Capitolul iv - Monitorizare şi control - Legea 455/2001 privind semnătura electronică - Republicată

M.Of. 316

Ieşit din vigoare

Versiune de la: 18 August 2022

CAPITOLUL IV:Monitorizare şi control

SECŢIUNEA 1:Autoritatea de reglementare şi supraveghere

Responsabilitatea aplicării dispoziţiilor prezentei legi şi a reglementărilor legate de aceasta revine autorităţii de reglementare şi supraveghere specializate în domeniu^*).

Art. 26

(1)În termen de cel mult 18 luni de la data publicării legii în Monitorul Oficial al României, Partea I, se va înfiinţa autoritatea publică specializată, cu atribuţii de reglementare şi de supraveghere în domeniu, în sensul prezentei legi.

(2)Până la înfiinţarea autorităţii menţionate la alin. (1) atribuţiile acesteia, în sensul prezentei legi, revin Ministerului pentru Societatea Informaţională^*).

_______

^*) În prezent, Ministerul pentru Societatea Informaţională exercită atribuţiile autorităţii de reglementare şi supraveghere în domeniul semnăturii electronice, prevăzute de Legea nr. 455/2001 privind semnătura electronică, conform art. 4 pct. 57 din Hotărârea Guvernului nr. 548/2013 privind organizarea şi funcţionarea Ministerului pentru Societatea Informaţională, publicată în Monitorul Oficial al României, Partea I, nr. 492 din 5 august 2013, cu modificările ulterioare.

Art. 27

Ministerul pentru Societatea Informaţională poate delega, în tot sau în parte, atribuţiile sale de supraveghere, în sensul prezentei legi, unei alte autorităţi publice aflate în coordonare.

Art. 28

(1)La data intrării în vigoare a prezentei legi se înfiinţează Registrul furnizorilor de servicii de certificare, denumit în continuare Registru, care se constituie şi se actualizează de către autoritatea de reglementare şi supraveghere specializată în domeniu. De la data înfiinţării autorităţii publice specializate prevăzute la art. 26 Registrul va fi preluat şi actualizat de această autoritate.

(2)Registrul constituie evidenţa oficială:

a)a furnizorilor de servicii de certificare care au sediul în România;

b)a furnizorilor de servicii de certificare cu sediul sau domiciliul în alt stat, ale căror certificate calificate sunt recunoscute conform art. 40.

(3)Registrul are rolul de a asigura, prin efectuarea înregistrărilor prevăzute de prezenta lege, stocarea datelor de identificare şi a unor informaţii legate de activitatea furnizorilor de servicii de certificare, precum şi informarea publicului cu privire la datele şi informaţiile stocate.

(4)Conţinutul şi structura Registrului se stabilesc, prin reglementări, de către autoritatea de reglementare şi supraveghere specializată în domeniu.

Art. 29

(1)Înregistrarea în Registrul prevăzut la art. 28 a datelor de identificare şi a informaţiilor necesare cu privire la activitatea furnizorilor de servicii de certificare menţionaţi la art. 28 alin. (2) se efectuează pe bază de cerere individuală, care trebuie introdusă la autoritatea de reglementare şi supraveghere specializată în domeniu, cel mai târziu la data începerii activităţii furnizorului.

(2)Conţinutul obligatoriu al cererii prevăzute la alin. (1) şi documentaţia necesară se stabilesc prin reglementări de către autoritatea de reglementare şi supraveghere specializată în domeniu.

Art. 30

(1)Registrul este public şi se actualizează permanent.

(2)Condiţiile ţinerii Registrului, accesul efectiv la informaţiile pe care le conţine, informaţiile care pot fi oferite solicitanţilor şi modul de actualizare a acestuia se stabilesc prin normele tehnice şi metodologice emise de autoritatea de reglementare şi supraveghere specializată în domeniu.

