PROCEDURA ȘI CERINȚELE DE AUDITARE din 3 noiembrie 2025a sistemului informatic al Registrului Naţional de Publicitate Mobiliară din punct de vedere tehnic şi al securităţii tehnologiei informaţiei
Publicat în
MONITORUL OFICIAL nr. 1085 din 25 noiembrie 2025Data intrării în vigoare 25-11-2025
Aprobată prin ORDINUL nr. 2.279/C din 3 noiembrie 2025, publicat în Monitorul Oficial al României, Partea I, nr. 1085 din 25 noiembrie 2025.Articolul 1
(1) Registrul Naţional de Publicitate Mobiliară, registru public în sensul prevederilor Legii nr. 287/2009 privind Codul civil, republicată, cu modificările şi completările ulterioare, şi ale Legii nr. 134/2010 privind Codul de procedură civilă, republicată, cu modificările şi completările ulterioare, denumit în continuare Registru, se auditează din punct de vedere tehnic şi al securităţii tehnologiei informaţiei, la fiecare trei ani sau ori de câte ori se consideră necesar.(2) Auditarea sistemului informatic al Registrului vizează infrastructura IT şi de comunicaţii de date, respectiv componenta hardware, administrată de Ministerul Justiţiei, în calitate de Autoritate de Supraveghere a Registrului (Autoritatea de Supraveghere), şi componenta software, pusă la dispoziţie de Corpul Operatorilor Registrului Naţional de Publicitate Mobiliară, denumit în continuare Corpul Operatorilor, precum şi aplicarea politicilor şi a procedurilor tehnice în domeniu.Articolul 2(1) În aplicarea prevederilor art. 1, Autoritatea de Supraveghere dispune prin ordin al ministrului justiţiei auditarea sistemului informatic al Registrului de către auditori înscrişi în lista auditorilor de securitate cibernetică publicată de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice.(2) Auditorul şi experţii desemnaţi de acesta îşi asumă prin acord scris şi iau măsurile necesare pentru a păstra confidenţialitatea documentelor şi informaţiilor primite pe durata auditului.(3) Perioada supusă auditului reprezintă perioada cuprinsă între două audituri succesive.
(4) La primul audit se realizează auditarea întregului sistem informatic al Registrului, conform art. 1 alin. (2); auditurile subsecvente vizează implementarea recomandărilor formulate de auditor şi asumate de către entităţile auditate, îndreptarea neconformităţilor constatate la auditul anterior, orice alte aspecte stabilite prin ordinul prevăzut la alin. (1), precum şi cele convenite între auditor, Autoritatea de Supraveghere şi Corpul Operatorilor la declanşarea auditului.(5) În aplicarea prevederilor art. 1, Serviciul de Telecomunicaţii Speciale sau alte instituţii cu atribuţii în domeniu întocmesc rapoarte de analiză tehnică şi de securitate a sistemului informatic al Registrului, care vor fi puse la dispoziţia auditorului desemnat în vederea întocmirii raportului de audit.Articolul 3(1) Prin auditarea sistemului informatic al Registrului din punct de vedere tehnic şi al securităţii tehnologiei informaţiei se realizează evaluarea componentelor, politicilor şi procedurilor prevăzute la art. 1 alin. (2), pentru identificarea disfuncţionalităţilor, punctelor vulnerabile şi a riscurilor de securitate cibernetică, precum şi recomandarea de măsuri pentru a reduce aceste riscuri şi a asigura securitatea sistemului informatic.(2) Auditul informatic de securitate se efectuează cu respectarea standardelor, ghidurilor, normelor internaţionale şi europene în domeniul auditării şi în raport cu legislaţia în domeniul publicităţii mobiliare.
Articolul 4(1) Auditul sistemului informatic al Registrului vizează:a) mecanismele tehnice şi procedurale privind asigurarea integrităţii, confidenţialităţii şi disponibilităţii datelor;b) mecanismele tehnice şi procedurale privind asigurarea unei piste de audit relevante în raport cu activitatea Registrului, inclusiv sub următoarele aspecte: nu există posibilitatea utilizării aceloraşi credenţiale (utilizator/identificator cont şi parolă) de către mai multe persoane; atribuirea şi utilizarea elementelor de identificare doar pentru personalul cu atribuţii de operare în Registru; jurnalizarea, monitorizarea şi arhivarea în conformitate cu reglementările specifice în materie pentru a asigura controlul asupra accesului utilizatorilor, a locului de unde are loc accesul şi a datelor accesate;c) respectarea dispoziţiilor legale privind identificarea avizelor şi a proceselor-verbale de căutare, în condiţiile prevăzute de art. 7 şi 18 din Regulamentul privind organizarea şi funcţionarea Registrului Naţional de Publicitate Mobiliară, aprobat prin Hotărârea Guvernului nr. 1.080/2023, denumit în continuare Regulament;d) mecanismele tehnice şi procedurale privind realizarea şi restaurarea copiilor de siguranţă ale bazei de date, conform art. 45 alin. (3) din Regulament;e) mecanismele tehnice şi procedurale privind controlul sursei pentru aplicaţia de înregistrare a avizelor de înscriere; auditarea sistemului informatic al Registrului nu implică acordarea accesului auditorilor la codul sursă al aplicaţiilor software.
