Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

CAPITOLUL I
Dispozitii generale
SECTIUNEA 1
Obiect si scop

Art. 1.
Prezenta lege stabileste cadrul juridic si institutional, masurile si mecanismele necesare in vederea asigurarii unui nivel comun ridicat de securitate a retelelor si sistemelor informatice si a stimularii cooperarii in domeniu .

Articolul 2.
(1) Scopul prezentei legi il constituie:
a) stabilirea cadrului de cooperare la nivel national si de participare la nivel european si international in domeniul asigurarii securitatii retelelor si sistemelor informatice;
b) desemnarea autoritatii competente la nivel national si a entitatilor de drept public si privat care detin competente si responsabilitati in aplicarea prevederilor prezentei legi, a punctului unic de contact la nivel national si a echipei nationale de interventie in caz de incidente de securitate informatica;
c) stabilirea cerintelor de securitate si notificare pentru operatorii de servicii esentiale si pentru furnizorii de servicii digitale si instituirea mecanismelor de actualizare a acestora in functie de evolutia amenintarilor la adresa securitatii retelelor si sistemelor informatice.
(2) Prezenta lege nu se aplica institutiilor din domeniul apararii, ordinii publice si securitatii nationale, precum si Oficiului Registrului National al Informatiilor Secrete de Stat .
SECTIUNEA a 2-a
Definitii si principii
Art. 3. -
In sensul prezentei legi, termenii si expresiile de mai jos au urmatoarea semnificatie:
a) administrarea incidentului - toate procedurile utilizate pentru detectarea, analiza si limitarea unui incident si raspunsul la acesta;
b) domain name system, denumit in continuare DNS - sistem de atribuire de nume distribuite ierarhic intr-o retea in care se efectueaza cautari de nume de domenii;
c) furnizor de servicii digitale - orice persoana juridica care furnizeaza un serviciu digital;
d) furnizor de servicii DNS - entitate care furnizeaza servicii DNS pe internet;
e) incident - orice eveniment care are un impact real negativ asupra securitatii retelelor si a sistemelor informatice;
f) internet exchange point, denumit in continuare IXP - facilitate a retelei care permite interconectarea a mai mult de doua sisteme autonome independente, in special in scopul facilitarii schimbului de trafic de internet; IXP furnizeaza interconectare doar pentru sisteme autonome; IXP nu necesita trecerea printr-un al treilea sistem autonom a traficului de internet dintre orice pereche de sisteme autonome participante si nici nu modifica sau interfereaza intr-un alt mod cu acest trafic;
g) motor de cautare online - un serviciu digital care permite utilizatorilor sa caute, in principiu, in toate site-urile internet sau site-urile internet intr-o anumita limba pe baza unei interogari privind orice subiect sub forma unui cuvant, a unei fraze sau a unei alte informatii-cheie si care revine cu linkuri in care se pot gasi informatii legate de continutul cautat;
h) operator de servicii esentiale - persoana fizica sau juridica de drept public sau privat de tipul celor prevazute in anexa care face parte integranta din prezenta lege, care furnizeaza un serviciu care indeplineste conditiile prevazute la art. 6 alin. (1);
i) piata online - serviciu digital care permite consumatorilor si/sau comerciantilor, astfel cum sunt definiti la art. 3 alin. (1) lit. a) si b) din Ordonanta Guvernului nr. 38/2015 privind solutionarea alternativa a litigiilor dintre consumatori si comercianti, cu modificarile ulterioare, sa incheie cu comerciantii vanzari online sau contracte de servicii, fie pe site-ul internet al pietei online, fie pe site-ul internet al unui comerciant care utilizeaza servicii informatice furnizate de piata online;
j) registru de nume de domenii Top-level - entitate care administreaza si opereaza inregistrarea de nume de domenii de internet intr-un domeniu Top-level (TLD) specific;
