Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

CAPITOLUL II
Domeniul de aplicare
SECTIUNEA 1
Operatorii de servicii esentiale

Articolul 5 In vederea asigurarii unui nivel ridicat de securitate, operatorii de servicii esentiale se identifica si se inscriu in Registrul operatorilor de servicii esentiale.

Articolul 6.
(1) Un serviciu este considerat esential daca furnizarea lui indeplineste cumulativ urmatoarele conditii:
a) serviciul este esential in sustinerea unor activitati societale si/sau economice de cea mai mare importanta;
b) furnizarea sa depinde de o retea sau de un sistem informatic;
c) furnizarea serviciului este perturbata semnificativ in cazul producerii unui incident .
(2) Evaluarea gradului de perturbare a furnizarii serviciului esential se realizeaza in functie de urmatoarele criterii intersectoriale, fara a fi cumulative:
a) numarul de utilizatori care se bazeaza pe serviciul furnizat de entitatea in cauza;
b) dependenta altor sectoare prevazute in anexa la prezenta lege de serviciul furnizat de entitatea in cauza;
c) impactul pe care l-ar putea avea incidentele, in ceea ce priveste intensitatea si durata, asupra activitatilor economice si societale sau asupra sigurantei publice;
d) cota de piata a entitatii in cauza;
e) distributia geografica in ceea ce priveste zona care ar putea fi afectata de un incident;
f) importanta entitatii pentru mentinerea unui nivel suficient al serviciului, tinand cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului respectiv.
(3) Ministerul Comunicatiilor si Societatii Informationale, denumit in continuare MCSI, la propunerea Centrului National de Raspuns la Incidente de Securitate Cibernetica, denumit in continuare CERT-RO, supune aprobarii prin hotarare a Guvernului in termen de 5 luni de la data intrarii in vigoare a prezentei legi:
a) valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul retelelor si sistemelor informatice ale operatorilor de servicii esentiale;
b) valorile de prag corespunzatoare criteriilor intersectoriale stabilite potrivit dispozitiilor alin. (2);
c) criteriile sectoriale specifice si valorile de prag corespunzatoare fiecarui sector si subsector de activitate prevazut in anexa;
d) normele tehnice de stabilire a impactului incidentelor.
(4) La nivelul MCSI se infiinteaza si functioneaza Grupul de lucru interinstitutional pentru determinarea valorilor de prag necesare pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul retelelor si sistemelor informatice ale operatorilor de servicii esentiale, prevazute la alin. (3).
(5) MCSI, la propunerea CERT-RO, in termen de 3 luni de la data intrarii in vigoare a prezentei legi, supune aprobarii prin hotarare a Guvernului componenta, atributiile si modul de organizare a Grupului de lucru interinstitutional prevazute la alin. (4).
(6) Determinarea valorilor de prag necesare pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul operatorilor de servicii esentiale care furnizeaza servicii din sectorul prevazut la pct. 7 din anexa se realizeaza cu consultarea Autoritatii Nationale pentru Administrare si Reglementare in Comunicatii.

Articolul 7.
(1) Registrul prevazut la art. 5 se alcatuieste pentru sectoarele si subsectoarele prevazute in anexa si raportat la criteriile prevazute la art. 6 si valorile de prag prevazute la art. 6 alin. (3).
(2) Registrul prevazut la alin. (1) se infiinteaza, se intretine si se actualizeaza periodic, cel putin o data la doi ani de la data intrarii in vigoare a prezentei legi de catre CERT-RO in calitate de autoritate competenta la nivel national.
(3) Registrul prevazut la alin. (1) face parte din categoria documentelor clasificate.
(4) Normele metodologice de organizare si functionare a registrului prevazut la art. 5 se aproba, la propunerea directorului general al CERT-RO, prin ordin al ministrului comunicatiilor si societatii informationale, care se publica in Monitorul Oficial al Romaniei, Partea I.

