Coordonator: Av. Marius-Cătălin Preduţ

Prima pagină » Legislaţie » Integral: Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

INTEGRAL: Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice


Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

Publicata in Monitorul Oficial nr. 21 din 09.01.2019


CAPITOLUL I
Dispozitii generale
SECTIUNEA 1
Obiect si scop

Art. 1.
Prezenta lege stabileste cadrul juridic si institutional, masurile si mecanismele necesare in vederea asigurarii unui nivel comun ridicat de securitate a retelelor si sistemelor informatice si a stimularii cooperarii in domeniu.

Articolul 2.
(1) Scopul prezentei legi il constituie:
a) stabilirea cadrului de cooperare la nivel national si de participare la nivel european si international in domeniul asigurarii securitatii retelelor si sistemelor informatice;
b) desemnarea autoritatii competente la nivel national si a entitatilor de drept public si privat care detin competente si responsabilitati in aplicarea prevederilor prezentei legi, a punctului unic de contact la nivel national si a echipei nationale de interventie in caz de incidente de securitate informatica;
c) stabilirea cerintelor de securitate si notificare pentru operatorii de servicii esentiale si pentru furnizorii de servicii digitale si instituirea mecanismelor de actualizare a acestora in functie de evolutia amenintarilor la adresa securitatii retelelor si sistemelor informatice.
(2) Prezenta lege nu se aplica institutiilor din domeniul apararii, ordinii publice si securitatii nationale, precum si Oficiului Registrului National al Informatiilor Secrete de Stat.
SECTIUNEA a 2-a
Definitii si principii
Art. 3. -
In sensul prezentei legi, termenii si expresiile de mai jos au urmatoarea semnificatie:
a) administrarea incidentului - toate procedurile utilizate pentru detectarea, analiza si limitarea unui incident si raspunsul la acesta;
b) domain name system, denumit in continuare DNS - sistem de atribuire de nume distribuite ierarhic intr-o retea in care se efectueaza cautari de nume de domenii;
c) furnizor de servicii digitale - orice persoana juridica care furnizeaza un serviciu digital;
d) furnizor de servicii DNS - entitate care furnizeaza servicii DNS pe internet;
e) incident - orice eveniment care are un impact real negativ asupra securitatii retelelor si a sistemelor informatice;
f) internet exchange point, denumit in continuare IXP - facilitate a retelei care permite interconectarea a mai mult de doua sisteme autonome independente, in special in scopul facilitarii schimbului de trafic de internet; IXP furnizeaza interconectare doar pentru sisteme autonome; IXP nu necesita trecerea printr-un al treilea sistem autonom a traficului de internet dintre orice pereche de sisteme autonome participante si nici nu modifica sau interfereaza intr-un alt mod cu acest trafic;
g) motor de cautare online - un serviciu digital care permite utilizatorilor sa caute, in principiu, in toate site-urile internet sau site-urile internet intr-o anumita limba pe baza unei interogari privind orice subiect sub forma unui cuvant, a unei fraze sau a unei alte informatii-cheie si care revine cu linkuri in care se pot gasi informatii legate de continutul cautat;
h) operator de servicii esentiale - persoana fizica sau juridica de drept public sau privat de tipul celor prevazute in anexa care face parte integranta din prezenta lege, care furnizeaza un serviciu care indeplineste conditiile prevazute la art. 6 alin. (1);
i) piata online - serviciu digital care permite consumatorilor si/sau comerciantilor, astfel cum sunt definiti la art. 3 alin. (1) lit. a) si b) din Ordonanta Guvernului nr. 38/2015 privind solutionarea alternativa a litigiilor dintre consumatori si comercianti, cu modificarile ulterioare, sa incheie cu comerciantii vanzari online sau contracte de servicii, fie pe site-ul internet al pietei online, fie pe site-ul internet al unui comerciant care utilizeaza servicii informatice furnizate de piata online;
j) registru de nume de domenii Top-level - entitate care administreaza si opereaza inregistrarea de nume de domenii de internet intr-un domeniu Top-level (TLD) specific;
k) reprezentant - orice persoana fizica sau juridica stabilita in Uniunea Europeana desemnata explicit sa actioneze in numele unui furnizor de servicii digitale nestabilit in Uniunea Europeana, careia i se poate adresa autoritatea competenta la nivel national sau echipa de raspuns la incidente de securitate informatica, denumita in continuare echipa CSIRT sau CSIRT, in locul furnizorului de servicii digitale in ceea ce priveste obligatiile furnizorului de servicii digitale in temeiul prezentei legi;
l) retea si sistem informatic:
1. retea de comunicatii electronice in sensul prevederilor art. 4 alin. (1) pct. 6 din Ordonanta de urgenta a Guvernului nr. 111/2011 privind comunicatiile electronice, aprobata cu modificari si completari prin Legea nr. 140/2012, cu modificarile si completarile ulterioare;
2. orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate in relatie functionala, dintre care unul sau mai multe asigura prelucrarea automata a datelor cu ajutorul unui program informatic;
3. datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevazute la pct. 1 si 2 in vederea functionarii, utilizarii, protejarii si intretinerii lor;
m) risc - orice circumstanta sau eveniment ce poate fi identificat in mod rezonabil, anterior producerii sale, care are un efect potential negativ asupra securitatii retelelor si a sistemelor informatice;
n) securitatea retelelor si a sistemelor informatice - capacitatea unei retele si a unui sistem informatic de a rezista, la un nivel de incredere dat, oricarei actiuni care compromite disponibilitatea, autenticitatea, integritatea, confidentialitatea sau nonrepudierea datelor stocate ori transmise sau prelucrate ori a serviciilor conexe oferite de reteaua sau de sistemele informatice respective sau accesibile prin intermediul acestora;
o) serviciu digital - serviciu, in sensul prevederilor art. 4 alin. (1) pct. 2 din Hotararea Guvernului nr. 1.016/2004 privind masurile pentru organizarea si realizarea schimbului de informatii in domeniul standardelor si reglementarilor tehnice, precum si al regulilor referitoare la serviciile societatii informationale intre Romania si statele membre ale Uniunii Europene, precum si Comisia Europeana, cu modificarile si completarile ulterioare si care se incadreaza intr-una din categoriile:
1. piata online;
2. motor de cautare online;
3. serviciu de cloud computing;
p) specificatie - specificatie tehnica, in sensul prevederilor art. 2 pct. 4 din Regulamentul (UE) nr. 1.025/2012 al Parlamentului European si al Consiliului din 25 octombrie 2012 privind standardizarea europeana, de modificare a Directivelor 89/686/CEE si 93/15/CEE ale Consiliului si a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE si 2009/105/CE ale Parlamentului European si ale Consiliului si de abrogare a Deciziei 87/95/CEE a Consiliului si a Deciziei nr. 1.673/2006/CE a Parlamentului European si a Consiliului;
q) standard - standard, in sensul prevederilor art. 2 pct. 1 din Regulamentul (UE) nr. 1.025/2012;
r) strategie nationala privind securitatea retelelor si a sistemelor informatice - cadru care furnizeaza obiective si prioritati strategice privind securitatea retelelor si a sistemelor informatice la nivel national;
s) serviciu de cloud computing - serviciu digital care permite accesul la un sistem configurabil de resurse sau servicii informatice care pot fi puse in comun;
s) valoare de prag - valoare minima/maxima, cuantificabila a indicatorilor in baza carora se determina gradul de indeplinire a unui criteriu.

Articolul 4. Principiile care stau la baza prezentei legi:
a) principiul responsabilitatii si constientizarii - consta in efortul continuu derulat de entitatile de drept public si privat in constientizarea rolului si responsabilitatii individuale pentru atingerea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice;
b) principiul proportionalitatii - consta in asigurarea unui echilibru intre riscurile la care retelele si sistemele informatice sunt supuse si cerintele de securitate implementate;
c) principiul cooperarii si coordonarii - consta in realizarea in timp oportun a schimbului de informatii referitoare la riscurile de securitate la adresa retelelor si sistemelor informatice si asigurarea intr-o maniera sincronizata a reactiei la producerea incidentelor.



CAPITOLUL II
Domeniul de aplicare
SECTIUNEA 1
Operatorii de servicii esentiale


Articolul 5 In vederea asigurarii unui nivel ridicat de securitate, operatorii de servicii esentiale se identifica si se inscriu in Registrul operatorilor de servicii esentiale.

Articolul 6.
(1) Un serviciu este considerat esential daca furnizarea lui indeplineste cumulativ urmatoarele conditii:
a) serviciul este esential in sustinerea unor activitati societale si/sau economice de cea mai mare importanta;
b) furnizarea sa depinde de o retea sau de un sistem informatic;
c) furnizarea serviciului este perturbata semnificativ in cazul producerii unui incident.
(2) Evaluarea gradului de perturbare a furnizarii serviciului esential se realizeaza in functie de urmatoarele criterii intersectoriale, fara a fi cumulative:
a) numarul de utilizatori care se bazeaza pe serviciul furnizat de entitatea in cauza;
b) dependenta altor sectoare prevazute in anexa la prezenta lege de serviciul furnizat de entitatea in cauza;
c) impactul pe care l-ar putea avea incidentele, in ceea ce priveste intensitatea si durata, asupra activitatilor economice si societale sau asupra sigurantei publice;
d) cota de piata a entitatii in cauza;
e) distributia geografica in ceea ce priveste zona care ar putea fi afectata de un incident;
f) importanta entitatii pentru mentinerea unui nivel suficient al serviciului, tinand cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului respectiv.
(3) Ministerul Comunicatiilor si Societatii Informationale, denumit in continuare MCSI, la propunerea Centrului National de Raspuns la Incidente de Securitate Cibernetica, denumit in continuare CERT-RO, supune aprobarii prin hotarare a Guvernului in termen de 5 luni de la data intrarii in vigoare a prezentei legi:
a) valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul retelelor si sistemelor informatice ale operatorilor de servicii esentiale;
b) valorile de prag corespunzatoare criteriilor intersectoriale stabilite potrivit dispozitiilor alin. (2);
c) criteriile sectoriale specifice si valorile de prag corespunzatoare fiecarui sector si subsector de activitate prevazut in anexa;
d) normele tehnice de stabilire a impactului incidentelor.
(4) La nivelul MCSI se infiinteaza si functioneaza Grupul de lucru interinstitutional pentru determinarea valorilor de prag necesare pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul retelelor si sistemelor informatice ale operatorilor de servicii esentiale, prevazute la alin. (3).
(5) MCSI, la propunerea CERT-RO, in termen de 3 luni de la data intrarii in vigoare a prezentei legi, supune aprobarii prin hotarare a Guvernului componenta, atributiile si modul de organizare a Grupului de lucru interinstitutional prevazute la alin. (4).
(6) Determinarea valorilor de prag necesare pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul operatorilor de servicii esentiale care furnizeaza servicii din sectorul prevazut la pct. 7 din anexa se realizeaza cu consultarea Autoritatii Nationale pentru Administrare si Reglementare in Comunicatii.

Articolul 7.
(1) Registrul prevazut la art. 5 se alcatuieste pentru sectoarele si subsectoarele prevazute in anexa si raportat la criteriile prevazute la art. 6 si valorile de prag prevazute la art. 6 alin. (3).
(2) Registrul prevazut la alin. (1) se infiinteaza, se intretine si se actualizeaza periodic, cel putin o data la doi ani de la data intrarii in vigoare a prezentei legi de catre CERT-RO in calitate de autoritate competenta la nivel national.
(3) Registrul prevazut la alin. (1) face parte din categoria documentelor clasificate.
(4) Normele metodologice de organizare si functionare a registrului prevazut la art. 5 se aproba, la propunerea directorului general al CERT-RO, prin ordin al ministrului comunicatiilor si societatii informationale, care se publica in Monitorul Oficial al Romaniei, Partea I.

