NORME din 27 octombrie 2020privind procedura de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto
EMITENT
  • AUTORITATEA PENTRU DIGITALIZAREA ROMÂNIEI
  • Publicat în  MONITORUL OFICIAL nr. 1018 din 2 noiembrie 2020



    Notă
    Aprobate prin DECIZIA nr. 572 din 27 octombrie 2020, publicată în Monitorul Oficial al României, Partea I, nr. 1.018 din 2 noiembrie 2020.
     +  Capitolul I Dispoziții generale  +  Articolul 1Prezentele norme reglementează procedura de acordare/retragere a avizului tehnic al Autorității pentru Digitalizarea României pentru platformele digitale puse la dispoziție de către operatorii acestora, prin care se asigură intermedierea transportului alternativ cu autoturism și conducător auto.  +  Articolul 2Prezentele norme stabilesc cerințele minime tehnice și de securitate pe care trebuie să le îndeplinească platformele digitale prin care se asigură intermedierea activităților de transport alternativ.  +  Articolul 3În înțelesul prezentelor norme, termenii, expresiile și abrevierile de mai jos au următoarele semnificații:1. activitate de transport alternativ cu autoturism și conducător auto intermediată printr-o platformă digitală, denumită în continuare transport alternativ - deplasarea persoanelor, cu ajutorul unui autoturism, în baza unui contract de transport alternativ încheiat între pasager și operatorul de transport alternativ deținător al autoturismului, care este intermediat de un operator al platformei digitale conform prezentei ordonanțe de urgență printr-o platformă digitală;2. amenințare - cauza potențială a unui incident nedorit, care poate dăuna unui sistem sau unei organizații;3. audit IT - activitatea de colectare și evaluare a unor probe pentru a determina dacă sistemul informatic respectă parametrii de performanțe și de lucru conform cerințelor de proiectare, dacă asigură funcționalitatea necesară cerințelor de afaceri și respectarea legislației în domeniu, dacă este securizat, dacă menține integritatea datelor prelucrate și stocate, dacă permite atingerea obiectivelor strategice ale entității și utilizarea eficientă a resurselor informaționale;4. auditor IT - persoana fizică autorizată care deține certificat de auditor IT sau persoana juridică cu personal certificat care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor și bunelor practici în domeniu;5. autentificare - procedură care permite operatorului platformei digitale să verifice atât identitatea conducătorului auto care prestează activități de transport alternativ, valabilitatea documentelor de transport ale acestuia, cât și identitatea unui utilizator al serviciilor de transport alternativ sau valabilitatea utilizării unui anumit instrument de plată cu acces la distanță și care include utilizarea elementelor de securitate personalizate ale utilizatorului;6. aviz tehnic - document eliberat de către Autoritatea pentru Digitalizarea României pentru platformele digitale puse la dispoziție de către operatorii acestora, prin care se asigură intermedierea transportului alternativ;7. conducător auto - titular, respectiv angajat al unui operator de transport alternativ;8. continuitatea activității - starea de funcționare neîntreruptă a operațiunilor, ce presupune măsuri organizaționale, tehnice și de personal utilizate pentru a asigura continuitatea serviciilor după o întrerupere cauzată de producerea unui eveniment perturbator și pentru reluarea treptată a tuturor serviciilor în cazul unui eveniment perturbator major;9. contract de afiliere - contract încheiat prin intermediul platformei digitale între operatorul de transport alternativ/ conducătorul auto și operatorul platformei digitale, prin care se confirmă îndeplinirea tuturor cerințelor și acceptarea termenilor și condițiilor contractuale afișate pe platforma digitală;10. contractul de transport alternativ - contractul încheiat prin intermediul platformei digitale între un pasager și un operator de transport alternativ de fiecare dată când este contractată o cursă de către un pasager, contract ce prevede termenii și condițiile în care va fi efectuată cursa la solicitarea pasagerului;11. controale informatice - totalitatea politicilor, procedurilor, practicilor, ghidurilor, mijloacelor de gestionare a riscurilor și a structurilor organizaționale informatice proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse, evenimentele nedorite vor fi prevenite sau detectate și corectate;12. cursa - deplasarea intermediată printr-o platformă digitală, executată cu autoturism și conducător auto pe un traseu comandat și acceptat de pasager, de la locul de îmbarcare până la locul de destinație;13. date (informatice) - orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic, incluzându-se și orice program informatic care poate determina realizarea unei funcții similare de către un sistem informatic;14. disponibilitate - capabilitatea unui serviciu IT sau a unui element de configurație IT de a efectua funcțiile agreate;15. incident operațional sau de securitate - un eveniment unic sau o serie de evenimente corelate, neprevăzute de către operatorul platformei digitale, care are un impact negativ asupra integrității, disponibilității, confidențialității, autenticității și/sau continuității activităților de transport alternativ;16. ADR - Autoritatea pentru Digitalizarea României;17. operator al platformei digitale - persoana juridică pe numele căreia se emite avizul tehnic pentru platforma digitală prin care se intermediază transportul alternativ;18. operator de transport alternativ - persoana fizică autorizată, întreprinderea