LEGE nr. 294 din 27 noiembrie 2024privind reziliența entităților critice, precum și pentru modificarea unor acte normative
EMITENT
  • PARLAMENTUL ROMÂNIEI
  • Publicat în  MONITORUL OFICIAL nr. 1189 din 29 noiembrie 2024



    Parlamentul României adoptă prezenta lege.  +  Capitolul I Dispoziții generale  +  Articolul 1Obiect de reglementare(1) Prezenta lege stabilește cadrul legal privind identificarea entităților critice, sprijinirea acestora în vederea consolidării rezilienței, precum și îmbunătățirea cooperării transfrontaliere între autoritățile competente în vederea asigurării furnizării serviciilor esențiale pe piața internă a Uniunii Europene, denumită în continuare piața internă.(2) Coordonarea activităților desfășurate de autoritățile competente desemnate conform art. 26 alin. (2) lit. b) pentru identificarea entităților critice revine, în condițiile prezentei legi, Centrului Național de Coordonare a Protecției Infrastructurilor Critice, structură fără personalitate juridică, din cadrul Ministerului Afacerilor Interne, denumit în continuare CNCPIC. (3) CNCPIC inițiază norme privind identificarea entităților critice de importanță europeană deosebită, denumite în continuare ECIED, identificate în baza cerințelor prevăzute la art. 17, și privind evaluarea de către misiunile de consiliere a măsurilor pe care ECIED le-au pus în aplicare pentru a-și îndeplini obligațiile care le revin în temeiul cap. III, respectiv proceduri comune de cooperare și raportare în ceea ce privește aplicarea prevederilor prezentei legi, precum și măsuri menite să asigure un nivel ridicat al rezilienței entităților critice pentru a asigura furnizarea serviciilor esențiale și pentru a îmbunătăți funcționarea pieței interne.(4) Autorităților competente sectoriale, denumite în continuare ACS, le revine responsabilitatea să asigure furnizarea neîngrădită pe piața internă a serviciilor esențiale pentru menținerea siguranței sau securității populației și funcționarea instituțiilor statului și să sprijine entitățile critice care desfășoară activități în domeniul lor de reglementare pentru a-și îndeplini obligațiile care le revin, sens în care:a) stabilesc pentru entitățile critice obligații menite să le sporească reziliența și capacitatea de a furniza pe piața internă serviciile menționate la alin. (1);b) stabilesc norme privind supravegherea entităților critice și asigurarea respectării legii.(5) Normele, procedurile și măsurile prevăzute la alin. (3) se aprobă prin hotărâre a Guvernului, la propunerea Ministerului Afacerilor Interne, prin CNCPIC.(6) Obligațiile prevăzute la alin. (4) lit. a) și normele prevăzute la alin. (4) lit. b) se aprobă prin ordine ale conducătorilor ACS.  +  Articolul 2Domeniu de aplicare(1) În temeiul prezentei legi, toate entitățile cu personalitate juridică de drept public sau privat care desfășoară activități în sectoarele și subsectoarele prevăzute în anexa care face parte integrantă din prezenta lege au obligația de a participa la procesul de identificare a entităților critice.(2) Informațiile care fac obiectul schimbului între CNCPIC, alte autorități ce au responsabilități în domeniu și Comisia Europeană se limitează la informații relevante, proporționale cu scopul respectivului schimb și necesare pentru aplicarea la nivel național a Directivei (UE) 2022/2.557 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului, denumită în continuate Directiva (UE) 2022/2.557. Acest schimb de informații păstrează confidențialitatea informațiilor respective, securitatea și interesele comerciale ale entităților critice, respectând totodată securitatea națională.(3) Prezenta lege nu aduce atingere responsabilităților de a proteja securitatea și apărarea națională sau competențelor de a proteja alte funcții esențiale ale statului, inclusiv asigurarea integrității teritoriale a statului și menținerea ordinii publice.(4) Prezenta lege nu se aplică entităților administrației publice din domeniul apărării, ordinii publice și securității naționale, inclusiv în ceea ce privește cercetarea, depistarea și urmărirea penală a infracțiunilor.(5) Art. 11 și cap. III, IV și VI nu se aplică entităților critice care furnizează servicii esențiale în domeniul apărării, ordinii publice și securității naționale, inclusiv în ceea ce privește cercetarea, depistarea și urmărirea penală a infracțiunilor, sau care prestează servicii exclusiv entităților menționate la alin. (4).(6) Obligațiile prevăzute de prezenta lege nu implică furnizarea de informații a căror divulgare ar contraveni intereselor esențiale ale statului în materie de apărare, ordine publică și securitate națională.(7) Prezenta lege nu aduce atingere dreptului privind protecția datelor cu caracter personal, în special Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), denumit în continuare Regulamentul (UE) 2016/679, Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, cu modificările și completările ulterioare, și Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), cu modificările ulterioare.(8) Având în vedere relația dintre securitatea fizică și securitatea cibernetică a entităților critice, prezenta lege se aplică într-o manieră coordonată cu legislația privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice și legislația privind securitatea cibernetică și nu se aplică domeniilor reglementate de acestea, fără a aduce atingere art. 8.(9) Dispozițiile relevante ale prezentei legi, inclusiv dispozițiile privind supravegherea și asigurarea respectării legislației prevăzute în cap. VI, nu se aplică în cazul în care dispozițiile reglementărilor interne impun entităților critice să ia măsuri de consolidare a rezilienței, iar cerințele respective sunt recunoscute la nivel național ca fiind cel puțin echivalente cu obligațiile corespunzătoare prevăzute în prezenta lege.  +  Articolul 3Definiții(1) În sensul prezentei legi, termenii și expresiile de mai jos au următoarele semnificații:a) autoritate competentă sectorială înseamnă instituția publică desemnată conform art. 26 alin. (2) lit. b), care, potrivit competențelor și atribuțiilor stabilite prin actele normative de organizare și funcționare proprii, răspunde de organizarea și desfășurarea activităților în domeniile corespunzătoare sectoarelor prevăzute în anexă;b) entitate critică înseamnă o entitate publică sau privată, cu personalitate juridică, care a fost identificată în conformitate cu art. 6 ca aparținând uneia dintre categoriile menționate în a treia coloană a tabelului din anexă;c) reziliența entităților critice înseamnă capacitatea unei entități critice de a preveni un incident, de a oferi protecție și de a rezista în cazul producerii unui incident, de a răspunde la un incident, de a atenua un incident, de a absorbi un incident, de a se adapta unui incident și de a se redresa în urma unui incident;d) incident înseamnă orice eveniment care are potențialul de a perturba în mod semnificativ sau care perturbă furnizarea unui serviciu esențial, inclusiv atunci când afectează sistemele naționale care protejează statul de drept;e) infrastructură critică înseamnă un activ, o instalație, un echipament, o rețea ori un sistem sau o componentă a unui activ, instalații, echipament, rețea ori sistem, care este necesar(ă) pentru furnizarea unui serviciu esențial;f) serviciu esențial înseamnă un serviciu furnizat de entitatea critică identificată în conformitate cu art. 6, care este indispensabil pentru menținerea funcțiilor societale vitale, a activităților economice vitale, a sănătății și siguranței publice sau a mediului;g) risc înseamnă potențialele pierderi sau perturbări cauzate de un incident și se exprimă ca o combinație între amploarea unei astfel de pierderi sau perturbări și probabilitatea producerii incidentului respectiv;h) evaluarea riscurilor înseamnă procesul global prin care se determină natura și amploarea unui risc prin identificarea și analiza potențialelor amenințări, vulnerabilități și pericole relevante care ar putea conduce la un incident și prin evaluarea potențialelor pierderi sau perturbări ale furnizării unui serviciu esențial provocate de incidentul respectiv;i) standard înseamnă un standard în înțelesul definiției de la art. 2 pct. 1 din Regulamentul (UE) nr. 1.025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1.673/2006/CE a Parlamentului European și a Consiliului, denumit în continuare Regulamentul (UE) nr. 1.025/2012;j) specificație tehnică înseamnă o specificație tehnică în înțelesul definiției de la art. 2 pct. 4 din Regulamentul (UE) nr. 1.025/2012;k) entitate a administrației publice înseamnă o autoritate a administrației publice, definită la art. 5 lit. l) din Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare, cu excepția autorităților judecătorești, parlamentare sau a băncilor centrale, și care îndeplinește criteriile prevăzute la alin. (2);l) informații sensibile înseamnă acele informații privind entitățile critice a căror divulgare poate pune în pericol securitatea și interesele comerciale ale acestora;m) stat membru înseamnă un stat membru al Uniunii Europene sau un stat membru al Spațiului Economic European.(2) Entitatea administrației publice definită la alin. (1) lit. k) trebuie să îndeplinească următoarele criterii:a) a fost înființată în scopul satisfacerii unor nevoi de interes general și nu are caracter industrial sau comercial;b) are personalitate juridică sau este abilitată prin lege să acționeze în numele unei alte entități cu personalitate juridică;c) este finanțată majoritar de la bugetul de stat sau de alte organisme centrale de drept public, face obiectul unui control de gestiune din partea autorităților sau a organismelor respective sau are un consiliu de administrație, de conducere sau de supraveghere ai cărui membri sunt desemnați în proporție de peste 50% de autoritățile statului sau de alte organisme centrale de drept public;d) are competența de a adresa persoanelor fizice sau juridice acte administrative sau de reglementare care le afectează drepturile în ceea ce privește circulația transfrontalieră a persoanelor, mărfurilor, serviciilor sau capitalurilor.  +  Capitolul II Cadrul național privind identificarea entităților critice  +  Articolul 4Strategia privind reziliența entităților critice(1) CNCPIC elaborează, pe baza consultărilor cu ACS și cu părțile interesate relevante, strategia de consolidare a rezilienței entităților critice, denumită în continuare Strategia, care se aprobă prin hotărâre a Guvernului. (2) Strategia stabilește obiective strategice și măsuri specifice, cu luarea în considerare a eventualelor strategii naționale și sectoriale relevante, a planurilor sau a unor documente programatice specifice, în vederea atingerii și menținerii unui nivel ridicat de reziliență a entităților critice și care acoperă sectoarele prevăzute în anexă.(3) Strategia include cel puțin următoarele elemente:a) obiectivele strategice și prioritățile în scopul consolidării rezilienței generale a entităților critice, ținând seama de dependențele și interdependențele transfrontaliere și intersectoriale;b) cadrul de guvernanță pentru realizarea obiectivelor strategice și a priorităților, inclusiv o descriere a rolurilor și responsabilităților diferitelor autorități, ale entităților critice și ale altor părți implicate în punerea în aplicare a Strategiei;c) descrierea măsurilor necesare pentru a consolida reziliența generală a entităților critice, inclusiv o descriere a evaluării riscurilor, astfel cum se menționează la art. 5;d) descrierea procesului prin care sunt identificate entitățile critice;e) descrierea procesului de sprijinire a entităților critice în conformitate cu prezentul capitol, inclusiv a măsurilor de consolidare a cooperării dintre sectorul public, pe de o parte, și sectorul privat și entitățile publice și private, pe de altă parte;f) lista principalelor autorități și a părților interesate relevante, altele decât entitățile critice, implicate în punerea în aplicare a Strategiei;g) cadrul general de cooperare între CNCPIC, ACS desemnate în temeiul prezentei legi și autoritățile competente responsabile cu securitatea cibernetică și cu sarcinile de supraveghere și asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică, în scopul schimbului de informații privind riscurile de securitate cibernetică, amenințările cibernetice și incidentele cibernetice și riscurile, amenințările și incidentele noncibernetice și al exercitării sarcinilor de supraveghere;h) descrierea măsurilor deja în vigoare menite să faciliteze punerea în aplicare de către întreprinderile mici și mijlocii în înțelesul Legii nr. 346/2004 privind stimularea înființării și dezvoltării întreprinderilor mici și mijlocii, cu modificările și completările ulterioare, identificate drept entități critice, precum și a obligațiilor care le revin în temeiul cap. III din prezenta lege. (4) CNCPIC actualizează Strategia, pe baza consultărilor cu părțile interesate relevante, cel puțin o dată la fiecare 4 ani, prin hotărâre a Guvernului.