Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

b) elaboreaza si actualizeaza normele tehnice privind cerintele minime de asigurare a securitatii retelelor si sistemelor informatice;
c) elaboreaza si actualizeaza normele tehnice privind indeplinirea obligatiilor de notificare a incidentelor de securitate de catre operatorii si furnizorii prevazuti de prezenta lege;
d) coordoneaza activitatea Grupului de lucru interinstitutional mentionat la art. 6 alin. (4);
e) elaboreaza si actualizeaza, dupa consultarea celorlalte institutii cu responsabilitati in domeniul apararii, ordinii publice si securitatii nationale, precum si a altor institutii si autoritati, dupa caz, normele metodologice, tehnice, precum si regulamentele privind cerintele referitoare la infiintarea, autorizarea si functionarea echipelor CSIRT, desemnarea echipelor CSIRT sectoriale, cele referitoare la atestarea auditorilor calificati cu competente in domeniul securitatii serviciilor esentiale si a serviciilor digitale, precum si normele referitoare la autorizarea formatorilor si furnizorilor de servicii de formare pentru activitatile prevazute la lit. o) si p);
f) elaboreaza si promoveaza practici comune pentru administrarea incidentelor si a riscurilor si pentru sistemele de clasificare a incidentelor, riscurilor si informatiilor;
g) participa, prin reprezentanti, la Grupul de cooperare la nivelul Uniunii Europene constituit pentru a facilita cooperarea strategica si schimbul de informatii intre statele membre, pentru a consolida increderea si in vederea obtinerii unui nivel comun ridicat de securitate a retelelor si a sistemelor informatice in Uniunea Europeana si compus din reprezentanti ai statelor membre, ai Comisiei Europene si ai Agentiei Uniunii Europene pentru Securitatea Retelelor si a Informatiilor - ENISA, in vederea adoptarii solutiilor optime pentru atingerea obiectivului de securitate si a schimbului de informatii intre statele membre, respectiv:
(i) dupa caz, participa la schimbul de experienta privind aspecte legate de securitatea retelelor si a sistemelor informatice cu institutii, organe, oficii si agentii relevante ale Uniunii Europene;
(ii) participa la dezbateri privind standardele si specificatiile prevazute la art. 25 alin. (6) cu reprezentanti ai organizatiilor de standardizare europene relevante;
(iii) colecteaza exemple de bune practici privind riscurile si incidentele;
h) permite echipelor CSIRT acces la datele privind incidentele notificate de operatorii de servicii esentiale sau de furnizorii de servicii digitale, in masura necesara pentru a-si indeplini atributiile, cu respectarea legii;
i) verifica in conditiile art. 35-42 respectarea de catre operatorii de servicii esentiale si furnizorii de servicii digitale a obligatiilor ce le revin conform prezentei legi;
j) emite in temeiul art. 37 dispozitii cu caracter obligatoriu pentru operatorii de servicii esentiale in vederea conformarii si remedierii deficientelor constatate si stabileste termenul pana la care acestia trebuie sa se conformeze;
k) instituie masuri de supraveghere ex post pentru furnizorii de servicii digitale cu privire la neindeplinirea obligatiilor ce le revin conform prevederilor prezentei legi;
l) primeste sesizari cu privire la neindeplinirea obligatiilor operatorilor si furnizorilor prevazuti de prezenta lege;
m) coopereaza cu autoritatile competente din celelalte state si ofera asistenta acestora, prin schimbul de informatii, transmiterea de solicitari si sesizari, efectuarea controlului ori luarea de masuri de supraveghere si remediere a deficientelor constatate, in cazul operatorilor si furnizorilor prevazuti de prezenta lege care isi au sediul principal in Romania ori care, desi au sediul principal stabilit in alt stat membru, retelele sau sistemele informatice ale acestora sunt situate si pe teritoriul Romaniei;
n) monitorizeaza aplicarea prevederilor prezentei legi;
o) autorizeaza, revoca sau reinnoieste autorizarea echipelor CSIRT ce deservesc operatori de servicii esentiale ori furnizori de servicii digitale;
p) elibereaza, revoca sau reinnoieste atestatele auditorilor de securitate informatica care pot efectua audit in cadrul retelelor si sistemelor informatice ce sustin servicii esentiale ori furnizeaza servicii digitale in conditiile prezentei legi;
q) autorizeaza, revoca sau reinnoieste autorizarea formatorilor si furnizorilor de servicii de formare pentru activitatile prevazute la lit. o) si p);
r) alcatuieste si actualizeaza periodic, cel putin o data la doi ani, incepand cu data intrarii in vigoare a prezentei legi, lista serviciilor esentiale care indeplinesc conditiile de la art. 6 alin. (1), cu consultarea autoritatilor si entitatilor prevazute la lit. a), precum si a celor prevazute la art. 15 alin. (2), si o inainteaza MCSI spre a fi supusa aprobarii prin hotarare a Guvernului. Prima lista se supune aprobarii Guvernului in termen de 6 luni de la data intrarii in vigoare a prezentei legi;
s) propune spre aprobare MCSI normele tehnice, metodologice si regulamentele prevazute de prezenta lege, in termen de 6 luni de la data intrarii in vigoare a acesteia.

