LEGE nr. 362 din 28 decembrie 2018privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice
EMITENT
  • PARLAMENTUL ROMÂNIEI
  • Publicat în  MONITORUL OFICIAL nr. 21 din 9 ianuarie 2019



    Notă
    Conform alin. (9) al art. 20 din ORDONANȚA DE URGENȚĂ nr. 104 din 22 septembrie 2021, publicată în MONITORUL OFICIAL nr. 918 din 24 septembrie 2021, în tot cuprinsul Legii nr. 362/2018, sintagmele „Centrul Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO“ și „Secretariatul General al Guvernului“ se înlocuiesc cu sintagma „Directoratul Național de Securitate Cibernetică“, sintagma „CERT-RO“ cu sintagma „DNSC“, iar sintagma „secretarul general al Guvernului“ cu sintagma „directorul DNSC“. Înlocuirea sintagmelor s-a realizat direct în textul prezentei forme consolidate.
    Parlamentul României adoptă prezenta lege.  +  Capitolul IAbrogat. (la 31-12-2024, Capitolul I a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Secţiunea 1Abrogată. (la 31-12-2024, Sectiunea 1 , Capitolul I a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 1Abrogat. (la 31-12-2024, Articolul 1 , Sectiunea 1 , Capitolul I a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 2Abrogat. (la 31-12-2024, Articolul 2 , Sectiunea 1 , Capitolul I a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Secţiunea a 2-aAbrogată. (la 31-12-2024, Sectiunea a 2-a , Capitolul I a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 3Abrogat. (la 31-12-2024, Articolul 3 , Sectiunea a 2-a , Capitolul I a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 4Abrogat. (la 31-12-2024, Articolul 4 , Sectiunea a 2-a , Capitolul I a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Capitolul IIAbrogat. (la 31-12-2024, Capitolul II a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Secţiunea 1Abrogată. (la 31-12-2024, Sectiunea 1 , Capitolul II a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 5Abrogat. (la 31-12-2024, Articolul 5 , Sectiunea 1 , Capitolul II a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 6Abrogat. (la 31-12-2024, Articolul 6 , Sectiunea 1 , Capitolul II a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 7Abrogat. (la 31-12-2024, Articolul 7 , Sectiunea 1 , Capitolul II a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 8Abrogat. (la 31-12-2024, Articolul 8 , Sectiunea 1 , Capitolul II a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 9Abrogat. (la 31-12-2024, Articolul 9 , Sectiunea 1 , Capitolul II a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 10Abrogat. (la 31-12-2024, Articolul 10 , Sectiunea 1 , Capitolul II a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 11Abrogat. (la 31-12-2024, Articolul 11 , Sectiunea 1 , Capitolul II a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Secţiunea a 2-aAbrogată. (la 31-12-2024, Sectiunea a 2-a , Capitolul II a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 12Abrogat. (la 31-12-2024, Articolul 12 , Sectiunea a 2-a , Capitolul II a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Capitolul IIIAbrogat. (la 31-12-2024, Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Secţiunea 1Abrogată. (la 31-12-2024, Sectiunea 1 , Capitolul III a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 13Abrogat. (la 31-12-2024, Articolul 13 , Sectiunea 1 , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 14Abrogat. (la 31-12-2024, Articolul 14 , Sectiunea 1 , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Secţiunea a 2-aAbrogată. (la 31-12-2024, Sectiunea a 2-a , Capitolul III a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 15Abrogat. (la 31-12-2024, Articolul 15 , Sectiunea a 2-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 16Abrogat. (la 31-12-2024, Articolul 16 , Sectiunea a 2-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Secţiunea a 3-aAbrogată. (la 31-12-2024, Sectiunea a 3-a , Capitolul III a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 17Abrogat. (la 31-12-2024, Articolul 17 , Sectiunea a 3-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 18Abrogat. (la 31-12-2024, Articolul 18 , Sectiunea a 3-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Secţiunea a 4-aAbrogată. (la 31-12-2024, Sectiunea a 4-a , Capitolul III a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 19Abrogat. (la 31-12-2024, Articolul 19 , Sectiunea a 4-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 20Abrogat. (la 31-12-2024, Articolul 20 , Sectiunea a 4-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 21Abrogat. (la 31-12-2024, Articolul 21 , Sectiunea a 4-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 22Abrogat. (la 31-12-2024, Articolul 22 , Sectiunea a 4-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 23Abrogat. (la 31-12-2024, Articolul 23 , Sectiunea a 4-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 24Abrogat. (la 31-12-2024, Articolul 24 , Sectiunea a 4-a , Capitolul III a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Capitolul IV Asigurarea securității rețelelor și sistemelor informatice Notă