individuală, întreprinderea familială sau persoana juridică deținătoare a autoturismului cu care se efectuează transport alternativ;19. pasager - persoană fizică care contractează transportul alternativ prin intermediul unei platforme digitale;20. plan de securitate - documentul ce descrie totalitatea măsurilor tehnice și administrative care sunt luate de către operatorul platformei digitale pentru utilizarea în condiții de siguranță a platformei digitale;21. platformă digitală - aplicație informatică pentru intermedierea transportului alternativ care îndeplinește condițiile minime tehnice și de securitate menționate în prezentele norme, prin care utilizatorii înregistrați încheie în acest scop un contract de transport alternativ sau un contract de afiliere;22. prelucrarea datelor - orice operațiune sau set de operațiuni efectuate asupra datelor sau asupra seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;23. raport de audit IT - instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, procedurile, constatările și concluziile auditului, precum și orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat prin care este pusă la dispoziție platforma digitală;24. risc de securitate - riscul care rezultă din procesele interne sau evenimentele externe eșuate sau necorespunzătoare, care au sau ar putea avea un impact negativ asupra disponibilității, integrității, confidențialității și asupra sistemelor de tehnologie a informației și a comunicațiilor și/sau asupra informațiilor utilizate de către platforma digitală prin care se intermediază activitățile de transport alternativ;25. securitate informatică - capacitatea unui sistem informatic, rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive, de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;26. siguranță în funcționare - modalitate de gestionare a riscurilor specifice de intermediere a activităților de transport alternativ, în scopul asigurării funcționării conform nivelurilor de calitate a serviciilor;27. sistem informatic - ansamblu de elemente intercorelate funcțional în scopul automatizării obținerii informațiilor necesare activităților operaționale și manageriale într-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware și produselor software, proceduri manuale, baze de date și modele matematice pentru analiză, planificare, control și luarea deciziilor, utilizând componente de introducere și prelucrare a datelor, componente de procesare precum servere, calculatoare, sisteme software de operare de bază, programe informatice, rețele de calculatoare și telecomunicații, componente de stocare și utilizatori, fără ca enumerarea să fie limitativă;28. sistem de asistență pentru utilizatori - set de funcționalități informatice, prin care utilizatorul poate comunica operatorului platformei digitale sugestii/reclamații;29. sistem de verificare a calității transportului alternativ - funcționalitate informatică prin intermediul căreia utilizatorii pot aprecia calitatea serviciilor de transport alternativ;30. tarif - contravaloarea unei curse;31. vulnerabilitate - este un punct slab (defect) în proiectarea, implementarea, operarea sau controlul intern al unui proces care ar putea expune sistemul la un risc de securitate.  +  Articolul 4Transportul alternativ se poate efectua numai prin intermediul unei platforme digitale avizate tehnic de către ADR.  +  Articolul 5În situația în care operatorul platformei digitale este o persoană juridică nerezidentă, acesta este obligat să aibă, pe toată perioada în care își desfășoară activitatea de intermediere a transportului alternativ pe teritoriul României, o filială înregistrată care să îl reprezinte în fața autorităților statului român.  +  Articolul 6Pentru a obține avizul tehnic, platforma digitală pentru intermedierea transportului alternativ trebuie să îndeplinească cumulativ următoarele condiții tehnice:a) să conțină datele de înregistrare fiscală și datele de contact ale operatorului platformei digitale;b) să țină evidența automată a datelor de expirare a permiselor de conducere și a documentelor necesare efectuării operațiunilor de transport alternativ și să notifice automat operatorul de transport alternativ în scopul actualizării documentelor încărcate pe platforma digitală;c) să propună, să afișeze și să înregistreze traseul parcurs, utilizând tehnologii de localizare în conformitate cu legislația comunitară în vigoare;d) să furnizeze date despre tariful pentru efectuarea unei curse pe traseul stabilit în condițiile lit. c) înaintea acceptării cursei de către pasager;e) să furnizeze date despre numărul de înmatriculare al autoturismului cu care se efectuează cursa;f) să monitorizeze toate cursele, continuu, printr-un sistem de localizare;g) să asigure pasagerilor opțiunea de a comunica informații despre dizabilitate/mobilitate redusă și de a comunica cu conducătorul auto căruia i-a fost atribuită cursa și furnizează informații privind localizarea și timpul estimat al sosirii;h) să asigure pasagerilor posibilitatea să raporteze operatorului platformei digitale orice incidente privind efectuarea cursei;i) să asigure o interfață de comunicare disponibilă și accesibilă timp de 24 de ore pe zi, 7 zile pe săptămână pentru incidente privind efectuarea cursei;j) să asigure pasagerului opțiunea decontării prețului cursei pe bază de instrument de plată electronică cu acces la distanță sau în numerar;k) să asigure funcționalități de helpdesk pentru utilizatorii acesteia;l) să asigure publicarea contractului de transport alternativ și a contractului de afiliere care trebuie să cuprindă acei