(5) CNCPIC transmite Comisiei Europene Strategia și orice actualizare substanțială a acesteia în termen de 3 luni de la adoptare.  +  Articolul 5Evaluarea riscurilor(1) CNCPIC utilizează lista de servicii esențiale, adoptată la nivelul Comisiei Europene conform prevederilor Regulamentului delegat (UE) 2023/2.450 al Comisiei din 25 iulie 2023 de completare a Directivei (UE) 2022/2.557 a Parlamentului European și a Consiliului prin stabilirea unei liste de servicii esențiale, și solicită ACS date și informații în scopul elaborării unei evaluări a riscurilor.(2) Evaluarea riscurilor menționată la alin. (1) se realizează până la 17 ianuarie 2026 și, ulterior, ori de câte ori este necesar, dar cel puțin o dată la fiecare 4 ani.(3) Evaluarea riscurilor ia în considerare riscurile naturale și pe cele provocate de om relevante, inclusiv pe cele de ordin intersectorial sau transfrontalier, accidentele, dezastrele naturale, situațiile de urgență din domeniul sănătății publice și amenințările hibride, sau alte amenințări, inclusiv infracțiunile de terorism prevăzute de Legea nr. 535/2004 privind prevenirea și combaterea terorismului, cu modificările și completările ulterioare. (4) La evaluarea riscurilor se iau în considerare următoarele:a) evaluarea generală a riscurilor efectuată în temeiul art. 6 alin. (1) din Decizia nr. 1.313/2013/UE a Parlamentului European și a Consiliului din 17 decembrie 2013 privind un mecanism de protecție civilă al Uniunii;b) alte evaluări relevante ale riscurilor, efectuate în conformitate cu cerințele actelor sectoriale relevante la nivel național, inclusiv Regulamentul (UE) 2017/1.938 al Parlamentului European și al Consiliului din 25 octombrie 2017 privind măsurile de garantare a siguranței furnizării de gaze și de abrogare a Regulamentului (UE) nr. 994/2010 și Regulamentul (UE) 2019/941 al Parlamentului European și al Consiliului din 5 iunie 2019 privind pregătirea pentru riscuri în sectorul energiei electrice și de abrogare a Directivei 2005/89/CE, și în conformitate cu Strategia națională de management al riscului la inundații pe termen mediu și lung, aprobată prin Hotărârea Guvernului nr. 846/2010, respectiv cu prevederile Legii nr. 59/2016 privind controlul asupra pericolelor de accident major în care sunt implicate substanțe periculoase, cu completările ulterioare, precum și cu prevederile Ordonanței de urgență a Guvernului nr. 73/2019 privind siguranța feroviară, aprobată prin Legea nr. 71/2020, și ale Regulamentului delegat (UE) 2018/762 al Comisiei din 8 martie 2018 de stabilire a unor metode comune de siguranță privind cerințele sistemului de management al siguranței, în temeiul Directivei (UE) 2016/798 a Parlamentului European și a Consiliului, și de abrogare a Regulamentelor (UE) nr. 1.158/2010 și (UE) nr. 1.169/2010 ale Comisiei;c) riscurile relevante care decurg din gradul de dependență existentă între sectoarele prevăzute în anexă, inclusiv din gradul de dependență a acestora de entități situate în alte state membre și în țări terțe, și impactul pe care o perturbare semnificativă într-un sector îl poate avea asupra altor sectoare, inclusiv orice risc semnificativ la adresa cetățenilor sau a pieței interne;d) orice informații privind incidentele notificate în conformitate cu art. 15;e) alte informații relevante ce pot veni în sprijinul evaluării de risc, în scopul identificării entităților critice.(5) În scopul îndeplinirii obligației prevăzute la alin. (4) lit. c), CNCPIC cooperează cu autoritățile similare din statele membre și, după caz, cu autoritățile competente din țări terțe.(6) CNCPIC utilizează evaluarea riscurilor prevăzută la alin. (1) pentru a identifica entitățile critice în conformitate cu art. 6 și, împreună cu ACS, le sprijină în ceea ce privește luarea măsurilor prevăzute la art. 13.(7) ACS au obligația de a furniza, în termen de o lună de la primirea solicitării transmise de CNCPIC, datele și informațiile pentru elaborarea evaluării de risc menționate la alin. (1).(8) CNCPIC, prin intermediul ACS, pune la dispoziția entităților critice identificate în conformitate cu art. 6 elementele relevante ale evaluării riscurilor efectuate conform alin. (1). Informațiile furnizate entităților critice sunt utilizate pentru evaluarea riscurilor efectuată de acestea în temeiul art. 12 și în luarea unor măsuri care să le asigure reziliența în temeiul art. 13.(9) În termen de 3 luni de la evaluarea riscurilor, CNCPIC furnizează Comisiei Europene informațiile relevante privind tipurile de riscuri identificate și rezultatele respectivei evaluări a riscurilor, pentru fiecare sector și subsector prevăzut în anexă.(10) Modelul comun de raportare voluntar elaborat de Comisia Europeană, în cooperare cu statele membre, poate fi utilizat de CNCPIC în scopul îndeplinirii obligației prevăzute la alin. (9).  +  Articolul 6Identificarea entităților critice(1) Până la 17 iulie 2026, CNCPIC identifică entitățile critice pentru sectoarele și subsectoarele prevăzute în anexă, cu sprijinul ACS.(2) ACS au obligația de a furniza CNCPIC, cu 5 luni înainte de termenul prevăzut la alin. (1), date pentru identificarea entităților critice în temeiul alin. (1), iar CNCPIC, pe baza acestora, precum și a rezultatelor evaluării riscurilor elaborate conform art. 5 și a strategiei elaborate potrivit art. 4, aplică cumulativ următoarele criterii:a) entitatea furnizează unul sau mai multe servicii esențiale;b) entitatea operează, iar infrastructura sa critică este situată pe teritoriul național și poate include infrastructura critică națională, astfel cum este definită la art. 3 lit. a) din Ordonanța de urgență a Guvernului nr. 98/2010 privind identificarea, desemnarea și protecția infrastructurilor critice, aprobată cu modificări prin Legea nr. 18/2011, cu modificările și completările ulterioare; c) un incident ar avea efecte perturbatoare semnificative, determinate în conformitate cu art. 7 alin. (1), asupra furnizării de către o entitate a unuia sau mai multor servicii esențiale ori asupra furnizării altor servicii esențiale în sectoarele prevăzute în anexă care depind de acel serviciu esențial sau de acele servicii esențiale.