Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

f) lista de autoritati ale statului afectate de incident;
g) intinderea geografica potentiala a incidentului;
h) date despre efecte potential transfrontaliere ale incidentului.
(4) Notificarea prevazuta la alin. (1) si (2) nu va contine:
a) informatii clasificate;
b) date care pot aduce atingere drepturilor si libertatilor cetatenesti ori intereselor legitime ale unor terte entitati implicate in incident, in conditiile legii.
(5) CERT-RO, in calitate de autoritate competenta la nivel national, elaboreaza si actualizeaza, prin decizie a directorului general publicata in Monitorul Oficial al Romaniei, Partea I, formularele necesare notificarilor de incident efectuate in temeiul prezentului articol, detaliind informatiile si documentatiile necesar a fi furnizate.
(6) CERT-RO, in calitate de CSIRT national, va stabili si va aduce la cunostinta publicului, precum si operatorilor si furnizorilor mentionati in prezenta lege mijloacele de comunicare pentru efectuarea notificarilor cerute prin prezenta lege.
(7) Notificarile privind incidentele ce fac obiectul prezentei legi pot fi facute si de catre echipele CSIRT ale entitatilor de drept public sau privat ori care deservesc un anumit sector de activitate ori de catre furnizorii de servicii de securitate aflati in relatie contractuala, conform atributiilor ce le revin in baza actului de infiintare ori a contractului de prestari servicii, dupa caz.
(8) Notificarea facuta de o echipa CSIRT in temeiul alin. (7) echivaleaza cu notificarea facuta de operatorul sau furnizorul afectat, acesta purtand intreaga raspundere pentru continutul notificarii si indeplinirea celorlalte obligatii ce ii revin conform prezentei legi.
(9) Obligatia de a notifica un incident de catre furnizorii de servicii digitale se aplica doar in cazul in care acestia au acces la informatiile necesare pentru a evalua impactul unui incident asupra parametrilor mentionati la art. 28 alin. (2).
(10) Entitatile care nu au fost identificate drept operatori de servicii esentiale si nu sunt furnizori de servicii digitale pot notifica voluntar CERT-RO, in calitate de CSIRT national, furnizand cel putin informatiile prevazute la alin. (3), incidentele care au un impact semnificativ asupra continuitatii serviciilor pe care le furnizeaza.
(11) CERT-RO trateaza notificarile obligatorii cu prioritate fata de notificarile voluntare.
(12) Notificarile voluntare se trateaza doar atunci cand aceasta prelucrare nu impiedica indeplinirea celorlalte obligatii ce ii revin autoritatii competente la nivel national si in limita resurselor existente.
(13) Notificarea voluntara nu impune entitatii notificatoare nicio obligatie care nu i-ar fi revenit daca nu ar fi facut notificarea .
(14) Notificarile prevazute la alin. (1) si (2) nu atrag raspunderea pentru entitatile care notifica, in conditiile respectarii obligatiilor prevazute de prezenta lege.
SECTIUNEA a 3-a
Managementul incidentelor
Art. 27.
Dupa primirea notificarii, CERT-RO, in calitate de CSIRT national:
a) evalueaza preliminar impactul incidentului la nivel national si alerteaza, sesizeaza ori notifica sau, dupa caz, poate solicita operatorului sau furnizorului sa alerteze alte entitati afectate precum si autoritatile cu responsabilitati in prevenirea, limitarea si combaterea efectelor incidentului, precum si autoritatile prevazute la art. 16, potrivit legii;
b) poate solicita informatii suplimentare operatorului sau furnizorului care a facut notificarea in vederea indeplinirii obligatiilor ce ii revin, mentionand termenul de furnizare a acestora;
c) ofera operatorului sau furnizorului care a facut notificarea, atunci cand circumstantele o permit, informatii care ar putea sprijini administrarea incidentului;
d) in calitate de punct unic de contact, informeaza celelalte state membre sau partenere afectate daca incidentul are un impact semnificativ asupra continuitatii serviciilor esentiale ori a serviciilor digitale in statele respective;
e) in urma analizei incidentelor, poate, dupa caz, declansa actiune de control pentru verificarea respectarii cerintelor prezentei legi;
f) poate lua masurile prevazute la art. 41;
g) coordoneaza la nivel national raspunsul la incident in colaborare cu celelalte autoritati si entitati publice sau private, conform domeniului de activitate si responsabilitate.

Articolul 28.
(1) Impactul unui incident se determina tinand cont cel putin de urmatorii parametri:
(i) in cazul operatorilor de servicii esentiale:
a) numarul de utilizatori afectati de perturbarea serviciului esential;
b) durata incidentului;
c) distributia geografica in ceea ce priveste zona afectata de incident;
(ii) in cazul furnizorilor de servicii digitale:
a) numarul de utilizatori afectati de incident, in special utilizatori care se bazeaza pe serviciul pentru furnizarea propriilor servicii;
b) durata incidentului;
c) distributia geografica in ceea ce priveste zona afectata de incident;
d) amploarea perturbarii functionarii serviciului;
e) amploarea impactului asupra activitatilor economice si societale.
(2) Grupul de lucru interinstitutional prevazut la art. 6 alin. (4) elaboreaza si actualizeaza normele tehnice de stabilire a impactului pentru categoriile de operatori si furnizori prevazuti de prezenta lege.
(3) Criteriile prevazute la pct. 2. se aplica si notificarilor voluntare efectuate in temeiul prevederilor art. 26 alin. (10).

Articolul 29.
(1) CERT-RO poate instiinta publicul, atunci cand informarea este necesara pentru a preveni un incident sau pentru a se administra un incident in curs.
(2) Pentru incidentele care afecteaza un operator de servicii esentiale sau un furnizor de servicii digitale, informarea mentionata la alin. (1) se realizeaza dupa consultarea prealabila a acestuia asupra continutului instiintarii.
(3) In cazul furnizorilor de servicii digitale, informarea publicului specificata la alin. (1) poate fi facuta si direct de catre acestia la solicitarea CERT-RO ori a autoritatilor sau echipelor CSIRT ale altor state membre afectate.

Articolul 30.
(1) In activitatile de identificare a operatorilor de servicii esentiale si furnizorilor de servicii digitale, de control, de primire a notificarilor privitoare la incidente si de management al acestora desfasurate in baza prezentei legi, precum si in procesele interne, CERT-RO protejeaza interesele de securitate si comerciale ale operatorului de servicii esentiale si ale furnizorului de servicii digitale, precum si confidentialitatea informatiilor furnizate.