k) reprezentant - orice persoana fizica sau juridica stabilita in Uniunea Europeana desemnata explicit sa actioneze in numele unui furnizor de servicii digitale nestabilit in Uniunea Europeana, careia i se poate adresa autoritatea competenta la nivel national sau echipa de raspuns la incidente de securitate informatica, denumita in continuare echipa CSIRT sau CSIRT, in locul furnizorului de servicii digitale in ceea ce priveste obligatiile furnizorului de servicii digitale in temeiul prezentei legi;
l) retea si sistem informatic:
1. retea de comunicatii electronice in sensul prevederilor art. 4 alin. (1) pct. 6 din Ordonanta de urgenta a Guvernului nr. 111/2011 privind comunicatiile electronice, aprobata cu modificari si completari prin Legea nr. 140/2012, cu modificarile si completarile ulterioare;
2. orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate in relatie functionala, dintre care unul sau mai multe asigura prelucrarea automata a datelor cu ajutorul unui program informatic;
3. datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevazute la pct. 1 si 2 in vederea functionarii, utilizarii, protejarii si intretinerii lor;
m) risc - orice circumstanta sau eveniment ce poate fi identificat in mod rezonabil, anterior producerii sale, care are un efect potential negativ asupra securitatii retelelor si a sistemelor informatice;
n) securitatea retelelor si a sistemelor informatice - capacitatea unei retele si a unui sistem informatic de a rezista, la un nivel de incredere dat, oricarei actiuni care compromite disponibilitatea, autenticitatea, integritatea, confidentialitatea sau nonrepudierea datelor stocate ori transmise sau prelucrate ori a serviciilor conexe oferite de reteaua sau de sistemele informatice respective sau accesibile prin intermediul acestora;
o) serviciu digital - serviciu, in sensul prevederilor art. 4 alin. (1) pct. 2 din Hotararea Guvernului nr. 1.016/2004 privind masurile pentru organizarea si realizarea schimbului de informatii in domeniul standardelor si reglementarilor tehnice, precum si al regulilor referitoare la serviciile societatii informationale intre Romania si statele membre ale Uniunii Europene, precum si Comisia Europeana, cu modificarile si completarile ulterioare si care se incadreaza intr-una din categoriile:
1. piata online;
2. motor de cautare online;
3. serviciu de cloud computing;
p) specificatie - specificatie tehnica, in sensul prevederilor art. 2 pct. 4 din Regulamentul (UE) nr. 1.025/2012 al Parlamentului European si al Consiliului din 25 octombrie 2012 privind standardizarea europeana, de modificare a Directivelor 89/686/CEE si 93/15/CEE ale Consiliului si a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE si 2009/105/CE ale Parlamentului European si ale Consiliului si de abrogare a Deciziei 87/95/CEE a Consiliului si a Deciziei nr. 1.673/2006/CE a Parlamentului European si a Consiliului;
q) standard - standard, in sensul prevederilor art. 2 pct. 1 din Regulamentul (UE) nr. 1.025/2012;
r) strategie nationala privind securitatea retelelor si a sistemelor informatice - cadru care furnizeaza obiective si prioritati strategice privind securitatea retelelor si a sistemelor informatice la nivel national;
s) serviciu de cloud computing - serviciu digital care permite accesul la un sistem configurabil de resurse sau servicii informatice care pot fi puse in comun;
s) valoare de prag - valoare minima/maxima, cuantificabila a indicatorilor in baza carora se determina gradul de indeplinire a unui criteriu.

Articolul 4. Principiile care stau la baza prezentei legi:
a) principiul responsabilitatii si constientizarii - consta in efortul continuu derulat de entitatile de drept public si privat in constientizarea rolului si responsabilitatii individuale pentru atingerea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice;
b) principiul proportionalitatii - consta in asigurarea unui echilibru intre riscurile la care retelele si sistemele informatice sunt supuse si cerintele de securitate implementate;
c) principiul cooperarii si coordonarii - consta in realizarea in timp oportun a schimbului de informatii referitoare la riscurile de securitate la adresa retelelor si sistemelor informatice si asigurarea intr-o maniera sincronizata a reactiei la producerea incidentelor.