SECŢIUNEA 2:Supravegherea activităţii furnizorilor de servicii de certificare

Art. 31

(1)Autoritatea de reglementare şi supraveghere specializată în domeniu va putea, din oficiu sau la solicitarea oricărei persoane interesate, să verifice sau să dispună verificarea conformităţii activităţilor unui furnizor de servicii de certificare cu dispoziţiile prezentei legi sau cu reglementări emise de către autoritatea de reglementare şi supraveghere specializată în domeniu.

(2)Atribuţiile de control ce revin autorităţii de reglementare şi supraveghere specializate în domeniu, potrivit alin. (1), sunt exercitate de personalul anume împuternicit în acest sens.

(3)În vederea exercitării controlului, personalul cu atribuţii de control este autorizat:

a)să aibă acces liber, permanent, în orice loc în care se află echipamentele necesare furnizării de servicii de certificare, în condiţiile legii;

b)să solicite orice document sau informaţie necesară în vederea realizării controlului;

c)să verifice punerea în aplicare a oricăror proceduri de securitate sau de certificare utilizate de furnizorul de servicii de certificare supus controlului;

d)să sigileze orice echipamente necesare furnizării de servicii de certificare sau să reţină orice document ce are legătură cu această activitate, pe o perioadă care nu poate depăşi 15 zile, dacă această măsură se impune;

e)să ia orice alte asemenea măsuri, în limitele legii.

(4)Personalul cu atribuţii de control este obligat:

a)să nu dezvăluie datele de care a luat cunoştinţă cu ocazia exercitării atribuţiilor sale;

b)să păstreze confidenţialitatea surselor de informaţii în legătură cu sesizările sau plângerile primite.

Art. 32

(1)Furnizorii de servicii de certificare au obligaţia de a facilita exercitarea atribuţiilor de control de către personalul anume împuternicit în acest sens.

(2)În cazul neîndeplinirii obligaţiei prevăzute la alin. (1), în afară de aplicarea sancţiunii prevăzute la art. 44 lit. c), autoritatea de reglementare şi supraveghere specializată în domeniu va putea să suspende activitatea furnizorului până la data la care acesta va coopera cu personalul de control.

Art. 33

(1)Dacă în urma controlului efectuat se constată nerespectarea dispoziţiilor prezentei legi şi a reglementărilor emise de autoritatea de reglementare şi supraveghere specializată în domeniu, aceasta va solicita furnizorului de servicii de certificare să se conformeze, în termenul pe care îl va stabili, dispoziţiilor legale. În acest caz, autoritatea de reglementare şi supraveghere specializată în domeniu poate dispune suspendarea activităţii furnizorului.

(2)Neîndeplinirea în termenul stabilit a obligaţiei de conformare prevăzute la alin. (1) constituie motiv pentru autoritatea de reglementare şi supraveghere specializată în domeniu de a dispune încetarea activităţii furnizorului de servicii de certificare şi radierea acestuia din Registru.

(3)În cazul în care se constată o încălcare gravă a dispoziţiilor legale, autoritatea de reglementare şi supraveghere specializată în domeniu poate dispune direct şi imediat încetarea activităţii furnizorului de servicii de certificare şi radierea acestuia din Registru.

Art. 34

(1)În cazul în care dispune încetarea activităţii unui furnizor de servicii de certificare, autoritatea de reglementare şi supraveghere specializată în domeniu va asigura fie revocarea certificatelor furnizorului de servicii de certificare şi ale semnatarilor, fie preluarea activităţii sau cel puţin a registrului electronic de evidenţă a certificatelor eliberate şi a serviciului de revocare a acestora de către un alt furnizor de servicii de certificare, cu acordul acestuia.

(2)Semnatarii vor fi informaţi imediat de autoritatea de reglementare şi supraveghere specializată în domeniu despre încetarea activităţii furnizorului, precum şi despre revocarea certificatelor sau preluarea acestora de către un alt furnizor.

