În temeiul prevederilor art. 8 alin. (1), (3) și (5) din Ordonan ța de urgen ță a [630625]

1/12
În temeiul prevederilor art. 8 alin. (1), (3) și (5) din Ordonan ța de urgen ță a
Guvernului nr. 106/2008 privind înfiin țarea Autorit ății Naționale pentru Comunica ții,
precum și ale art. 17 alin. (2) și ale art. 27 alin. (2) di n Legea nr. 135/2007 privind
arhivarea documentelor în form ă electronic ă,

PREȘEDINTELE AUTORIT ĂȚII NAȚIONALE PENTRU COMUNICA ȚII
emite prezenta:

DECIZIE
privind normele metodologice de autorizare a centrelor de date

Art. 1. – (1) Prezenta decizie se aplic ă centrelor de date utilizate de c ătre
administratorii de arhive electronice, în co nformitate cu prevederile Legii nr. 135/2007
privind arhivarea documentelor în form ă electronic ă.
(2) Prezenta decizie stabile ște procedura și condițiile privind acordarea,
suspendarea și retragerea deciziei de autorizare a centrelor de date, emise de c ătre
Autoritatea Na țională pentru Comunica ții, denumit ă în continuare ANC, precum și
conținutul, durata de valabilitate și efectele suspend ării sau retragerii deciziei de
autorizare.

Art. 2. – În înțelesul prezentei decizii, urm ă
torii termeni se definesc astfel:

2/12
a) centru de date – spațiu securizat, dotat cu tehnic ă de calcul și echipamente
de comunica ții prin intermediul c ărora se primesc, se stocheaz ă și se transmit date în
formă electronic ă;
b) procedur ă de autorizare – metod ă de evaluare sistematic ă, documentat ă,
periodică și obiectiv ă a performan ței centrului de date, a sistemului de management și
a proceselor destinate protec ției arhivelor electronice, în scopul verific ării respect ării
cerințelor prev ăzute de legisla ția în vigoare;
c) decizie de autorizare – document emis de ANC care atest ă că un centru de
date îndepline ște toate condi țiile cerute de legisla ția în vigoare în vederea desf ășurării
operațiunilor de arhivare electronic ă;
d) backup – activitatea de copiere a unor fi șiere sau baze de date în vederea
conservării și recuper ării acestora în cazul unei av arii sau al altui eveniment
neprevăzut;
e) UPS (Uninterruptible Power Supply) – dispozitiv care permite calculatorului
să funcționeze pentru o perioad ă scurtă de timp în cazul în care sursa principal ă de
energie este întrerupt ă, respectiv care asigur ă protecție împotriva suprasarcinilor
tranzitorii;
f) firewall – dispozitiv hardware sau aplica ție software care monitorizeaz ă și
filtrează permanent transmisiile de date realizate între re țeaua protejat ă și alte rețele,
pe baza unui set de reguli și criterii;
g) router – dispozitiv hardware sau aplica ție software care conecteaz ă două sau
mai multe re țele de calculatoare;
h) upgrade – proces de îmbun ătățire a unui echipament tehnic sau a unei
aplicații software;
i) redundan ță – introducere de disp ozitive suplimentare fa ță de cel de baz ă,
care să asigure func ționarea unui sistem în cazul când unul dintre dispozitivele cu
aceeași funcție a ieșit întâmpl ător din uz.

Art. 3. – Centrele de date utilizate de c ătre administratorii de arhive electronice
trebuie s ă dispună de dot ările tehnice și să aplice politicile și procedurile de
management și de securitate necesare pentru a îndeplini condi țiile prevăzute la art. 17
alin. (1) din Legea nr. 135/2007.

