Cyberlaw

 

Ordinul nr. 492/2009 privind normele tehnice şi metodologice pentru aplicarea Legii nr. 451/2004 privind marca temporală

Include modificările din următoarele acte:
– Ordinul nr. 58/2012 publicat în Monitorul Oficial, Partea I nr. 62 din 25/01/2012.

CAPITOLUL I
Dispoziţii generale

Art. 1. – (1) Prezentele norme tehnice şi metodologice se aplică activităţii de marcare temporală şi stabilesc procedura de notificare a Ministerului Comunicaţiilor şi Societăţii Informaţionale în vederea începerii furnizării serviciilor de marcare temporală, procedurile de generare şi verificare a mărcilor temporale, cât şi condiţiile de creare şi menţinere a registrului electronic de evidenţă a furnizorilor de servicii de marcare temporală.
(2) Orice persoană fizică sau juridică poate beneficia de servicii de marcare temporală în condiţiile Legii nr. 451/2004 privind marca temporală şi ale prezentului ordin.
(3) În cazul instituţiilor din domeniul apărării, ordinii publice şi siguranţei naţionale, care furnizează servicii de marcare temporală ce urmează a fi folosite exclusiv pentru nevoi proprii şi ale căror sisteme fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat, drepturile şi obligaţiile prevăzute prin prezentul ordin pentru utilizatori sunt aplicabile personalului abilitat să utilizeze marca temporală în cadrul acestor instituţii.
(4) Instituţiile din domeniul apărării, ordinii publice şi siguranţei naţionale, care furnizează servicii de marcare temporală ce urmează a fi folosite exclusiv pentru nevoi proprii şi ale căror sisteme fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat, sunt exceptate de la obligaţiile prevăzute prin prezentul ordin referitoare la publicarea în mediul internet a unor informaţii, stabilind în acest sens proceduri interne privind accesul personalului propriu abilitat la respectivele informaţii.

Art. 2. – În înţelesul prezentului ordin, următorii termeni se definesc astfel:
a) MCSI – Ministerul Comunicaţiilor şi Societăţii Informaţionale;
b) serviciu de marcare temporală – serviciul prin care unor date în formă electronică li se asociază, printr-un mecanism de încredere, o marcă temporală;
c) furnizor de servicii de marcare temporală (furnizor) – orice persoană, fizică sau juridică, care oferă servicii de marcare temporală în conformitate cu prevederile Legii nr. 451/2004 şi ale prezentului ordin;
d) utilizator – orice persoană, fizică sau juridică, care, în baza unui contract încheiat cu un furnizor, beneficiază de servicii de marcare temporală;
e) cheie privată – codul digital, cu caracter de unicitate, generat printr-un dispozitiv hardware şi/sau software specializat;
f) cheie publică – codul digital, pereche a cheii private, necesar verificării mărcii temporale;
g) date de verificare a mărcii temporale – datele în formă electronică, cum ar fi coduri sau chei publice, utilizate în scopul verificării unei mărci temporale;
h) dispozitiv criptografic securizat – un dispozitiv hardware cu un înalt grad de fiabilitate, protejat împotriva modificărilor şi a utilizării neautorizate, care asigură un grad înalt de securitate a operaţiilor criptografice în conformitate cu cerinţele Legii nr. 455/2001 privind semnătura electronică;
i) politica de marcare temporală – regulile şi principiile generale aplicate de furnizor în procesul de emitere şi administrare a mărcilor temporale;
j) funcţie hash-code – algoritmul aplicat asupra unui document electronic, care creează o amprentă unică a acelui document;
k) SHA – algoritm securizat de hash-code (Secure Hash Algorithm);
l) RFC – documentele care au fost supuse analizei publice în cadrul unui proces coordonat de Grupul de lucru pentru ingineria internetului;
m) extensie de tip critic pentru marcare temporală – extensia unui certificat calificat care trebuie procesată în mod obligatoriu de aplicaţia care îl utilizează, limitând folosirea cheii private asociate certificatului, exclusiv la aplicarea semnăturii electronice extinse din cadrul unei mărci temporale.