    Conform literei a), alineatul (1), articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024, la data intrării în vigoare a prezentei ordonanțe de urgență se abrogă, Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, publicată în Monitorul Oficial al României, Partea I, nr. 21 din 9 ianuarie 2019, cu excepția măsurilor adoptate sau impuse în temeiul dispozițiilor din capitolele IV și V, care rămân în vigoare până la revizuirea acestora, conform art. 65;
     +  Secţiunea 1 Cerințele minime de securitate  +  Articolul 25(1) În vederea asigurării unui nivel comun de securitate a rețelelor și sistemelor informatice, operatorii de servicii esențiale și furnizorii de servicii digitale au obligația de a respecta normele tehnice elaborate de DNCS în temeiul prevederilor art. 20 lit. b).(2) DNCS elaborează, cu consultarea autorităților care reglementează sectoarele și subsectoarele prevăzute în anexă, ghiduri în sprijinul implementării măsurilor minime de securitate pentru operatorii și furnizorii prevăzuți în prezenta lege.(3) Normele tehnice prevăzute la alin. (1) aplicabile operatorilor de servicii esențiale se stabilesc în baza cel puțin a următoarelor categorii de activități de asigurare a securității rețelelor și sistemelor informatice:a) managementul drepturilor de acces;b) conștientizarea și instruirea utilizatorilor;c) jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice;d) testarea și evaluarea securității rețelelor și sistemelor informatice;e) managementul configurațiilor rețelelor și sistemelor informatice;f) asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor informatice;g) managementul continuității funcționării serviciului esențial;h) managementul identificării și autentificării utilizatorilor;i) răspunsul la incidente;j) mentenanța rețelelor și sistemelor informatice;k) managementul suporturilor de memorie externă;l) asigurarea protecției fizice a rețelelor și sistemelor informatice;m) realizarea planurilor de securitate;n) asigurarea securității personalului;o) analizarea și evaluarea riscurilor;p) asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice;q) managementul vulnerabilităților și alertelor de securitate.(4) Normele tehnice prevăzute la alin. (1) aplicabile furnizorilor de servicii digitale se stabilesc în baza următoarelor categorii de activități de asigurare a securității rețelelor și sistemelor informatice:a) securitatea sistemelor și a instalațiilor;b) gestionarea incidentelor;c) gestionarea continuității activității;d) monitorizarea, auditarea și testarea;e) conformitatea cu standardele europene și internaționale.(5) În implementarea măsurilor de la alin. (1) operatorii de servicii esențiale:a) identifică rețelele și sistemele informatice care susțin furnizarea de servicii esențiale;b) elaborează și implementează politici și planuri proprii de securitate a rețelelor și sistemelor informatice;c) asigură managementul incidentelor care afectează securitatea rețelelor și sistemelor informatice;d) previn accesul neautorizat la rețelele și sistemele informatice;e) previn diseminarea datelor deținute la nivelul rețelelor și sistemelor informatice către alte persoane decât cele autorizate să cunoască conținutul acestora;f) implementează un sistem de management al riscului;g) implementează planuri de acțiune pe niveluri de alertă de securitate a rețelelor și sistemelor informatice;h) asigură continuitatea serviciilor.(6) Normele tehnice prevăzute la alin. (1) se emit cu luarea în considerare a cerințelor și standardelor europene și internaționale fără a impune sau a discrimina în favoarea utilizării unui anumit tip de tehnologie.  +  Secţiunea a 2-a Notificarea incidentelor de securitate  +  Articolul 26(1) Notificările efectuate de operatorii de servicii esențiale în temeiul art. 10 alin. (1) lit. c) trebuie să îndeplinească condițiile și să conțină informațiile prevăzute în normele tehnice prevăzute la art. 20 lit. c).(2) Notificările efectuate de furnizorii de servicii digitale în temeiul prevederilor art. 12 alin. (1) lit. c) trebuie să îndeplinească condițiile și să conțină informațiile prevăzute în normele tehnice prevăzute la art. 20 lit. c).