3/12

Art. 4. – (1) Persoana fizic ă sau juridic ă care inten ționează să obțină
autorizarea unui centru de date în vederea desf ășurării activităților legate de arhivarea
electronic ă a documentelor, denumit ă în continuare solicitant , va transmite ANC o
cerere scris ă în acest sens. Forma și conținutul acestei cereri sunt prev ăzute în anexa
nr. 1.
(2) Cererea prev ăzută la alin. (1) va fi înso țită de următoarele documente:
a) descrierea politicilor și procedurilor de lucru, incl uzând enumerarea posturilor
și funcțiilor personalului, precum și calificările/atest ările profesionale ale acestuia;
b) descrierea general ă a echipamentelor utilizate în procesul de arhivare;
c) procedurile pentru asigurarea disponibilit ății serviciului;
d) politica general ă de securitate, politicile privind utilizatorii, parolele si accesul
la sisteme.
(3) Cererea și documentele anexate se transmit la sediul central al ANC în unul
dintre urm ătoarele moduri:
a) prin depunere, personal sau de c ătre reprezentantul legal, sub luare de
semnătură;
b) printr-un serviciu po ștal;
c) ca înscris în form ă electronic ă, căruia i s-a încorporat, ata șat sau i s-a asociat
logic o semn ătură electronic ă extinsă, bazată pe un certificat calificat nesuspendat sau
nerevocat la momentul respectiv și generat ă cu ajutorul unui dispozitiv securizat de
creare a semn ăturii electronice.
(4) Este considerat ă dată a transmiterii, dup ă caz, data înscrierii în registrul
general de intrare-ie șire a coresponden țe i a l A N C , d a t a c o n f i r m ării primirii
documentelor la sediul central al ANC printr-un serviciu po ștal cu confirmare de
primire sau data confirm ării primirii înscrisului în form ă electronic ă.
(5) În cazul în care documenta ția nu îndepline ște condi țiile prev ăzute de
prezenta decizie, ANC va solicita completare a acesteia, în termen de 10 zile de la
transmiterea solicit ării de completare.
(6) În cazul în care documenta ția transmis ă potrivit alin. (1)-(3) este complet ă
sau a fost completat ă în conformitate cu preved erile alin. (5), ANC demareaz ă
procedura de autorizare a centrului de date.

4/12

Art. 5. – (1) Verificarea îndeplinirii condi țiilor în vederea autoriz ării se face de
către personalul ANC cu atribu ții în acest sens, în cadrul procedurii de autorizare.
(2) Pe perioada desf ășurării procedurii de autorizare, ANC poate solicita orice
documente referitoare la activitate a centrului de date care are leg ătură cu activitatea
de arhivare electronic ă și poate efectua ac țiuni de control pentru a verifica
conformitatea dintre informa țiile declarate în cursul procedurii de autorizare și
realitate.
Art. 6. – În vederea autoriz ării, centrul de date trebuie s ă îndeplineasc ă
condițiile prevăzute la art. 17 alin. (1 ) din Legea nr. 135/2007, obiectivele principale
urmărite de către ANC în cursul procedurii de autorizare pentru verific ărea îndeplinirii
acestor condi ții fiind urm ătoarele:
a) asigurarea securit ății și integrit ății datelor, la nivel de securitate fizic ă și
acces prin mijloace informatice;
b) disponibilitatea serviciului de arhivare electronic ă și backup-ul informa țiilor
stocate.
Art. 7. – În cursul procedurii de autorizare, ANC va verifica îndeplinirea de
către centrul de date, în mod cumulativ, a condi țiilor prev ăzute la art. 8-12.

Art. 8. – Spațiul în care func ționează centrul de date trebuie s ă fie amenajat
astfel încât s ă fie posibil ă respectarea cerin țelor de securitate specifice și să asigure
funcționarea echipamentelor la parametrii optimi prev ăzuți de produc ătorii acestora.
În acest sens, se va asigura:
a) instalarea unor sisteme de climatizare care s ă asigure valorile optime de
temperatur ă și umiditate în vederea func ționării echipamentelor în condi ții de
siguranță;
b) utilizarea de materiale ignifuge și instalarea unor sisteme de prevenire și
stingere a incendiilor, concepute special pentru evitarea deterior ării echipamentelor;
c) dimensionarea corespunz ătoare a re țelei electrice, în func ție de consumurile
echipamentelor folosite;