CAPITOLUL II
Autoritatea de reglementare şi supraveghere

Art. 3. – În conformitate cu dispoziţiile art. 4 alin. (1) pct. 56 din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, MCSI exercită atribuţiile care revin autorităţii de reglementare şi supraveghere în domeniul marcării temporale.

Art. 4. – (1) În cadrul Registrului furnizorilor de servicii de certificare prevăzut la art. 28 din Legea nr. 455/2001 MCSI va crea o secţiune distinctă pentru înregistrarea furnizorilor de servicii de marcare temporală.
(2) MCSI gestionează Registrul furnizorilor de servicii de marcare temporală, denumit în continuare registru. Forma acestui registru este prevăzută în anexa nr. 1, care face parte integrantă din prezentul ordin.
(3) Actualizarea registrului se efectuează exclusiv de către personalul MCSI desemnat în acest sens şi vizează toate modificările privind activitatea furnizorului, precum şi alte informaţii relevante furnizate de acesta.

Art. 5. – MCSI va face publice, spre consultare, următoarele date din registru:
a) tipul furnizorului – persoană fizică sau juridică;
b) numele şi prenumele sau denumirea furnizorului, după caz;
c) forma de organizare a furnizorului persoană juridică – societate comercială, regie autonomă, instituţie publică, organizaţie neguvernamentală;
d) domiciliul sau sediul – ţară, oraş, judeţ/sector, stradă, număr, bloc, scară, etaj, apartament, cod poştal, telefon, fax, e-mail, adresă în pagina web;
e) cetăţenia, pentru persoana fizică, sau naţionalitatea, pentru persoana juridică;
f) data la care şi-a început activitatea de furnizare de servicii de marcare temporală;
g) cheia publică a furnizorului;
h) descrierea politicii de marcare temporală a furnizorului;
i) situaţia activităţii furnizorului – operaţională, suspendată, încetată, în curs de transferare, în curs de remediere a unor probleme identificate de MCSI, cu indicarea termenului-limită;
j) istoricul furnizorului – data de începere a activităţii, perioade de suspendare, alte situaţii asemănătoare.

Art. 6. – (1) Informaţiile prevăzute la art. 5 sunt disponibile public prin intermediul paginii de internet a MCSI.
(2) Pe pagina de internet a MCSI se vor publica şi informaţii cu privire la Legea nr. 451/2004, prezentele norme tehnice şi metodologice, informaţii generale cu privire la utilizarea mărcilor temporale, informaţii actualizate din domeniul marcării temporale, trimiteri către paginile de internet ale furnizorilor de servicii de marcare temporală.

Art. 7. – (1) MCSI are obligaţia de a păstra confidenţialitatea tuturor informaţiilor primite de la furnizorul de servicii de marcare temporală, cu excepţia celor prevăzute de Legea nr. 451/2004 şi de prezentul ordin ca fiind publice.
(2) MCSI poate încheia un acord de confidenţialitate asupra informaţiilor primite de la furnizorul de servicii de marcare temporală, la cererea acestuia.
(3) Personalul cu atribuţii de control din cadrul MCSI este obligat să păstreze confidenţialitatea datelor de care a luat cunoştinţă cu ocazia exercitării atribuţiilor de control în ceea ce priveşte activitatea furnizorilor de servicii de marcare temporală.