(3) Lista entităților critice identificate prin aplicarea criteriilor prevăzute la alin. (2) se aprobă, la propunerea CNCPIC, prin decizie a prim-ministrului. CNCPIC se asigură că respectivele entități critice sunt notificate de către ACS cu privire la identificarea lor ca entități critice în termen de o lună de la data identificării. ACS informează entitățile critice prin aceeași notificare și cu privire la obligațiile care le revin în temeiul cap. III și IV și cu privire la data de la care obligațiile respective le revin, fără a aduce atingere art. 8.(4) CNCPIC informează ACS și entitățile critice din sectoarele prevăzute la pct. 3, 4 și 8 din tabelul din anexă cu privire la faptul că nu le revin obligații în temeiul cap. III și IV, cu excepția prevederilor art. 17 alin. (2). (5) Dispozițiile cap. III se aplică entităților critice vizate după 10 luni de la data primirii notificării prevăzute la alin. (3), cu excepția prevederilor art. 12 alin. (1).(6) CNCPIC notifică autoritățile competente responsabile cu securitatea cibernetică și cu sarcinile de supraveghere și asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică cu privire la entitățile critice identificate în temeiul prezentului articol, în termen de o lună de la identificare. Notificarea respectivă precizează, dacă este cazul, faptul că entitățile critice vizate sunt entități din sectoarele prevăzute la pct. 3, 4 și 8 din tabelul din anexă și că acestora nu le revin obligații în temeiul cap. III și IV.(7) Atunci când este necesar și, în orice caz, cel puțin o dată la fiecare 4 ani, pe baza datelor furnizate de ACS, CNCPIC revizuiește și, după caz, actualizează lista entităților critice identificate menționate la alin. (3), prin decizie a prim-ministrului. În cazul în care actualizările respective conduc la identificarea unor entități critice suplimentare, acelor entități critice suplimentare li se aplică alin. (3)-(6). Datele furnizate de ACS în cadrul procesului de revizuire sunt obligatorii.(8) CNCPIC notifică, în timp util, entitățile care nu mai sunt identificate ca entități critice, în urma unei astfel de actualizări, cu privire la aceasta și cu privire la faptul că, de la primirea notificării respective, nu le mai revin obligațiile prevăzute în cap. III.(9) CNCPIC participă, la solicitarea Comisiei Europene, la elaborarea de recomandări și orientări fără caracter obligatoriu pentru a sprijini procesul de identificare a entităților critice.  +  Articolul 7Efect perturbator semnificativ(1) CNCPIC, pe baza datelor furnizate de ACS, determină importanța unui efect perturbator, astfel cum se menționează la art. 6 alin. (2) lit. c), aplicând următoarele criterii:a) numărul de utilizatori care se bazează pe serviciul esențial furnizat de entitatea în cauză;b) gradul de dependență al altor sectoare și subsectoare prevăzute în anexă de serviciul esențial respectiv; c) efectele pe care le-ar putea avea incidentele, ca intensitate și durată, asupra activităților economice și societale, a mediului, a siguranței și securității publice sau a sănătății populației; d) cota de piață a entității pe piața serviciului esențial sau a serviciilor esențiale respective;e) zona geografică ce ar putea fi afectată de un incident, inclusiv eventualele efecte transfrontaliere, ținând seama de vulnerabilitatea asociată cu gradul de izolare al anumitor tipuri de zone geografice, cum ar fi regiunile insulare, regiunile îndepărtate sau zonele montane;f) importanța entității pentru menținerea unui nivel suficient al serviciului esențial, ținând cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului esențial respectiv.(2) După identificarea entităților critice în temeiul art. 6 alin. (1), CNCPIC transmite Comisiei Europene, în maximum două zile de la data publicării deciziei prim-ministrului prevăzute la art. 6 alin. (3), următoarele informații:a) o listă a serviciilor esențiale identificate atunci când există servicii esențiale suplimentare față de cele care figurează în lista serviciilor esențiale menționată la art. 5 alin. (1);b) numărul de entități critice identificate pentru fiecare sector și subsector prevăzut în anexă și pentru fiecare serviciu esențial;c) orice praguri aplicate pentru a specifica unul sau mai multe dintre criteriile de la alin. (1).(3) CNCPIC transmite Comisiei Europene informațiile prevăzute la alin. (2) ulterior informării inițiale, ori de câte ori este necesar și cel puțin o dată la fiecare 4 ani.(4) CNCPIC poate utiliza orientările, fără caracter obligatoriu, adoptate de Comisia Europeană pentru a facilita aplicarea criteriilor menționate la alin. (1).(5) Criteriile prevăzute la alin. (1) și pragurile prevăzute la alin. (2) lit. c) se stabilesc prin decizie a prim-ministrului.  +  Articolul 8Entități critice din sectorul bancar, sectorul infrastructurii pieței financiare și sectorul infrastructurii digitaleArt. 11 și cap. III, IV și VI nu se aplică entităților critice identificate în sectoarele prevăzute la pct. 3, 4 și 8 din tabelul din anexă.  +  Articolul 9Autoritățile competente și punctul unic de contact(1) Coordonarea la nivel național a activităților privind reziliența entităților critice se realizează de către prim-ministru. În vederea îndeplinirii responsabilităților stabilite prin prezenta lege, prim-ministrul emite decizii.(2) Responsabilitatea pentru organizarea și desfășurarea activităților necesare implementării legislației specifice domeniului rezilienței entităților critice revine CNCPIC, în calitate de autoritate competentă la nivel național. (3) CNCPIC asigură punctul unic de contact, care exercită funcția de legătură pentru a asigura cooperarea transfrontalieră cu punctele unice de contact ale altor state membre și cu Grupul privind reziliența entităților critice, denumit în continuare GREC, înființat la nivelul Comisiei Europene, precum și cooperarea cu țările terțe.