5/12
d) garantarea siguran ței la defec țiunile previzibile ale sistemelor de utilit ăți
(apă, gaze etc.) care deservesc spa țiul care g ăzduiește centrul de date.
Art. 9. – Asigurarea redundan ței și realizarea backup-ului trebuie s ă fie
implementate prin urm ătoarele m ăsuri:
a) utilizarea de dispozitive UPS și/sau generatoare electrice, care s ă asigure
funcționarea neîntrerupt ă a echipamentelor în cazul opririi aliment ării cu curent
electric de la re țeaua principal ă; timpul de asigurare a aliment ării din sursa de urgen ță
va fi calculat în func ție de timpii estima ți pentru remedierea posibilelor avarii care ar
surveni la re țeaua electric ă principal ă;
b) duplicarea tuturor elementelor re țelei electrice și asigurarea posibilit ății
comutării automate de pe re țeaua principal ă pe rețeaua de rezerv ă;
c) utilizarea procedurilor de lucru care s ă asigure efectuarea de backup periodic
al tuturor informa țiilor păstrate în centrul de date și stocarea acestora în alt spa țiu,
diferit de spa țiul principal al centrului de date, cu asigurarea acelora și condiț
ii de
securitate ca și spațiul principal, aflate la o distan ță față de spațiul principal care s ă
corespund ă normelor europene în domeniu;
d) asigurarea unor proceduri de mentenan ță pentru echipamente și pentru
infrastructur ă, respectând recomand ările produc ătorilor echipamentelor respective,
astfel încât s ă se minimizeze riscul apari ției de probleme tehnice;
e) în cazul echipamentelor critice (a c ăror func ționare permanent ă este
esențială în asigurarea continuit ății funcționării centrului de date) se vor asigura
echipamente de rezerv ă, care vor fi folosite pe perioada efectu ării opera țiunilor de
mentenan ță ce implic ă oprirea sau deconectarea respectivului echipament și pe
perioada în care echipamentul pr incipal este afectat de defec țiuni tehnice.

Art. 10. – Centrul de date trebuie s ă aibă o structur ă scalabilă, atât în ceea ce
privește echipamentele informatice utilizate, cât și infrastructura, cu scopul de a
păstra performan țele sistemului la un nivel constant în cazul apari ției de condi ții noi
(mărirea capacit ății centrului de date, facilit ăți noi etc.).

6/12
Art. 11. – (1) Centrul de date trebuie s ă asigure securitatea și integritatea
informațiilor stocate, atât în ceea ce prive ște accesul fizic la echipamentele utilizate,
cât și accesul prin mijloace electroni ce la documentele arhivate.
(2) Securitatea fizic ă presupune luarea urm ătoarelor m ăsuri:
a) acces controlat la echipamentele centr ului de date utilizat e pentru arhivarea
electronic ă a documentelor, cu precizarea mai multor niveluri de drep turi de acces ale
personalului care opereaz ă sistemele;
b) utilizarea echipamente lor speciale de evitare și detecție a intruziunilor fizice.
(3) Pentru asigurarea securit ății accesului prin mijloace electronice la
documentele arhivate, trebuie utilizate urm ătoarele m ăsuri tehnice:
a) sisteme de detec ție a intruziunilor (Intrusion Detection System – IDS);
b) firewall (software și/sau hardware), routere pe ntru filtrarea traficului;
c) sisteme antivirus; d) securizarea procesel or de autentificare și de autorizare a accesului la date;
e) jurnalizarea automat ă a acțiunilor efectuate în sistem.
Art. 12. – Operarea centrului de date trebuie realizat ă respectându-se strategii,
politici și proceduri bine determinate în ceea ce prive ște managementul, controlul și
securitatea sistemelor. În realizarea acestor politici și proceduri se vor respecta
următoarele cerin țe minimale:
a) jurnalizarea cronologic ă a acțiunilor efectuate în sistem (accesul fizic la
echipamente, comut ări de pe un sistem pe altul, procese de mentenan ță, acțiuni ale
operatorului etc.);
b) evaluarea la intervale regulate a infras tructurii centrului de date, a sistemului
de securitate și a echipamentelor informatice folosite , inclusiv a sistemelor de backup;
c) folosirea unui sistem de management al calit ății;
d) evaluarea efectelor extinderilor si upgrade-urilor;
e) realizarea auditului re gulat al planului de securitate;
f) evaluarea și perfecționarea periodic ă a personalului;
g) implementarea unor politici de resurse umane care s ă asigure operarea
centrului de date de c ătre personal specializat care s ă dispună de certific ări în
domeniu.