Articolul 8.
(1) Entitatile care indeplinesc conditiile si criteriile prevazute la art. 6 si activeaza intr-unul sau mai multe dintre sectoarele sau subsectoarele de activitate prevazute in anexa au obligatia sa notifice CERT-RO in vederea inscrierii in Registrul operatorilor de servicii esentiale.
Derogari (1)
(2) Prin exceptie de la alin. (1) identificarea in vederea inscrierii in Registrul operatorilor de servicii esentiale se poate face si de catre CERT-RO din oficiu in vederea indeplinirii obligatiilor legale ce ii revin sau in urma unei sesizari privind sustragerea de la obligatia de notificare si inscriere in Registrul operatorilor de servicii esentiale facuta de catre orice persoana interesata, aducand la cunostinta entitatii vizate declansarea procedurii de identificare si comunicand la final operatorului rezultatul acesteia.
(3) Operatorii de servicii esentiale pot solicita asistenta CERT-RO in procesul de identificare.
(4) Inscrierea operatorilor de servicii esentiale in Registrul operatorilor de servicii esentiale se realizeaza prin decizia directorului general al CERT-RO care se comunica operatorului de servicii esentiale in urma depunerii unui raport de audit care atesta indeplinirea cerintelor minime de securitate si notificare, intocmit de un auditor atestat in conformitate cu prevederile art. 32, si a evaluarii informatiilor si documentatiilor furnizate de operator in cadrul procesului de identificare.
(5) Atunci cand o entitate furnizeaza un serviciu dintre cele reglementate la art. 6 alin. (1) lit. a) si in cadrul altor state membre ale Uniunii Europene, CERT-RO se consulta cu autoritatile omologe din statele respective in procesul de identificare inainte de adoptarea unei decizii privind identificarea operatorului.
(6) Notificarea prevazuta la alin. (1) se realizeaza in termen de 30 de zile de la data indeplinirii conditiilor prevazute la art. 6 alin. (1) prin raportare la criteriile intersectoriale de stabilire a impactului unui incident prevazute la art. 6 alin. (2), respectiv la criteriile sectoriale, precum si la valorile de prag prevazute la art. 6 alin. (3) prin depunerea unei declaratii pe propria raspundere.
(7) Operatorii economici si celelalte entitati care opereaza ori furnizeaza servicii in cadrul sectoarelor si subsectoarelor definite in anexa au obligatia de a pune la dispozitia CERT-RO, la cererea acesteia in calitate de autoritate competenta la nivel national, in termen de 60 de zile de la data primirii solicitarii, documentatiile necesare, inclusiv rapoarte de audit, pentru:
a) stabilirea calitatii de operator de servicii esentiale in conformitate cu prevederile art. 6 si 7;
b) stabilirea masurilor necesare pentru conformarea cu cerintele prezentei legi;
c) stabilirea interdependentei si interconectarii retelelor si sistemelor informatice cu cele ale altor operatori de servicii esentiale ori furnizori de servicii digitale, inclusiv a celor pe care se bazeaza furnizarea serviciilor entitatii in cauza;
d) stabilirea listei de autoritati ale statului pentru care furnizeaza serviciile definite la art. 6 alin. (1).
(8) Prin exceptie de la termenul general de furnizare a documentatiilor stabilit la alin. (7), termenul de realizare a auditurilor si de depunere a rapoartelor de audit prevazute la alin. (4) si (7) precum si tematica si obiectivele acestora se stabilesc de catre CERT-RO in urma evaluarii celorlalte informatii furnizate in conformitate cu prevederile alin. (7) si curge de la data primirii comunicarii termenului de catre entitatea vizata.
(9) Documentatia prevazuta la alin. (7) si (8) va fi stabilita prin normele metodologice de identificare a operatorilor de servicii esentiale si furnizorilor de servicii digitale, aprobate la propunerea directorului general al CERT-RO, prin ordin al ministrului comunicatiilor si societatii informationale, care se publica in Monitorul Oficial al Romaniei, Partea I.

Articolul 9.
(1) Entitatile care nu mai indeplinesc conditiile si criteriile prevazute la art. 6 notifica CERT-RO in vederea radierii din Registrul operatorilor de servicii esentiale si furnizeaza documentatiile relevante in conformitate cu art. 8 alin. (7) lit. a).
(2) CERT-RO dispune, prin decizia directorului general, radierea din Registrul operatorilor de servicii esentiale la cerere sau din oficiu, in urma evaluarii documentatiilor prevazute la alin. (1), si comunica operatorului decizia.
(3) Operatorii de servicii esentiale pot solicita asistenta CERT-RO cu privire la documentatiile prevazute la alin. (1) necesare in procesul de radiere.
(4) Atunci cand o entitate furnizeaza un serviciu esential si in cadrul altor state membre ale Uniunii Europene, CERT-RO se consulta cu autoritatile omologe din statele respective inainte de adoptarea unei decizii privind radierea.
(5) Notificarea prevazuta la alin. (1) se realizeaza in termen de 30 de zile de la data la care entitatea nu mai indeplineste conditiile prevazute la art. 6.

Articolul 10.
(1) In scopul asigurarii securitatii retelelor si sistemelor informatice, operatorii de servicii esentiale au urmatoarele obligatii:
a) implementeaza masurile tehnice si organizatorice adecvate si proportionale pentru indeplinirea cerintelor minime de securitate stabilite in temeiul prevederilor art. 25 alin. (3);
b) implementeaza masuri adecvate pentru a preveni si minimiza impactul incidentelor care afecteaza securitatea retelelor si a sistemelor informatice utilizate pentru furnizarea acestor servicii esentiale, cu scopul de a asigura continuitatea serviciilor respective, stabilite in temeiul prevederilor art. 25 alin. (3);
c) notifica de indata CERT-RO in calitate de CSIRT national incidentele care au un impact semnificativ asupra continuitatii serviciilor esentiale furnizand cel putin informatiile prevazute la art. 26 alin. (3);
d) pun la dispozitia CERT-RO informatii care sa permita stabilirea impactului transfrontalier al incidentului in conformitate cu prevederile art. 26 alin. (3);
e) se supun controlului desfasurat de catre CERT-RO in vederea stabilirii gradului de respectare a obligatiilor ce le revin in temeiul prezentei legi;
f) stabilesc mijloacele permanente de contact, desemneaza responsabilii cu securitatea retelelor si sistemelor informatice insarcinati cu monitorizarea mijloacelor de contact si comunica CERT-RO in termen de 60 de zile de la inscrierea in Registrul operatorilor de servicii esentiale lista acestora, precum si orice modificari ulterioare de indata ce au survenit;
g) comunica in termen de maximum 30 de zile catre CERT- RO, in calitate de autoritate competenta la nivel national, orice schimbare survenita in datele furnizate in cadrul procesului de identificare ca operator de servicii esentiale;
h) se interconecteaza in termen de 60 de zile de la inscrierea in Registrul operatorilor de servicii esentiale la serviciul de alertare si cooperare al CERT-RO, asigura monitorizarea permanenta a alertelor si solicitarilor primite prin acest serviciu ori prin celelalte modalitati de contact si ia in cel mai scurt timp masurile adecvate de raspuns la nivelul retelelor si sistemelor informatice proprii;
i) asigura de indata raspunsul la incidentele survenite, restabilesc in cel mai scurt timp functionarea serviciului la parametrii dinaintea incidentului si realizeaza auditul de securitate, conform prezentei legi.
(2) Operatorii de servicii esentiale pun la dispozitia CERT- RO in calitate de autoritate competenta la nivel national, la solicitarea acesteia facuta cu mentionarea scopului si precizand informatiile necesare si termenul de furnizare a acestora:
a) informatiile necesare pentru evaluarea securitatii retelelor si a sistemelor informatice vizate de prezenta lege, inclusiv politicile de securitate documentate;
b) rezultatele auditului de securitate realizat la solicitarea CERT-RO, inclusiv informatiile si documentatiile pe care se bazeaza acesta, precum si alte elemente care atesta punerea efectiva in aplicare a cerintelor minime de securitate.
(3) Notificarea de indata a afectarii serviciilor esentiale prevazuta la alin. (1) lit. c) se face si in situatia in care afectarea se datoreaza unor incidente care afecteaza un furnizor de servicii digitale de care depinde furnizarea serviciilor esentiale.
(4) Termenul de conformare pentru indeplinirea obligatiilor prevazute la alin. (1) lit. a) si b) este de 6 luni de la data intrarii in vigoare a normelor tehnice privind cerintele de securitate si notificare ori, dupa caz, de la data inscrierii in Registrul operatorilor de servicii esentiale.

Articolul 11.
Operatorii de servicii esentiale au obligatia sa implementeze in termenul de conformare stabilit in conformitate cu dispozitiile art. 37 masurile dispuse de CERT-RO pentru indeplinirea cerintelor minime de securitate, in vederea remedierii deficientelor constatate cu ocazia controlului exercitat in temeiul art. 35.



SECTIUNEA a 2-a
Furnizorii de servicii digitale

Art. 12.
(1) Furnizorii de servicii digitale au urmatoarele obligatii:
a) implementeaza masurile tehnice si organizatorice adecvate si proportionale pentru indeplinirea cerintelor minime de securitate a retelelor si sistemelor informatice stabilite in temeiul prevederilor prezentei legi cu privire la serviciile prevazute la art. 3 lit. o) pe care le ofera pe teritoriul Uniunii Europene tinand cont de normele tehnice prevazute la art. 25 alin. (1), in termen de 6 luni de la data intrarii in vigoare a acestora;
b) implementeaza, in termen de 6 luni de la data intrarii in vigoare a normelor tehnice prevazute la art. 25 alin. (1), masuri adecvate pentru a preveni si minimiza impactul incidentelor care afecteaza securitatea retelelor si a sistemelor informatice utilizate pentru furnizarea serviciilor prevazute la lit. a), asigura raspunsul la incidente si continuitatea serviciilor acestora;
c) notifica de indata CERT-RO in calitate de CSIRT national incidentele care au un impact semnificativ asupra furnizarii serviciilor prevazute la art. 3 lit. o), furnizand cel putin informatiile prevazute la art. 26 alin. (3);
d) pun la dispozitia CERT-RO informatii care sa permita stabilirea impactului transfrontalier al incidentului in conformitate cu prevederile art. 26 alin. (3);
e) stabilesc mijloace permanente de contact, desemneaza responsabilii cu securitatea retelelor si sistemelor informatice insarcinati cu monitorizarea canalelor de contact si comunica CERT-RO, in termen de 60 de zile de la data intrarii in vigoare a prezentei legi, lista acestora, precum si orice modificari ulterioare de indata ce au survenit;
f) se interconecteaza in termen de 60 de zile de la data intrarii in vigoare a prezentei legi la serviciul de alertare si cooperare al CERT-RO, asigura monitorizarea permanenta a alertelor si solicitarilor primite prin acest serviciu ori prin celelalte modalitati de contact si ia in cel mai scurt timp masurile adecvate de raspuns la nivelul retelelor si sistemelor informatice proprii.
(2) Furnizorii de servicii digitale pun la dispozitia CERT-RO in calitate de autoritate competenta la nivel national, la solicitarea acesteia facuta cu mentionarea scopului si precizand informatiile necesare si termenul de furnizare a acestora:
a) informatiile necesare pentru evaluarea securitatii retelelor si a sistemelor informatice vizate de prezenta lege, inclusiv politicile de securitate documentate;
b) rezultatele auditului de securitate realizat, inclusiv informatiile si documentatiile pe care se bazeaza acesta, precum si alte elemente care atesta punerea efectiva in aplicare a cerintelor minime de securitate.
(3) Obligatia de notificare prevazuta la alin. (1) lit. c) se aplica doar in cazul in care furnizorul de servicii digitale are acces la informatiile necesare pentru evaluarea impactului incidentului prevazute la art. 26 si care sa permita evaluarea prevazuta la art. 28.
(4) Prevederile prezentei legi se aplica furnizorilor de servicii digitale care au stabilit sediul social pe teritoriul Romaniei precum si celor din afara Uniunii Europene care stabilesc sediul reprezentantei din Uniune pe teritoriul Romaniei.
(5) Prevederile alin. (1) - (4), art. 25 alin. (4), art. 26 alin. (2) din prezenta lege nu se aplica furnizorilor de servicii digitale care se incadreaza in categoria intreprinderilor mici si mijlocii, asa cum sunt definite in Legea nr. 346/2004 privind stimularea infiintarii si dezvoltarii intreprinderilor mici si mijlocii, cu modificarile si completarile ulterioare.
(6) Operatorii economici, precum si celelalte entitati care furnizeaza servicii digitale au obligatia de a furniza catre CERT- RO, in termen de 60 de zile de la data primirii solicitarii facuta cu mentionarea scopului si precizand informatiile necesare, urmatoarele categorii de documente:
a) documentatiile necesare stabilirii calitatii de furnizor de servicii digitale in sensul prezentei legi;
b) documentatiile necesare stabilirii interdependentei si interconectarii retelelor si sistemelor informatice cu cele ale altor operatori de servicii esentiale ori furnizori de servicii digitale;
c) stabilirea listei de autoritati ale statului pentru care furnizeaza serviciile definite la art. 3 lit. o).
(7) Documentatia prevazuta la alin. (6) va fi stabilita prin normele metodologice prevazute la art. 8 alin. (9).