(3)Dacă activitatea furnizorului de servicii de certificare nu este preluată de către un alt furnizor, furnizorul de servicii de certificare este obligat să asigure revocarea tuturor certificatelor eliberate de el. Autoritatea de reglementare şi supraveghere specializată în domeniu va revoca certificatele, pe cheltuiala furnizorului, dacă acesta nu îşi îndeplineşte obligaţia.

(4)Autoritatea de reglementare şi supraveghere specializată în domeniu va prelua şi va menţine arhivele şi registrul electronic de evidenţă a certificatelor eliberate de furnizorul de servicii de certificare a cărui activitate nu a fost preluată de către un alt furnizor.

Art. 35

(1)Radierea furnizorilor de servicii de certificare din Registru se efectuează pe baza comunicării făcute de către furnizor autorităţii de reglementare şi supraveghere specializate în domeniu cu cel puţin 30 de zile înainte de data încetării activităţii sale.

(2)Radierea se poate efectua şi din oficiu de către autoritatea de reglementare şi supraveghere specializată în domeniu, în situaţia în care aceasta constată pe orice altă cale că furnizorul şi-a încetat activitatea.

SECŢIUNEA 3:Acreditarea voluntară

Art. 36

(1)În scopul asigurării unui grad sporit de securitate a operaţiunilor şi al protejării corespunzătoare a drepturilor şi intereselor legitime ale beneficiarilor de servicii de certificare, furnizorii de servicii de certificare care doresc să îşi desfăşoare activitatea ca furnizori acreditaţi pot solicita obţinerea unei acreditări din partea autorităţii de reglementare şi supraveghere specializate în domeniu.

(2)Condiţiile şi procedura acordării, suspendării şi retragerii deciziei de acreditare, conţinutul acestei decizii, durata ei de valabilitate, precum şi efectele suspendării şi ale retragerii deciziei se stabilesc de autoritatea de reglementare şi supraveghere specializată în domeniu, prin reglementări, cu respectarea principiilor obiectivităţii, transparenţei, proporţionalităţii şi tratamentului nediscriminatoriu.

Art. 37

(1)Furnizorii de servicii de certificare acreditaţi în condiţiile prezentei legi au dreptul de a folosi o menţiune distinctivă care să se refere la această calitate în toate activităţile pe care le desfăşoară, legate de certificarea semnăturilor.

(2)Furnizorii de servicii de certificare acreditaţi în condiţiile prezentei legi sunt obligaţi să solicite efectuarea unei menţiuni în acest sens în Registru.

SECŢIUNEA 4:Omologarea

Art. 38

(1)Conformitatea dispozitivelor securizate de creare a semnăturii electronice cu prevederile prezentei legi se verifică de către agenţii de omologare, persoane juridice de drept public sau de drept privat, agreate de autoritatea de reglementare şi supraveghere specializată în domeniu, în condiţiile stabilite prin reglementări emise de aceasta.

(2)În urma îndeplinirii procedurii de verificare se emite certificatul de omologare a dispozitivului securizat de creare a semnăturii electronice. Certificatul poate fi retras în cazul în care agenţia de omologare constată că dispozitivul securizat de creare a semnăturii electronice nu mai îndeplineşte una dintre condiţiile prevăzute în prezenta lege.

(3)Condiţiile şi procedura de agreare a agenţiilor de omologare se stabilesc prin reglementări de către autoritatea de reglementare şi supraveghere specializată în domeniu.

(4)Decizia de agreare se emite de către autoritatea de reglementare şi supraveghere specializată în domeniu.

Art. 39

(1)Autoritatea de reglementare şi supraveghere specializată în domeniu veghează la respectarea, de către agenţiile de omologare, a prevederilor prezentei legi, a reglementărilor emise, precum şi a dispoziţiilor cuprinse în decizia de agreare.

(2)Prevederile art. 31-32 se aplică în mod corespunzător controlului exercitat de autoritatea de reglementare şi supraveghere specializată în domeniu asupra activităţii agenţiilor de omologare.