CAPITOLUL III
Furnizorii de servicii de marcare temporală

SECŢIUNEA 1
Dispoziţii comune

Art. 8. – (1) Cu 30 de zile înainte de începerea activităţii, furnizorul de servicii de marcare temporală va notifica MCSI prin completarea formularului prevăzut în anexa nr. 2, care face parte integrantă din prezentul ordin.
(2) Odată cu efectuarea notificării prevăzute la alin. (1) furnizorii au obligaţia de a comunica MCSI informaţiile şi documentele prevăzute la art. 6 alin. (2) din Legea nr. 451/2004 şi în anexa nr. 2.
(3) În termen de 10 zile de la primirea notificării, MCSI poate solicita completarea documentaţiei prezentate, în conformitate cu alin. (2).
(4) Furnizorii au obligaţia de a comunica MCSI, cu cel puţin 30 de zile în avans, orice intenţie de modificare a procedurilor de securitate a sistemului informatic utilizat, cu precizarea datei şi a orei la care modificarea intră în vigoare, precum şi obligaţia de a confirma, în termen de 24 de ore, modificarea efectuată.
(5) În cazuri urgente în care securitatea serviciilor de marcare temporală este afectată furnizorii pot efectua modificări ale procedurilor de securitate, urmând să comunice MCSI, în termen de 24 de ore, modificările efectuate şi justificarea deciziei luate.
(6) Furnizorii de servicii de marcare temporală sunt obligaţi să respecte, pe parcursul desfăşurării activităţii, procedurile de securitate şi de certificare declarate potrivit alin. (2)-(5). Aceştia vor furniza servicii de marcare temporală în conformitate cu politica de marcare temporală declarată.

Art. 9. – (1) Furnizorul este obligat să genereze sau să achiziţioneze o pereche funcţională cheie privată – cheie publică şi să îşi protejeze cheia privată prin utilizarea unui dispozitiv criptografic securizat, luând măsurile necesare pentru a preveni pierderea, dezvăluirea, modificarea sau utilizarea neautorizată a cheii sale private.
(2) Perechea funcţională prevăzută la alin. (1) va fi folosită exclusiv în scopul aplicării semnăturii electronice asupra mărcilor temporale emise.
(3) Cheia privată nu poate fi dedusă în niciun fel din cheia sa publică pereche.
(4) Furnizorul de servicii de marcare temporală trebuie să deţină certificatul corespunzător cheii publice, pe baza căruia se va putea verifica semnătura asupra mărcii temporale.
(5) Certificatul utilizat pentru marcarea temporală va fi transmis MCSI, în formă electronică, la data notificării începerii activităţii.

Art. 10. – (1) Furnizorii de servicii de marcare temporală au obligaţia să respecte dispoziţiile legale din domeniul prelucrării datelor cu caracter personal.
(2) La data începerii activităţii de furnizare de servicii de marcare temporală, furnizorul trebuie să deţină calitatea de operator de date personale şi să depună la MCSI o copie de pe certificatul doveditor, eliberat de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Art. 11. – (1) Furnizorii de servicii de marcare temporală au obligaţia de a crea şi de a menţine un registru electronic operativ de evidenţă a mărcilor temporale.
(2) Registrul electronic operativ de evidenţă a mărcilor temporale trebuie să conţină cel puţin următoarele informaţii:
a) toate mărcile temporale emise de către furnizorul de servicii de marcare temporală, cuprinzând, pe lângă marca temporală propriu-zisă, şi date referitoare la marca temporală şi la certificatul utilizat;
b) înregistrări ale evenimentelor apărute în sistemul informatic utilizat pentru generarea mărcilor temporale.
(3) Informaţiile prevăzute la alin. (2) lit. a) trebuie să fie disponibile permanent pentru consultare pe pagina de internet a furnizorului.
(4) Furnizorul de servicii de marcare temporală are obligaţia de a transmite, la cerere, către MCSI informaţiile prevăzute la alin. (2) lit. b).
(5) Structura şi condiţiile de exploatare ale Registrului electronic operativ de evidenţă a mărcilor temporale sunt prevăzute în anexa nr. 3, care face parte integrantă din prezentul ordin.

Art. 12. – (1) Furnizorii de servicii de marcare temporală trebuie să aducă la cunoştinţa tuturor utilizatorilor termenii şi condiţiile care privesc utilizarea serviciilor de marcare temporală, şi anume:
a) datele de contact ale furnizorului;
b) politica de marcare temporală aplicată;
c) standardele tehnice aplicabile;
d) precizia timpului din mărcile temporale;
e) orice limitări în folosirea serviciului de marcare temporală;
f) obligaţiile utilizatorului;
g) informaţii despre cum trebuie verificată marca temporală şi orice limitări posibile asupra perioadei de valabilitate;
h) descrierea practicilor, procedurilor şi sistemelor care asigură securitatea şi integritatea datelor, accesul autorizat permanent la acestea şi modalităţile de prevenire a accesului neautorizat (codul de practici şi proceduri);
i) politica privind protecţia datelor cu caracter personal;
j) perioada de timp în care sunt păstrate înregistrările referitoare la evenimente ale furnizorului;
k) disponibilitatea serviciilor.
(2) Aceste informaţii trebuie să fie disponibile pe pagina de internet a furnizorului de servicii de marcare temporală.