CAPITOLUL III
Roluri si responsabilitati
SECTIUNEA 1
Coordonarea strategica la nivel national

Art. 13.
Coordonarea strategica la nivel national a activitatilor de asigurare a unui nivel comun ridicat de securitate a retelelor si sistemelor informatice se realizeaza de catre Guvern prin Ministerul Comunicatiilor si Societatii Informationale sub aspectul politicilor publice si al initiativei legislative in domeniu.

Articolul 14.
Strategia nationala privind securitatea retelelor si a sistemelor informatice se aproba prin hotarare a Guvernului, la propunerea MCSI in termen de 6 luni de la data intrarii in vigoare a prezentei legi.



SECTIUNEA a 2-a
Autoritati competente si responsabilitati

Art. 15. (1) CERT-RO este autoritate competenta la nivel national pentru securitatea retelelor si a sistemelor informatice care asigura furnizarea serviciilor esentiale ori furnizeaza serviciile digitale identificate in temeiul prezentei legi.
(2) Pentru asigurarea unui nivel ridicat de securitate a retelelor si sistemelor informatice, CERT-RO se consulta si coopereaza cu:
a) Serviciul Roman de Informatii, pentru securitatea retelelor si a sistemelor informatice care asigura servicii esentiale a caror afectare aduce atingere securitatii nationale;
b) Ministerul Apararii Nationale, pentru securitatea retelelor si a sistemelor informatice care asigura servicii esentiale in sprijinul activitatilor privind apararea nationala;
c) Ministerul Afacerilor Interne, Oficiul Registrului National al Informatiilor Secrete de Stat, Serviciul de Informatii Externe, Serviciul de Telecomunicatii Speciale si Serviciul de Protectie si Paza, pentru securitatea retelelor si a sistemelor informatice care asigura servicii esentiale in domeniul lor de activitate si responsabilitate.

Articolul 16.
CERT-RO se consulta si coopereaza, dupa caz, cu:
a) organele de urmarire penala;
b) Autoritatea Nationala pentru Administrare si Reglementare in Comunicatii, atunci cand incidentele au ca rezultat afectarea securitatii ori functionarii retelelor publice de comunicatii electronice ori cand pentru administrarea unui incident sunt necesare masuri ce intra in aria de activitate si responsabilitate a acesteia;
c) Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal in cazul incidentelor care au ca rezultat incalcarea securitatii datelor cu caracter personal, in conditiile legii.



SECTIUNEA a 3-a
Echipele de interventie in caz de incidente de securitate informatica

Art. 17.
(1) Echipa CSIRT definita la art. 19 lit. b) respecta cerintele de la art. 24 si acopera sectoarele din anexa si serviciile prevazute la art. 3 lit. o).
(2) Persoanele juridice care activeaza in cadrul aceluiasi sector sau subsector de activitate din anexa la prezenta lege pot constitui echipe CSIRT proprii sau sectoriale ori pot achizitiona servicii de specialitate de tip CSIRT.
(3) Entitatile prevazute la art. 15 alin. (2) si art. 16 lit. b) pot constitui echipe CSIRT pentru asigurarea securitatii retelelor si sistemelor informatice conform domeniului de activitate si responsabilitate.
(4) Echipele CSIRT sectoriale se autorizeaza si se desemneaza de catre CERT-RO in urma evaluarii indeplinirii conditiilor specifice de autorizare a acestui tip de echipe elaborate in conformitate cu prevederile art. 20 lit. e).

Articolul 18.
(1) Echipele CSIRT proprii, sectoriale sau serviciile de specialitate prevazute la art. 17 alin. (2) care deservesc operatori de servicii esentiale si furnizori de servicii digitale au urmatoarele obligatii:
a) sa fie autorizate de catre CERT-RO in temeiul prezentei legi;
b) sa asigure compatibilitatea si interoperabilitatea sistemelor, procedurilor si metodelor utilizate cu cele ale echipei CSIRT nationale din cadrul CERT-RO;
c) sa furnizeze cel putin setul minim de servicii de tip CSIRT necesar asigurarii la nivel national a unei protectii unitare a operatorilor si furnizorilor ce fac obiectul prezentei legi;
d) sa utilizeze in cadrul echipelor un numar corespunzator de persoane calificate in conformitate cu prezenta lege;
e) sa se interconecteze la serviciul de alerta, monitorizare si cooperare al CERT-RO si sa asigure un raspuns prompt la alertele si solicitarile transmise de echipa CSIRT nationala.
(2) Normele tehnice privind compatibilitatea si interoperabilitatea prevazute la alin. (1) lit. b), setul minim de servicii mentionat la alin. (1) lit. c) si criteriile de stabilire a numarului de persoane calificate prevazute la alin. (1) lit. d) se aproba, la propunerea directorului general al CERT-RO, prin ordin al ministrului comunicatiilor si societatii informationale, care se publica in Monitorul Oficial al Romaniei, Partea I.



SECTIUNEA a 4-a
Autoritatea competenta la nivel national - CERT-RO

Art. 19. -
In cadrul CERT-RO se organizeaza si functioneaza si:
a) punctul unic de contact la nivel national;
b) echipa de raspuns la incidente de securitate informatica la nivel national, denumita in continuare echipa CSIRT nationala sau CSIRT national.

Articolul 20.
CERT-RO, in calitate de autoritate competenta la nivel national, are urmatoarele atributii generale:
a) identifica, cu consultarea autoritatilor si entitatilor de reglementare si administrare a sectoarelor si subsectoarelor prevazute in anexa, operatorii de servicii esentiale care au sediul social, filiala, sucursala sau punct de lucru pe teritoriul Romaniei;
b) elaboreaza si actualizeaza normele tehnice privind cerintele minime de asigurare a securitatii retelelor si sistemelor informatice;
c) elaboreaza si actualizeaza normele tehnice privind indeplinirea obligatiilor de notificare a incidentelor de securitate de catre operatorii si furnizorii prevazuti de prezenta lege;
d) coordoneaza activitatea Grupului de lucru interinstitutional mentionat la art. 6 alin. (4);
e) elaboreaza si actualizeaza, dupa consultarea celorlalte institutii cu responsabilitati in domeniul apararii, ordinii publice si securitatii nationale, precum si a altor institutii si autoritati, dupa caz, normele metodologice, tehnice, precum si regulamentele privind cerintele referitoare la infiintarea, autorizarea si functionarea echipelor CSIRT, desemnarea echipelor CSIRT sectoriale, cele referitoare la atestarea auditorilor calificati cu competente in domeniul securitatii serviciilor esentiale si a serviciilor digitale, precum si normele referitoare la autorizarea formatorilor si furnizorilor de servicii de formare pentru activitatile prevazute la lit. o) si p);
f) elaboreaza si promoveaza practici comune pentru administrarea incidentelor si a riscurilor si pentru sistemele de clasificare a incidentelor, riscurilor si informatiilor;
g) participa, prin reprezentanti, la Grupul de cooperare la nivelul Uniunii Europene constituit pentru a facilita cooperarea strategica si schimbul de informatii intre statele membre, pentru a consolida increderea si in vederea obtinerii unui nivel comun ridicat de securitate a retelelor si a sistemelor informatice in Uniunea Europeana si compus din reprezentanti ai statelor membre, ai Comisiei Europene si ai Agentiei Uniunii Europene pentru Securitatea Retelelor si a Informatiilor - ENISA, in vederea adoptarii solutiilor optime pentru atingerea obiectivului de securitate si a schimbului de informatii intre statele membre, respectiv:
(i) dupa caz, participa la schimbul de experienta privind aspecte legate de securitatea retelelor si a sistemelor informatice cu institutii, organe, oficii si agentii relevante ale Uniunii Europene;
(ii) participa la dezbateri privind standardele si specificatiile prevazute la art. 25 alin. (6) cu reprezentanti ai organizatiilor de standardizare europene relevante;
(iii) colecteaza exemple de bune practici privind riscurile si incidentele;
h) permite echipelor CSIRT acces la datele privind incidentele notificate de operatorii de servicii esentiale sau de furnizorii de servicii digitale, in masura necesara pentru a-si indeplini atributiile, cu respectarea legii;
i) verifica in conditiile art. 35-42 respectarea de catre operatorii de servicii esentiale si furnizorii de servicii digitale a obligatiilor ce le revin conform prezentei legi;
j) emite in temeiul art. 37 dispozitii cu caracter obligatoriu pentru operatorii de servicii esentiale in vederea conformarii si remedierii deficientelor constatate si stabileste termenul pana la care acestia trebuie sa se conformeze;
k) instituie masuri de supraveghere ex post pentru furnizorii de servicii digitale cu privire la neindeplinirea obligatiilor ce le revin conform prevederilor prezentei legi;
l) primeste sesizari cu privire la neindeplinirea obligatiilor operatorilor si furnizorilor prevazuti de prezenta lege;
m) coopereaza cu autoritatile competente din celelalte state si ofera asistenta acestora, prin schimbul de informatii, transmiterea de solicitari si sesizari, efectuarea controlului ori luarea de masuri de supraveghere si remediere a deficientelor constatate, in cazul operatorilor si furnizorilor prevazuti de prezenta lege care isi au sediul principal in Romania ori care, desi au sediul principal stabilit in alt stat membru, retelele sau sistemele informatice ale acestora sunt situate si pe teritoriul Romaniei;
n) monitorizeaza aplicarea prevederilor prezentei legi;
o) autorizeaza, revoca sau reinnoieste autorizarea echipelor CSIRT ce deservesc operatori de servicii esentiale ori furnizori de servicii digitale;
p) elibereaza, revoca sau reinnoieste atestatele auditorilor de securitate informatica care pot efectua audit in cadrul retelelor si sistemelor informatice ce sustin servicii esentiale ori furnizeaza servicii digitale in conditiile prezentei legi;
q) autorizeaza, revoca sau reinnoieste autorizarea formatorilor si furnizorilor de servicii de formare pentru activitatile prevazute la lit. o) si p);
r) alcatuieste si actualizeaza periodic, cel putin o data la doi ani, incepand cu data intrarii in vigoare a prezentei legi, lista serviciilor esentiale care indeplinesc conditiile de la art. 6 alin. (1), cu consultarea autoritatilor si entitatilor prevazute la lit. a), precum si a celor prevazute la art. 15 alin. (2), si o inainteaza MCSI spre a fi supusa aprobarii prin hotarare a Guvernului. Prima lista se supune aprobarii Guvernului in termen de 6 luni de la data intrarii in vigoare a prezentei legi;
s) propune spre aprobare MCSI normele tehnice, metodologice si regulamentele prevazute de prezenta lege, in termen de 6 luni de la data intrarii in vigoare a acesteia.

