Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice

Articolul 9.
(1) Entitatile care nu mai indeplinesc conditiile si criteriile prevazute la art. 6 notifica CERT-RO in vederea radierii din Registrul operatorilor de servicii esentiale si furnizeaza documentatiile relevante in conformitate cu art. 8 alin. (7) lit. a).
(2) CERT-RO dispune, prin decizia directorului general, radierea din Registrul operatorilor de servicii esentiale la cerere sau din oficiu, in urma evaluarii documentatiilor prevazute la alin. (1), si comunica operatorului decizia.
(3) Operatorii de servicii esentiale pot solicita asistenta CERT-RO cu privire la documentatiile prevazute la alin. (1) necesare in procesul de radiere.
(4) Atunci cand o entitate furnizeaza un serviciu esential si in cadrul altor state membre ale Uniunii Europene, CERT-RO se consulta cu autoritatile omologe din statele respective inainte de adoptarea unei decizii privind radierea .
(5) Notificarea prevazuta la alin. (1) se realizeaza in termen de 30 de zile de la data la care entitatea nu mai indeplineste conditiile prevazute la art. 6.

Articolul 10.
(1) In scopul asigurarii securitatii retelelor si sistemelor informatice, operatorii de servicii esentiale au urmatoarele obligatii:
a) implementeaza masurile tehnice si organizatorice adecvate si proportionale pentru indeplinirea cerintelor minime de securitate stabilite in temeiul prevederilor art. 25 alin. (3);
b) implementeaza masuri adecvate pentru a preveni si minimiza impactul incidentelor care afecteaza securitatea retelelor si a sistemelor informatice utilizate pentru furnizarea acestor servicii esentiale, cu scopul de a asigura continuitatea serviciilor respective, stabilite in temeiul prevederilor art. 25 alin. (3);
c) notifica de indata CERT-RO in calitate de CSIRT national incidentele care au un impact semnificativ asupra continuitatii serviciilor esentiale furnizand cel putin informatiile prevazute la art. 26 alin. (3);
d) pun la dispozitia CERT-RO informatii care sa permita stabilirea impactului transfrontalier al incidentului in conformitate cu prevederile art. 26 alin. (3);
e) se supun controlului desfasurat de catre CERT-RO in vederea stabilirii gradului de respectare a obligatiilor ce le revin in temeiul prezentei legi;
f) stabilesc mijloacele permanente de contact, desemneaza responsabilii cu securitatea retelelor si sistemelor informatice insarcinati cu monitorizarea mijloacelor de contact si comunica CERT-RO in termen de 60 de zile de la inscrierea in Registrul operatorilor de servicii esentiale lista acestora, precum si orice modificari ulterioare de indata ce au survenit;
g) comunica in termen de maximum 30 de zile catre CERT- RO, in calitate de autoritate competenta la nivel national, orice schimbare survenita in datele furnizate in cadrul procesului de identificare ca operator de servicii esentiale;
h) se interconecteaza in termen de 60 de zile de la inscrierea in Registrul operatorilor de servicii esentiale la serviciul de alertare si cooperare al CERT-RO, asigura monitorizarea permanenta a alertelor si solicitarilor primite prin acest serviciu ori prin celelalte modalitati de contact si ia in cel mai scurt timp masurile adecvate de raspuns la nivelul retelelor si sistemelor informatice proprii;
i) asigura de indata raspunsul la incidentele survenite, restabilesc in cel mai scurt timp functionarea serviciului la parametrii dinaintea incidentului si realizeaza auditul de securitate, conform prezentei legi.
(2) Operatorii de servicii esentiale pun la dispozitia CERT- RO in calitate de autoritate competenta la nivel national, la solicitarea acesteia facuta cu mentionarea scopului si precizand informatiile necesare si termenul de furnizare a acestora:
a) informatiile necesare pentru evaluarea securitatii retelelor si a sistemelor informatice vizate de prezenta lege, inclusiv politicile de securitate documentate;
b) rezultatele auditului de securitate realizat la solicitarea CERT-RO, inclusiv informatiile si documentatiile pe care se bazeaza acesta, precum si alte elemente care atesta punerea efectiva in aplicare a cerintelor minime de securitate .
(3) Notificarea de indata a afectarii serviciilor esentiale prevazuta la alin. (1) lit. c) se face si in situatia in care afectarea se datoreaza unor incidente care afecteaza un furnizor de servicii digitale de care depinde furnizarea serviciilor esentiale.
(4) Termenul de conformare pentru indeplinirea obligatiilor prevazute la alin. (1) lit. a) si b) este de 6 luni de la data intrarii in vigoare a normelor tehnice privind cerintele de securitate si notificare ori, dupa caz, de la data inscrierii in Registrul operatorilor de servicii esentiale.

