Emiterea de reglementări tehnice de audit pentru semnăturile electronice și serviciile de încredere: Asigurarea siguranței și sporirea încrederii în spațiul digital

Circulara reprezintă o bază juridică importantă pentru standardizarea proceselor de audit tehnic, asigurând că sistemele și organizațiile care furnizează și utilizează semnături electronice respectă standardele tehnice și de securitate a informațiilor, contribuind la consolidarea încrederii persoanelor, întreprinderilor și agențiilor de management în mediul tranzacțiilor digitale.

Conform reglementărilor, prezenta Circulară se aplică organizațiilor și persoanelor care participă la sau au legătură cu activități de audit tehnic pentru sistemele informatice, procesele de furnizare a serviciilor securizate de semnătură electronică, certificatele securizate de semnătură electronică, semnăturile digitale, certificatele de semnătură digitală și alte servicii de încredere.

În special, agențiile și organizațiile care creează și utilizează semnături electronice securizate sunt încurajate să efectueze în mod proactiv audituri tehnice pentru a autoevalua conformitatea și siguranța sistemelor și a proceselor lor de furnizare a serviciilor. Acesta este un pas important, care demonstrează spiritul de prevenire proactivă a riscurilor de securitate cibernetică, în loc de simpla gestionare a incidentelor atunci când apar încălcări.

Furnizorii de servicii de încredere sunt obligați să efectueze audituri tehnice la fiecare doi ani pentru a se asigura că sistemele și procesele de furnizare a serviciilor sunt menținute într-o stare sigură și stabilă și că îndeplinesc cerințele tehnice conform standardelor naționale.

Conform Circularei, baza pentru evaluarea auditului tehnic o reprezintă cerințele specifice pentru sistemele informatice și procesele de furnizare a serviciilor specificate în reglementările tehnice, standardele tehnice și cerințele tehnice aplicabile semnăturilor electronice, certificatelor electronice și serviciilor de încredere.

Activitățile de audit tehnic se desfășoară în două etape principale: evaluarea informațiilor și documentelor în timpul procesului de planificare și evaluarea propriu-zisă la nivelul organizației auditate. Toate conținuturile trebuie să fie obiective, transparente, în conformitate cu planul și domeniul de aplicare convenite anterior.

Durata maximă a unui audit este de 6 luni și, dacă este necesar, poate fi prelungită cu până la 45 de zile pentru finalizarea acțiunilor corective. După finalizare, pe baza rezultatelor evaluării și a acțiunilor corective (dacă există), organizația de audit va lua în considerare emiterea unui certificat însoțit de un Raport de Audit Tehnic către organizația auditată. Dacă cerințele nu sunt îndeplinite, organizația de audit trebuie să notifice în scris, precizând motivele și anexând Raportul de Audit Tehnic.

Circulara detaliază, de asemenea, conținutul obligatoriu al Raportului de audit tehnic, inclusiv: informații generale despre audit, timpul de implementare, metoda de evaluare, rezultatele analizei riscurilor de securitate a informațiilor, rezultatele testelor de sistem, recomandările tehnice și baza deciziilor de certificare.

Furnizorii de servicii de încredere trebuie să trimită Rapoarte de Audit Tehnic către Ministerul Științei și Tehnologiei , prin intermediul Centrului Național de Autentificare Electronică (NEAC), punctul central pentru sintetizarea, monitorizarea și desfășurarea activității de management al statului.

Raportarea regulată nu numai că ajută la evaluarea stării operaționale a furnizorilor de servicii de încredere, dar creează și o bază de date unificată pentru elaborarea politicilor, gestionarea riscurilor și sprijină agențiile statului în îmbunătățirea calității și siguranței infrastructurii naționale de tranzacții digitale.

Circulara prevede că organizațiile de audit tehnic sunt responsabile pentru exercitarea drepturilor și obligațiilor lor în conformitate cu prevederile legii privind standardele și reglementările tehnice; asigurând independența, obiectivitatea și respectarea deplină a procedurilor de audit tehnic în conformitate cu reglementările privind calitatea produselor și bunurilor și securitatea informațiilor din rețea.

Comitetul Național pentru Standarde, Metrologie și Calitate din cadrul Ministerului Științei și Tehnologiei este punctul central pentru primirea și evaluarea dosarelor de înregistrare pentru desemnarea organizațiilor de audit tehnic și transmiterea acestora către Ministrul Științei și Tehnologiei în vederea luării deciziei de desemnare a organizațiilor calificate în conformitate cu legea privind standardele și calitatea.

Între timp, Centrul Național de Autentificare Electronică este responsabil pentru primirea și sintetizarea rapoartelor de audit tehnic de la organizațiile auditate, raportând periodic Ministrului Științei și Tehnologiei pentru a servi managementului de stat în furnizarea de servicii fiabile.

Emiterea Circularei privind auditul tehnic al semnăturilor electronice și al serviciilor de încredere este considerată un pas important în finalizarea coridorului juridic național privind securitatea informațiilor, autentificarea electronică și transformarea digitală.

Circulara contribuie la standardizarea sistemului de evaluare independentă, la consolidarea controlului riscurilor, la îmbunătățirea autonomiei tehnologice și la crearea încrederii digitale pentru utilizatori în procesul de tranzacționare, semnare și schimb de date electronice.

Circulara intră în vigoare de la 1 ianuarie 2026, marcând un nou pas înainte în managementul tehnic și asigurarea siguranței și fiabilității infrastructurii naționale de semnătură electronică, în direcția obiectivului de construire a unei guvernări digitale, a unei economii digitale și a unei societăți digitale sigure, transparente și dezvoltate durabil.