Articolul 21. - In calitate de punct national unic de contact, CERT-RO are urmatoarele atributii:
a) exercita o functie de legatura intre autoritatile statului si autoritatile similare din alte state, Grupul de cooperare si reteaua echipelor de raspuns la incidentele de securitate informatica, denumita in continuare reteaua CSIRT;
b) elaboreaza si transmite Grupului de cooperare rapoarte de sinteza privind notificarile primite si actiunile intreprinse;
c) transmite, la cererea autoritatilor sau a echipelor CSIRT, catre punctele unice de contact din celelalte state membre notificarile si solicitarile privind incidentele ce afecteaza functionarea serviciilor esentiale si a celor digitale de pe teritoriul respectivelor state;
d) transmite autoritatilor prevazute la art. 15 alin. (2) si art. 16 notificarile si cererile primite din alte state membre, potrivit ariei de responsabilitate.

Articolul 22. - (1) In calitate de CSIRT national, CERT-RO are urmatoarele atributii:
a) monitorizeaza incidentele de securitate a retelelor si sistemelor informatice la nivel national;
b) emite avertizari timpurii, alerte si anunturi si disemineaza informatiile privind riscurile si incidentele catre autoritatile prevazute la art. 15 alin. (2), precum si orice entitate de drept public sau privat careia ii poate fi afectata securitatea retelelor si sistemelor informatice;
c) primeste notificari privind incidentele care afecteaza retelele si sistemele operatorilor de servicii esentiale ori ale furnizorilor de servicii digitale;
d) furnizeaza operatorului de servicii esentiale care a facut notificarea, in masura posibilitatilor, informatii relevante in ceea ce priveste actiunile ulterioare notificarii;
e) stabileste, in baza notificarilor primite, impactul la nivel national si transfrontalier al incidentelor si informeaza autoritatile relevante la nivel national, precum si autoritatile similare din alte state potential afectate;
f) aduce la cunostinta publicului periodic si ori de cate ori este necesar avertizari, alerte si informari privind riscuri si amenintari, posibile masuri de prevenire si contracarare, in scopul cunoasterii de catre public a acestora si al luarii masurilor adecvate, si publica statistici privitoare la incidentele identificate la nivel national, cu respectarea conditiilor prezentei legi;
g) asigura raspunsul la incidente in limitele prezentei legi;
h) elaboreaza analize dinamice de risc si de incident;
i) coopereaza, la nivel national, cu echipele CSIRT in cadrul unei platforme de management al incidentelor si pentru schimbul de informatii;
j) participa la actiunile comune in cadrul retelei CSIRT la nivel european, precum si, dupa necesitati, la actiunile solicitate in cadrul retelelor internationale de cooperare;
k) poate solicita asistenta ENISA pentru ducerea la indeplinire a atributiilor sale;
l) infiinteaza, intretine si opereaza serviciul de alertare si cooperare cu operatorii de servicii esentiale si furnizorii de servicii digitale mentionat la art. 10 alin. (1) lit. h) si art. 12 alin. (1) lit. f).
(2) Echipele CSIRT se conecteaza si realizeaza schimbul de informatii cu echipa CSIRT nationala aflata in cadrul CERT-RO prin intermediul platformei de management al incidentelor, mentionata la alin. (1) lit. i).
(3) In vederea administrarii adecvate a incidentelor majore la nivel national ori pentru administrarea unor incidente care necesita inalta specializare si pregatire tehnica de specialitate, CERT-RO poate dezvolta parteneriate si alcatui echipe mixte compuse din specialisti proprii si specialisti proveniti de la alte institutii ori entitati din mediul privat, cu respectarea legii si asigurarea conditiilor privind confidentialitatea si accesul la informatii in limitele legii si cu acordul partilor implicate in incident.

Articolul 23.
(1) In scopul cooperarii operationale, echipa CSIRT nationala care functioneaza in cadrul CERT-RO participa la reteaua CSIRT compusa din reprezentanti ai echipelor CSIRT nationale ale statelor membre din Uniunea Europeana si cea a CERT-UE.
(2) Cooperarea prevazuta la alin. (1) se realizeaza prin:
a) schimbul de informatii privind serviciile, operatiunile si posibilitatile de cooperare;
b) schimbul si analiza informatiilor fara caracter comercial referitoare la incidentele ce afecteaza un stat membru;
c) schimbul de informatii fara caracter confidential privind incidente individuale;
d) participarea la elaborarea unui raspuns coordonat al Retelei CSIRT, pentru managementul unui incident identificat pe teritoriul unui alt stat membru;
e) acordarea de sprijin voluntar in abordarea incidentelor transfrontaliere;
f) analiza si identificarea de noi forme de cooperare operationala in cadrul retelei CSIRT;
g) participarea la elaborarea de orientari si practici unitare in domeniul cooperarii operationale;
h) solicitarea retelei CSIRT de a asigura un raspuns coordonat la un incident identificat la nivel national.
(3) Fac exceptie de la schimbul de informatii prevazut la alin. (2) lit. c) situatiile in care schimbul ar periclita investigarea incidentului.
(4) Echipa CSIRT participa si la alte retele internationale de cooperare, dupa necesitati.

Articolul 24.
(1) In vederea indeplinirii atributiilor ce ii revin in calitate de autoritate competenta la nivel national in temeiul art. 20, din bugetul CERT-RO se asigura resursele materiale, financiare si umane suficiente pentru:
a) desfasurarea activitatilor de normare prevazute la art. 20 lit. a) -f) si r);
b) primirea sesizarilor, efectuarea controlului, verificarilor si supravegherilor prevazute la art. 20 lit. i)-l), precum si pentru asigurarea punerii in aplicare a deciziilor si sanctiunilor, rezolvarii contestatiilor si reprezentarea in contencios administrativ;
c) desfasurarea activitatilor de cooperare prevazute la art. 20 lit. g), h) si m), infiintarea, administrarea si functionarea registrelor si evidentelor prevazute de art. 20 lit. o) -r), precum si a Registrului operatorilor de servicii esentiale prevazut la art. 5;
d) desfasurarea activitatilor de autorizare si acreditare prevazute la art. 20 lit. o) -q);
e) luarea masurilor cu caracter exceptional prevazute la art. 41.
(2) In vederea indeplinirii atributiilor ce ii revin in calitate de punct unic de contact la nivel national, din bugetul CERT-RO se asigura resursele materiale, financiare si umane suficiente pentru asigurarea in regim permanent a functiei de legatura, primire si retransmitere a cererilor si solicitarilor prevazute la art. 21 lit. a), c) si d).
(3) In vederea indeplinirii atributiilor ce ii revin in calitate de echipa CSIRT nationala conform prevederilor art. 22 si 23, din bugetul CERT-RO se asigura resursele materiale, financiare si umane suficiente pentru:
a) alertele prevazute la art. 22 alin. (1) lit. a) si c);
b) emiterea avertizarilor, contactarea si alertarea altor entitati si diseminarea de informatii relevante in temeiul art. 22 alin. (1) lit. b), d) -f) si l);
c) asigurarea raspunsului, interventiei si cooperarii in temeiul art. 22 alin. (1) lit. g), i) -l);
d) stabilirea impactului incidentelor si analiza acestora in temeiul art. 22 alin. (1) lit. e) si h).
(4) Resursele financiare, materiale si umane alocate CERT- RO vor asigura:
a) continuitatea activitatilor si disponibilitatea permanenta a serviciilor;
b) participarea la Grupul de cooperare prevazut de art. 20 lit. g);
c) un sistem adecvat de gestionare si transmitere a cererilor;
d) o infrastructura adecvata prevazuta cu sisteme redundante;
e) spatiu de lucru de rezerva in amplasamente securizate;
f) disponibilitatea ridicata a serviciilor de comunicatii prin mijloace multiple de contact, capacitatea de a contacta alte entitati in orice moment si evitarea punctelor unice de defectiune;
g) amplasamente securizate ale sediilor echipei CSIRT nationale din cadrul CERT-RO si ale sistemelor informatice de suport;
h) mijloacele necesare asigurarii controlului punerii in aplicare a dispozitiilor prezentei legi si aplicarii de sanctiuni precum si pentru indeplinirea celorlalte obligatii ce ii revin conform legii;
i) personalul adecvat, inclusiv din punctul de vedere al competentelor.
(5) Incepand cu 1 ianuarie 2019, resursele financiare necesare pentru functionarea CERT-RO se asigura din venituri proprii prevazute la alin. (6) si in completare din subventii de la bugetul de stat prin bugetul MCSI.
(6) Incepand cu 1 ianuarie 2019, CERT-RO poate retine si utiliza urmatoarele categorii de venituri proprii:
a) sumele provenite din activitatile prevazute la art. 32 alin. (2) lit. c) si e), respectiv activitatile prevazute la art. 33 alin. (2) lit. c) si e);
b) sumele provenite din furnizarea serviciului prevazut la art. 22 alin. (1) lit. l).
(7) Cuantumul tarifului pentru serviciile prevazute la alin. (6) se stabileste prin ordin al ministrului comunicatiilor si societatii informationale, la propunerea directorului general al CERT-RO, si se publica in Monitorul Oficial al Romaniei, Partea I.
(8) Din bugetul CERT-RO se asigura, cu respectarea prevederilor legale in vigoare, si urmatoarele categorii de cheltuieli:
a) achizitionarea de servicii de specialitate;
b) inchirierea, achizitionarea sau constructia de imobile in vederea desfasurarii activitatii;
c) achizitia de echipamente si software, inclusiv software dezvoltat la comanda;
d) afilierea la retele si organizatii internationale de profil si participarea prin reprezentanti la lucrarile acestora precum si la alte evenimente de profil;
e) cursuri de formare si perfectionare precum si certificari ale personalului propriu;
f) editarea de publicatii, ghiduri de specialitate, clipuri video de constientizare;
g) organizarea de conferinte, seminare si alte evenimente de profil;
h) efectuarea de studii statistice si activitati de cercetare;
i) renovari si imbunatatiri ale sediilor si locatiilor de desfasurare a activitatii.
(9) CERT-RO poate folosi pentru desfasurarea activitatii bunuri materiale si fonduri banesti primite de la persoanele juridice si fizice, sub forma de donatii si sponsorizari, cu respectarea dispozitiilor legale si asigurarea transparentei privind donatiile, sponsorizarile si sursa acestora.
(10) CERT-RO poate infiinta birouri si sedii la nivel local in vederea asigurarii activitatilor si reprezentarii adecvate pentru indeplinirea obligatiilor ce ii revin in temeiul prezentei legi.
CAPITOLUL IV
Asigurarea securitatii retelelor si sistemelor informatice
SECTIUNEA 1
Cerintele minime de securitate
Art. 25.
(1) In vederea asigurarii unui nivel comun de securitate a retelelor si sistemelor informatice, operatorii de servicii esentiale si furnizorii de servicii digitale au obligatia de a respecta normele tehnice elaborate de CERT-RO in temeiul prevederilor art. 20 lit. b).
(2) CERT-RO elaboreaza, cu consultarea autoritatilor care reglementeaza sectoarele si subsectoarele prevazute in anexa, ghiduri in sprijinul implementarii masurilor minime de securitate pentru operatorii si furnizorii prevazuti in prezenta lege.
(3) Normele tehnice prevazute la alin. (1) aplicabile operatorilor de servicii esentiale se stabilesc in baza cel putin a urmatoarelor categorii de activitati de asigurare a securitatii retelelor si sistemelor informatice:
a) managementul drepturilor de acces;
b) constientizarea si instruirea utilizatorilor;
c) jurnalizarea si asigurarea trasabilitatii activitatilor in cadrul retelelor si sistemelor informatice;
d) testarea si evaluarea securitatii retelelor si sistemelor informatice;
e) managementul configuratiilor retelelor si sistemelor informatice;
f) asigurarea disponibilitatii serviciului esential si a functionarii retelelor si sistemelor informatice;
g) managementul continuitatii functionarii serviciului esential;
h) managementul identificarii si autentificarii utilizatorilor;
i) raspunsul la incidente;
j) mentenanta retelelor si sistemelor informatice;
k) managementul suporturilor de memorie externa;
l) asigurarea protectiei fizice a retelelor si sistemelor informatice;
m) realizarea planurilor de securitate;
n) asigurarea securitatii personalului;
o) analizarea si evaluarea riscurilor;
p) asigurarea protectiei produselor si serviciilor aferente retelelor si sistemelor informatice;
q) managementul vulnerabilitatilor si alertelor de securitate.
(4) Normele tehnice prevazute la alin. (1) aplicabile furnizorilor de servicii digitale se stabilesc in baza urmatoarelor categorii de activitati de asigurare a securitatii retelelor si sistemelor informatice:
a) securitatea sistemelor si a instalatiilor;
b) gestionarea incidentelor;
c) gestionarea continuitatii activitatii;
d) monitorizarea, auditarea si testarea;
e) conformitatea cu standardele europene si internationale.
(5) In implementarea masurilor de la alin. (1) operatorii de servicii esentiale:
a) identifica retelele si sistemele informatice care sustin furnizarea de servicii esentiale;
b) elaboreaza si implementeaza politici si planuri proprii de securitate a retelelor si sistemelor informatice;
c) asigura managementul incidentelor care afecteaza securitatea retelelor si sistemelor informatice;
d) previn accesul neautorizat la retelele si sistemele informatice;
e) previn diseminarea datelor detinute la nivelul retelelor si sistemelor informatice catre alte persoane decat cele autorizate sa cunoasca continutul acestora;
f) implementeaza un sistem de management al riscului;
g) implementeaza planuri de actiune pe niveluri de alerta de securitate a retelelor si sistemelor informatice;
h) asigura continuitatea serviciilor.
(6) Normele tehnice prevazute la alin. (1) se emit cu luarea in considerare a cerintelor si standardelor europene si internationale fara a impune sau a discrimina in favoarea utilizarii unui anumit tip de tehnologie.
SECTIUNEA a 2-a
Notificarea incidentelor de securitate
Art. 26.
(1) Notificarile efectuate de operatorii de servicii esentiale in temeiul art. 10 alin. (1) lit. c) trebuie sa indeplineasca conditiile si sa contina informatiile prevazute in normele tehnice prevazute la art. 20 lit. c).
(2) Notificarile efectuate de furnizorii de servicii digitale in temeiul prevederilor art. 12 alin. (1) lit. c) trebuie sa indeplineasca conditiile si sa contina informatiile prevazute in normele tehnice prevazute la art. 20 lit. c).
(3) Notificarea incidentelor contine, in mod obligatoriu, urmatoarele informatii:
a) elementele de identificare ale infrastructurii si operatorului sau furnizorului in cauza;
b) descrierea incidentului;
c) perioada de desfasurare a incidentului;
d) impactul estimat al incidentului;
e) masuri preliminare adoptate;
f) lista de autoritati ale statului afectate de incident;
g) intinderea geografica potentiala a incidentului;
h) date despre efecte potential transfrontaliere ale incidentului.
(4) Notificarea prevazuta la alin. (1) si (2) nu va contine:
a) informatii clasificate;
b) date care pot aduce atingere drepturilor si libertatilor cetatenesti ori intereselor legitime ale unor terte entitati implicate in incident, in conditiile legii.
(5) CERT-RO, in calitate de autoritate competenta la nivel national, elaboreaza si actualizeaza, prin decizie a directorului general publicata in Monitorul Oficial al Romaniei, Partea I, formularele necesare notificarilor de incident efectuate in temeiul prezentului articol, detaliind informatiile si documentatiile necesar a fi furnizate.
(6) CERT-RO, in calitate de CSIRT national, va stabili si va aduce la cunostinta publicului, precum si operatorilor si furnizorilor mentionati in prezenta lege mijloacele de comunicare pentru efectuarea notificarilor cerute prin prezenta lege.
(7) Notificarile privind incidentele ce fac obiectul prezentei legi pot fi facute si de catre echipele CSIRT ale entitatilor de drept public sau privat ori care deservesc un anumit sector de activitate ori de catre furnizorii de servicii de securitate aflati in relatie contractuala, conform atributiilor ce le revin in baza actului de infiintare ori a contractului de prestari servicii, dupa caz.
(8) Notificarea facuta de o echipa CSIRT in temeiul alin. (7) echivaleaza cu notificarea facuta de operatorul sau furnizorul afectat, acesta purtand intreaga raspundere pentru continutul notificarii si indeplinirea celorlalte obligatii ce ii revin conform prezentei legi.
(9) Obligatia de a notifica un incident de catre furnizorii de servicii digitale se aplica doar in cazul in care acestia au acces la informatiile necesare pentru a evalua impactul unui incident asupra parametrilor mentionati la art. 28 alin. (2).
(10) Entitatile care nu au fost identificate drept operatori de servicii esentiale si nu sunt furnizori de servicii digitale pot notifica voluntar CERT-RO, in calitate de CSIRT national, furnizand cel putin informatiile prevazute la alin. (3), incidentele care au un impact semnificativ asupra continuitatii serviciilor pe care le furnizeaza.
(11) CERT-RO trateaza notificarile obligatorii cu prioritate fata de notificarile voluntare.
(12) Notificarile voluntare se trateaza doar atunci cand aceasta prelucrare nu impiedica indeplinirea celorlalte obligatii ce ii revin autoritatii competente la nivel national si in limita resurselor existente.
(13) Notificarea voluntara nu impune entitatii notificatoare nicio obligatie care nu i-ar fi revenit daca nu ar fi facut notificarea.
(14) Notificarile prevazute la alin. (1) si (2) nu atrag raspunderea pentru entitatile care notifica, in conditiile respectarii obligatiilor prevazute de prezenta lege.
SECTIUNEA a 3-a
Managementul incidentelor
Art. 27.
Dupa primirea notificarii, CERT-RO, in calitate de CSIRT national:
a) evalueaza preliminar impactul incidentului la nivel national si alerteaza, sesizeaza ori notifica sau, dupa caz, poate solicita operatorului sau furnizorului sa alerteze alte entitati afectate precum si autoritatile cu responsabilitati in prevenirea, limitarea si combaterea efectelor incidentului, precum si autoritatile prevazute la art. 16, potrivit legii;
b) poate solicita informatii suplimentare operatorului sau furnizorului care a facut notificarea in vederea indeplinirii obligatiilor ce ii revin, mentionand termenul de furnizare a acestora;
c) ofera operatorului sau furnizorului care a facut notificarea, atunci cand circumstantele o permit, informatii care ar putea sprijini administrarea incidentului;
d) in calitate de punct unic de contact, informeaza celelalte state membre sau partenere afectate daca incidentul are un impact semnificativ asupra continuitatii serviciilor esentiale ori a serviciilor digitale in statele respective;
e) in urma analizei incidentelor, poate, dupa caz, declansa actiune de control pentru verificarea respectarii cerintelor prezentei legi;
f) poate lua masurile prevazute la art. 41;
g) coordoneaza la nivel national raspunsul la incident in colaborare cu celelalte autoritati si entitati publice sau private, conform domeniului de activitate si responsabilitate.