termeni și condiții stabiliți/stabilite de operatorul platformei digitale în îndeplinirea prerogativelor sale, ca participant la activitatea de transport alternativ, și care sunt relevanți pentru pasageri, fără publicarea elementelor comerciale dintre operatorul platformei și operatorul de transport alternativ/conducătorul auto;m) să informeze complet și cuprinzător toți utilizatorii, la înregistrarea acestora pe platforma digitală, cu privire la termenii și condițiile de funcționare a platformei digitale, la drepturile și obligațiile lor în cursul și după utilizarea platformei digitale, precum și cu privire la prelucrarea datelor lor cu caracter personal;n) să permită să devină utilizatori ai platformei digitale doar celor care au fost de acord în mod expres cu acești termeni și aceste condiții;o) să asigure informarea utilizatorilor ori de câte ori au fost făcute modificări asupra acestor termeni și condiții;p) să asigure furnizarea de date către operatorul platformei pentru întocmirea situațiilor financiare;q) să prelucreze datele cu caracter personal cu respectarea Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), cu modificările ulterioare;r) să asigure emiterea și transmiterea către pasager a comenzii, precum și a facturii electronice emise în baza acesteia;s) să asigure accesul la serviciile sale doar al operatorilor de transport, al conducătorilor auto și autoturismelor care îndeplinesc condițiile legale pentru efectuarea transportului alternativ;t) să aibă implementate metode și proceduri adecvate de asigurare a securității cibernetice și protecției datelor, care respectă cerințele de securitate menționate la art. 7;u) să aibă implementat un sistem de verificare a calității pentru activitatea de transport alternativ oferit de operatorii de transport alternativ/conducătorii auto acceptați pe platformă digitală;v) să asigure utilizarea limbii române pentru toate interfețele, informațiile afișate sau tipărite.  +  Articolul 7Cerințele minime de securitate ale sistemelor informatice prin care sunt puse la dispoziție platformele digitale pentru transport alternativ cu autoturism și conducător auto se referă la:a) confidențialitatea și integritatea comunicațiilor între platforma digitală, client și conducătorul auto referitoare la cursele realizate;b) mecanismele care să garanteze confidențialitatea și nerepudierea activităților de transport alternativ efectuate prin intermediul platformei digitale;c) autenticitatea părților care participă la activitățile de transport alternativ și existența metodelor de autentificare în concordanță cu nivelul de securitate al platformei digitale, precum și mijloacele de garantare a identității;d) confidențialitatea, autenticitatea și integritatea informațiilor/datelor aferente activităților de transport alternativ efectuate prin intermediul platformei digitale în timpul procesării, stocării și arhivării acestora;e) trasabilitatea activităților de transport intermediate prin platforma digitală;f) respectarea protecției datelor cu caracter personal în sistemele informatice;g) stocarea, păstrarea datelor înregistrate și jurnalizarea acestora, precum și păstrarea în siguranță a unor copii de rezervă ale datelor și activităților de transport alternativ intermediate prin platforma digitală;h) prevenirea/limitarea/înlăturarea impactului incidentelor de securitate informatică, reluarea în siguranță a activității de transport alternativ și recuperarea informațiilor afectate;i) detectarea, înregistrarea și gestionarea incidentelor de securitate informatică;j) evaluarea riscurilor de securitate informatică și măsuri de gestionare a acestora;k) asigurarea unui proces formal și continuu (cel puțin anual) de pregătire a resurselor umane implicate în operarea, mentenanța și administrarea platformelor digitale care intermediază activități de transport alternativ;l) continuitatea serviciilor oferite clienților;m) gestionarea și administrarea sistemului informatic;n) impactul operațiilor de modificare a:(i) arhitecturii din cadrul sistemului informatic (componente hardware/software) și aplicațiilor software utilizate în ciclul de viață al platformei digitale;(ii) planului de securitate specific securității aferente platformei digitale;o) orice alte activități sau măsuri tehnice întreprinse pentru exploatarea în siguranță a sistemului informatic prin intermediul căruia este pusă la dispoziție platforma digitală.  +  Articolul 8Măsurile tehnice și organizatorice întreprinse pentru îndeplinirea cerințelor tehnice enumerate la art. 6 vor fi în concordanță cu tehnologia utilizată și cu riscurile potențiale.  +  Articolul 9Operatorul platformei digitale are obligația de a implementa măsuri de securitate informatică, de a monitoriza continuu și de a evalua anual riscurile operaționale generate de utilizarea sistemelor informatice prin intermediul cărora este pusă la dispoziție platforma digitală, cu respectarea legislației interne și a reglementărilor comunitare.  +  Articolul 10Datele menționate pentru păstrare în Ordonanța de urgență a Guvernului nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto, aprobată cu modificări prin Legea nr. 204/2019, cu modificările ulterioare, precum și documentele emise în format electronic, a căror păstrare este obligatorie conform normelor în vigoare, aferente activităților de transport alternativ desfășurate prin intermediul platformei digitale, vor fi arhivate conform legislației naționale privind arhivarea electronică.  +  Capitolul II Eliberarea avizului  +  Articolul 11Documentele necesare pentru eliberarea avizului tehnic sunt:a) pentru operatorul platformei digitale, care este o persoană juridică rezidentă în România:1. cererea adresată ADR, conform modelului prevăzut în anexa nr. 1;2. certificatul de înregistrare la oficiul registrului comerțului;3. actul constitutiv al operatorului platformei digitale;4. certificat constatator eliberat de către oficiul registrului comerțului, nu mai vechi de 30 de zile, în care să se specifice datele de identificare ale operatorului platformei digitale și administratorul acestuia;5. copie a cărții de identitate a administratorului societății înscris în certificatul constatator;6. împuternicire și copie a cărții de identitate pentru persoana delegată să reprezinte operatorul în relația cu ADR, dacă este cazul;7. descrierea funcțională a sistemului informatic și a platformei digitale prin intermediul căreia se desfășoară activități de transport alternativ cu autoturism și conducător auto, din care să rezulte că acesta îndeplinește condițiile tehnice prevăzute la art. 6;8. planul de securitate al sistemului informatic, semnat de către operatorii platformei digitale prevăzuți la art. 1, cuprinzând descrierea măsurilor tehnice și organizatorice prevăzute pentru asigurarea cerințelor de securitate enumerate la art. 7;9. raportul de audit, care trebuie să îndeplinească următoarele condiții:(i) să cuprindă elementele prevăzute în raportul de audit prevăzut în anexa nr. 3, fără a se limita la acestea;(ii) să fie întocmit de către un auditor selectat din Lista auditorilor IT publicată pe site-ul ADR;10. data de întocmire a raportului de audit nu trebuie să depășească 60 de zile față de data depunerii documentației de avizare;11. plan de continuitate a afacerii și recuperare în caz de dezastru;12. dovada achitării la bugetul de stat a taxei prevăzute la art. 25 lit. p) din Ordonanța de urgență a Guvernului nr. 49/2019;13. declarația pe propria răspundere a reprezentantului legal al operatorului cu privire la respectarea, în cadrul procesului de intermediere a activităților de transport alternativ prin platforma digitală, a cerințelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);14. contractul încheiat cu un administrator de arhivă electronică acreditat;b) pentru operatorul platformei digitale care este o persoană juridică nerezidentă în România:1. cererea adresată ADR, conform modelului prevăzut în anexa nr. 2;2. certificatul de înregistrare la registrul comerțului a filialei;3. certificatul, în traducere certificată, de la registrul în care este înmatriculat operatorul platformei digitale, care să ateste existența societății;4. hotărârea organului statutar competent privind înființarea filialei prin care se desemnează și persoana împuternicită să reprezinte filiala, original sau copie certificată, și traducerea realizată de un traducător autorizat a cărui semnătură să fie legalizată de un notar public;5. mandatul de reprezentare al filialei ratificat de către operatorul platformei digitale, în care sunt menționate toate drepturile și obligațiile conferite acesteia; expres trebuie să fie specificat(ă) dreptul/obligația de a pune la dispoziția instituțiilor publice, în concordanță cu competențele acestora, datele referitoare la curse, traseu, pasageri, conducători auto, operatori transport, autoturism, localizare, contracte;6. actul constitutiv al operatorului platformei digitale împreună cu toate modificările acestuia sau actul constitutiv actualizat, original sau copie certificată, și traducerea realizată de un traducător autorizat, a cărui semnătură să fie legalizată de un notar public;7. actul de împuternicire a reprezentantului filialei de către operatorul platformei digitale, dacă acesta nu a fost numit prin hotărârea organului statutar competent (copie tradusă și legalizată);8. actele de identitate ale persoanelor împuternicite să reprezinte filiala (copii certificate pentru conformitate);9. certificatul constatator de autorizare a filialei eliberat de către oficiul registrului comerțului, nu mai vechi de 30 de zile, în care să se specifice obiectul de activitate și reprezentantul legal;10. descrierea funcțională a sistemului informatic și a platformei digitale prin intermediul căreia se desfășoară activități de transport alternativ cu autoturism și conducător auto, din care să rezulte că acesta îndeplinește condițiile tehnice prevăzute la art. 6;11. planul de securitate al sistemului informatic, semnat de către operatorul platformei digitale prevăzut la art. 1, cuprinzând descrierea măsurilor tehnice și organizatorice prevăzute pentru asigurarea cerințelor de securitate enumerate la art. 7;12. raportul de audit, care trebuie să îndeplinească următoarele condiții:(i) să cuprindă elementele prevăzute în raportul de audit prezentat în anexa nr. 3, fără a se limita la acestea;(ii) să fie întocmit de către un auditor selectat din Lista auditorilor IT publicată pe site-ul ADR;13. data de întocmire a raportului de audit nu trebuie să depășească 60 de zile față de data depunerii documentației de avizare;14. plan de continuitate al afacerii și recuperare în caz de dezastru;15. dovada achitării la bugetul de stat a taxei prevăzute la art. 25 lit. p) din Ordonanța de urgență a Guvernului nr. 49/2019, aprobată cu modificări prin Legea nr. 204/2019, cu modificările ulterioare;16. declarația pe propria răspundere a reprezentantului legal al operatorului platformei digitale cu privire la respectarea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, în cadrul procesului de intermediere a activităților de transport alternativ prin platforma digitală;17. declarația pe propria răspundere a reprezentantului legal al filialei cu privire la respectarea cerințelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), cu modificările ulterioare, în procesul de reprezentare a operatorului platformei digitale;18. contractul încheiat cu un administrator de arhivă electronică acreditat.  +  Articolul 12(1) Documentele prevăzute la art. 11 se vor transmite către ADR, în limba română, vor fi semnate de către reprezentantul legal al operatorului platformei și vor avea mențiunea „conform cu originalul“.(2) Documentația va fi paginată și însoțită de un opis.  +  Articolul 13Documentația aferentă planului de securitate va avea următoarea structură:1. informații de identificare:a) denumirea operatorului platformei digitale;b) denumirea platformei digitale;c) descrierea generală a soluției tehnice;d) interconectarea sistemului;e) aria geografică în care platforma digitală poate fi utilizată;f) datele de contact ale persoanelor responsabile;2. măsuri pentru securitatea sistemului:a) evaluarea și managementul riscurilor potențiale;b) identificarea, analizarea și remedierea riscurilor de securitate în conformitate cu cele mai bune practici în gestionarea acestora;c) măsurile tehnice de securitate implementate;d) situația cu înregistrarea și analizarea incidentelor de securitate informatică;e) metodologia de recuperare a informațiilor în caz de dezastru și continuarea activității;f) rapoartele de testare a funcționalității platformei digitale în ultimele 12 luni;g) procedurile operaționale de exploatare;h) măsurile aplicate pentru asigurarea securității fizice;i) instruirea personalului propriu în legătură cu administrarea sistemului informatic;j) instrucțiunile de utilizare a platformei digitale (manual de utilizare);k) suportul tehnic oferit clienților care utilizează platforma digitală.3. orice alte informații relevante legate de măsurile luate de către operatorul platformei digitale pentru a asigura exploatarea în siguranță a acesteia.  +  Capitolul III Condiții privind desfășurarea auditului IT  +  Articolul 14(1) Auditarea se va efectua în baza unui contract încheiat între operatorul platformei digitale care a solicitat auditarea și un auditor înscris în Lista auditorilor IT.(2) Operatorul platformei digitale nu poate contracta auditarea cu același auditor IT pentru mai mult de două auditări consecutive.(3) Operatorul are obligația de a se asigura că în contractul de auditare sunt cuprinse în mod obligatoriu clauze cu privire la faptul că auditorul IT trebuie să respecte cerințele impuse pentru efectuarea auditului sistemelor informatice, în conformitate cu prevederile prezentelor norme și cu bunele practici în domeniu.(4) Activitatea de auditare trebuie să respecte conduita etică și profesională, nu presupune încălcarea secretului profesional impus prin clauze contractuale sau prin prevederi legale și nu atrage niciun fel de răspundere asupra persoanei fizice și/sau juridice în cauză ca urmare a respectării prevederilor prezentelor norme.  +  Articolul 15Perioada supusă auditării reprezintă perioada cuprinsă între două auditări consecutive.  +  Articolul 16Pe timpul auditării, auditorul IT are obligația de a analiza situația deficiențelor și vulnerabilităților identificate, întocmită cu ocazia auditării precedente, precum și măsurile întreprinse de către operatorul platformei digitale.  +  Articolul 17Auditorul IT notifică ADR, în scris, în maximum 10 zile de la constatare, orice fapt sau act care:a) este de natură să afecteze utilizarea în siguranță a platformei digitale;b) poate conduce la o opinie de audit cu rezerve, negativă sau imposibilitatea exprimării acesteia.  +  Articolul 18În termen de maximum 10 zile de la solicitarea scrisă a ADR, auditorul IT trebuie să comunice următoarele, fără a se limita la acestea:a) orice raport sau document care a fost adus la cunoștința operatorului auditat;b) motivația de încetare a contractului de audit, dacă aceasta a avut loc înainte de finalizarea auditării.  +  Articolul 19La finalizarea auditării, auditorii IT au obligația de a întocmi un raport de audit IT, care să cuprindă cel puțin elementele enumerate în raportul de audit prevăzut în anexa nr. 3, dar fără a se limita la acestea.  +  Articolul 20Pentru cazurile în care sistemul informatic și platforma digitală utilizată în procesul de intermediere a activității de transport alternativ sunt situate în afara țării, auditarea sistemului se va face astfel:a) auditorul IT înscris în Lista auditorilor IT, publicată pe site-ul ADR, va audita sistemele din străinătate; saub) auditorul IT înscris în Lista auditorilor IT, publicată pe site-ul ADR, agreează auditarea sistemului din străinătate de către un auditor cu o certificare cuprinsă în lista certificărilor necesare pentru înscrierea în lista auditorilor IT și preia responsabilitatea auditării.  +  Articolul 21(1) ADR poate participa la procesul de auditare ca observator, prin reprezentanți desemnați prin decizia președintelui.(2) ADR poate solicita auditorului, în scris, clarificări, precum și documentația de audit, după caz.(3) Operatorul platformei digitale de transport alternativ va permite accesul reprezentanților ADR, în conformitate cu obiectivele specificate în documentele de control.  +  Articolul 22(1) Documentele prevăzute la art. 11 se înaintează către ADR cu minimum 30 de zile înaintea expirării avizului anterior și vor fi întocmite într-un singur exemplar.(2) ADR va emite avizul tehnic pentru platforma digitală în termen de 30 de zile lucrătoare de la depunerea documentației complete.