(4) Se înființează Grupul de lucru interinstituțional pentru reziliența entităților critice, denumit în continuare grup de lucru, organism cu rol consultativ, constituit din reprezentanți ai ACS și CNCPIC, ale cărui componență și regulament de organizare și funcționare se stabilesc prin decizie a prim-ministrului. Nominalizarea reprezentanților ACS în cadrul grupului de lucru se face prin ordine ale conducătorilor acestora și se comunică CNCPIC.(5) Rolul grupului de lucru este de a asigura coordonarea coerentă și unitară a activităților desfășurate, precum și a măsurilor ce se impun pentru îmbunătățirea activității în domeniul rezilienței entităților critice. (6) Coordonarea grupului de lucru se realizează de către un consilier desemnat de prim-ministru.(7) Secretariatul tehnic al grupului de lucru este realizat de către CNCPIC.(8) Până la 17 iulie 2028 și, ulterior, la fiecare 2 ani, CNCPIC prezintă Comisiei Europene și GREC un raport de sinteză care să cuprindă numărul de notificări primite, natura incidentelor notificate și măsurile luate în conformitate cu art. 15 alin. (5).(9) CNCPIC poate utiliza în mod voluntar modelul comun de raportare, elaborat de Comisia Europeană, în cooperare cu GREC, în temeiul art. 9 alin. (3) paragraful 2 din Directiva (UE) 2022/2.557, în scopul transmiterii rapoartelor de sinteză menționate la alin. (8).(10) CNCPIC și ACS se consultă și cooperează, în condițiile prezentei legi și, după caz, potrivit prevederilor actelor normative de organizare și funcționare proprii, cu alte autorități naționale, inclusiv cu cele responsabile de protecția civilă, de asigurarea respectării legii și de protecția datelor cu caracter personal, precum și cu entitățile critice și cu alte autorități similare din statele membre și, după caz, cu autoritățile competente din țări terțe, ce fac obiectul prezentei legi.(11) CNCPIC și ACS cooperează și fac schimb de informații cu autoritățile competente responsabile cu securitatea cibernetică și cu sarcinile de supraveghere și asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică în ceea ce privește riscurile de securitate cibernetică, amenințările și incidentele cibernetice, precum și riscurile, amenințările și incidentele noncibernetice care afectează entitățile critice, precum și în ceea ce privește eventualele măsuri ce pot fi luate de CNCPIC și de ACS, în condițiile prezentei legi, și de autoritățile competente responsabile cu securitatea cibernetică și cu sarcinile de supraveghere și asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică potrivit legislației specifice acestora.(12) CNCPIC notifică Comisia Europeană cu privire la desemnarea sa ca autoritate competentă și punct unic de contact, precum și cu privire la desemnarea ACS, în termen de 3 luni de la intrarea în vigoare a prezentei legi, inclusiv cu privire la sarcinile și responsabilitățile care îi revin, datele de contact și orice modificare ulterioară a acestora.(13) În ceea ce privește entitățile critice din sectoarele prevăzute la pct. 3 și 4 din tabelul din anexă, autoritățile competente sunt Ministerul Finanțelor și Banca Națională a României.(14) În ceea ce privește entitățile critice din sectorul prevăzut la pct. 8 din tabelul din anexă, autoritățile competente sunt autoritățile responsabile cu securitatea cibernetică și cu sarcinile de supraveghere și asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică. (15) CNCPIC informează Comisia Europeană cu privire la desemnarea unei alte autorități decât autoritățile competente menționate la alin. (13) și (14) drept autoritate competentă în ceea ce privește entitățile critice din sectoarele prevăzute la pct. 3, 4 și 8 din tabelul din anexă.  +  Articolul 10Sprijinul acordat entităților critice(1) CNCPIC acordă, la solicitare, sprijin entităților critice în vederea consolidării rezilienței acestora prin elaborarea de materiale de orientare și metodologii, organizării de exerciții pentru a testa reziliența acestor entități și furnizării de consiliere și formare a personalului entităților critice. (2) Fără a aduce atingere normelor în materie de concurență prevăzute la art. 107 alin. (1) din Tratatul privind funcționarea Uniunii Europene (TFUE), respectiv normelor aplicabile privind ajutoarele de stat reglementate prin Ordonanța de urgență a Guvernului nr. 77/2014 privind procedurile naționale în domeniul ajutorului de stat, precum și pentru modificarea și completarea Legii concurenței nr. 21/1996, aprobată cu modificări și completări prin Legea nr. 20/2015, cu modificările și completările ulterioare, entitățile critice, cu sprijinul ACS, pot beneficia de resurse financiare atunci când acest lucru este necesar și justificat de îndeplinirea unor obiective de interes public.(3) CNCPIC asigură cooperarea și schimbul de informații și de bune practici cu ACS și cu entitățile critice din sectoarele prevăzute în anexă.(4) CNCPIC diseminează către ACS și entitățile critice materiale de orientare și metodologii transmise de Comisia Europeană și participă la activități de formare și exerciții transfrontaliere pentru a testa reziliența entităților critice.(5) CNCPIC facilitează schimbul voluntar de informații între entitățile critice în ceea ce privește aspectele reglementate de prezenta lege, în conformitate cu dreptul Uniunii Europene și cu cadrul normativ național privind, în special, informațiile clasificate și sensibile, concurența și protecția datelor cu caracter personal.  +  Articolul 11Cooperarea dintre statele membre(1) CNCPIC se consultă cu autoritățile similare din celelalte state membre cu privire la entitățile critice, ori de câte ori acest lucru este necesar, în scopul asigurării aplicării consecvente a Directivei (UE) 2022/2.557.(2) Consultările prevăzute la alin. (1) au loc în special în ceea ce privește entitățile critice:a) care utilizează o infrastructură critică conectată fizic între două sau mai multe state membre;b) care fac parte din structuri corporative conectate cu entități critice din alte state membre sau legate de acestea;c) care au fost identificate drept entități critice într-un stat membru și furnizează servicii esențiale pentru alte state membre sau pe teritoriul acestora.(3) Consultările prevăzute la alin. (1) și (2) vizează consolidarea rezilienței entităților critice și, acolo unde este posibil, reducerea sarcinii administrative care incumbă acestora.  +  Capitolul III Reziliența entităților critice  +  Articolul 12Evaluarea riscurilor efectuată de entitățile critice(1) Entitățile critice efectuează o evaluare a riscurilor proprie în termen de 9 luni de la primirea notificării menționate la art. 6 alin. (3) ultima teză și, ulterior, ori de câte ori este necesar, dar cel puțin o dată la fiecare 4 ani, pe baza evaluării riscurilor efectuate de CNCPIC conform art. 5 și a altor surse relevante de informații, în vederea evaluării tuturor riscurilor care ar putea perturba furnizarea serviciilor lor esențiale.(2) Evaluarea riscurilor efectuată de entitatea critică conform alin. (1) ține seama de toate riscurile naturale și de cele provocate de om care ar putea provoca producerea unui incident, inclusiv cele intersectoriale sau transfrontaliere, accidentele, dezastrele naturale, situațiile de urgență din domeniul sănătății publice și amenințările hibride, precum și alte amenințări, inclusiv infracțiunile de terorism prevăzute de Legea nr. 535/2004, cu modificările și completările ulterioare. (3) Evaluarea riscurilor efectuată de entitatea critică, potrivit prezentei legi, ține seama de gradul de dependență al altor sectoare prevăzute în anexă față de serviciul esențial furnizat și de gradul de dependență al entității critice față de serviciile esențiale furnizate de alte entități în sectoarele respective, inclusiv în statele membre și țările terțe învecinate.(4) Entitatea critică poate utiliza evaluări ale riscurilor și documente relevante pentru acestea, specifice responsabilităților sectorului de activitate, pentru a îndeplini cerințele prevăzute la prezentul articol.(5) În exercitarea atribuțiilor conform prevederilor prezentei legi, CNCPIC și ACS examinează și constată, în baza unor proceduri de verificare a conformității elaborate în cadrul grupului de lucru înființat conform prevederilor menționate la art. 9 alin. (4), că o evaluare existentă a riscurilor efectuată de o entitate critică care abordează riscurile și gradul de dependență menționate la alin. (2) și (3) este conformă, integral sau parțial, cu respectarea obligațiilor prevăzute în prezentul articol.  +  Articolul 13Măsuri de reziliență luate de entitățile critice(1) Entitățile critice iau măsuri tehnice, de securitate și organizatorice adecvate și proporționale pentru a-și asigura reziliența, pe baza informațiilor relevante furnizate în evaluarea riscurilor efectuată de CNCPIC, precum și a rezultatelor evaluării riscurilor efectuate de entitatea critică, inclusiv măsuri necesare pentru:a) a preveni apariția incidentelor, luând în considerare în mod corespunzător măsuri de reducere a riscului de dezastre și de adaptare la schimbările climatice;b) a asigura o protecție fizică adecvată a spațiilor și a infrastructurii critice, luând în considerare în mod corespunzător implementarea tuturor măsurilor de asigurare a securității fizice;c) a răspunde, a rezista la consecințele incidentelor și a le atenua, luând în considerare în mod corespunzător implementarea unor proceduri și protocoale de gestionare a riscurilor și a crizelor și a unor proceduri de alertă;d) a se redresa în urma incidentelor, luând în considerare, în mod corespunzător, măsuri de asigurare a continuității activității și identificarea unor lanțuri de aprovizionare alternative, pentru a relua furnizarea serviciului esențial;e) a asigura gestionarea adecvată a securității în ceea ce privește angajații, luând în considerare, în mod corespunzător, măsuri precum determinarea categoriilor de personal care exercită funcții critice, stabilirea drepturilor de acces la spații, la infrastructura critică și la informațiile sensibile, stabilirea de proceduri de verificare a antecedentelor în conformitate cu art. 14, desemnarea unor categorii de persoane care trebuie să facă obiectul unor astfel de verificări ale antecedentelor, precum și stabilirea unor cerințe de formare și calificări adecvate;f) a conștientiza personalul implicat cu privire la punerea în aplicare a măsurilor menționate la lit. a)-e), luând în considerare, în mod corespunzător, asigurarea participării la cursuri de formare, diseminarea de materiale informative și participarea la exerciții de testare.(2) În sensul alin. (1) lit. e), entitățile critice iau în considerare, atunci când determină categoriile de personal care exercită funcții critice, nu numai propriii angajați, ci și personalul prestatorilor externi de servicii.(3) Entitățile critice sunt obligate să instituie și să pună în aplicare un plan de reziliență sau un document sau documente echivalente, care descriu măsurile luate în temeiul alin. (1). Atunci când entitățile critice au elaborat documente sau au luat măsuri în temeiul obligațiilor stabilite în alte acte normative incidente domeniului propriu de responsabilitate, care sunt relevante pentru măsurile menționate la alin. (1), acestea pot utiliza documentele și măsurile respective pentru a îndeplini cerințele prevăzute în prezentul articol. (4) Atunci când își exercită funcțiile de supraveghere, CNCPIC și ACS, în baza unei proceduri de verificare a conformității elaborate în cadrul grupului de lucru înființat conform prevederilor menționate la art. 9 alin. (4), pot declara măsurile existente de consolidare a rezilienței luate de o entitate critică, care abordează în mod adecvat și proporțional măsurile tehnice, de securitate și organizatorice menționate la alin. (1), ca fiind conforme, integral sau parțial, cu respectarea obligațiilor prevăzute la prezentul articol.(5) Fiecare entitate critică desemnează un ofițer de legătură sau un echivalent al acestuia ca punct de contact în relația cu CNCPIC și ACS.(6) CNCPIC pune la dispoziția ACS și entităților critice, prin canalele oficiale de comunicare, orientările fără caracter obligatoriu adoptate de Comisia Europeană pentru a detalia măsurile tehnice, de securitate și organizatorice în vederea îndeplinirii responsabilităților stabilite la alin. (1).  +  Articolul 14Verificările antecedentelor(1) O entitate critică poate să depună, în condițiile respectării prevederilor art. 2 alin. (7), în cazuri justificate în mod corespunzător și ținând seama de evaluarea riscurilor efectuată în condițiile art. 5 alin. (1), cereri de verificare a antecedentelor persoanelor care:a) îndeplinesc funcții sensibile în cadrul entității critice sau în beneficiul acesteia, în special în ceea ce privește reziliența entității critice;b) sunt autorizate să aibă acces direct sau de la distanță în spațiile acesteia, la informațiile sale sau la sistemele sale de control, inclusiv în legătură cu securitatea entității critice;c) sunt avute în vedere pentru a fi recrutate în posturi care intră sub incidența criteriilor prevăzute la lit. a) sau b).