Articolul 28.
(1) Impactul unui incident se determina tinand cont cel putin de urmatorii parametri:
(i) in cazul operatorilor de servicii esentiale:
a) numarul de utilizatori afectati de perturbarea serviciului esential;
b) durata incidentului;
c) distributia geografica in ceea ce priveste zona afectata de incident;
(ii) in cazul furnizorilor de servicii digitale:
a) numarul de utilizatori afectati de incident, in special utilizatori care se bazeaza pe serviciul pentru furnizarea propriilor servicii;
b) durata incidentului;
c) distributia geografica in ceea ce priveste zona afectata de incident;
d) amploarea perturbarii functionarii serviciului;
e) amploarea impactului asupra activitatilor economice si societale.
(2) Grupul de lucru interinstitutional prevazut la art. 6 alin. (4) elaboreaza si actualizeaza normele tehnice de stabilire a impactului pentru categoriile de operatori si furnizori prevazuti de prezenta lege.
(3) Criteriile prevazute la pct. 2. se aplica si notificarilor voluntare efectuate in temeiul prevederilor art. 26 alin. (10).

Articolul 29.
(1) CERT-RO poate instiinta publicul, atunci cand informarea este necesara pentru a preveni un incident sau pentru a se administra un incident in curs.
(2) Pentru incidentele care afecteaza un operator de servicii esentiale sau un furnizor de servicii digitale, informarea mentionata la alin. (1) se realizeaza dupa consultarea prealabila a acestuia asupra continutului instiintarii.
(3) In cazul furnizorilor de servicii digitale, informarea publicului specificata la alin. (1) poate fi facuta si direct de catre acestia la solicitarea CERT-RO ori a autoritatilor sau echipelor CSIRT ale altor state membre afectate.

Articolul 30.
(1) In activitatile de identificare a operatorilor de servicii esentiale si furnizorilor de servicii digitale, de control, de primire a notificarilor privitoare la incidente si de management al acestora desfasurate in baza prezentei legi, precum si in procesele interne, CERT-RO protejeaza interesele de securitate si comerciale ale operatorului de servicii esentiale si ale furnizorului de servicii digitale, precum si confidentialitatea informatiilor furnizate.
(2) Cu exceptia informatiilor necesare instiintarii de la art. 29 alin. (1), informatiile prelucrate in sensul indeplinirii obligatiilor de la alin. (1) nu fac parte din categoria informatiilor de interes public asa cum acestea sunt reglementate in Legea nr. 544/2001 privind liberul acces la informatiile de interes public, cu modificarile si completarile ulterioare.
(3) Informatiile confidentiale conform legislatiei nationale si normelor Uniunii Europene, precum cele privind secretul comercial, fac obiectul schimbului de informatii cu Comisia Europeana si cu alte autoritati numai daca acest lucru este necesar pentru aplicarea prezentei legi.
(4) Informatiile care fac obiectul schimbului mentionat la alin. (3) se limiteaza la informatii relevante si proportionale cu scopul urmarit.
(5) Schimbul de informatii mentionat la alin. (3) se va face cu garantarea pastrarii confidentialitatii informatiilor si protejarea securitatii si intereselor comerciale ale operatorilor de servicii esentiale si ale furnizorilor de servicii digitale.
(6) Prelucrarile de date cu caracter personal ce intra sub incidenta prezentei legi se efectueaza cu respectarea reglementarilor legale privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal.
(7) Notificarile realizate in temeiul prezentei legi nu afecteaza obligatiile operatorilor de date cu caracter personal stabilite potrivit art. 33 si 34 din Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE.
(8) In scopul indeplinirii atributiilor ori furnizarii serviciilor prevazute de prezenta lege, precum si in scopul prevenirii si raspunsului la incidentele de securitate informatica ori al cooperarii la nivel national, comunitar si international in prevenirea si raspunsul la incidentele de securitate informatica, CERT-RO colecteaza, primeste, prelucreaza si transmite date si informatii ce pot constitui sau pot contine date cu caracter personal, in limitele legislatiei aplicabile, cu asigurarea respectarii prevederilor alin. (6).



CAPITOLUL V
Audit si autorizare
SECTIUNEA 1
Auditul de securitate a retelelor si sistemelor informatice apartinand operatorilor de servicii esentiale sau furnizorilor de servicii digitale

Art. 31.
Poate fi auditor de securitate a retelelor si sistemelor informatice persoana fizica sau persoana juridica ce realizeaza audit de securitate a retelelor si sistemelor informatice, adica desfasoara acea activitate prin care se realizeaza o evaluare sistematica a tuturor politicilor, procedurilor si masurilor de protectie implementate la nivelul retelelor si sistemelor informatice, in vederea identificarii disfunctiilor si vulnerabilitatilor si a furnizarii unor solutii de remediere a acestora.