Art. 13. – (1) Furnizorul de servicii de marcare temporală trebuie să îndeplinească următoarele condiţii:
a) să dispună de mijloace financiare şi de resurse materiale, tehnice şi umane corespunzătoare pentru garantarea securităţii, fiabilităţii şi continuităţii serviciilor oferite;
b) să dovedească MCSI că dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfăşurării activităţii de marcare temporală şi că este capabil să acopere pierderile suferite de către o persoană care îşi întemeiază conduita pe efectele juridice ale mărcilor temporale, în condiţiile prevăzute la art. 10 din Legea nr. 451/2004, până la concurenţa echivalentului în lei al sumei de 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs, chiar dacă se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de către furnizor a unei obligaţii prevăzute de lege. Furnizorul va trebui să depună la MCSI o scrisoare de garanţie din partea unei instituţii financiare de specialitate sau o poliţă de asigurare la o societate de asigurări în favoarea MCSI, în valoare cel puţin egală cu echivalentul în lei al sumei de 300.000 euro;
c) să folosească personal având cunoştinţe de specialitate, experienţă şi calificare necesare pentru furnizarea serviciilor respective;
d) să utilizeze numai dispozitive criptografice securizate pentru efectuarea operaţiilor criptografice implicate în procesul generării mărcii temporale;
e) să utilizeze un sistem informatic care să respecte cerinţele de securitate prevăzute la art. 4 alin. (1) din Legea nr. 451/2004;
f) să păstreze toate informaţiile necesare pentru a putea face dovada marcării temporale în cazul unui eventual litigiu (înregistrări ale mărcilor temporale emise, documentaţia aferentă algoritmilor şi procedurilor de generare a mărcilor temporale emise, alte documente) pentru o perioadă de minimum 10 ani de la data emiterii.
(2) În vederea îndeplinirii obligaţiei prevăzute la alin. (1) lit. e), furnizorul va publica documentaţia aferentă mecanismului implementat în vederea îndeplinirii acestei obligaţii, iar o copie a documentaţiei va fi transmisă MCSI.
(3) Prin excepţie de la prevederile alin. (1) lit. b), pentru instituţiile din domeniul apărării, ordinii publice şi siguranţei naţionale, care furnizează servicii de marcare temporală ce urmează a fi folosite exclusiv pentru nevoi proprii şi ale căror sisteme fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat, cuantumul garanţiei se stabileşte anual, prin ordin al ministrului comunicaţiilor şi societăţii informaţionale, la propunerea conducerii instituţiilor respective, proporţional cu prejudiciile create în anul anterior, stabilite prin decizii judecătoreşti definitive. Certificatul asociat mărcii temporale va conţine menţiuni referitoare la limitări privind utilizarea acesteia.

Art. 14. – Orice persoană, fizică sau juridică, ce doreşte să beneficieze de servicii de marcare temporală trebuie:
a) să furnizeze informaţiile referitoare la identitatea sa;
b) să respecte limitările impuse de furnizorul de servicii de marcare temporală.