(3) ADR va remite solicitantului un exemplar al avizului tehnic, în termen de 3 zile calendaristice după acordarea acestuia.(4) Avizul acordat este netransmisibil.(5) Avizul tehnic pentru platformele digitale va avea o valabilitate de 24 de luni.(6) ADR publică, pe site-ul propriu, lista platformelor digitale avizate tehnic, operatorii acestora și filialele de reprezentare, precum și datele de contact, actualizându-se ori de câte ori este necesar.(7) Forma avizului tehnic acordat este prevăzută în anexa nr. 4.  +  Articolul 23Avizul tehnic pentru platformele digitale eliberat de către ADR este valabil pe întreg teritoriul României.  +  Articolul 24Operatorul platformei digitale este obligat să publice pe platforma digitală avizul tehnic eliberat de către ADR.  +  Articolul 25Eliberarea de către ADR a avizului tehnic pentru platforma digitală nu exonerează operatorul platformei, clienții și operatorii de transport de răspunderile asumate prin contractul încheiat între aceștia.  +  Articolul 26ADR poate efectua verificări la sediul operatorului platformei digitale avizat sau în curs de avizare prin personal desemnat prin decizie a președintelui ADR.  +  Articolul 27(1) Operatorul platformei digitale va notifica ADR orice dezvoltare, modificare a datelor de exploatare și a procedurilor operaționale care ar putea afecta major funcționarea și securitatea platformei digitale, în termen de 15 zile de la data când devin operaționale. Notificarea conține descrierea modificării/dezvoltării efectuate, impactul acesteia asupra funcționării și securității platformei digitale.(2) Operatorul platformei digitale va notifica ADR, în termen de maximum 10 zile, orice incident de securitate care a afectat în mod direct clienții sau operatorii de transport. Notificarea va cuprinde cauza și măsurile ce urmează a fi luate în vederea remedierii situației apărute.(3) ADR poate solicita un nou raport de audit pentru platforma digitală, după analizarea notificărilor prevăzute la alin. (1) și (2).(4) Operatorul platformei digitale va notifica ADR, în termen de 10 zile, orice modificare privind statutul de operator economic.  +  Capitolul IV Retragerea avizului tehnic  +  Articolul 28ADR va transmite operatorului platformei digitale o notificare prealabilă prin care i se aduc la cunoștință motivele pentru care se va proceda la inițierea demersurilor pentru retragerea avizului.  +  Articolul 29Retragerea avizului tehnic pentru platforma digitală se va face de către ADR în următoarele condiții:a) platforma digitală nu mai îndeplinește cerințele tehnice și de securitate prevăzute la art. 6 și 7;b) în urma verificărilor la sediul operatorului sau pe platforma digitală, se constată nerespectarea prevederilor conținute în documentația de avizare;c) operatorul platformei digitale nu a prezentat raportul de audit menționat la art. 27 alin. (3);d) au fost semnalate incidente de securitate, iar operatorul nu a prezentat notificarea acestora conform art. 27 alin. (2);e) operatorul platformei digitale/filiala a declanșat procedura de faliment sau a fost radiat(ă) din registrul comerțului, după caz.  +  Articolul 30ADR va retrage avizul tehnic dacă, în termen de 30 de zile de la primirea notificării prevăzute la art. 28, operatorul platformei digitale nu trimite documentele justificative privind remedierea aspectelor notificate.  +  Articolul 31Operatorul platformei digitale este obligat să publice pe site-ul propriu înștiințarea de retragere a avizului tehnic emis de către ADR în 24 de ore de la primirea acesteia.  +  Articolul 32După retragerea avizului tehnic în condițiile art. 30 este necesară parcurgerea totală a procedurii de acordare a avizului tehnic prevăzută în prezentele norme.  +  Capitolul V Dispoziții finale  +  Articolul 33Anexele nr. 1-4 fac parte integrantă din prezentele norme.  +  Anexa nr. 1la norme
    CERERE
    de eliberare a avizului tehnic pentru operatorul platformei digitale rezident în România
    Cerere de eliberare a avizului tehnic ............(denumirea operatorului platformei digitale).....................,având sediul în .............(adresa completă, inclusiv e-mail, telefon și fax).....................,înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerțului cu nr. ........(numărul de înregistrare/codul unic de înregistrare).............,cod fiscal ........................................, reprezentat(ă) legal prin ..............(numele și prenumele)................,domiciliat(ă) în .........(adresa completă, inclusiv e-mail și telefon)..........................................,identificat(ă) prin ........(actul de identitate: seria, numărul și emitentul, precum și codul numeric personal)................, în conformitate cu prevederile Hotărârii Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare, cu prevederile art. 8 din Ordonanța de urgență a Guvernului nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto, aprobată cu modificări prin Legea nr. 204/2019, cu modificările ulterioare, vă solicităm eliberarea/menținerea avizului tehnic pentru funcționarea platformei digitale de transport alternativ cu autoturism și conducător auto .........(denumirea platformei digitale)................... .Sistemul informatic al platformei digitale funcționează (va funcționa) la sediul din ................................................................., iar informațiile prevăzute la art. 5 [cu excepția lit. h) și i)] din Legea nr. 365/2002 privind comerțul electronic, republicată, cu modificările ulterioare, pot fi accesate la adresa web: ................................................................... .