Articolul 32.
(1) Auditul de securitate specificat la art. 8 alin. (4), respectiv art. 10 alin. (2) lit. b) si art. 12 alin. (2) lit. b) se realizeaza de catre auditorii de securitate informatica ce detin atestat valabil eliberat de catre CERT-RO pentru a audita retele si sisteme informatice ce deservesc servicii esentiale sau servicii digitale in sensul prezentei legi.
(2) In acest sens CERT-RO:
a) intretine si actualizeaza Registrul auditorilor mentionati la alin. (1);
b) elaboreaza si transmite spre aprobare MCSI, in conformitate cu prevederile art. 20 lit. e) si s), regulamentul pentru atestarea si verificarea auditorilor de securitate informatica pentru retelele si sistemele informatice apartinand operatorilor de servicii esentiale sau furnizorilor de servicii digitale si stabileste conditiile de valabilitate pentru atestatele acordate;
c) acorda, prelungeste, suspenda sau retrage atestarea pentru auditorii de securitate informatica pentru retelele si sistemele informatice apartinand operatorilor de servicii esentiale sau furnizorilor de servicii digitale, in conformitate cu prevederile regulamentului prevazut la lit. b);
d) verifica in urma sesizarilor sau din oficiu, in conformitate cu prevederile art. 35-42, indeplinirea de catre auditorii atestati in temeiul prezentei legi a obligatiilor legale ce le revin;
e) elaboreaza si aproba, prin decizie a directorului general publicata in Monitorul Oficial al Romaniei, Partea I, tematicile pentru specializarea auditorilor in vederea atestarii prevazute la lit. c) si autorizeaza, verifica, suspenda sau retrage autorizarea formatorilor din domeniul auditului de securitate informatica pentru retelele si sistemele informatice ale operatorilor de servicii esentiale si furnizorilor de servicii digitale.
(3) Nu pot realiza auditul solicitat la art. 10 alin. (2) lit. b), respectiv art. 12 alin. (2) lit. b):
a) auditorii atestati care asigura in mod curent servicii de securitate informatica ori servicii de tip CSRIT operatorului de servicii esentiale sau furnizorului de servicii digitale ori sunt angajati ai acestora;
b) auditorul care are un contract de prestari servicii pentru reteaua si sistemul supus auditului aflat in desfasurare la momentul la care se efectueaza auditul sau intr-un termen mai mic de un an;
c) auditorul care a mai efectuat 3 audituri consecutive la acelasi operator de servicii esentiale sau furnizor de servicii digitale.
(4) Activitatea de audit se efectueaza potrivit standardelor si specificatiilor europene si internationale aplicabile in domeniu.
(5) Tematicile de audit vor tine seama de normele tehnice in vigoare privind securitatea retelelor si sistemelor informatice ale operatorilor de servicii esentiale si ale furnizorilor de servicii digitale elaborate in temeiul prezentei legi.
(6) Atestatele au o valabilitate de 3 ani.
(7) Constituie exceptie de la prevederile alin. (1) auditul de securitate realizat la nivelul institutiilor cu responsabilitati in domeniul apararii, ordinii publice si securitatii nationale, precum si pentru serviciile puse la dispozitie de catre acestea.
(8) Lista standardelor si specificatiilor europene si internationale prevazute la alin. (4) se elaboreaza si se aproba prin decizie a directorului general al CERT-RO, se actualizeaza periodic si se publica in Monitorul Oficial al Romaniei, Partea I.



SECTIUNEA a 2-a
Autorizarea echipelor CSIRT ce deservesc retele si sisteme informatice din categoria serviciilor esentiale si serviciilor digitale

Art. 33.
(1) Echipele CSIRT care deservesc operatori de servicii esentiale ori furnizori de servicii digitale se autorizeaza de catre CERT-RO in calitate de autoritate competenta la nivel national.
(2) In acest sens CERT-RO:
a) intretine si actualizeaza Registrul echipelor CSIRT prevazute la alin. (1);
b) elaboreaza si transmite spre aprobare MCSI, in conformitate cu prevederile art. 20 lit. e) si s), regulamentul pentru autorizarea si verificarea echipelor CSIRT care deservesc operatorii de servicii esentiale sau furnizorii de servicii digitale si stabileste conditiile de valabilitate pentru autorizatiile acordate;
c) acorda, prelungeste, suspenda sau retrage autorizarea pentru echipele CSIRT, in conformitate cu prevederile regulamentului prevazut la lit. b);
d) verifica in urma sesizarilor sau din oficiu, in conformitate cu prevederile art. 35-42, indeplinirea de catre echipele CSIRT autorizate in temeiul prezentei legi a obligatiilor legale ce le revin;
e) elaboreaza tematicile pentru formarea membrilor echipelor CSIRT in vederea autorizarii prevazute la lit. c) si autorizeaza, verifica, suspenda sau retrage autorizarea formatorilor din domeniul asigurarii de servicii de tip CSIRT pentru retelele si sistemele informatice ale operatorilor de servicii esentiale si furnizorilor de servicii digitale.
(3) In vederea autorizarii, echipa CSIRT trebuie sa indeplineasca conditiile prevazute in normele tehnice elaborate in temeiul prevederilor art. 20 lit. e).
(4) Autorizatiile au o valabilitate de 3 ani.



CAPITOLUL VI
Cooperare
Art. 34.
(1) Autoritatile si entitatile care reglementeaza sectoarele si subsectoarele de activitate prevazute in anexa au obligatia de a coopera si sprijini CERT-RO in calitate de autoritate competenta la nivel national si de a raspunde solicitarilor acesteia, potrivit domeniilor de activitate si responsabilitate, pentru:
a) identificarea serviciilor esentiale din sectoarele de activitate reglementate de acestea;
b) identificarea operatorilor de servicii esentiale in sensul prezentei legi si actualizarea listei acestora;
c) identificarea cerintelor de securitate si notificare existente in cadrul sectorului sau subsectorului respectiv, in vederea determinarii nivelului de securitate asigurat de acestea;
d) stabilirea cerintelor specifice de asigurare a securitatii retelelor si sistemelor informatice si de notificare a incidentelor survenite pentru sectoarele si subsectoarele prevazute in anexa;
e) armonizarea cerintelor specifice prevazute la punctele anterioare cu cerintele de securitate si notificare prevazute de prezenta lege;
f) luarea masurilor cu caracter exceptional prevazute la art. 41;
g) stabilirea criteriilor si valorilor de prag specifice, necesare pentru determinarea impactului unui incident la nivelul sectorului sau subsectorului respectiv;
h) armonizarea reglementarilor emise de acestea la nivel de sector cu cerintele prezentei legi.
(2) Cerintele specifice de securitate impuse operatorilor de servicii esentiale sau furnizorilor de servicii digitale prin acte juridice ale Uniunii Europene de directa aplicare sau prin acte juridice ale Uniunii Europene transpuse la nivel national care reglementeaza respectivul sector de activitate se aplica doar in masura in care nivelul de securitate asigurat este cel putin echivalent cu obligatiile prevazute in prezenta lege.
(3) Aplicarea actelor juridice ale Uniunii Europene prevazute la alin. (2) nu deroga de la celelalte obligatii care revin operatorilor de servicii esentiale si furnizorilor de servicii digitale conform prezentei legi.



CAPITOLUL VII
Supraveghere, control, sanctionare
SECTIUNEA 1
Activitatea de control

Art. 35.
(1) CERT-RO exercita controlul respectarii prevederilor prezentei legi, a obligatiilor impuse prin actele emise de CERT-RO in aplicarea prezentei legi, in limitele competentelor legale de monitorizare sau de verificare.
(2) In vederea efectuarii controlului prevazut la alin. (1), directorul general al CERT-RO, prin decizie, desemneaza personalul de specialitate imputernicit sa efectueze controlul si stabileste atributiile acestuia.
(3) Normele de aplicare a dispozitiilor privind controlul indeplinirii obligatiilor de securitate si notificare de catre operatorii de servicii esentiale si furnizorii de servicii digitale si controlul indeplinirii obligatiilor de catre auditorii de securitate informatica atestati ori de catre echipele CSIRT autorizate sa deserveasca operatori de servicii esentiale si furnizori de servicii digitale se aproba, la propunerea CERT-RO, prin ordin al ministrului comunicatiilor si societatii informationale care se publica in Monitorul Oficial al Romaniei, Partea I.

Articolul 36.
(1) In urma sesizarilor primite, din oficiu sau in urma autosesizarii in temeiul art. 27 lit. e), precum si in situatia existentei unor indicii temeinice privind sustragerea unui operator sau furnizor de la obligatiile ce ii revin in temeiul prezentei legi ori incalcarea de catre un auditor, echipa CSIRT sau furnizor de formare autorizat a obligatiilor ce le revin in temeiul prezentei legi, personalul de control poate sa efectueze actiuni de control, in cadrul carora poate sa solicite, mentionand temeiul legal si scopul solicitarii, documentele necesare pentru efectuarea controlului, sa ridice copii de pe registre ori alte acte sau documente, in conditiile legii, inclusiv prevederilor referitoare la pastrarea confidentialitatii tuturor documentelor si informatiilor primite.
(2) In cadrul actiunilor de control, personalul de control poate sa solicite si sa primeasca, la fata locului sau la termenul solicitat, informatiile necesare pentru efectuarea controlului si poate stabili termene pana la care aceste informatii sa ii fie furnizate, in conditiile legii, inclusiv prevederilor referitoare la pastrarea confidentialitatii tuturor documentelor si informatiilor primite.
(3) Rezultatul actiunilor de control va fi consemnat intr-o nota de control.

Articolul 37.
(1) Inainte de aplicarea unei sanctiuni, in cazul descoperirii nerespectarii de catre un furnizor de servicii digitale sau operator de servicii esentiale a unei obligatii prevazute de prezenta lege sau de un act emis de CERT-RO in baza prezentei legi, CERT-RO va transmite entitatii in cauza o notificare prin care ii va aduce la cunostinta incalcarea constatata, masurile cu caracter obligatoriu ce trebuie luate in vederea remedierii deficientelor constatate si stabileste termenul de conformare precum si sanctiunea aplicabila.
(2) Termenul de conformare se calculeaza incepand cu data comunicarii notificarii prevazute la alin. (1).