SECŢIUNEA a 2-a
Mecanismul marcării temporale a documentelor

Art. 15. – (1) Marcarea temporală este realizată cu respectarea următoarelor etape:
a) utilizatorul transmite furnizorului o cerere de emitere a mărcii temporale pentru un anumit document electronic. Cererea va conţine amprenta digitală a documentului pentru care se face cererea, amprentă creată prin intermediul aplicării unei funcţii hash-code asupra documentului;
b) într-un interval de timp stabilit prin politica de marcare temporală, furnizorul de servicii de marcare temporală execută următoarele operaţiuni asupra amprentei digitale a documentului primit de la utilizator, folosind un sistem informatic sigur, care îndeplineşte cerinţele de securitate prevăzute la art. 4 din Legea nr. 451/2004:
1. aplică informaţia de timp, raportându-se la baza de timp;
2. aplică celelalte date prevăzute de Legea nr. 451/2004 şi orice alte date prevăzute în politica sa de marcare temporală care nu contravin prevederilor legale şi standardelor recunoscute în materie;
3. o semnează electronic cu semnătură electronică extinsă bazată pe un certificat calificat;
c) în urma acestor operaţiuni rezultă marca temporală care este transmisă utilizatorului.
(2) Autenticitatea mărcii temporale poate fi verificată de către terţi pe baza documentului original, a mărcii temporale, a cheii publice a furnizorului de servicii de marcare temporală şi a funcţiei hash-code utilizate pentru crearea amprentei digitale a documentului.

Art. 16. – (1) Furnizorul de servicii de marcare temporală trebuie să utilizeze informaţia de timp furnizată de furnizorul unic de bază de timp.
(2) Furnizorul unic de bază de timp este Sistemul informatic pentru furnizarea orei oficiale a României, realizat de MCSI.
(3) Sursa de timp folosită de către furnizorul de servicii de marcare temporală trebuie să fie sincronizată cu referinţa de timp oferită de furnizorul unic de bază de timp, abaterea maximă admisă fiind de +/-1 secundă.
(4) Furnizorul de servicii de marcare temporală are obligaţia de a lua toate măsurile pentru calibrarea echipamentelor, astfel încât valoarea prevăzută la alin. (3) să nu fie depăşită.
(5) În situaţia în care detectează cazuri în care au fost emise mărci temporale cu depăşirea valorii prevăzute la alin. (3), furnizorul va transmite MCSI o înştiinţare în acest sens.
(6) Furnizorul are obligaţia de a păstra datele care dovedesc respectarea valorii prevăzute la alin. (3) (de exemplu, logurile de sincronizare) şi de a le pune la dispoziţia MCSI, la cerere.

Art. 17. – (1) Furnizorul de servicii de marcare temporală este obligat să pună la dispoziţia utilizatorilor software-ul necesar pentru utilizarea serviciului.
(2) Furnizorul trebuie să ofere utilizatorilor următoarele informaţii despre software-ul pus la dispoziţie:
a) condiţiile în care este disponibil software-ul;
b) instrucţiunile de folosire;
c) obligaţiile utilizatorului;
d) orice alte limitări privind utilizarea software-ului.
(3) Software-ul pus la dispoziţie de către furnizorul de servicii de marcare temporală trebuie să permită utilizatorului să verifice dacă marcarea temporală a fost realizată în mod corect, prin analiza automată cel puţin a următoarelor elemente:
a) structura mărcii temporale;
b) amprenta din marca temporală;
c) semnătura electronică a mărcii temporale, respectiv validitatea certificatului folosit pentru semnare.

Art. 18. – (1) Marca temporală va avea structura stabilită în anexa nr. 4, care face parte integrantă din prezentul ordin.
(2) De asemenea, marca temporală trebuie să includă:
a) un identificator pentru ţara în care furnizorul de servicii de marcare temporală este stabilit, acolo unde este aplicabil;
b) un identificator pentru furnizorul de servicii de marcare temporală, care va conţine cel puţin numărul de ordine din registru;
c) un identificator pentru unitatea care emite mărci temporale.
(3) Datele prevăzute la alin. (2) se vor introduce în marca temporală folosindu-se câmpul “tsa” din cadrul structurii mărcii temporale. Introducerea acestui câmp este obligatorie.
(4) MCSI va publica eventualele modificări ale formatului descris în anexa nr. 4, pe baza evoluţiei tehnologiilor sau a normelor internaţionale recunoscute în domeniu.

