Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

a) identificarea serviciilor esentiale din sectoarele de activitate reglementate de acestea;
b) identificarea operatorilor de servicii esentiale in sensul prezentei legi si actualizarea listei acestora;
c) identificarea cerintelor de securitate si notificare existente in cadrul sectorului sau subsectorului respectiv, in vederea determinarii nivelului de securitate asigurat de acestea;
d) stabilirea cerintelor specifice de asigurare a securitatii retelelor si sistemelor informatice si de notificare a incidentelor survenite pentru sectoarele si subsectoarele prevazute in anexa;
e) armonizarea cerintelor specifice prevazute la punctele anterioare cu cerintele de securitate si notificare prevazute de prezenta lege;
f) luarea masurilor cu caracter exceptional prevazute la art. 41;
g) stabilirea criteriilor si valorilor de prag specifice, necesare pentru determinarea impactului unui incident la nivelul sectorului sau subsectorului respectiv;
h) armonizarea reglementarilor emise de acestea la nivel de sector cu cerintele prezentei legi.
(2) Cerintele specifice de securitate impuse operatorilor de servicii esentiale sau furnizorilor de servicii digitale prin acte juridice ale Uniunii Europene de directa aplicare sau prin acte juridice ale Uniunii Europene transpuse la nivel national care reglementeaza respectivul sector de activitate se aplica doar in masura in care nivelul de securitate asigurat este cel putin echivalent cu obligatiile prevazute in prezenta lege.
(3) Aplicarea actelor juridice ale Uniunii Europene prevazute la alin. (2) nu deroga de la celelalte obligatii care revin operatorilor de servicii esentiale si furnizorilor de servicii digitale conform prezentei legi.

CAPITOLUL VII
Supraveghere, control, sanctionare
SECTIUNEA 1
Activitatea de control
Art. 35.
(1) CERT-RO exercita controlul respectarii prevederilor prezentei legi, a obligatiilor impuse prin actele emise de CERT-RO in aplicarea prezentei legi, in limitele competentelor legale de monitorizare sau de verificare .
(2) In vederea efectuarii controlului prevazut la alin. (1), directorul general al CERT-RO, prin decizie, desemneaza personalul de specialitate imputernicit sa efectueze controlul si stabileste atributiile acestuia.
(3) Normele de aplicare a dispozitiilor privind controlul indeplinirii obligatiilor de securitate si notificare de catre operatorii de servicii esentiale si furnizorii de servicii digitale si controlul indeplinirii obligatiilor de catre auditorii de securitate informatica atestati ori de catre echipele CSIRT autorizate sa deserveasca operatori de servicii esentiale si furnizori de servicii digitale se aproba, la propunerea CERT-RO, prin ordin al ministrului comunicatiilor si societatii informationale care se publica in Monitorul Oficial al Romaniei, Partea I.

Articolul 36.
(1) In urma sesizarilor primite, din oficiu sau in urma autosesizarii in temeiul art. 27 lit. e), precum si in situatia existentei unor indicii temeinice privind sustragerea unui operator sau furnizor de la obligatiile ce ii revin in temeiul prezentei legi ori incalcarea de catre un auditor, echipa CSIRT sau furnizor de formare autorizat a obligatiilor ce le revin in temeiul prezentei legi, personalul de control poate sa efectueze actiuni de control, in cadrul carora poate sa solicite, mentionand temeiul legal si scopul solicitarii, documentele necesare pentru efectuarea controlului, sa ridice copii de pe registre ori alte acte sau documente, in conditiile legii, inclusiv prevederilor referitoare la pastrarea confidentialitatii tuturor documentelor si informatiilor primite.
(2) In cadrul actiunilor de control, personalul de control poate sa solicite si sa primeasca, la fata locului sau la termenul solicitat, informatiile necesare pentru efectuarea controlului si poate stabili termene pana la care aceste informatii sa ii fie furnizate, in conditiile legii, inclusiv prevederilor referitoare la pastrarea confidentialitatii tuturor documentelor si informatiilor primite.
(3) Rezultatul actiunilor de control va fi consemnat intr-o nota de control .