Articolul 8.
(1) Entitatile care indeplinesc conditiile si criteriile prevazute la art. 6 si activeaza intr-unul sau mai multe dintre sectoarele sau subsectoarele de activitate prevazute in anexa au obligatia sa notifice CERT-RO in vederea inscrierii in Registrul operatorilor de servicii esentiale.
Derogari (1)
(2) Prin exceptie de la alin. (1) identificarea in vederea inscrierii in Registrul operatorilor de servicii esentiale se poate face si de catre CERT-RO din oficiu in vederea indeplinirii obligatiilor legale ce ii revin sau in urma unei sesizari privind sustragerea de la obligatia de notificare si inscriere in Registrul operatorilor de servicii esentiale facuta de catre orice persoana interesata, aducand la cunostinta entitatii vizate declansarea procedurii de identificare si comunicand la final operatorului rezultatul acesteia.
(3) Operatorii de servicii esentiale pot solicita asistenta CERT-RO in procesul de identificare .
(4) Inscrierea operatorilor de servicii esentiale in Registrul operatorilor de servicii esentiale se realizeaza prin decizia directorului general al CERT-RO care se comunica operatorului de servicii esentiale in urma depunerii unui raport de audit care atesta indeplinirea cerintelor minime de securitate si notificare, intocmit de un auditor atestat in conformitate cu prevederile art. 32, si a evaluarii informatiilor si documentatiilor furnizate de operator in cadrul procesului de identificare .
(5) Atunci cand o entitate furnizeaza un serviciu dintre cele reglementate la art. 6 alin. (1) lit. a) si in cadrul altor state membre ale Uniunii Europene, CERT-RO se consulta cu autoritatile omologe din statele respective in procesul de identificare inainte de adoptarea unei decizii privind identificarea operatorului.
(6) Notificarea prevazuta la alin. (1) se realizeaza in termen de 30 de zile de la data indeplinirii conditiilor prevazute la art. 6 alin. (1) prin raportare la criteriile intersectoriale de stabilire a impactului unui incident prevazute la art. 6 alin. (2), respectiv la criteriile sectoriale, precum si la valorile de prag prevazute la art. 6 alin. (3) prin depunerea unei declaratii pe propria raspundere .
(7) Operatorii economici si celelalte entitati care opereaza ori furnizeaza servicii in cadrul sectoarelor si subsectoarelor definite in anexa au obligatia de a pune la dispozitia CERT-RO, la cererea acesteia in calitate de autoritate competenta la nivel national, in termen de 60 de zile de la data primirii solicitarii, documentatiile necesare, inclusiv rapoarte de audit, pentru:
a) stabilirea calitatii de operator de servicii esentiale in conformitate cu prevederile art. 6 si 7;
b) stabilirea masurilor necesare pentru conformarea cu cerintele prezentei legi;
c) stabilirea interdependentei si interconectarii retelelor si sistemelor informatice cu cele ale altor operatori de servicii esentiale ori furnizori de servicii digitale, inclusiv a celor pe care se bazeaza furnizarea serviciilor entitatii in cauza;
d) stabilirea listei de autoritati ale statului pentru care furnizeaza serviciile definite la art. 6 alin. (1).
(8) Prin exceptie de la termenul general de furnizare a documentatiilor stabilit la alin. (7), termenul de realizare a auditurilor si de depunere a rapoartelor de audit prevazute la alin. (4) si (7) precum si tematica si obiectivele acestora se stabilesc de catre CERT-RO in urma evaluarii celorlalte informatii furnizate in conformitate cu prevederile alin. (7) si curge de la data primirii comunicarii termenului de catre entitatea vizata.
(9) Documentatia prevazuta la alin. (7) si (8) va fi stabilita prin normele metodologice de identificare a operatorilor de servicii esentiale si furnizorilor de servicii digitale, aprobate la propunerea directorului general al CERT-RO, prin ordin al ministrului comunicatiilor si societatii informationale, care se publica in Monitorul Oficial al Romaniei, Partea I.