Art. 19. – (1) În vederea asigurării conformităţii cu cerinţele Legii nr. 451/2004 şi ale prezentului ordin, se recomandă respectarea următoarelor standarde şi recomandări de către furnizorii de servicii de marcare temporală:
a) SR ETSI TS 101 861 V1.2.1: 2005 Profil de marcare temporală;
b) SR ETSI TS 101 862 V1.3.2: 2005 Profil de certificat calificat;
c) SR ETSI TS 102 023 V1.2.1: 2005 Semnături electronice şi infrastructuri (ESI). Cerinţe privind politica pentru autorităţile de marcare temporală;
d) SR ISO/CEI 18014-1: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporală. Partea 1: Cadru;
e) SR ISO/CEI 18014-2: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporală. Partea 2: Mecanisme care produc mărci temporale independente sau SR ISO/CEI 18014-3: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporală. Partea 3: Mecanisme care produc mărci temporale înlănţuite;
f) SR ISO/CEI TR 14516: 2005 Tehnologia informaţiei. Tehnici de securitate. Îndrumări pentru utilizarea şi administrarea serviciilor părţilor terţe de încredere;
g) Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP): IETF RFC 3161;
h) Cryptographic Message Syntax: IETF RFC 2630;
i) Internet X.509 Public Key Infrastructure Certificate and CRL Profile: IETF RFC 2459;
j) Date and Time on the Internet: Timestamps: IETF RFC 3339.
(2) Furnizorii au obligaţia de a pune la dispoziţia publicului, pe pagina proprie de internet, informaţii privind standardele pe care le aplică în cadrul activităţii propriu-zise de generare a mărcii temporale şi procedurile de securitate utilizate.
(3) Instituţiile din domeniul apărării, ordinii publice şi siguranţei naţionale, care furnizează servicii de marcare temporală ce urmează a fi folosite exclusiv pentru nevoi proprii şi ale căror sisteme fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat, au obligaţia de a pune la dispoziţia publicului, pe pagina proprie de internet, informaţii privind standardele pe care le aplică în cadrul activităţii propriu-zise de generare a mărcii temporale şi procedurile de securitate utilizate.

Art. 20. – Amprenta digitală utilizată în procesul de marcare temporală, creată prin intermediul aplicării unei funcţii hash-code asupra unui document în formă electronică, trebuie să aibă următoarele caracteristici:
a) să permită identificarea unică a documentului în formă electronică, datorită imposibilităţii practice de a crea amprente identice pentru documente diferite;
b) să nu permită deducerea conţinutului documentului respectiv, datorită imposibilităţii practice de a reconstitui conţinutul documentului original pe baza amprentei.

Art. 21. – Furnizorul foloseşte doar funcţia hash-code SHA1 (opţional SHA2) şi algoritmul de criptare RSA. Este interzisă folosirea teoremei chinezeşti a resturilor.

Art. 22. – (1) Certificatul furnizorului de servicii de marcare temporală trebuie să fie emis de un furnizor de servicii de certificare acreditat în condiţiile Legii nr. 455/2001.
(2) Certificatul furnizorului va conţine în mod obligatoriu extensia pentru marcare temporală prevăzută în standardele internaţionale în vigoare (RFC 3161 – protocol de marcă temporală, secţiunea 2.3). Extensia trebuie să fie de tip critic.

Art. 23. – Marca temporală va fi transmisă solicitantului prin mecanismele de transport prevăzute în standardul internaţional RFC 3161 – protocol de marcă temporală, secţiunea a 3-a. Se va implementa în mod obligatoriu cel puţin protocolul HTTP.

Art. 24. – (1) Serviciul de verificare a mărcilor temporale se asigură către terţi şi este menţionat expres în contractul încheiat între furnizorul de servicii de marcă temporală şi utilizator.
(2) Verificarea trebuie să poată fi realizată automat, prin internet, fiind accesibilă oricărei persoane fizice sau juridice care îşi bazează conduita pe efectele juridice ale unei mărci temporale.
(3) Personalului propriu din instituţiile din domeniul apărării, ordinii publice şi siguranţei naţionale, care furnizează servicii de marcare temporală ce urmează a fi folosite exclusiv pentru nevoi proprii şi ale căror sisteme fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat, i se va aduce la cunoştinţă existenţa şi modul de funcţionare a Serviciului de verificare a mărcilor temporale prin documentele aferente procedurilor interne stabilite. Pentru persoanele ce justifică accesul la documentul căruia i-a fost ataşată o marcă temporală de către sistem, verificarea mărcilor temporale se va face printr-o procedură distinctă, în afara sistemului informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat. Procedura va fi auditată şi publicată pe pagina proprie de internet a furnizorului de servicii de marcare temporală din cadrul instituţiilor din domeniul apărării, ordinii publice şi siguranţei naţionale.