(2) Autoritatea de Supraveghere şi Corpul Operatorilor au obligaţia de a ţine evidenţa schimbării integrale a aplicaţiilor informatice, a versiunilor acestora, precum şi a testării acestora din punct de vedere funcţional.Articolul 5Obiectivele auditului tehnic şi al securităţii tehnologiei informaţiei includ:a) identificarea vulnerabilităţilor;b) evaluarea riscurilor;c) identificarea, analizarea şi verificarea problemelor de conformitate cu legislaţia privind publicitatea mobiliară;d) analizarea planului de recuperare din punctul de vedere al securităţii cibernetice;
e) propunerea de îmbunătăţiri şi de soluţii de tratare a riscurilor.Articolul 6(1) Activităţile de audit al sistemului informatic al Registrului vizează:a) auditul arhitecturii - constă în verificarea conformităţii măsurilor de securitate legate de alegerea, poziţionarea şi implementarea dispozitivelor hardware/software în reţeaua şi sistemul informatic ale Registrului, cerinţele minime de securitate şi politicile interne ale Autorităţii de Supraveghere şi Corpului Operatorilor, în raport cu atribuţiile prevăzute de lege; auditul poate fi extins la interconectările cu reţele terţe, inclusiv internetul;b) auditul de configurare - constă în verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerinţele minime de securitate şi politicile de securitate în ceea ce priveşte configuraţia dispozitivelor hardware/software componente ale reţelei şi sistemului informatic ale Registrului; aceste dispozitive pot fi în special echipamente de reţea (server sau staţie de lucru), produse de securitate, aplicaţii software şi produse COTS;c) auditul aplicaţiilor software - constă în analiza condiţiilor de compilare a aplicaţiilor software pentru a descoperi vulnerabilităţile legate de practicile de programare neadecvate sau erorile logice care ar putea avea un impact asupra securităţii reţelei şi sistemului informatic ale Registrului;
d) auditul de penetrare sau testarea de penetrare - constă în identificarea vulnerabilităţilor din reţeaua şi sistemul informatic ale Registrului, verificarea posibilităţilor de exploatare, precum şi a impactului exploatării acestora asupra reţelei, în condiţiile reale ale unui atac cibernetic asupra reţelei şi sistemului informatic; activitatea de audit poate fi desfăşurată fie din afara reţelei (în special din internet sau din reţeaua interconectată a unei terţe părţi), fie din interiorul reţelei;e) auditul securităţii tehnologice - constă în auditul privind securitatea fizică şi urmăreşte să se asigure că politicile şi procedurile de securitate ale Autorităţii de Supraveghere şi ale Corpului Operatorilor:(i) sunt conforme cu nevoile de securitate ale acestora, nivelul tehnologic şi standardele în vigoare;(ii) completează corect măsurile tehnice implementate;(iii) sunt puse efectiv în practică.(2) În situaţia prevăzută la alin. (1) lit. e), auditorul trebuie să se asigure că aspectele fizice ale securităţii reţelei şi sistemului informatic ale Registrului sunt acoperite corespunzător.
(3) Autoritatea de Supraveghere stabileşte, prin ordinul prevăzut la art. 2 alin. (1), efectuarea unuia sau mai multor tipuri de audit.Articolul 7În cazul auditului arhitecturii, Autoritatea de Supraveghere şi Corpul Operatorilor furnizează auditorului elementele de arhitectură şi configurare ale reţelei şi sistemului informatic.Articolul 8(1) La finalizarea auditului şi fără a aştepta definitivarea raportului de analiză tehnică şi de securitate, auditorul informează, în scris, Autoritatea de Supraveghere cu privire la constatările şi concluziile iniţiale ale auditului.(2) Acolo unde este cazul, auditorul prezintă vulnerabilităţile majore şi critice care necesită o acţiune rapidă şi descrie recomandările asociate.
