Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

(3) In cazul in care nerespectarea de catre operatori sau furnizori a obligatiilor prevazute de prezenta lege prezinta un pericol grav si iminent la adresa apararii nationale, ordinii publice, securitatii nationale sau sanatatii publice, CERT-RO va informa organele judiciare si va notifica institutiile competente din domeniul apararii si securitatii nationale, ordinii publice sau sanatatii publice.
(4) Atunci cand apreciaza ca este necesar, CERT-RO poate mentine masurile dispuse conform prevederilor alin. (2) pentru o perioada de cel mult 90 de zile. In cazul in care punerea in executare a acestora necesita o durata mai mare de timp, CERT-RO poate dispune prelungirea aplicabilitatii pentru o perioada suplimentara de cel mult 90 de zile. Operatorului sau furnizorului in cauza i se va acorda posibilitatea de a-si prezenta punctul de vedere si de a propune solutii pentru remedierea definitiva a situatiei create.
(5) Masurile prevazute la alin. (2) se dispun prin decizie a directorului general al CERT-RO, ce poate fi atacata cu plangere in termen de 30 zile de la comunicare .
(6) Masurile prevazute la alin. (2) se pot dispune de catre CERT-RO cu titlu exceptional si in situatia administrarii unor incidente de natura sa prezinte pericolele ori sa aiba urmarile prevazute la alin. (3), cu consultarea, precum si la solicitarea motivata a institutiilor prevazute la alineatul respectiv.

Articolul 42.
(1) In exercitarea atributiilor ce ii revin potrivit actelor normative in vigoare, CERT-RO va fi sprijinita operativ, la cerere, de catre autoritatile publice, precum si de catre organele de politie in cazuri temeinic justificate, in vederea identificarii si localizarii persoanelor fizice sau juridice care savarsesc fapte de natura contraventionala.
(2) Orice decizie a CERT-RO prin care se vatama drepturile unei persoane fizice sau juridice ori refuzul nejustificat al CERT- RO de a-i procesa cererea referitoare la un drept recunoscut de prezenta lege pot fi atacate in contencios administrativ.

CAPITOLUL VIII
Dispozitii tranzitorii
Art. 43. -
Inscrierea in registrul prevazut la art. 8, in primii 2 ani de la data intrarii in vigoare a prezentei legi, se face prin depunerea unei declaratii pe propria raspundere insotite de o documentatie de autoevaluare a indeplinirii cerintelor minime de securitate si notificare .

CAPITOLUL IX
Dispozitii finale
Art. 44.
Pana la 9 august 2018 si, ulterior, in fiecare an, CERT-RO, in calitate de punct unic de contact, transmite Grupului de cooperare un raport de sinteza privind notificarile primite, care include numarul de notificari si natura incidentelor notificate, precum si actiunile intreprinse in conformitate cu prevederile art. 10 alin. (1) lit. c) si art. 12 alin. (1) lit. c) coroborate cu art. 27 lit. d).

Articolul 45.
(1) Strategia nationala prevazuta la art. 14 va acoperi cel putin urmatoarele elemente:
a) obiectivele si prioritatile strategiei nationale privind securitatea retelelor si a sistemelor informatice;
b) un cadru de guvernanta pentru realizarea obiectivelor si a prioritatilor strategiei nationale privind securitatea retelelor si a sistemelor informatice, care sa includa rolurile si responsabilitatile organismelor guvernamentale si ale altor actori relevanti;
c) identificarea masurilor referitoare la gradul de pregatire, raspuns si redresare, inclusiv cooperarea dintre sectorul public si cel privat;
d) indicarea programelor de instruire, sensibilizare si formare legate de strategia nationala privind securitatea retelelor si a sistemelor informatice;
e) indicarea planurilor de cercetare si dezvoltare legate de strategia nationala privind securitatea retelelor si a sistemelor informatice;
f) un plan de evaluare a riscurilor pentru identificarea riscurilor;
g) o lista a diferitilor actori implicati in punerea in aplicare a strategiei nationale privind securitatea retelelor si a sistemelor informatice.
(2) In elaborarea strategiei, MCSI poate solicita asistenta ENISA.
(3) In termen de 3 luni de la data intrarii in vigoare a prezentei legi, MCSI transmite Comisiei Europene strategia adoptata in temeiul art. 14.
(4) Comunicarea de la alin. (3) nu va contine elementele care au legatura cu securitatea nationala.

Articolul 46.
CERT-RO identifica si stabileste documentele si detaliile tehnice necesare pentru evaluarea initiala a securitatii entitatilor care urmeaza sa se declare operatorii de servicii esentiale.

Articolul 47.
Cerintele de securitate si notificare prevazute la cap. IV nu se aplica:
a) furnizorilor de retele publice de comunicatii electronice si furnizorilor de servicii de comunicatii electronice destinate publicului;
b) prestatorilor de servicii de incredere calificati si necalificati care fac obiectul art. 19 din Regulamentul (UE) nr. 910/2014 al Parlamentului European si al Consiliului din 23 iulie 2014 privind identificarea electronica si serviciile de incredere pentru tranzactiile electronice pe piata interna si de abrogare a Directivei 1999/93/CE.

Articolul 48.
(1) Pana la 9 noiembrie 2018, pentru fiecare sector si subsector mentionat in anexa, pe langa primirea de notificari in vederea inscrierii in Registrul operatorilor de servicii esentiale conform art. 8 alin. (1), CERT-RO identifica operatorii de servicii esentiale care au sediul social, filiala, sucursala, punct de lucru sau alta forma de reprezentare legal stabilita pe teritoriul Romaniei.
(2) In termen de 30 de zile de la data intrarii in vigoare a prezentei legi, MCSI notifica Comisiei Europene regimul sanctionator aplicabil in temeiul prezentei legi, precum si orice modificare ulterioara a acestuia.
(3) In termenul prevazut la alin. (1) si ulterior la fiecare doi ani, CERT-RO transmite Comisiei Europene urmatoarele informatii in vederea evaluarii aplicarii prezentei legi:
a) lista masurilor care permit identificarea operatorilor de servicii esentiale;
b) lista serviciilor prevazute la art. 6 alin. (1) lit. a);
c) numarul operatorilor de servicii esentiale identificati pentru fiecare sector mentionat in anexa si o indicatie a importantei lor in legatura cu sectorul respectiv;
d) limite, atunci cand acestea exista, pentru determinarea nivelului relevant de furnizare, in raport cu numarul de utilizatori care se bazeaza pe serviciul respectiv sau cu importanta operatorului de servicii esentiale.

Articolul 49.