    Numele și prenumele solicitantului
    ....................................
    Ștampila solicitantului
    Data ...........................
     +  Anexa nr. 2la norme
    CERERE
    de eliberare a avizului tehnic pentru operatorul platformei digitale nerezident în România
    Cerere de eliberare a avizului tehnic ..........(denumirea operatorului platformei digitale)...........................,având sediul în ..............(adresa completă, inclusiv e-mail, telefon și fax).......................,înmatriculat(ă)/înregistrat(ă) la ...........(țara, registru)................. cu nr. ..........(numărul de înregistrare/codul unic de înregistrare)......,cod fiscal .............................., reprezentat(ă) legal prin filiala ...........(denumirea filialei)...................,cu sediul social în .....(adresa filialei)........................., reprezentată prin .......(numele și prenumele)..........................,domiciliat(ă) în ..................(adresa completă, inclusiv e-mail și telefon)...............................,identificat(ă) prin ............(actul de identitate: seria, numărul și emitentul, precum și codul numeric personal)....................., în conformitate cu prevederile Hotărârii Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare, cu prevederile art. 8 din Ordonanța de urgență a Guvernului nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto, aprobată cu modificări prin Legea nr. 204/2019, cu modificările ulterioare, vă solicităm eliberarea avizului tehnic pentru funcționarea platformei digitale de transport alternativ cu autoturism și conducător auto ..........(denumirea platformei)........................ .Sistemul informatic funcționează (va funcționa) la sediul din ........................,..................................................................., iar informațiile prevăzute la art. 5 [cu excepția lit. h) și i)] din Legea nr. 365/2002 privind comerțul electronic, republicată, cu modificările ulterioare, pot fi accesate la adresa web: ................................................................................... .
    Numele și prenumele solicitantului
    ....................................
    Ștampila solicitantului
    Data ...........................
     +  Anexa nr. 3la norme
    RAPORT DE AUDIT
     +  Secţiunea 1 Raport
    Nr. crt.CapitolObservații
    1.Titlul raportului
    2.Destinatarii raportului și orice restricții privind conținutul și circulația raportului
    3.Paragraf introductivIdentificarea operatorului platformei digitale (denumirea/numărul de înregistrare la Oficiul Național al Registrului Comerțului/adresa) Identificarea platformei digitale (menționarea denumirii platformei digitale) Includerea afirmației că sistemele/aplicațiile informatice au fost auditate ca urmare a obligației legale impuse de Normele privind procedura de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto, aprobate prin Decizia președintelui Autorității pentru Digitalizarea României nr. 572/2020
    4.Asumarea responsabilității conducerii entității privind auditul efectuat asupra sistemelor informatice
    5.Responsabilitatea auditorului ITRaportul de audit IT va include cel puțin afirmațiile: - că „este responsabilitatea auditorului IT să exprime o opinie cu privire la conformitatea sistemelor informatice/platformei digitale cu prevederile Normelor privind procedura de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto, aprobate prin Decizia președintelui Autorității pentru Digitalizarea României nr. 572/2020; - că „raportul de audit IT a fost elaborat în conformitate cu standardul de audit utilizat, respectiv .............................. (menționarea acestuia)“.
    6.Datele de identificare ale coordonatorului certificat al echipei de audit IT/auditorului IT persoană fizică/auditorului IT intern certificatNumele, prenumele, telefon, fax, adresa de e-mail și adresa unde își desfășoară activitatea
    7.Semnătura coordonatorului certificat al echipei de audit și semnătura reprezentantului legal al auditorului persoană juridică/semnătura auditorului IT persoană fizică/semnătura auditorului IT certificat
    8.Obiectivele activității de audit IT, perioada auditată
    9.Sediul desfășurării activității de audit IT, data întocmirii raportului de audit ITAdresa sediului unde a avut loc activitatea de audit IT (sediu central/filială), data întocmirii raportului de audit IT
    10.Descrierea ariei auditului ITIdentificarea sistemului informatic utilizat de către operatorul platformei digitale folosit în punerea la dispoziție a platformei digitale ............................ (menționarea denumirii platformei digitale) Raportarea componentelor sistemului informatic se va face într-un tabel care să cuprindă următoarele: nr. crt.; denumire echipament/aplicație; descriere hardware/software; numărul de serie; funcția îndeplinită; administrarea sistemului informatic (internă/externalizată) Pentru sistemele informatice/platforma digitală supusă auditului IT se vor menționa următoarele: - măsurile organizatorice: politicile aplicabile și procedurile implementate; - un sumar conținând analiza riscurilor aferente activității, a posibilelor deficiențe ale sistemului informatic auditat și a măsurilor de reducere a riscurilor asociate, în baza controalelor generale sau specifice implementate conform prevederilor Normelor privind procedura de acordare/ retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto, aprobate prin Decizia președintelui Autorității pentru Digitalizarea României nr. 572/2020
    11.Referiri cu privire la implementarea planului de acțiune asumat de operatorul platformei digitale rezultat în urma activității de audit IT anterioare, dacă este cazulVerificarea modului de implementare a măsurilor și respectarea termenelor asumate prin raportul de audit anterior
    12.Referiri cu privire la modul de efectuare a evaluării anuale de către operatorul platformei digitale a riscurilor operaționale generate de utilizarea sistemelor informatice importante (Entitățile au obligația să evalueze anual și să monitorizeze continuu riscurile operaționale generate de utilizarea sistemelor informatice importante, să prioritizeze resursele, să implementeze măsuri de securitate informatică și să monitorizeze eficacitatea acestora prin aplicarea managementului de risc.)Opinie cu privire la plauzibilitatea metodologiei/tehnicilor utilizate, precum și asupra măsurilor de control implementate în vederea gestionării riscurilor operaționale identificate
    13.Referiri cu privire la îndeplinirea cerințelor standardului ISO 27001 de către operatorul platformei digitaleVerificarea modului de implementare a măsurilor și respectarea cerințelor standardului ISO 27001
    14.Rezultatul obținut în urma efectuării testului de penetrareConform raportului privind testul de penetrare se consemnează următoarele elemente: - nr. de înregistrare/data raportului privind testele de penetrare; - perioada în care s-au desfășurat testele de penetrare; - descrierea metodologiei/tehnicilor utilizate; - menționarea rezultatelor obținute în urma testului; - concluziile raportului; - recomandările adresate entității și răspunsul managementului entității.
