorului de servicii de certificare care solicita acreditarea si poate desemna personal propriu pentru a participa la procesul de audit.

Art. 8. — (1) Rezultatul auditului efectuat asupra activitatii furnizorului de servicii de certificare va fi prezentat sub forma unui raport de audit insotit de opinia de audit.
(2) Autoritatea isi rezerva dreptul de a respinge cererea de acreditare in urma analizei raportului de audit, precum si in cazul unei opinii de audit exprimate cu rezerve.
(3) In cazul unor observatii referitoare la raportul de audit prezentat, autoritatea are obligatia comunicarii acestora atat furnizorului de servicii de certificare, cat si auditorului, in termen de 5 zile de la prezentarea raportului.

Art. 9. — (1) In termen de 10 zile de la prezentarea opiniei de audit favorabile, autoritatea emite decizia de acreditare si inscrie in registru mentiunea privind acreditarea furnizorului de servicii de certificare.
(2) Acreditarea se face prin ordin al ministrului comunicatiilor si societatii informationale. Forma si continutul ordinului de acreditare sunt prevazute in anexa nr. 3, care face parte integranta din prezentul ordin.
(3) In cazul respingerii cererii de acreditare, autoritatea va comunica furnizorului motivele respingerii.

Art. 10. — (1) Procedura de suspendare sau de retragere a deciziei de acreditare este prevazuta la art. 19 si 20 din Normele tehnice si metodologice pentru aplicarea Legii nr. 455/2001 privind semnatura electronica, aprobate prin Hotararea Guvernului nr. 1.259/2001, cu modificarile ulterioare.
(2) Suspendarea sau retragerea deciziei de acreditare se face prin ordin al ministrului comunicatiilor si societatii informationale.
(3) Pe perioada suspendarii acreditarii furnizorului de servicii de certificare inceteaza dreptul acestuia de a folosi in toate activitatile pe care le desfasoara o mentiune distinctiva care sa se refere la aceasta calitate.
(4) Semnaturile electronice extinse bazate pe certificate calificate eliberate de catre furnizorul de servicii de certificare pe perioada suspendarii acreditarii sunt exceptate de la prevederile art. 9 alin. (2) din Legea nr. 455/2001.
(5) In cazul suspendarii sau retragerii acreditarii acordate furnizorului de servicii de certificare, autoritatea va face mentiunile necesare in registru.

Art. 11. — (1) La data intrarii in vigoare a prezentului ordin se abroga Decizia presedintelui Autoritatii Nationale pentru Reglementare in Comunicatii si Tehnologia Informatiei nr. 31/2008 privind procedura de acreditare a furnizorilor de servicii de certificare, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 46 din 21 ianuarie 2008.
(2) Prezentul ordin se publica in Monitorul Oficial al Romaniei, Partea I.

Ministrul comunicatiilor si societatii informationale,
Gabriel Sandu
Bucuresti, 9 iunie 2009.
Nr. 473.


_____

Nota Avocatnet.ro:

-Anexele 1-3 vi le prezentam ca fisier atasat.