Articolul 11.
Operatorii de servicii esentiale au obligatia sa implementeze in termenul de conformare stabilit in conformitate cu dispozitiile art. 37 masurile dispuse de CERT-RO pentru indeplinirea cerintelor minime de securitate, in vederea remedierii deficientelor constatate cu ocazia controlului exercitat in temeiul art. 35.

SECTIUNEA a 2-a
Furnizorii de servicii digitale
Art. 12.
(1) Furnizorii de servicii digitale au urmatoarele obligatii:
a) implementeaza masurile tehnice si organizatorice adecvate si proportionale pentru indeplinirea cerintelor minime de securitate a retelelor si sistemelor informatice stabilite in temeiul prevederilor prezentei legi cu privire la serviciile prevazute la art. 3 lit. o) pe care le ofera pe teritoriul Uniunii Europene tinand cont de normele tehnice prevazute la art. 25 alin. (1), in termen de 6 luni de la data intrarii in vigoare a acestora;
b) implementeaza, in termen de 6 luni de la data intrarii in vigoare a normelor tehnice prevazute la art. 25 alin. (1), masuri adecvate pentru a preveni si minimiza impactul incidentelor care afecteaza securitatea retelelor si a sistemelor informatice utilizate pentru furnizarea serviciilor prevazute la lit. a), asigura raspunsul la incidente si continuitatea serviciilor acestora;
c) notifica de indata CERT-RO in calitate de CSIRT national incidentele care au un impact semnificativ asupra furnizarii serviciilor prevazute la art. 3 lit. o), furnizand cel putin informatiile prevazute la art. 26 alin. (3);
d) pun la dispozitia CERT-RO informatii care sa permita stabilirea impactului transfrontalier al incidentului in conformitate cu prevederile art. 26 alin. (3);
e) stabilesc mijloace permanente de contact, desemneaza responsabilii cu securitatea retelelor si sistemelor informatice insarcinati cu monitorizarea canalelor de contact si comunica CERT-RO, in termen de 60 de zile de la data intrarii in vigoare a prezentei legi, lista acestora, precum si orice modificari ulterioare de indata ce au survenit;
f) se interconecteaza in termen de 60 de zile de la data intrarii in vigoare a prezentei legi la serviciul de alertare si cooperare al CERT-RO, asigura monitorizarea permanenta a alertelor si solicitarilor primite prin acest serviciu ori prin celelalte modalitati de contact si ia in cel mai scurt timp masurile adecvate de raspuns la nivelul retelelor si sistemelor informatice proprii.
(2) Furnizorii de servicii digitale pun la dispozitia CERT-RO in calitate de autoritate competenta la nivel national, la solicitarea acesteia facuta cu mentionarea scopului si precizand informatiile necesare si termenul de furnizare a acestora:
a) informatiile necesare pentru evaluarea securitatii retelelor si a sistemelor informatice vizate de prezenta lege, inclusiv politicile de securitate documentate;
b) rezultatele auditului de securitate realizat, inclusiv informatiile si documentatiile pe care se bazeaza acesta, precum si alte elemente care atesta punerea efectiva in aplicare a cerintelor minime de securitate .
(3) Obligatia de notificare prevazuta la alin. (1) lit. c) se aplica doar in cazul in care furnizorul de servicii digitale are acces la informatiile necesare pentru evaluarea impactului incidentului prevazute la art. 26 si care sa permita evaluarea prevazuta la art. 28.
(4) Prevederile prezentei legi se aplica furnizorilor de servicii digitale care au stabilit sediul social pe teritoriul Romaniei precum si celor din afara Uniunii Europene care stabilesc sediul reprezentantei din Uniune pe teritoriul Romaniei.
(5) Prevederile alin. (1) - (4), art. 25 alin. (4), art. 26 alin. (2) din prezenta lege nu se aplica furnizorilor de servicii digitale care se incadreaza in categoria intreprinderilor mici si mijlocii, asa cum sunt definite in Legea nr. 346/2004 privind stimularea infiintarii si dezvoltarii intreprinderilor mici si mijlocii, cu modificarile si completarile ulterioare.
(6) Operatorii economici, precum si celelalte entitati care furnizeaza servicii digitale au obligatia de a furniza catre CERT- RO, in termen de 60 de zile de la data primirii solicitarii facuta cu mentionarea scopului si precizand informatiile necesare, urmatoarele categorii de documente:
a) documentatiile necesare stabilirii calitatii de furnizor de servicii digitale in sensul prezentei legi;
b) documentatiile necesare stabilirii interdependentei si interconectarii retelelor si sistemelor informatice cu cele ale altor operatori de servicii esentiale ori furnizori de servicii digitale;
c) stabilirea listei de autoritati ale statului pentru care furnizeaza serviciile definite la art. 3 lit. o).
(7) Documentatia prevazuta la alin. (6) va fi stabilita prin normele metodologice prevazute la art. 8 alin. (9).

CAPITOLUL III