Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

20. neindeplinirea in urma raspunsului la incident a obligatiei stabilite la art. 10 alin. (1) lit. i) de a efectua auditul de securitate a retelelor si sistemelor informatice afectate;
21. nefurnizarea in termenul stabilit de CERT-RO a informatiilor si documentatiilor solicitate in temeiul art. 10 alin. (2) lit. a);
22. neefectuarea auditului de securitate si netransmiterea rezultatelor acestuia si a datelor necesare in termenul stabilit de CERT-RO in urma solicitarii facute in temeiul prevederilor art. 10 alin. (2) lit. b);
23. incalcarea cumulativa a obligatiilor prevazute la art. 10 alin. (3) si art. 26 alin. (1) - (3) intr-un termen de 12 ore de la data constatarii incidentului de catre operatorul de servicii esentiale.
24. neindeplinirea de catre operatorii de servicii esentiale a obligatiei prevazute la art. 11 in termenele stabilite de CERT-RO prin actul de control comunicat operatorului de servicii esentiale;
25. neducerea la indeplinire de catre furnizorul de servicii digitale a masurilor dispuse de CERT-RO prin notificarea transmisa in urma controlului, pentru remedierea deficientelor constatate in aplicarea prevederilor art. 12 alin. (1) lit. a) si b) in termenul de conformare stabilit in conformitate cu prevederile art. 37;
26. neindeplinirea de catre furnizorii de servicii digitale, in termenul stabilit, a obligatiei de implementare a masurilor pentru respectarea cerintelor minime de securitate in conformitate cu prevederile art. 12 alin. (1) lit. a);
27. neindeplinirea de catre furnizorii de servicii digitale a obligatiei de implementare, in termenul stabilit, a masurilor adecvate pentru a preveni si minimiza impactul incidentelor in conformitate cu prevederile art. 12 alin. (1) lit. b);
28. incalcarea de catre furnizorii de servicii digitale a obligatiei stabilite la art. 12 alin. (1) lit. c) de a notifica incidentul de securitate ori notificarea acestuia cu o intarziere mai mare de 12 ore de la data constatarii acestuia;
29. incalcarea obligatiei stabilite la art. 12 alin. (1) lit. d) prin nefurnizarea in cadrul notificarii privitoare la incidentul de securitate a informatiilor care sa permita stabilirea impactului transfrontalier al acestuia;
30. necomunicarea catre CERT-RO a informatiilor si mijloacelor permanente de contact in termenul stabilit la art. 12 alin. (1) lit. e);
31. neindeplinirea obligatiei de comunicare a modificarilor survenite in datele de contact prevazute la art. 12 alin. (1) lit. e) in termen de 30 de zile;
32. neindeplinirea obligatiei de interconectare prevazute la art. 12 alin. (1) lit. f) in termen de 60 de zile;
33. neluarea de catre furnizorul de servicii digitale a masurilor adecvate de raspuns in termen de 12 ore de la primirea prin serviciul de alertare si cooperare al CERT-RO mentionat la art. 12 alin. (1) lit. f) ori prin celelalte mijloace de contact a alertelor si solicitarilor privitoare la incidente;
34. neindeplinirea obligatiei de a asigura raspunsul la incidentele de securitate si de a asigura continuitatea serviciilor stabilite la art. 12 alin. (1) lit. b) ori indeplinirea acesteia cu o intarziere mai mare de 12 ore de la data constatarii incidentului;
35. nefurnizarea in termenul stabilit de CERT-RO a informatiilor si documentatiilor solicitate in temeiul art. 12 alin. (2) lit. a);
36. neefectuarea auditului de securitate si netransmiterea rezultatelor acestuia si a datelor necesare in termenul stabilit de CERT-RO in urma solicitarii facute in temeiul art. 12 alin. (2) lit. b);
37. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 12 alin. (6) lit. a);
38. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 12 alin. (6) lit. b);
39. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 12 alin. (6) lit. c);
40. neducerea la indeplinire a masurilor instituite de CERT- RO in temeiul art. 20 lit. k), in termen de 60 de zile de la data comunicarii;
41. neconformarea cu normele tehnice prevazute la art. 25 alin. (1);
42. neconformarea operatorilor de servicii esentiale cu normele tehnice privitoare la notificarea incidentelor de securitate prevazute la art. 26 alin. (1);
43. neconformarea furnizorilor de servicii digitale cu normele tehnice privitoare la notificarea incidentelor de securitate prevazute la art. 26 alin. (2);
44. nefurnizarea de catre operatorul de servicii esentiale ori furnizorul de servicii digitale in termenul stabilit de CERT-RO a informatiilor suplimentare solicitate de CERT-RO in temeiul art. 27 lit. b);
45. incalcarea de catre auditorii specificati la art. 32 alin. (1) a normelor privind incompatibilitatea, prevazute la art. 32 alin. (3);
46. furnizarea de rapoarte de audit de securitate dintre cele prevazute la art. 8 alin. (4), respectiv art. 10 alin. (2) lit. b) si art. 12 alin. (2) lit. b), realizate de catre auditori fara atestat valabil eliberat de CERT-RO in temeiul art. 32 alin. (1) si (2) lit. c) ori aflati intr-una din starile de incompatibilitate prevazute la art. 32 alin. (3);
47. asigurarea de servicii de tip echipa CSIRT catre operatorii de servicii esentiale ori furnizorii de servicii digitale de catre entitati care nu detin autorizatie valabila, eliberata in temeiul art. 33 alin. (1) de catre CERT-RO in calitate de autoritate competenta la nivel national;
48. neindeplinirea de catre autoritatile si entitatile de reglementare pentru sectoarele si subsectoarele de activitate prevazute in anexa a obligatiilor prevazute la art. 34 alin. (1), precum si neparticiparea in procesul de stabilire a nivelului de securitate mentionat la art. 34 alin. (2);
49. refuzul de a se supune controlului declansat de CERT- RO in temeiul prevederilor art. 36 ori intarzierea in furnizarea informatiilor si documentelor solicitate in cadrul activitatilor de control in temeiul prevederilor art. 37.