(3) Notificarea incidentelor conține, în mod obligatoriu, următoarele informații:a) elementele de identificare ale infrastructurii și operatorului sau furnizorului în cauză;b) descrierea incidentului;c) perioada de desfășurare a incidentului;d) impactul estimat al incidentului;e) măsuri preliminare adoptate;f) lista de autorități ale statului afectate de incident;g) întinderea geografică potențială a incidentului;h) date despre efecte potențial transfrontaliere ale incidentului.(4) Notificarea prevăzută la alin. (1) și (2) nu va conține:a) informații clasificate;b) date care pot aduce atingere drepturilor și libertăților cetățenești ori intereselor legitime ale unor terțe entități implicate în incident, în condițiile legii.(5) DNCS, în calitate de autoritate competentă la nivel național, elaborează și actualizează, prin decizie a directorului general publicată în Monitorul Oficial al României, Partea I, formularele necesare notificărilor de incident efectuate în temeiul prezentului articol, detaliind informațiile și documentațiile necesar a fi furnizate.(6) DNCS, în calitate de CSIRT național, va stabili și va aduce la cunoștința publicului, precum și operatorilor și furnizorilor menționați în prezenta lege mijloacele de comunicare pentru efectuarea notificărilor cerute prin prezenta lege.(7) Notificările privind incidentele ce fac obiectul prezentei legi pot fi făcute și de către echipele CSIRT ale entităților de drept public sau privat ori care deservesc un anumit sector de activitate ori de către furnizorii de servicii de securitate aflați în relație contractuală, conform atribuțiilor ce le revin în baza actului de înființare ori a contractului de prestări servicii, după caz. (8) Notificarea făcută de o echipă CSIRT în temeiul alin. (7) echivalează cu notificarea făcută de operatorul sau furnizorul afectat, acesta purtând întreaga răspundere pentru conținutul notificării și îndeplinirea celorlalte obligații ce îi revin conform prezentei legi.(9) Obligația de a notifica un incident de către furnizorii de servicii digitale se aplică doar în cazul în care aceștia au acces la informațiile necesare pentru a evalua impactul unui incident asupra parametrilor menționați la art. 28 alin. (2).(10) Entitățile care nu au fost identificate drept operatori de servicii esențiale și nu sunt furnizori de servicii digitale pot notifica voluntar DNCS, în calitate de CSIRT național, furnizând cel puțin informațiile prevăzute la alin. (3), incidentele care au un impact semnificativ asupra continuității serviciilor pe care le furnizează.(11) DNCS tratează notificările obligatorii cu prioritate față de notificările voluntare.(12) Notificările voluntare se tratează doar atunci când această prelucrare nu împiedică îndeplinirea celorlalte obligații ce îi revin autorității competente la nivel național și în limita resurselor existente.(13) Notificarea voluntară nu impune entității notificatoare nicio obligație care nu i-ar fi revenit dacă nu ar fi făcut notificarea.(14) Notificările prevăzute la alin. (1) și (2) nu atrag răspunderea pentru entitățile care notifică, în condițiile respectării obligațiilor prevăzute de prezenta lege.  +  Secţiunea a 3-a Managementul incidentelor  +  Articolul 27După primirea notificării, DNCS, în calitate de CSIRT național:a) evaluează preliminar impactul incidentului la nivel național și alertează, sesizează ori notifică sau, după caz, poate solicita operatorului sau furnizorului să alerteze alte entități afectate precum și autoritățile cu responsabilități în prevenirea, limitarea și combaterea efectelor incidentului, precum și autoritățile prevăzute la art. 16, potrivit legii;b) poate solicita informații suplimentare operatorului sau furnizorului care a făcut notificarea în vederea îndeplinirii obligațiilor ce îi revin, menționând termenul de furnizare a acestora;c) oferă operatorului sau furnizorului care a făcut notificarea, atunci când circumstanțele o permit, informații care ar putea sprijini administrarea incidentului;d) în calitate de punct unic de contact, informează celelalte state membre sau partenere afectate dacă incidentul are un impact semnificativ asupra continuității serviciilor esențiale ori a serviciilor digitale în statele respective;e) în urma analizei incidentelor, poate, după caz, declanșa acțiune de control pentru verificarea respectării cerințelor prezentei legi;f) poate lua măsurile prevăzute la art. 41;g) coordonează la nivel național răspunsul la incident în colaborare cu celelalte autorități și entități publice sau private, conform domeniului de activitate și responsabilitate.  +  Articolul 28(1) Impactul unui incident se determină ținând cont cel puțin de următorii parametri:(i) în cazul operatorilor de servicii esențiale:a) numărul de utilizatori afectați de perturbarea serviciului esențial;b) durata incidentului;c) distribuția geografică în ceea ce privește zona afectată de incident;(ii) în cazul furnizorilor de servicii digitale:a) numărul de utilizatori afectați de incident, în special utilizatori care se bazează pe serviciul pentru furnizarea propriilor servicii;b) durata incidentului;c) distribuția geografică în ceea ce privește zona afectată de incident;d) amploarea perturbării funcționării serviciului;e) amploarea impactului asupra activităților economice și societale.(2) DNCS, după consultarea GdLINIS, elaborează și actualizează normele tehnice de stabilire a impactului pentru categoriile de operatori și furnizori prevăzuți de prezenta lege care se aprobă prin hotărâre a Guvernului inițiată de Directoratul Național de Securitate Cibernetică . (la 24-07-2020, Alineatul (2) din Articolul 28 , Sectiunea a 3-a , Capitolul IV a fost modificat de Punctul 6, Articolul I din ORDONANȚA DE URGENȚĂ nr. 119 din 22 iulie 2020, publicată în MONITORUL OFICIAL nr. 658 din 24 iulie 2020 ) (3) Criteriile prevăzute la pct. 2. se aplică și notificărilor voluntare efectuate în temeiul prevederilor art. 26 alin. (10).  +  Articolul 29(1) DNCS poate înștiința publicul, atunci când informarea este necesară pentru a preveni un incident sau pentru a se administra un incident în curs.(2) Pentru incidentele care afectează un operator de servicii esențiale sau un furnizor de servicii digitale, informarea menționată la alin. (1) se realizează după consultarea prealabilă a acestuia asupra conținutului înștiințării.(3) În cazul furnizorilor de servicii digitale, informarea publicului specificată la alin. (1) poate fi făcută și direct de către aceștia la solicitarea DNCS ori a autorităților sau echipelor CSIRT ale altor state membre afectate.  +  Articolul 30(1) În activitățile de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale, de control, de primire a notificărilor privitoare la incidente și de management al acestora desfășurate în baza prezentei legi, precum și în procesele interne, DNCS protejează interesele de securitate și comerciale ale operatorului de servicii esențiale și ale furnizorului de servicii digitale, precum și confidențialitatea informațiilor furnizate.(2) Cu excepția informațiilor necesare înștiințării de la art. 29 alin. (1), informațiile prelucrate în sensul îndeplinirii obligațiilor de la alin. (1) nu fac parte din categoria informațiilor de interes public așa cum acestea sunt reglementate în Legea nr. 544/2001 privind liberul acces la informațiile de interes public, cu modificările și completările ulterioare.(3) Informațiile confidențiale conform legislației naționale și normelor Uniunii Europene, precum cele privind secretul comercial, fac obiectul schimbului de informații cu Comisia Europeană și cu alte autorități numai dacă acest lucru este necesar pentru aplicarea prezentei legi.(4) Informațiile care fac obiectul schimbului menționat la alin. (3) se limitează la informații relevante și proporționale cu scopul urmărit.(5) Schimbul de informații menționat la alin. (3) se va face cu garantarea păstrării confidențialității informațiilor și protejarea securității și intereselor comerciale ale operatorilor de servicii esențiale și ale furnizorilor de servicii digitale.(6) Prelucrările de date cu caracter personal ce intră sub incidența prezentei legi se efectuează cu respectarea reglementărilor legale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.(7) Notificările realizate în temeiul prezentei legi nu afectează obligațiile operatorilor de date cu caracter personal stabilite potrivit art. 33 și 34 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.(8) În scopul îndeplinirii atribuțiilor ori furnizării serviciilor prevăzute de prezenta lege, precum și în scopul prevenirii și răspunsului la incidentele de securitate informatică ori al cooperării la nivel național, comunitar și internațional în prevenirea și răspunsul la incidentele de securitate informatică, DNCS colectează, primește, prelucrează și transmite date și informații ce pot constitui sau pot conține date cu caracter personal, în limitele legislației aplicabile, cu asigurarea respectării prevederilor alin. (6).