Articolul 38.
Urmatoarele fapte constituie contraventii daca nu au fost savarsite in astfel de conditii incat sa fie considerate potrivit legii infractiuni:
1. neindeplinirea obligatiei de notificare in vederea inscrierii in Registrul operatorilor de servicii esentiale, prevazuta la art. 8 alin. (1), in termenul prevazut la art. 8 alin. (6);
2. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 8 alin. (7) lit. a);
3. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 8 alin. (7) lit. b);
4. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 8 alin. (7) lit. c);
5. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 8 alin. (7) lit. d);
6. nedepunerea raportului de audit specificat la art. 8 alin. (4) si (7) in termenul comunicat de catre CERT-RO persoanei juridice in temeiul art. 8 alin. (8);
7. neindeplinirea obligatiei prevazute la art. 9 alin. (1) in termenul prevazut la art. 9 alin. (5);
8. neducerea la indeplinire a masurilor dispuse de CERT-RO prin notificarea transmisa in urma controlului, pentru remedierea deficientelor constatate, in termenul de conformare stabilit in conformitate cu prevederile art. 37;
9. neindeplinirea de catre operatorii de servicii esentiale a obligatiei de implementare a masurilor pentru indeplinirea cerintelor minime de securitate in conformitate cu art. 10 alin. (1) lit. a) in termenul stabilit la art. 10 alin. (4);
10. neindeplinirea de catre operatorii de servicii esentiale a obligatiei de implementare a masurilor adecvate pentru a preveni si minimiza impactul incidentelor in conformitate cu art. 10 alin. (1) lit. b) in termenul stabilit la art. 10 alin. (4);
11. incalcarea de catre operatorii de servicii esentiale a obligatiei stabilite la art. 10 alin. (1) lit. c) de a notifica incidentul de securitate ori notificarea acestuia cu o intarziere mai mare de 12 ore de la data constatarii acestuia;
12. incalcarea obligatiei stabilite la art. 10 alin. (1) lit. d) prin nefurnizarea in cadrul notificarii privitoare la incidentul de securitate a informatiilor care sa permita stabilirea impactului transfrontalier al acestuia;
13. nerespectarea prevederilor art. 10 alin. (1) lit. e) in termen de 48 de ore de la data comunicarii de catre CERT-RO a ordinului de incepere a controlului;
14. necomunicarea catre CERT-RO a informatiilor si mijloacelor permanente de contact ori a actualizarilor acestora in termenele stabilite la art. 10 alin. (1) lit. f);
15. neindeplinirea obligatiei de comunicare prevazute la art. 10 alin. (1) lit. g) in termen de 30 de zile;
16. neindeplinirea obligatiei de interconectare prevazute la art. 10 alin. (1) lit. h) in termen de 60 de zile;
17. neluarea de catre operatorul de servicii esentiale a masurilor adecvate de raspuns in termen de 12 ore de la primirea prin serviciul de alertare si cooperare al CERT-RO mentionat la art. 10 alin. (1) lit. h) ori prin celelalte mijloace de contact a alertelor si solicitarilor privitoare la incidente;
18. neindeplinirea de indata a obligatiei de a asigura raspunsul la incidentele survenite stabilite la art. 10 alin. (1) lit. i) ori indeplinirea acesteia cu o intarziere mai mare de 12 ore de la data constatarii incidentului;
19. neindeplinirea obligatiei stabilite la art. 10 alin. (1) lit. i) de a restabili functionarea serviciului esential afectat de incident la parametrii dinaintea incidentului ori intarzierea nejustificata a restabilirii functionarii acestuia;
20. neindeplinirea in urma raspunsului la incident a obligatiei stabilite la art. 10 alin. (1) lit. i) de a efectua auditul de securitate a retelelor si sistemelor informatice afectate;
21. nefurnizarea in termenul stabilit de CERT-RO a informatiilor si documentatiilor solicitate in temeiul art. 10 alin. (2) lit. a);
22. neefectuarea auditului de securitate si netransmiterea rezultatelor acestuia si a datelor necesare in termenul stabilit de CERT-RO in urma solicitarii facute in temeiul prevederilor art. 10 alin. (2) lit. b);
23. incalcarea cumulativa a obligatiilor prevazute la art. 10 alin. (3) si art. 26 alin. (1) - (3) intr-un termen de 12 ore de la data constatarii incidentului de catre operatorul de servicii esentiale.
24. neindeplinirea de catre operatorii de servicii esentiale a obligatiei prevazute la art. 11 in termenele stabilite de CERT-RO prin actul de control comunicat operatorului de servicii esentiale;
25. neducerea la indeplinire de catre furnizorul de servicii digitale a masurilor dispuse de CERT-RO prin notificarea transmisa in urma controlului, pentru remedierea deficientelor constatate in aplicarea prevederilor art. 12 alin. (1) lit. a) si b) in termenul de conformare stabilit in conformitate cu prevederile art. 37;
26. neindeplinirea de catre furnizorii de servicii digitale, in termenul stabilit, a obligatiei de implementare a masurilor pentru respectarea cerintelor minime de securitate in conformitate cu prevederile art. 12 alin. (1) lit. a);
27. neindeplinirea de catre furnizorii de servicii digitale a obligatiei de implementare, in termenul stabilit, a masurilor adecvate pentru a preveni si minimiza impactul incidentelor in conformitate cu prevederile art. 12 alin. (1) lit. b);
28. incalcarea de catre furnizorii de servicii digitale a obligatiei stabilite la art. 12 alin. (1) lit. c) de a notifica incidentul de securitate ori notificarea acestuia cu o intarziere mai mare de 12 ore de la data constatarii acestuia;
29. incalcarea obligatiei stabilite la art. 12 alin. (1) lit. d) prin nefurnizarea in cadrul notificarii privitoare la incidentul de securitate a informatiilor care sa permita stabilirea impactului transfrontalier al acestuia;
30. necomunicarea catre CERT-RO a informatiilor si mijloacelor permanente de contact in termenul stabilit la art. 12 alin. (1) lit. e);
31. neindeplinirea obligatiei de comunicare a modificarilor survenite in datele de contact prevazute la art. 12 alin. (1) lit. e) in termen de 30 de zile;
32. neindeplinirea obligatiei de interconectare prevazute la art. 12 alin. (1) lit. f) in termen de 60 de zile;
33. neluarea de catre furnizorul de servicii digitale a masurilor adecvate de raspuns in termen de 12 ore de la primirea prin serviciul de alertare si cooperare al CERT-RO mentionat la art. 12 alin. (1) lit. f) ori prin celelalte mijloace de contact a alertelor si solicitarilor privitoare la incidente;
34. neindeplinirea obligatiei de a asigura raspunsul la incidentele de securitate si de a asigura continuitatea serviciilor stabilite la art. 12 alin. (1) lit. b) ori indeplinirea acesteia cu o intarziere mai mare de 12 ore de la data constatarii incidentului;
35. nefurnizarea in termenul stabilit de CERT-RO a informatiilor si documentatiilor solicitate in temeiul art. 12 alin. (2) lit. a);
36. neefectuarea auditului de securitate si netransmiterea rezultatelor acestuia si a datelor necesare in termenul stabilit de CERT-RO in urma solicitarii facute in temeiul art. 12 alin. (2) lit. b);
37. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 12 alin. (6) lit. a);
38. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 12 alin. (6) lit. b);
39. neindeplinirea in termenul prevazut a obligatiei de furnizare a informatiilor solicitate de catre CERT-RO in temeiul art. 12 alin. (6) lit. c);
40. neducerea la indeplinire a masurilor instituite de CERT- RO in temeiul art. 20 lit. k), in termen de 60 de zile de la data comunicarii;
41. neconformarea cu normele tehnice prevazute la art. 25 alin. (1);
42. neconformarea operatorilor de servicii esentiale cu normele tehnice privitoare la notificarea incidentelor de securitate prevazute la art. 26 alin. (1);
43. neconformarea furnizorilor de servicii digitale cu normele tehnice privitoare la notificarea incidentelor de securitate prevazute la art. 26 alin. (2);
44. nefurnizarea de catre operatorul de servicii esentiale ori furnizorul de servicii digitale in termenul stabilit de CERT-RO a informatiilor suplimentare solicitate de CERT-RO in temeiul art. 27 lit. b);
45. incalcarea de catre auditorii specificati la art. 32 alin. (1) a normelor privind incompatibilitatea, prevazute la art. 32 alin. (3);
46. furnizarea de rapoarte de audit de securitate dintre cele prevazute la art. 8 alin. (4), respectiv art. 10 alin. (2) lit. b) si art. 12 alin. (2) lit. b), realizate de catre auditori fara atestat valabil eliberat de CERT-RO in temeiul art. 32 alin. (1) si (2) lit. c) ori aflati intr-una din starile de incompatibilitate prevazute la art. 32 alin. (3);
47. asigurarea de servicii de tip echipa CSIRT catre operatorii de servicii esentiale ori furnizorii de servicii digitale de catre entitati care nu detin autorizatie valabila, eliberata in temeiul art. 33 alin. (1) de catre CERT-RO in calitate de autoritate competenta la nivel national;
48. neindeplinirea de catre autoritatile si entitatile de reglementare pentru sectoarele si subsectoarele de activitate prevazute in anexa a obligatiilor prevazute la art. 34 alin. (1), precum si neparticiparea in procesul de stabilire a nivelului de securitate mentionat la art. 34 alin. (2);
49. refuzul de a se supune controlului declansat de CERT- RO in temeiul prevederilor art. 36 ori intarzierea in furnizarea informatiilor si documentelor solicitate in cadrul activitatilor de control in temeiul prevederilor art. 37.

Articolul 39. (1) Contraventiile prevazute la art. 38 se sanctioneaza astfel:
a) cu amenda de la 3.000 lei la 50.000 lei, iar in cazul constatarii unor incalcari repetate limita maxima a amenzii este de 100.000 lei;
b) prin derogare de la dispozitiile art. 8 alin. (2) lit. a) din Ordonanta Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare, pentru persoanele cu o cifra de afaceri de peste 2.000.000 lei, cu amenda in cuantum de la 0,5% la 2% din cifra de afaceri, iar, in cazul unor incalcari repetate, limita maxima a amenzii este de 5% din cifra de afaceri.
(2) In vederea individualizarii sanctiunii, CERT-RO va lua in considerare gradul de pericol social concret al faptei, perioada de timp in care obligatia legala a fost incalcata, precum si, daca este cazul, consecintele incalcarii.
(3) Cifra de afaceri este cea prevazuta in ultima situatie financiara anuala raportata de operatorul economic.
Derogari (1)
(4) Pentru persoanele fizice autorizate, intreprinderile individuale si intreprinderile familiale, cifrei de afaceri prevazute la alin. (1) lit. b) ii corespunde totalitatea veniturilor brute, astfel cum sunt definite de Legea nr. 227/2015 privind Codul fiscal, cu modificarile si completarile ulterioare, realizate de respectivele entitati.
Derogari (1)
(5) Prin exceptie de la prevederile alin. (3) si (4), in cazul in care, in anul financiar anterior sanctionarii, intreprinderea nu a inregistrat cifra de afaceri sau cifra de afaceri nu poate fi determinata, va fi luata in considerare cea aferenta anului financiar in care entitatea a inregistrat cifra de afaceri, an imediat anterior anului de referinta pentru calcularea cifrei de afaceri in vederea aplicarii sanctiunii. In ipoteza in care nici in anul anterior anului de referinta pentru calcularea cifrei de afaceri in vederea aplicarii sanctiunii entitatea nu a realizat cifra de afaceri, va fi luata in calcul ultima cifra de afaceri inregistrata de entitate.
(6) Pentru entitatile nou-infiintate si care nu au inregistrat cifra de afaceri in anul anterior sanctionarii, amenda prevazuta la alin. (1) se stabileste in cuantum de minimum unu si maximum 25 de salarii minime brute pe economie.
(7) In masura in care prezenta lege nu prevede altfel, contraventiilor prevazute la art. 38 li se aplica dispozitiile Ordonantei Guvernului nr. 2/2001, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare.

Articolul 40.
(1) Contraventiile prevazute la art. 38 se constata de catre personalul de control din cadrul CERT-RO prin procesul-verbal de constatare a contraventiei si de aplicare a sanctiunii, semnat de catre personalul care efectueaza controlul si de catre reprezentantul operatorului sau furnizorului prezent la momentul incheierii procesului-verbal, caruia i se va inmana o copie a procesului-verbal.
(2) Sanctiunea pentru contraventiile prevazute la alin. (1) se aplica de catre personalul de control care a facut constatarea.

Articolul 41.
(1) In cazul constatarii unei contraventii in conformitate cu prevederile art. 38, CERT-RO dispune incetarea incalcarii dispozitiilor respective fie imediat, fie intr-un termen rezonabil, precum si orice masuri necesare pentru a asigura incetarea incalcarii si remedierea situatiei produse. Masurile vor fi adecvate si proportionale cu incalcarea savarsita si vor prevedea un termen in care operatorul de servicii esentiale ori furnizorul de servicii digitale trebuie sa se conformeze acestora.
(2) In cazul in care nerespectarea de catre operatori sau furnizori a obligatiilor din prezenta lege poate crea probleme grave de natura economica sau operationala altor operatori sau furnizori, CERT-RO poate lua masuri urgente cu caracter provizoriu pentru remedierea situatiei.
(3) In cazul in care nerespectarea de catre operatori sau furnizori a obligatiilor prevazute de prezenta lege prezinta un pericol grav si iminent la adresa apararii nationale, ordinii publice, securitatii nationale sau sanatatii publice, CERT-RO va informa organele judiciare si va notifica institutiile competente din domeniul apararii si securitatii nationale, ordinii publice sau sanatatii publice.
(4) Atunci cand apreciaza ca este necesar, CERT-RO poate mentine masurile dispuse conform prevederilor alin. (2) pentru o perioada de cel mult 90 de zile. In cazul in care punerea in executare a acestora necesita o durata mai mare de timp, CERT-RO poate dispune prelungirea aplicabilitatii pentru o perioada suplimentara de cel mult 90 de zile. Operatorului sau furnizorului in cauza i se va acorda posibilitatea de a-si prezenta punctul de vedere si de a propune solutii pentru remedierea definitiva a situatiei create.
(5) Masurile prevazute la alin. (2) se dispun prin decizie a directorului general al CERT-RO, ce poate fi atacata cu plangere in termen de 30 zile de la comunicare.
(6) Masurile prevazute la alin. (2) se pot dispune de catre CERT-RO cu titlu exceptional si in situatia administrarii unor incidente de natura sa prezinte pericolele ori sa aiba urmarile prevazute la alin. (3), cu consultarea, precum si la solicitarea motivata a institutiilor prevazute la alineatul respectiv.