7/12

Art. 13. – (1) În termen de 30 de zile de la primirea documenta ției în
conformitate cu prevederile art. 4 alin. (1)-(3) sau a complet ărilor solicitate în
conformitate cu prevederile ar t. 4 alin. (5), ANC emite deci zia de autorizare a centrului
de date sau decizia de respingere a cererii de autorizare, motivat ă în mod
corespunz ător.
(2) Forma și conținutul deciziei de autorizare a centrului de date sunt prev ăzute
în anexa nr. 2.
Art. 14. – (1) Decizia de autorizare este valabil ă pentru o perioad ă de 3 ani de
la data emiterii acesteia.
(2) Autorizarea poate fi reînnoit ă, procedura de reautorizare fiind identic ă cu
cea de autorizare.
(3) Pe durata valabilit ății deciziei de autorizare, AN C are dreptul de a efectua
acțiuni de control periodice, pentru verificarea men ținerii condi țiilor de func ționare a
centrului de date.
Art. 15. – (1) Constatarea de c ătre personalul de control de specialitate din
cadrul ANC a neîndeplinirii condi țiilor minime de func ționare a centrului de date atrage
suspendarea deciziei de autorizare pe o perioad ă de 30 de zile. În aceast ă perioadă,
centrul de date nu poate primi spre stocare documente în form ă electronic ă.
(2) Dacă deficien țele survenite în func ționarea centrului de date nu sunt
remediate în intervalul de timp prev ăzut la alin. (1), ANC va retrage autorizarea, prin
decizie a pre ședintelui.
(3) În cazul expir ă
rii duratei de valabilitate a deciziei de autorizare, precum și în
cazul retragerii autoriz ării de către ANC în condi țiile alin. (2), centrul de date nu mai
poate furniza servicii lega te de arhivarea electronic ă în sensul Legii nr. 135/2007.
(4) În cazul inten ției de încetare a activit ății centrului de date autorizat în
condițiile prezentei decizii, ANC va fi informat ă, cu cel pu țin 30 de zile în avans, despre
această intenție și despre existen ța și natura împrejur ării care justific ă imposibilitatea
de continuare a activit ății. ANC va retrage autorizarea la data încet ării activit ății
centrului de date.

8/12

Art. 16. – Pentru func ționarea corespunz ătoare a centrelor de date se
recomand ă aplicarea și respectarea urm ătoarelor standarde sau a unor standarde
echivalente:
a) SR ISO/CEI 17799:2006 Tehnologia informa ției. Tehnici de securitate. Cod
de bună practică pentru managementul securit ății informa ției;
b) SR ISO/IEC 27001:2006 Tehnologia informa ției. Tehnici de securitate.
Sisteme de management al s ecuritatii informatiei. Cerin țe;
c) SR ISO/CEI 15408-1:2004 Tehnologia informa ției. Tehnici de securitate.
Criterii de evaluare pentru s ecuritatea tehnologiei informa ției. Partea 1: Introducere și
model general;
d) ISO/IEC 20000-1:2005 Tehnologia informa ției – Managementul securit ății –
Partea 1: Specifica ții;
e) ISO/IEC 20000-2:2005 Tehnologia informa ției – Managementul securit ății –
Partea a 2-a: Cod de practic ă;
f) TIA/EIA 942 2005 Standard privin d infrastructura de telecomunica ții a
Centrului de Date;
g) SR EN 50173-5 2008 Tehnologia informa ției. Sisteme generice de cablare.
Partea 5: Centre de date; h) SR EN 50173-1 2008 Tehnologia informa ției. Sisteme generice de cablare.
Partea 1: Cerin țe generale.

Art. 17. – Anexele nr. 1 și 2 fac parte integrant ă din prezenta decizie.