Articolul 37.
(1) Inainte de aplicarea unei sanctiuni, in cazul descoperirii nerespectarii de catre un furnizor de servicii digitale sau operator de servicii esentiale a unei obligatii prevazute de prezenta lege sau de un act emis de CERT-RO in baza prezentei legi, CERT-RO va transmite entitatii in cauza o notificare prin care ii va aduce la cunostinta incalcarea constatata, masurile cu caracter obligatoriu ce trebuie luate in vederea remedierii deficientelor constatate si stabileste termenul de conformare precum si sanctiunea aplicabila.
(2) Termenul de conformare se calculeaza incepand cu data comunicarii notificarii prevazute la alin. (1).

Articolul 38.
Urmatoarele fapte constituie contraventii daca nu au fost savarsite in astfel de conditii incat sa fie considerate potrivit legii infractiuni:
1. neindeplinirea obligatiei de notificare in vederea inscrierii in Registrul operatorilor de servicii esentiale, prevazuta la art. 8 alin. (1), in termenul prevazut la art. 8 alin. (6);
2. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 8 alin. (7) lit. a);
3. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 8 alin. (7) lit. b);
4. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 8 alin. (7) lit. c);
5. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 8 alin. (7) lit. d);
6. nedepunerea raportului de audit specificat la art. 8 alin. (4) si (7) in termenul comunicat de catre CERT-RO persoanei juridice in temeiul art. 8 alin. (8);
7. neindeplinirea obligatiei prevazute la art. 9 alin. (1) in termenul prevazut la art. 9 alin. (5);
8. neducerea la indeplinire a masurilor dispuse de CERT-RO prin notificarea transmisa in urma controlului, pentru remedierea deficientelor constatate, in termenul de conformare stabilit in conformitate cu prevederile art. 37;
9. neindeplinirea de catre operatorii de servicii esentiale a obligatiei de implementare a masurilor pentru indeplinirea cerintelor minime de securitate in conformitate cu art. 10 alin. (1) lit. a) in termenul stabilit la art. 10 alin. (4);
10. neindeplinirea de catre operatorii de servicii esentiale a obligatiei de implementare a masurilor adecvate pentru a preveni si minimiza impactul incidentelor in conformitate cu art. 10 alin. (1) lit. b) in termenul stabilit la art. 10 alin. (4);
11. incalcarea de catre operatorii de servicii esentiale a obligatiei stabilite la art. 10 alin. (1) lit. c) de a notifica incidentul de securitate ori notificarea acestuia cu o intarziere mai mare de 12 ore de la data constatarii acestuia;
12. incalcarea obligatiei stabilite la art. 10 alin. (1) lit. d) prin nefurnizarea in cadrul notificarii privitoare la incidentul de securitate a informatiilor care sa permita stabilirea impactului transfrontalier al acestuia;
13. nerespectarea prevederilor art. 10 alin. (1) lit. e) in termen de 48 de ore de la data comunicarii de catre CERT-RO a ordinului de incepere a controlului;
14. necomunicarea catre CERT-RO a informatiilor si mijloacelor permanente de contact ori a actualizarilor acestora in termenele stabilite la art. 10 alin. (1) lit. f);
15. neindeplinirea obligatiei de comunicare prevazute la art. 10 alin. (1) lit. g) in termen de 30 de zile;
16. neindeplinirea obligatiei de interconectare prevazute la art. 10 alin. (1) lit. h) in termen de 60 de zile;
17. neluarea de catre operatorul de servicii esentiale a masurilor adecvate de raspuns in termen de 12 ore de la primirea prin serviciul de alertare si cooperare al CERT-RO mentionat la art. 10 alin. (1) lit. h) ori prin celelalte mijloace de contact a alertelor si solicitarilor privitoare la incidente;
18. neindeplinirea de indata a obligatiei de a asigura raspunsul la incidentele survenite stabilite la art. 10 alin. (1) lit. i) ori indeplinirea acesteia cu o intarziere mai mare de 12 ore de la data constatarii incidentului;
19. neindeplinirea obligatiei stabilite la art. 10 alin. (1) lit. i) de a restabili functionarea serviciului esential afectat de incident la parametrii dinaintea incidentului ori intarzierea nejustificata a restabilirii functionarii acestuia;