Articolul 42.
(1) In exercitarea atributiilor ce ii revin potrivit actelor normative in vigoare, CERT-RO va fi sprijinita operativ, la cerere, de catre autoritatile publice, precum si de catre organele de politie in cazuri temeinic justificate, in vederea identificarii si localizarii persoanelor fizice sau juridice care savarsesc fapte de natura contraventionala.
(2) Orice decizie a CERT-RO prin care se vatama drepturile unei persoane fizice sau juridice ori refuzul nejustificat al CERT- RO de a-i procesa cererea referitoare la un drept recunoscut de prezenta lege pot fi atacate in contencios administrativ.



CAPITOLUL VIII
Dispozitii tranzitorii

Art. 43. -
Inscrierea in registrul prevazut la art. 8, in primii 2 ani de la data intrarii in vigoare a prezentei legi, se face prin depunerea unei declaratii pe propria raspundere insotite de o documentatie de autoevaluare a indeplinirii cerintelor minime de securitate si notificare.



CAPITOLUL IX
Dispozitii finale

Art. 44.
Pana la 9 august 2018 si, ulterior, in fiecare an, CERT-RO, in calitate de punct unic de contact, transmite Grupului de cooperare un raport de sinteza privind notificarile primite, care include numarul de notificari si natura incidentelor notificate, precum si actiunile intreprinse in conformitate cu prevederile art. 10 alin. (1) lit. c) si art. 12 alin. (1) lit. c) coroborate cu art. 27 lit. d).

Articolul 45.
(1) Strategia nationala prevazuta la art. 14 va acoperi cel putin urmatoarele elemente:
a) obiectivele si prioritatile strategiei nationale privind securitatea retelelor si a sistemelor informatice;
b) un cadru de guvernanta pentru realizarea obiectivelor si a prioritatilor strategiei nationale privind securitatea retelelor si a sistemelor informatice, care sa includa rolurile si responsabilitatile organismelor guvernamentale si ale altor actori relevanti;
c) identificarea masurilor referitoare la gradul de pregatire, raspuns si redresare, inclusiv cooperarea dintre sectorul public si cel privat;
d) indicarea programelor de instruire, sensibilizare si formare legate de strategia nationala privind securitatea retelelor si a sistemelor informatice;
e) indicarea planurilor de cercetare si dezvoltare legate de strategia nationala privind securitatea retelelor si a sistemelor informatice;
f) un plan de evaluare a riscurilor pentru identificarea riscurilor;
g) o lista a diferitilor actori implicati in punerea in aplicare a strategiei nationale privind securitatea retelelor si a sistemelor informatice.
(2) In elaborarea strategiei, MCSI poate solicita asistenta ENISA.
(3) In termen de 3 luni de la data intrarii in vigoare a prezentei legi, MCSI transmite Comisiei Europene strategia adoptata in temeiul art. 14.
(4) Comunicarea de la alin. (3) nu va contine elementele care au legatura cu securitatea nationala.

Articolul 46.
CERT-RO identifica si stabileste documentele si detaliile tehnice necesare pentru evaluarea initiala a securitatii entitatilor care urmeaza sa se declare operatorii de servicii esentiale.

Articolul 47.
Cerintele de securitate si notificare prevazute la cap. IV nu se aplica:
a) furnizorilor de retele publice de comunicatii electronice si furnizorilor de servicii de comunicatii electronice destinate publicului;
b) prestatorilor de servicii de incredere calificati si necalificati care fac obiectul art. 19 din Regulamentul (UE) nr. 910/2014 al Parlamentului European si al Consiliului din 23 iulie 2014 privind identificarea electronica si serviciile de incredere pentru tranzactiile electronice pe piata interna si de abrogare a Directivei 1999/93/CE.

Articolul 48.
(1) Pana la 9 noiembrie 2018, pentru fiecare sector si subsector mentionat in anexa, pe langa primirea de notificari in vederea inscrierii in Registrul operatorilor de servicii esentiale conform art. 8 alin. (1), CERT-RO identifica operatorii de servicii esentiale care au sediul social, filiala, sucursala, punct de lucru sau alta forma de reprezentare legal stabilita pe teritoriul Romaniei.
(2) In termen de 30 de zile de la data intrarii in vigoare a prezentei legi, MCSI notifica Comisiei Europene regimul sanctionator aplicabil in temeiul prezentei legi, precum si orice modificare ulterioara a acestuia.
(3) In termenul prevazut la alin. (1) si ulterior la fiecare doi ani, CERT-RO transmite Comisiei Europene urmatoarele informatii in vederea evaluarii aplicarii prezentei legi:
a) lista masurilor care permit identificarea operatorilor de servicii esentiale;
b) lista serviciilor prevazute la art. 6 alin. (1) lit. a);
c) numarul operatorilor de servicii esentiale identificati pentru fiecare sector mentionat in anexa si o indicatie a importantei lor in legatura cu sectorul respectiv;
d) limite, atunci cand acestea exista, pentru determinarea nivelului relevant de furnizare, in raport cu numarul de utilizatori care se bazeaza pe serviciul respectiv sau cu importanta operatorului de servicii esentiale.

Articolul 49.
(1) MCSI va notifica Comisia Europeana in termen de 30 de zile de la publicarea in Monitorul Oficial al Romaniei, Partea I, a prezentei legi cu privire la desemnarea autoritatii competente, a punctului unic de contact si atributiilor acestora.
(2) MCSI va notifica Comisia Europeana in termen de 30 de zile de la publicarea in Monitorul Oficial al Romaniei, Partea I, orice modificare a actelor normative in baza carora a fost facuta desemnarea de la alin. (1).
(3) MCSI va notifica Comisia Europeana in termen de 30 de zile de la publicarea in Monitorul Oficial al Romaniei, Partea I, a prezentei legi cu privire la misiunea, precum si la principalele elemente ale procedurilor de administrare a incidentelor folosite de echipa CSIRT nationala.

Articolul 50.
CERT-RO isi desfasoara activitatea in baza prevederilor prezentei legi si a Hotararii Guvernului nr. 494/2011 privind infiintarea Centrului National de Raspuns la Incidente de Securitate Cibernetica - CERT-RO, care va fi modificata si completata corespunzator prevederilor prezentei legi.







Comentează: Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice
Consultă un avocat online
Fill out my online form.
MCP Cabinet avocati - Specializati in litigii de munca, comerciale, civile si de natura administrativa.
Legislaţie

Contract colectiv de munca 2019-2021 in sectorul bugetar sanatate
Contract colectiv de munca la Nivel de Sector Bugetar Sanatate pe anii 2019-2021, inregistrat la M.M ...

Legea nr. 233/2019 pentru modificarea Legii 190/2019 privind punerea in aplicarea a Regulamentului GDPR
Legea nr. 233/2019 pentru modificarea art. 8 alin. (1) din Legea nr. 190/2018 privind masuri de pune ...

Procedura de anulare a obligatiilor de plata catre AJOFM, AMOFM, CRFPA
Procedura de anulare a obligatiilor de plata accesorii, in conformitate cu prevederile cap. II - Anu ...

OUG 68/2019 privind reorganizarea Guvernului Romaniei
ORDONANTA DE URGENTA nr. 68 din 6 noiembrie 2019 privind stabilirea unor masuri la nivelul administr ...

Ordonanta de urgenta nr. 70/2019 privind unele masuri aplicabile in cazul unui Brexit fara un acord
Ordonanta de urgenta nr. 70/2019 privind unele masuri aplicabile in cazul retragerii Regatului Unit ...

Regulamentul de constatare, notificare si sanctionare a abaterilor de la reglementarile emise in domeniul de activitate al A.N.R.S.C.
Regulamentul de constatare, notificare si sanctionare a abaterilor de la reglementarile emise in dom ...

Decizia ANCOM nr. 1012/2019 - modificarea Deciziei 160/2015 privind stabilirea unor masuri adresate utilizatorilor finali cu dizabilitati
Decizia nr. 1012/2019 pentru modificarea Deciziei presedintelui Autoritatii Nationale pentru Adminis ...

Normele privind analizele deterministe de securitate nucleara pentru instalatiile nucleare, din 22.10.2019
Publicate in Monitorul Oficial nr. 876 din 31.10.2019 ...

Legea nr. 197/2019 pentru modificarea si completarea Ordonantei Guvernului nr. 18/2009 privind organizarea si finantarea rezidentiatului
Publicata in Monitorul Oficial nr. 877 din 31.10.2019. ...



Articole Juridice

Fiecare proprietar al unui apartament dintr-o cladire aflata in proprietate comuna este obligat sa contribuie la costurile legate de energia termica c
Sursa: EuroAvocatura.ro

Curtea de Justitie respinge actiunea Republicii Cehe impotriva directivei privind consolidarea controlului achizitionarii si detinerii de arme de foc
Sursa: EuroAvocatura.ro

Obligarea unui stat la plata unor sanctiuni pecuniare pentru neexecutarea unei hotarari anterioare a Curtii de Justitie a Uniunii Europene
Sursa: Curtea de Justitie a Uniunii Europene

Produsele alimentare originare din teritorii ocupate de Statul Israel trebuie sa poarte mentiunea teritoriului lor de origine
Sursa: Curtea de Justitie a Uniunii Europene

Cand un calator urca la bordul unui tren fara legitimatie de transport, acesta incheie un contract cu operatorul de transport
Sursa: Curtea de Justitie a Uniunii Europene

Incidenta Deciziei CCR nr. 279/2015 asupra contractelor de munca suspendate la data pronuntarii. Neretroactivitate si neconstitutionalitate
Sursa: Irina Maria Diculescu

Raspunderea administrativa in Codul Administrativ (VII)
Sursa: Irina Maria Diculescu



Jurisprudenţă

Decizia CCR nr. 657/2019 referitoare la admiterea exceptiei de neconstitutionalitate a sintagmei "pe baza de abonament" - Legea 1/2011
Pronuntaţă de: Curtea Constitutionala a Romaniei

ICCJ - Decizia 16/2019: in cadrul procedurii de revocare a suspendarii executarii pedepsei sub supraveghere, serviciul de probatiune este un subiect p
Pronuntaţă de: Inalta Curte de Casatie si Justitie

RIL - Decizia ICCJ 2/2019 - tribunalele specializate sunt competente sa solutioneze apelurile in cererile formulate in procedura executarii silite in
Pronuntaţă de: Inalta Curte de Casatie si Justitie

Hotararea in Cauza Deaconu impotriva Romaniei din 29.01.2019
Pronuntaţă de: Curtea Europeana a Drepturilor Omului

Decizia CCR nr. 466/2019 - admiterea obiectiei de neconstitutionalitate a Legii pentru modificarea si completarea Legii nr. 286/2009 privind Codul pen
Pronuntaţă de: Curtea Constitutionala a Romaniei

ICCJ - Actul de control efectuat de Curtea de Conturi nu marcheaza inceputul termenului de prescriptie a actiunii pentru raspunderea patrimoniala a sa
Pronuntaţă de: Inalta Curte de Casatie si Justitie

Hotararea in Cauza Ana Ionescu si altii impotriva Romaniei, din 26.02.2019
Pronuntaţă de: Curtea Europeana a Drepturilor Omului

Ştiri Juridice

Salariul minim diferentiat pentru studii superioare o sa dispara. Care va fi salariul minim in anul 2020
26 Nov 2019 | 438

Ministerului Educatiei si Cercetarii va avea 770 de posturi in organigrama
25 Nov 2019 | 316