Art. 18. – (1) Prezenta decizie se public ă în Monitorul Oficial al României,
Partea I și intră în vigoare la 3 zile de la data public ării.
(2) Prezenta decizie a fost adoptat ă cu respectarea prevederilor Hot ărârii
Guvernului nr. 1016/2004 privind m ă
surile pentru organizarea și realizarea schimbului
de informa ții în domeniul standardelor și reglement ărilor tehnice, precum și al regulilor
referitoare la serviciile societ ății informa ționale între România și statele membre ale
Uniunii Europene, precum și Comisia European ă, cu modific ările ulterioare.

9/12

PREȘEDINTE,
Dorin Liviu NISTORAN

București, 19 noiembrie 2008
Nr. 1131

10/12
ANEXA Nr. 1

CERERE
pentru începerea procedurii de autorizare

Către:
AUTORITATEA NA ȚIONALĂ PENTRU COMUNICA ȚII

Stimate Domnule Pre ședinte,

Având în vedere prevederile Legii nr . 135/2007 privind arhivarea documentelor
în formă electronic ă, precum și ale Deciziei nr. 1131/ 2008 privind normele
metodologice de autorizare a centrelor de date, v ă solicităm să dispune ți începerea
procedurii de autorizare a centrului de date apar ținând
………….. ………….. …………. ………….. …………….. (numele și prenumele/denumirea
solicitantului), având domiciliul/s ediul în ……………………… ………………………………………
(adresa complet ă, inclusiv telefon și fax), înregistrat ă în Registrul Comer țului al
Municipiului ………………………………, cod numeric pe rsonal/cod unic de înregistrare/cod
de identificare fiscal ă ………….. ……………. ……………. , reprezentat ă legal prin
……………. ……………. ……………. ……………. ………….. …. (numele și prenumele),
domiciliat( ă) în ………….. ………….. ………….. ………….. …………. ………….. ……….……
(adresa complet ă, inclusiv telefon), identificat( ă) prin
……………. ……………. ……………. … (actul de identitate: seria, num ărul, codul numeric
personal).

Numele și prenumele/Denumirea solicitantului
……………………………………… ………………………………
Semnătura reprezentantului legal și ștampila solicitantului
………………………………………… ………………………………………
Data
……………………………….

11/12
ANEXA Nr. 2

DECIZIE
de autorizare a centrului de date

În temeiul prevederilor art. 8 alin. (1), (3) și (5) din Ordonan ța de urgen ță a
Guvernului nr. 106/2008 privind înfiin țarea Autorit ății Naționale pentru Comunica ții,
precum și ale art. 17 alin. (2) și ale art. 27 alin . (2) din Legea nr. 135/2007 privind
arhivarea documentelor în form ă electronic ă,
Având în vedere dispozi țiile Deciziei pre ședintelui Autorit ății Naționale pentru
Comunica ții nr. 1131/2008 privind normele metodolo gice de autorizare a centrelor de
date,

PREȘEDINTELE AUTORIT ĂȚII NAȚIONALE PENTRU COMUNICA ȚII
emite prezenta:
DECIZIE

Art. 1. – Începând cu data comunic ării prezentei decizii, centrul de date
aparținând …………………………… ……………………………………………………… (numele și
prenumele/ denumirea solicitantului autoriz ării) este autorizat s ă desfășoare opera țiuni
de arhivare electronic ă în condi țiile Legii nr. 135/2007 privin d arhivarea documentelor
în formă electronic ă.
Art. 2. – Se certific ă faptul că centrul de date îndepline ște condiț
iile stabilite de
dispozițiile art. 17 din Legea nr. 135/2007 și prevederile art. 8-12 din Decizia
președintelui Autorit ății Naționale pentru Comunica ții nr. 1131/2008 privind normele
metodologice de autorizare a centrelor de date.
Art. 3. – Autorizarea se acord ă pe o perioad ă de 3 ani de la data comunic ării
prezentei decizii și poate fi reînnoit ă pe baza procedurii prev ăzute în Decizia
președintelui Autorit ății Naționale pentru Comunica ții nr. 1131/2008.

12/12
Art. 4. – Prezenta decizie se comunic ă …………….. …………. ………….. ………….
(numele și prenumele/ denumirea persoanei care opereaz ă centrul de date), atât pe
suport de hârtie, cât și în formă electronic ă, semnat ă electronic.

PREȘEDINTE,
………………………………………….