(3) În raport cu atribuţiile care revin Corpului Operatorilor, Autoritatea de Supraveghere îl informează cu privire la constatările şi concluziile iniţiale ale auditului, în vederea formulării de observaţii sau a implementării recomandărilor auditorului.(4) Recomandările implementate de Autoritatea de Supraveghere şi Corpul Operatorilor pe parcursului auditului sunt supuse auditării.Articolul 9(1) În conformitate cu dispoziţiile art. 48 alin. (9) din Regulament, auditorul întocmeşte şi transmite, în format electronic sau pe suport hârtie, raportul de analiză tehnică şi de securitate, care include următoarele elemente:a) o scurtă descriere a sistemului informatic şi de comunicaţii al Registrului, a obiectivelor şi a criteriilor de audit;b) menţionarea obiectivelor auditului, astfel încât să se poată evalua dacă sistemul informatic şi de comunicaţii este sau nu este conform cu standardele şi reglementările legale în vigoare;c) standardele profesionale, metodologia şi tehnologiile folosite în audit, care cuprind tehnicile şi instrumentele folosite în cadrul auditului;
d) identificarea şi evaluarea vulnerabilităţilor în funcţie de scala valorică prevăzută în anexa care face parte integrantă din prezenta procedură, precum şi a riscurilor;e) recomandări pentru îmbunătăţirea sistemului informatic şi de comunicaţii auditat din punct de vedere tehnic şi al securităţii cibernetice;f) concluzii generale care să sintetizeze constatările şi recomandările din raport, precum şi o evaluare generală a sistemului informatic şi de comunicaţii al Registrului.(2) Raportul final de analiză tehnică şi de securitate este întocmit în urma analizării observaţiilor cu privire la raportul prevăzut la alin. (1), formulate de Autoritatea de Supraveghere şi, după caz, de Corpul Operatorilor, şi a verificării implementării recomandărilor cuprinse în acesta.(3) Termenul de păstrare a rapoartelor de audit este de 5 ani.
ANEXĂla procedura şi cerinţele de auditareScala impactului vulnerabilităţilor1. În procesul de stabilire a impactului vulnerabilităţilor se utilizează o scală de clasificare a vulnerabilităţilor.2. Vulnerabilităţile, de origine tehnică sau organizaţională, sunt clasificate în funcţie de riscul pe care îl prezintă pentru reţeaua şi sistemul informatic ale Registrului, adică în funcţie de impactul vulnerabilităţii asupra acestora şi dificultatea de furnizare a serviciului de operare în Registru.3. Nivelul de risc asociat cu fiecare vulnerabilitate este evaluat în funcţie de următoarea scală de valori:– scăzut: risc scăzut pentru reţeaua şi sistemul informatic - poate necesita corecţie;– moderat: risc moderat asupra reţelei şi sistemului informatic - necesită corecţie pe termen mediu;– major: risc major pentru reţeaua şi sistemul informatic - necesită corecţie pe termen scurt;
– critic: risc critic pentru reţeaua şi sistemul informatic - necesită corecţie imediată sau oprirea imediată a serviciului furnizat.4. Uşurinţa în exploatare a vulnerabilităţilor printr-un atac corespunde nivelului de expertiză şi mijloacelor necesare pentru a efectua atacul cibernetic folosind vulnerabilităţile identificate. Se evaluează pe următoarea scală de exploatare:– uşor: operare banală - nu necesită instrumente speciale;– redus: operare simplă - necesită tehnici simple şi instrumente disponibile publicului;– înalt: operare abilitată - necesită abilităţi în securitatea reţelelor şi sistemelor informatice şi dezvoltarea instrumentelor simple pentru exploatarea vulnerabilităţilor publice;– dificil: operare expertiză - necesită expertiză în securitatea reţelelor şi sistemelor informatice şi dezvoltarea instrumentelor specifice pentru exploatarea vulnerabilităţilor nepublicate.
5. Impactul corespunde consecinţelor pe care exploatarea vulnerabilităţii le poate avea asupra reţelei şi sistemului informatic auditate. Se evaluează conform următoarei scale de impact:– minim: nicio consecinţă directă asupra securităţii reţelei şi sistemului informatic;– mediu: consecinţe izolate asupra anumitor puncte ale reţelei şi sistemului informatic;– maxim: consecinţe limitate asupra unei părţi a reţelei şi sistemului informatic;– critic: consecinţe generalizate asupra întregii reţele şi sistemului informatic.6. Tabelul următor indică nivelul de risc inerent fiecărei vulnerabilităţi descoperite, în funcţie de dificultatea lor de exploatare şi de impactul presupus:
------
| EMITENT |
Aprobată prin ORDINUL nr. 2.279/C din 3 noiembrie 2025, publicat în Monitorul Oficial al României, Partea I, nr. 1085 din 25 noiembrie 2025.Articolul 1
| Uşurinţa în exploatareImpact | Dificil | Înalt | Redus | Uşor |
| Minim | Scăzut | Scăzut | Moderat | Major |
| Mediu | Scăzut/Moderat | Moderat | Moderat | Major |
| Maxim | Moderat | Major | Major | Critic |
| Critic | Moderat | Major | Critic | Critic |