SECŢIUNEA a 3-a
Suspendarea sau încetarea activităţii furnizorilor
de servicii de marcare temporală

Art. 25. – (1) În conformitate cu prevederile art. 9 alin. (4) din Legea nr. 451/2004, controlul respectării dispoziţiilor Legii nr. 451/2004, precum şi ale prezentului ordin revine MCSI, care acţionează prin personalul de control de specialitate împuternicit în acest scop.
(2) MCSI are dreptul de a efectua controale asupra furnizorilor de servicii de marcare temporală, din oficiu sau la solicitarea oricărei persoane interesate.
(3) În vederea exercitării atribuţiilor de control, personalul împuternicit în acest scop este autorizat în limitele legii:
a) să aibă acces liber, permanent, în orice loc în care se află echipamentele necesare furnizării serviciilor de marcare temporală;
b) să solicite orice document sau informaţie necesară în vederea verificării respectării obligaţiilor ce incumbă furnizorului de servicii de marcare temporală;
c) să verifice punerea în aplicare a oricăror proceduri utilizate de către furnizorul de servicii de marcare temporală supus controlului;
d) să sigileze orice echipamente necesare furnizării de servicii de marcare temporală sau să reţină orice document care are legătură cu această activitate, pe o perioadă care nu poate depăşi 15 zile, dacă aceste măsuri se impun.

Art. 26. – (1) MCSI va dispune, prin ordin, suspendarea activităţii furnizorului de servicii de marcare temporală până la încetarea cauzelor care au determinat luarea măsurii, în următoarele situaţii:
a) furnizorul nu respectă politica de marcare temporală şi procedurile de securitate declarate, într-un mod în care afectează securitatea procesului de marcare temporală;
b) furnizorul încalcă obligaţia prevăzută la art. 5 alin. (1) din Legea nr. 451/2004;
c) odată cu aplicarea sancţiunilor contravenţionale prevăzute la art. 12 din Legea nr. 451/2004;
d) furnizorul nu respectă obligaţiile prevăzute la art. 8 alin. (4) şi art. 16;
e) furnizorul nu remediază în termenul stabilit de MCSI orice alte deficienţe apărute ca urmare a nerespectării prevederilor Legii nr. 451/2004 şi ale prezentului ordin şi constatate cu prilejul efectuării controalelor de către MCSI.
(2) Odată cu comunicarea ordinului de suspendare temporară a activităţii, MCSI comunică furnizorului un termen în care trebuie să remedieze problemele care au determinat luarea acestei măsuri. Termenul nu poate fi mai mic de 30 de zile. Furnizorul poate solicita motivat prelungirea acestui termen.
(3) Suspendarea activităţii încetează în momentul în care furnizorul face dovada încetării cauzelor care au determinat luarea măsurii.
(4) Dacă furnizorul nu remediază problemele care au determinat suspendarea în termenul stabilit în condiţiile alin. (2), MCSI va dispune, prin ordin, încetarea activităţii acestuia.
(5) În perioada în care activitatea sa este suspendată, furnizorul are obligaţia să asigure continuarea funcţionării serviciului de verificare a mărcilor temporale, precum şi consultarea în regim on-line a registrului electronic, cu excepţia cazului în care deficienţele se găsesc la nivelul acestor sisteme.