(2) Cererile menționate la alin. (1) sunt analizate la nivelul ACS în termen de 60 de zile și prelucrate în conformitate cu prevederile Regulamentului (UE) 2016/679, ale Legii nr. 190/2018, cu modificările ulterioare, și ale Legii nr. 363/2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date. (3) Verificările prevăzute la alin. (1) se realizează prin schimbul de date personale între ACS și entitățile critice din responsabilitatea acestora.(4) Verificările antecedentelor sunt proporționale și strict limitate la ceea ce este necesar în vederea soluționării cererilor menționate la alin. (1). Acestea se efectuează exclusiv în scopul evaluării unui potențial risc de securitate pentru entitatea critică în cauză, iar informațiile obținute vor fi valorificate doar pe perioada efectuării verificărilor de la alin. (5).(5) Verificarea antecedentelor prevăzută la alin. (1) are în vedere cel puțin următoarele:a) confirmarea identității persoanei care face obiectul verificării antecedentelor; b) verificarea cazierului judiciar al persoanei vizate în ceea ce privește infracțiunile care ar fi relevante pentru o anumită funcție.(6) Atunci când efectuează verificarea antecedentelor, pentru a obține informații din cazierele judiciare păstrate în alte state membre, ACS solicită sprijin Inspectoratului General al Poliției Române, prin Direcția cazier judiciar, statistică și evidențe operative, care va face verificări utilizând Sistemul european de informații cu privire la cazierele judiciare (ECRIS), în conformitate cu procedurile prevăzute în Decizia-cadru 2009/315/JAI a Consiliului din 26 februarie 2009 privind organizarea și conținutul schimbului de informații extrase din cazierele judiciare între statele membre și, dacă este relevant și aplicabil, în Regulamentul (UE) 2019/816 al Parlamentului European și al Consiliului din 17 aprilie 2019 de stabilire a unui sistem centralizat pentru determinarea statelor membre care dețin informații privind condamnările resortisanților țărilor terțe și ale apatrizilor (ECRIS-TCN), destinat să completeze sistemul european de informații cu privire la cazierele judiciare, și de modificare a Regulamentului (UE) 2018/1.726.(7) Inspectoratul General al Poliției Române, prin Direcția cazier judiciar, statistică și evidențe operative, răspunde cererii de informații prevăzute la alin. (6), cu respectarea termenului prevăzut la art. 20 alin. (5) din Legea nr. 290/2004 privind cazierul judiciar, republicată, cu modificările și completările ulterioare.(8) Prin derogare de la dispozițiile art. 25 alin. (3) din Legea nr. 290/2004, republicată, cu modificările și completările ulterioare, atunci când autoritățile dintr-un alt stat membru solicită informații din cazierul judiciar al României în scopul verificărilor prevăzute la alin. (1), Inspectoratul General al Poliției Române, prin Direcția cazier judiciar, statistică și evidențe operative, răspunde acestor cereri de informații în termen de 10 zile lucrătoare de la data primirii cererii, prin intermediul Sistemului european de informații cu privire la cazierele judiciare (ECRIS).  +  Articolul 15Notificarea incidentelor(1) Entitățile critice notifică CNCPIC și ACS, prin canale oficiale de comunicare, cu privire la incidentele care perturbă în mod semnificativ sau care au potențialul de a perturba în mod semnificativ furnizarea serviciilor esențiale.(2) Notificarea prevăzută la alin. (1) se face fără întârzieri nejustificate, dar nu mai târziu de 24 de ore de la constatarea incidentului, cu excepția cazului în care entitatea critică nu este în măsură din punct de vedere operațional să facă acest lucru. Notificarea este urmată, după caz, de un raport detaliat prezentat ulterior, în cel mult o lună de la incident. (3) Pentru a determina importanța perturbării, se iau în considerare, în special, următorii parametri:a) numărul și proporția utilizatorilor afectați de perturbare;b) durata perturbării;c) zona geografică afectată de perturbare, ținând seama de eventuala izolare geografică a zonei respective.(4) În cazul unui incident produs la nivelul unei entități critice de pe teritoriul național care are sau ar putea avea un efect semnificativ asupra continuității furnizării de servicii esențiale pentru șase sau mai multe state membre sau pe teritoriul acestora, CNCPIC notifică în termen de 72 de ore incidentul respectiv Comisiei Europene.(5) Notificările prevăzute la alin. (1) includ toate informațiile disponibile de care CNCPIC și ACS au nevoie pentru a înțelege natura, cauza și posibilele consecințe ale incidentului, inclusiv toate informațiile necesare pentru a determina orice efect transfrontalier al incidentului. Notificările respective nu agravează răspunderea entităților critice, în sensul că nu trebuie să devieze resursele acestora de la activitățile legate de gestionarea incidentelor, care au prioritate.(6) Pe baza informațiilor furnizate de entitatea critică în notificarea menționată la alin. (1), CNCPIC informează punctul unic de contact al altor state membre afectate dacă incidentul are sau ar putea avea un efect semnificativ asupra entităților critice și asupra continuității furnizării de servicii esențiale pentru unul sau mai multe state membre sau pe teritoriul acestora.(7) CNCPIC primește informări din partea punctelor unice de contact din alte state membre dacă un incident are sau ar putea avea un efect semnificativ asupra entităților critice și asupra continuității furnizării de servicii esențiale României sau pe teritoriul național.(8) Atunci când transmite sau primește informații potrivit alin. (6), respectiv alin. (7), CNCPIC tratează informațiile într-un mod care respectă confidențialitatea acestora și protejează securitatea și interesele comerciale ale entității critice în cauză, în conformitate cu legislația Uniunii Europene și legislația națională privind protecția informațiilor clasificate și privind secretul comercial.