    15.Afirmația de conformitate, reflectată prin opinia auditorului ITOpinie pozitivă, opinie cu rezerve/calificată, opinie negativă, după caz
     +  Secţiunea a 2-a Anexe la raportul de audit IT1. Sumarul observațiilor - anexa nr. R1Anexa este însușită de către entitatea auditată prin semnarea acesteia de către reprezentantul legal și conține, fără a se limita la acestea:a) descrierea neconformității/constatării;b) importanța neconformității/constatării;c) riscurile asociate;d) probabilitatea ca aceste constatări să aibă un impact semnificativ; recomandările auditorului IT pentru acțiuni corective și răspunsul conducerii entității auditate pentru fiecare constatare din raport (inclusiv în urma testului de penetrare);e) planul de acțiune asumat de către entitatea auditată care conține măsurile efective, termenul de implementare și persoanele responsabile de implementare.2. Analiza internă a riscurilor operaționale și registrul riscurilor - anexa nr. R2Anexa conține următoarele informații, fără a se limita la acestea:a) descrierea politicii/metodologiei utilizate de către entitate;b) rezultatele revizuirii riscurilor generate de utilizarea sistemelor informatice;c) rezultatele evaluării de către auditorul IT a măsurilor de control implementate în vederea gestionării riscurilor operaționale identificate (pentru riscuri semnificative).3. Concluzii ale echipei de audit privind respectarea cerințelor impuse de Normele privind procedura de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto, aprobate prin Decizia președintelui Autorității pentru Digitalizarea României nr. 572/2020 - anexa nr. R3NOTĂ:Anexele prevăzute la secțiunea a 2-a „Anexe la raportul de audit“ - R1-R3 - fac parte integrantă din raport.
     +  Anexa nr. 4la norme
    AVIZUL TEHNIC
    Având în vedere:– prevederile Ordonanței de urgență a Guvernului nr. 68/2019 privind stabilirea unor măsuri la nivelul administrației publice centrale și pentru modificarea și completarea unor acte normative, aprobată cu modificări prin Legea nr. 77/2020;– prevederile Ordonanței de urgență a Guvernului nr. 4/2020 privind stabilirea unor măsuri la nivelul administrației publice centrale și pentru modificarea unor acte normative;– Hotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare;– prevederile Deciziei prim-ministrului nr. ......................... privind numirea ....................................................................... în funcția de președinte, cu rang de secretar de stat;– prevederile Ordonanței de urgență a Guvernului nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto, aprobată cu modificări prin Legea nr. 204/2019, cu modificările ulterioare;– Normele privind procedura de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto, aprobate prin Decizia președintelui Autorității pentru Digitalizarea României nr. 572/2020;– Cererea nr. ................................., înregistrată la Registratura ADR cu nr. ....................................;– Nota nr. .............................. referitoare la îndeplinirea condițiilor de acordare a avizului tehnic pentru platforma ...................................................................................,Autoritatea pentru Digitalizarea României eliberează prezentul AVIZ TEHNIC...............(denumirea operatorului platformei)............................................................................,având sediul în .........(adresa completă, inclusiv e-mail, telefon și fax)....................................,înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerțului cu nr. ......................................., cod fiscal ................................., reprezentat(ă) legal prin ............(numele și prenumele)..............................., a obținut avizul tehnic pentru platforma digitală......................................................................, care este pusă la dispoziție la adresa web: .......(denumirea platformei digitale)............................... .Prezentul document s-a eliberat operatorului platformei digitale pentru operarea și punerea la dispoziție a platformei digitale de transport alternativ cu autoturism și conducător auto.Prezentul aviz tehnic are valabilitate 2 (doi) ani începând cu data de .............................., nu este transmisibil și se publică pe platforma digitală a instituției emitente.
    Președintele Autorității pentru Digitalizarea României,
    Ioan-Sabin Sărmaș
    Nr. ............. data .........................
    -----