Art. 27. – (1) În cazul în care furnizorul intenţionează să înceteze activităţile legate de marcarea temporală, va informa MCSI, cu cel puţin 30 de zile în avans, despre intenţia sa, respectiv despre existenţa şi natura împrejurării care justifică imposibilitatea de continuare a activităţilor, prin completarea formularului prevăzut în anexa nr. 5, care face parte integrantă din prezentul ordin.
(2) Furnizorului îi revine obligaţia ca, în situaţia în care se află în imposibilitate de a continua activităţile legate de marcarea temporală şi nu a putut prevedea această situaţie cu cel puţin 30 de zile înainte ca încetarea activităţilor să se producă, să informeze MCSI în termen de 24 de ore din momentul în care a luat cunoştinţă sau trebuia şi putea să ia cunoştinţă despre imposibilitatea continuării activităţilor.
(3) Atât în cazul încetării activităţii din iniţiativa sa, cât şi în cazul în care încetarea activităţii a fost dispusă de MCSI, furnizorul de servicii de marcare temporală va desemna alt furnizor de servicii de marcare temporală, căruia îi va transfera, în tot sau în parte, activităţile sale. Transferul va opera în următoarele condiţii:
a) furnizorul de servicii de marcare temporală va înştiinţa fiecare utilizator, cu cel puţin 30 de zile în avans, despre intenţia sa de transferare a activităţilor legate de marcarea temporală către un alt furnizor, menţionând identitatea acestuia;
b) furnizorul de servicii de marcare temporală va face cunoscute utilizatorilor săi posibilitatea de a refuza acest transfer, precum şi termenul şi condiţiile în care refuzul poate fi exercitat.
(4) Furnizorul aflat în unul dintre cazurile prevăzute la alin. (1) şi (2), ale cărui activităţi nu sunt preluate de un alt furnizor de servicii de marcare temporală, este obligat să depună la MCSI informaţiile şi documentele prevăzute la art. 8 alin. (2) din Legea nr. 451/2004, precum şi dovada revocării certificatului utilizat în procesul de marcare temporală.

CAPITOLUL IV
Dispoziţii finale

Art. 28. – (1) La data intrării în vigoare a prezentului ordin, Decizia preşedintelui Autorităţii Naţionale pentru Comunicaţii nr. 896/2008 privind normele tehnice şi metodologice pentru aplicarea Legii nr. 451/2004 privind marca temporală, publicată în Monitorul Oficial al României, Partea I, nr. 754 din 7 noiembrie 2008, se abrogă.
(2) Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

Bucureşti, 15 iunie 2009.
Nr. 492.

ANEXA Nr. 1

CONŢINUTUL ŞI STRUCTURA
Registrului furnizorilor de servicii de marcare temporală

1. Numărul de ordine al înregistrării, generat automat
2. Codul de identificare a furnizorului de servicii de marcare temporală
3. Calitatea furnizorului: persoană fizică sau persoană juridică
4. Numele şi prenumele furnizorului (pentru persoana fizică)/Denumirea (pentru persoana juridică)
5. Adresa (ţară, oraş, judeţ/sector, stradă, număr, bloc, scara, etaj, apartament, cod poştal, telefon, fax, e-mail, adresa pagina web)
6. Codul unic de înregistrare la registrul comerţului (pentru persoana juridică)
7. Data la care a început activitatea
8. Cheia publică a certificatului calificat folosit de furnizorul de servicii în procesul de marcare temporală
9. Descrierea sistemelor furnizorului de servicii de marcare temporală
10. Codul de proceduri şi practici al furnizorului de servicii de marcare temporală
11. Descrierea politicii generale a furnizorului de servicii de marcare temporală
12. Tipul garanţiei furnizorului
13. Societatea de asigurări/Instituţia financiară care garantează capacitatea financiară a furnizorului
14. Suma asigurată/Suma acoperită prin scrisoarea de garanţie
15. Situaţii critice: câmp ce poate conţine referiri la ultima situaţie critică (de exemplu, întreruperea temporară a activităţii din cauza unor probleme tehnice, modificarea procedurilor, sancţiuni etc.)
16. Data şi ora ultimei actualizări a registrului
17. Situaţia furnizorului (operaţional, suspendat, activitatea încetată, în curs de transferare a activităţii etc.)
18. Motivul suspendării/reluării/încetării activităţii (dacă este cazul)

Răspunde și tu