Articolul 39. (1) Contraventiile prevazute la art. 38 se sanctioneaza astfel:
a) cu amenda de la 3.000 lei la 50.000 lei, iar in cazul constatarii unor incalcari repetate limita maxima a amenzii este de 100.000 lei;
b) prin derogare de la dispozitiile art. 8 alin. (2) lit. a) din Ordonanta Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare, pentru persoanele cu o cifra de afaceri de peste 2.000.000 lei, cu amenda in cuantum de la 0,5% la 2% din cifra de afaceri, iar, in cazul unor incalcari repetate, limita maxima a amenzii este de 5% din cifra de afaceri.
(2) In vederea individualizarii sanctiunii, CERT-RO va lua in considerare gradul de pericol social concret al faptei, perioada de timp in care obligatia legala a fost incalcata, precum si, daca este cazul, consecintele incalcarii.
(3) Cifra de afaceri este cea prevazuta in ultima situatie financiara anuala raportata de operatorul economic.
Derogari (1)
(4) Pentru persoanele fizice autorizate, intreprinderile individuale si intreprinderile familiale, cifrei de afaceri prevazute la alin. (1) lit. b) ii corespunde totalitatea veniturilor brute, astfel cum sunt definite de Legea nr. 227/2015 privind Codul fiscal, cu modificarile si completarile ulterioare, realizate de respectivele entitati.
Derogari (1)
(5) Prin exceptie de la prevederile alin. (3) si (4), in cazul in care, in anul financiar anterior sanctionarii, intreprinderea nu a inregistrat cifra de afaceri sau cifra de afaceri nu poate fi determinata, va fi luata in considerare cea aferenta anului financiar in care entitatea a inregistrat cifra de afaceri, an imediat anterior anului de referinta pentru calcularea cifrei de afaceri in vederea aplicarii sanctiunii. In ipoteza in care nici in anul anterior anului de referinta pentru calcularea cifrei de afaceri in vederea aplicarii sanctiunii entitatea nu a realizat cifra de afaceri, va fi luata in calcul ultima cifra de afaceri inregistrata de entitate .
(6) Pentru entitatile nou-infiintate si care nu au inregistrat cifra de afaceri in anul anterior sanctionarii, amenda prevazuta la alin. (1) se stabileste in cuantum de minimum unu si maximum 25 de salarii minime brute pe economie .
(7) In masura in care prezenta lege nu prevede altfel, contraventiilor prevazute la art. 38 li se aplica dispozitiile Ordonantei Guvernului nr. 2/2001, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare.

Articolul 40.
(1) Contraventiile prevazute la art. 38 se constata de catre personalul de control din cadrul CERT-RO prin procesul-verbal de constatare a contraventiei si de aplicare a sanctiunii, semnat de catre personalul care efectueaza controlul si de catre reprezentantul operatorului sau furnizorului prezent la momentul incheierii procesului-verbal, caruia i se va inmana o copie a procesului-verbal.
(2) Sanctiunea pentru contraventiile prevazute la alin. (1) se aplica de catre personalul de control care a facut constatarea .

Articolul 41.
(1) In cazul constatarii unei contraventii in conformitate cu prevederile art. 38, CERT-RO dispune incetarea incalcarii dispozitiilor respective fie imediat, fie intr-un termen rezonabil, precum si orice masuri necesare pentru a asigura incetarea incalcarii si remedierea situatiei produse. Masurile vor fi adecvate si proportionale cu incalcarea savarsita si vor prevedea un termen in care operatorul de servicii esentiale ori furnizorul de servicii digitale trebuie sa se conformeze acestora.
(2) In cazul in care nerespectarea de catre operatori sau furnizori a obligatiilor din prezenta lege poate crea probleme grave de natura economica sau operationala altor operatori sau furnizori, CERT-RO poate lua masuri urgente cu caracter provizoriu pentru remedierea situatiei.