Articolul 21. - In calitate de punct national unic de contact, CERT-RO are urmatoarele atributii:
a) exercita o functie de legatura intre autoritatile statului si autoritatile similare din alte state, Grupul de cooperare si reteaua echipelor de raspuns la incidentele de securitate informatica, denumita in continuare reteaua CSIRT;
b) elaboreaza si transmite Grupului de cooperare rapoarte de sinteza privind notificarile primite si actiunile intreprinse;
c) transmite, la cererea autoritatilor sau a echipelor CSIRT, catre punctele unice de contact din celelalte state membre notificarile si solicitarile privind incidentele ce afecteaza functionarea serviciilor esentiale si a celor digitale de pe teritoriul respectivelor state;
d) transmite autoritatilor prevazute la art. 15 alin. (2) si art. 16 notificarile si cererile primite din alte state membre, potrivit ariei de responsabilitate.

Articolul 22. - (1) In calitate de CSIRT national, CERT-RO are urmatoarele atributii:
a) monitorizeaza incidentele de securitate a retelelor si sistemelor informatice la nivel national;
b) emite avertizari timpurii, alerte si anunturi si disemineaza informatiile privind riscurile si incidentele catre autoritatile prevazute la art. 15 alin. (2), precum si orice entitate de drept public sau privat careia ii poate fi afectata securitatea retelelor si sistemelor informatice;
c) primeste notificari privind incidentele care afecteaza retelele si sistemele operatorilor de servicii esentiale ori ale furnizorilor de servicii digitale;
d) furnizeaza operatorului de servicii esentiale care a facut notificarea, in masura posibilitatilor, informatii relevante in ceea ce priveste actiunile ulterioare notificarii;
e) stabileste, in baza notificarilor primite, impactul la nivel national si transfrontalier al incidentelor si informeaza autoritatile relevante la nivel national, precum si autoritatile similare din alte state potential afectate;
f) aduce la cunostinta publicului periodic si ori de cate ori este necesar avertizari, alerte si informari privind riscuri si amenintari, posibile masuri de prevenire si contracarare, in scopul cunoasterii de catre public a acestora si al luarii masurilor adecvate, si publica statistici privitoare la incidentele identificate la nivel national, cu respectarea conditiilor prezentei legi;
g) asigura raspunsul la incidente in limitele prezentei legi;
h) elaboreaza analize dinamice de risc si de incident;
i) coopereaza, la nivel national, cu echipele CSIRT in cadrul unei platforme de management al incidentelor si pentru schimbul de informatii;
j) participa la actiunile comune in cadrul retelei CSIRT la nivel european, precum si, dupa necesitati, la actiunile solicitate in cadrul retelelor internationale de cooperare;
k) poate solicita asistenta ENISA pentru ducerea la indeplinire a atributiilor sale;
l) infiinteaza, intretine si opereaza serviciul de alertare si cooperare cu operatorii de servicii esentiale si furnizorii de servicii digitale mentionat la art. 10 alin. (1) lit. h) si art. 12 alin. (1) lit. f).
(2) Echipele CSIRT se conecteaza si realizeaza schimbul de informatii cu echipa CSIRT nationala aflata in cadrul CERT-RO prin intermediul platformei de management al incidentelor, mentionata la alin. (1) lit. i).
(3) In vederea administrarii adecvate a incidentelor majore la nivel national ori pentru administrarea unor incidente care necesita inalta specializare si pregatire tehnica de specialitate, CERT-RO poate dezvolta parteneriate si alcatui echipe mixte compuse din specialisti proprii si specialisti proveniti de la alte institutii ori entitati din mediul privat, cu respectarea legii si asigurarea conditiilor privind confidentialitatea si accesul la informatii in limitele legii si cu acordul partilor implicate in incident .

Articolul 23.
(1) In scopul cooperarii operationale, echipa CSIRT nationala care functioneaza in cadrul CERT-RO participa la reteaua CSIRT compusa din reprezentanti ai echipelor CSIRT nationale ale statelor membre din Uniunea Europeana si cea a CERT-UE.
(2) Cooperarea prevazuta la alin. (1) se realizeaza prin:
a) schimbul de informatii privind serviciile, operatiunile si posibilitatile de cooperare;
b) schimbul si analiza informatiilor fara caracter comercial referitoare la incidentele ce afecteaza un stat membru;
c) schimbul de informatii fara caracter confidential privind incidente individuale;