     +  Capitolul V Audit și autorizare Notă
    Conform literei a), alineatul (1), articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024, la data intrării în vigoare a prezentei ordonanțe de urgență se abrogă, Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, publicată în Monitorul Oficial al României, Partea I, nr. 21 din 9 ianuarie 2019, cu excepția măsurilor adoptate sau impuse în temeiul dispozițiilor din capitolele IV și V, care rămân în vigoare până la revizuirea acestora, conform art. 65;
     +  Secţiunea 1 Auditul de securitate a rețelelor și sistemelor informatice aparținând operatorilor de servicii esențiale sau furnizorilor de servicii digitale  +  Articolul 31Poate fi auditor de securitate a rețelelor și sistemelor informatice persoana fizică sau persoana juridică ce realizează audit de securitate a rețelelor și sistemelor informatice, adică desfășoară acea activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, în vederea identificării disfuncțiilor și vulnerabilităților și a furnizării unor soluții de remediere a acestora.  +  Articolul 32(1) Auditul de securitate specificat la art. 8 alin. (4), respectiv art. 10 alin. (2) lit. b) și art. 12 alin. (2) lit. b) se realizează de către auditorii de securitate informatică ce dețin atestat valabil eliberat de către DNCS pentru a audita rețele și sisteme informatice ce deservesc servicii esențiale sau servicii digitale în sensul prezentei legi.(2) În acest sens DNCS:a) întreține și actualizează Registrul auditorilor menționați la alin. (1);b) elaborează și transmite spre aprobare Directoratului Național de Securitate Cibernetică, în conformitate cu prevederile art. 20 lit. e) și s), regulamentul pentru atestarea și verificarea auditorilor de securitate informatică pentru rețelele și sistemele informatice aparținând operatorilor de servicii esențiale sau furnizorilor de servicii digitale și stabilește condițiile de valabilitate pentru atestatele acordate;c) acordă, prelungește, suspendă sau retrage atestarea pentru auditorii de securitate informatică pentru rețelele și sistemele informatice aparținând operatorilor de servicii esențiale sau furnizorilor de servicii digitale, în conformitate cu prevederile regulamentului prevăzut la lit. b);d) verifică în urma sesizărilor sau din oficiu, în conformitate cu prevederile art. 35-42, îndeplinirea de către auditorii atestați în temeiul prezentei legi a obligațiilor legale ce le revin;e) elaborează și aprobă, prin decizie a directorului general publicată în Monitorul Oficial al României, Partea I, tematicile pentru specializarea auditorilor în vederea atestării prevăzute la lit. c) și autorizează, verifică, suspendă sau retrage autorizarea formatorilor din domeniul auditului de securitate informatică pentru rețelele și sistemele informatice ale operatorilor de servicii esențiale și furnizorilor de servicii digitale.(3) Nu pot realiza auditul solicitat la art. 10 alin. (2) lit. b), respectiv art. 12 alin. (2) lit. b):a) auditorii atestați care asigură în mod curent servicii de securitate informatică ori servicii de tip CSRIT operatorului de servicii esențiale sau furnizorului de servicii digitale ori sunt angajați ai acestora;b) auditorul care are un contract de prestări servicii pentru rețeaua și sistemul supus auditului aflat în desfășurare la momentul la care se efectuează auditul sau într-un termen mai mic de un an;c) auditorul care a mai efectuat 3 audituri consecutive la același operator de servicii esențiale sau furnizor de servicii digitale.(4) Activitatea de audit se efectuează potrivit standardelor și specificațiilor europene și internaționale aplicabile în domeniu.(5) Tematicile de audit vor ține seama de normele tehnice în vigoare privind securitatea rețelelor și sistemelor informatice ale operatorilor de servicii esențiale și ale furnizorilor de servicii digitale elaborate în temeiul prezentei legi.(6) Atestatele au o valabilitate de 3 ani.(7) Constituie excepție de la prevederile alin. (1) auditul de securitate realizat la nivelul instituțiilor cu responsabilități în domeniul apărării, ordinii publice și securității naționale, precum și pentru serviciile puse la dispoziție de către acestea.(8) Lista standardelor și specificațiilor europene și internaționale prevăzute la alin. (4) se elaborează și se aprobă prin decizie a directorului general al DNCS, se actualizează periodic și se publică în Monitorul Oficial al României, Partea I.  +  Secţiunea a 2-a Autorizarea echipelor CSIRT ce deservesc rețele și sisteme informatice din categoria serviciilor esențiale și serviciilor digitale  +  Articolul 33(1) Echipele CSIRT care deservesc operatori de servicii esențiale ori furnizori de servicii digitale se autorizează de către DNCS în calitate de autoritate competentă la nivel național.(2) În acest sens DNCS:a) întreține și actualizează Registrul echipelor CSIRT prevăzute la alin. (1);b) elaborează și transmite spre aprobare Directoratului Național de Securitate Cibernetică, în conformitate cu prevederile art. 20 lit. e) și s), regulamentul pentru autorizarea și verificarea echipelor CSIRT care deservesc operatorii de servicii esențiale sau furnizorii de servicii digitale și stabilește condițiile de valabilitate pentru autorizațiile acordate;c) acordă, prelungește, suspendă sau retrage autorizarea pentru echipele CSIRT, în conformitate cu prevederile regulamentului prevăzut la lit. b);d) verifică în urma sesizărilor sau din oficiu, în conformitate cu prevederile art. 35-42, îndeplinirea de către echipele CSIRT autorizate în temeiul prezentei legi a obligațiilor legale ce le revin;e) elaborează tematicile pentru formarea membrilor echipelor CSIRT în vederea autorizării prevăzute la lit. c) și autorizează, verifică, suspendă sau retrage autorizarea formatorilor din domeniul asigurării de servicii de tip CSIRT pentru rețelele și sistemele informatice ale operatorilor de servicii esențiale și furnizorilor de servicii digitale.(3) În vederea autorizării, echipa CSIRT trebuie să îndeplinească condițiile prevăzute în normele tehnice elaborate în temeiul prevederilor art. 20 lit. e).(4) Autorizațiile au o valabilitate de 3 ani.
     +  Capitolul VIAbrogat. (la 31-12-2024, Capitolul VI a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 34Abrogat. (la 31-12-2024, Articolul 34 , Capitolul VI a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Capitolul VIIAbrogat. (la 31-12-2024, Capitolul VII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Secţiunea 1Abrogată. (la 31-12-2024, Sectiunea 1 , Capitolul VII a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 35Abrogat. (la 31-12-2024, Articolul 35 , Sectiunea 1 , Capitolul VII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 36Abrogat. (la 31-12-2024, Articolul 36 , Sectiunea 1 , Capitolul VII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 37Abrogat. (la 31-12-2024, Articolul 37 , Sectiunea 1 , Capitolul VII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 38Abrogat. (la 31-12-2024, Articolul 38 , Sectiunea 1 , Capitolul VII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 39Abrogat. (la 31-12-2024, Articolul 39 , Sectiunea 1 , Capitolul VII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 40Abrogat. (la 31-12-2024, Articolul 40 , Sectiunea 1 , Capitolul VII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 41Abrogat. (la 31-12-2024, Articolul 41 , Sectiunea 1 , Capitolul VII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 42Abrogat. (la 31-12-2024, Articolul 42 , Sectiunea 1 , Capitolul VII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Capitolul VIIIAbrogat. (la 31-12-2024, Capitolul VIII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 43Abrogat. (la 31-12-2024, Articolul 43 , Capitolul VIII a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Capitolul IXAbrogat. (la 31-12-2024, Capitolul IX a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 44Abrogat. (la 31-12-2024, Articolul 44 , Capitolul IX a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 45Abrogat. (la 31-12-2024, Articolul 45 , Capitolul IX a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 46Abrogat. (la 31-12-2024, Articolul 46 , Capitolul IX a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 47Abrogat. (la 31-12-2024, Articolul 47 , Capitolul IX a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 48Abrogat. (la 31-12-2024, Articolul 48 , Capitolul IX a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 49Abrogat. (la 31-12-2024, Articolul 49 , Capitolul IX a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 )  +  Articolul 50Abrogat. (la 31-12-2024, Articolul 50 , Capitolul IX a fost abrogat de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 ) Abrogată. (la 31-12-2024, Mențiunea privind transpunerea normelor UE a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 ) Această lege a fost adoptată de Parlamentul României, în condițiile art. 147 alin. (2), cu respectarea prevederilor art. 75 și ale art. 76 alin. (2) din Constituția României, republicată.
    p. PREȘEDINTELE CAMEREI DEPUTAȚILOR,
    FLORIN IORDACHE
    PREȘEDINTELE SENATULUI
    CĂLIN-CONSTANTIN-ANTON POPESCU-TĂRICEANU
    București, 28 decembrie 2018.Nr. 362.  +  ANEXĂAbrogată. (la 31-12-2024, ANEXA a fost abrogată de Litera a) , Alineatul (1) , Articolul 66 , Capitolul X din ORDONANȚA DE URGENȚĂ nr. 155 din 30 decembrie 2024, publicată în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2024 ) -----