(9) În urma notificării prevăzute la alin. (1), ACS furnizează, în termen de 24 de ore, entității critice în cauză informații complementare relevante, inclusiv informații care ar putea contribui la răspunsul eficace al entității critice la incidentul în cauză. În cazul în care consideră că aceste informații ar fi de interes public, ACS informează în acest sens printr-un comunicat oficial destinat publicului larg.  +  Articolul 16StandardePentru punerea în aplicare a prezentei legi, CNCPIC sprijină, în cazul în care acest lucru este util și fără a impune sau a discrimina în favoarea utilizării unui anumit tip de tehnologie, cu privire la utilizarea standardelor și specificațiilor tehnice europene și internaționale care sunt pertinente pentru măsurile de securitate și cele de reziliență aplicabile entităților critice.  +  Capitolul IV Entități critice de importanță europeană deosebită  +  Articolul 17Identificarea entităților critice de importanță europeană deosebită(1) O entitate este ECIED atunci când îndeplinește cumulativ următoarele condiții:a) a fost identificată ca entitate critică în temeiul art. 6 alin. (1);b) furnizează servicii esențiale identice sau similare pentru șase sau mai multe state membre sau pe teritoriul acestora; c) a fost notificată în temeiul alin. (4).(2) Fiecare entitate critică identificată în temeiul art. 6 alin. (1) este obligată să informeze ACS și CNCPIC, în termen de 5 zile de la data notificării prevăzute la art. 6 alin. (3) dacă furnizează servicii esențiale în 6 sau mai multe state membre sau pe teritoriul acestora.(3) Informarea de la alin. (2) detaliază care sunt serviciile esențiale pe care le furnizează acelor state membre și care sunt statele membre cărora sau pe teritoriul cărora furnizează serviciile esențiale respective. CNCPIC notifică Comisia Europeană, fără întârzieri nejustificate, cu privire la identitatea entităților critice în cauză și informațiile puse la dispoziție în temeiul prezentului alineat.(4) CNCPIC, în urma notificării de către Comisia Europeană cu privire la decizia acesteia de a considera o entitate critică drept ECIED, transmite notificarea, fără întârzieri nejustificate, ACS și respectivei entități critice. Entitatea critică duce la îndeplinire obligațiile stabilite de Comisia Europeană în notificarea în cauză.(5) În situația în care o entitate critică a fost consultată de către Comisia Europeană în urma notificării CNCPIC de la alin. (3), aceasta are obligația de a răspunde respectivei solicitări și de a informa CNCPIC și ACS, cu privire la acest aspect.(6) CNCPIC, în situația în care este consultat de către Comisia Europeană cu privire la o entitate critică identificată de către alt stat membru, are obligația să transmită dacă serviciile furnizate de aceasta României sau pe teritoriul național sunt servicii esențiale.(7) Prezentul capitol se aplică respectivei ECIED de la data primirii notificării menționate la alin. (4).(8) Lista ECIED identificate potrivit alin. (1) se stabilește prin decizie a prim-ministrului, la propunerea CNCPIC.  +  Articolul 18Misiuni de consiliere(1) CNCPIC poate solicita Comisiei Europene să organizeze o misiune de consiliere, în vederea evaluării măsurilor puse în aplicare de ECIED identificată ca entitate critică în temeiul art. 6 alin. (1) sau de către ECIED identificată ca entitate critică de alt stat membru și care furnizează serviciul esențial României sau pe teritoriul național, pentru a-și îndeplini obligațiile în temeiul cap. III.(2) La cererea motivată a Comisiei Europene sau a unuia sau mai multor state membre cărora sau pe teritoriul cărora este furnizat serviciul esențial de către o ECIED identificată de către CNCPIC ca entitate critică în temeiul art. 6 alin. (1), CNCPIC, pe baza datelor furnizate de ACS, pune la dispoziția Comisiei Europene: a) părțile relevante ale evaluării riscurilor efectuate;b) o listă a măsurilor luate în conformitate cu art. 13;c) măsurile de supraveghere sau de asigurare a respectării legislației, inclusiv evaluări ale conformității sau ordine emise, pe care ACS le-a întreprins în temeiul art. 21 și 23 cu privire la entitatea critică respectivă.(3) CNCPIC poate solicita, motivat, statului membru care a identificat o ECIED ca entitate critică în temeiul propriei legislații și care furnizează serviciul esențial României sau pe teritoriul național să pună la dispoziția Comisiei Europene informațiile de la alin. (2).(4) CNCPIC poate solicita Comisiei Europene, cu acordul entității critice în cauză, organizarea unor misiuni de consiliere pentru a oferi consultanță entității critice respective în vederea îndeplinirii obligațiilor care îi revin în temeiul cap. III. (5) CNCPIC și ECIED care au făcut obiectul misiunii de consiliere primesc constatările rezultate în urma acesteia.(6) CNCPIC analizează conținutul datelor conform constatărilor raportate de misiunea de consiliere și, dacă este necesar, transmite Comisiei Europene opinia cu privire la respectarea sau nerespectarea, de către ECIED care furnizează serviciul esențial României sau pe teritoriul național, a obligațiilor care îi revin în temeiul cap. III, inclusiv cu luarea în considerare a prevederilor alin. (4) și (5) și, după caz, cu privire la măsurile care ar putea fi luate pentru a îmbunătăți reziliența entității critice respective, în vederea primirii avizului Comisiei Europene.(7) CNCPIC, ACS și ECIED identificată ca entitate critică în temeiul art. 6 alin. (1) și care a făcut obiectul unei misiuni de consiliere țin seama în mod corespunzător de avizul Comisiei Europene cu privire la respectarea sau nerespectarea, de către entitatea critică în cauză, a obligațiilor care îi revin în temeiul cap. III și furnizează informații Comisiei Europene și statelor membre cărora sau pe teritoriul cărora este furnizat serviciul esențial, cu privire la măsurile pe care le-au luat în temeiul avizului respectiv.(8) CNCPIC și ACS, corespunzător responsabilităților și sectorului în care este identificată ECIED de pe teritoriul național, respectiv ECIED care furnizează serviciul esențial României sau pe teritoriul național, desemnează experți pentru fiecare misiune de consiliere, care sunt selectați de Comisia Europeană. (9) La solicitarea scrisă a CNCPIC, realizată prin intermediul ACS, ECIED asigură misiunii de consiliere acces la informațiile, sistemele și instalațiile legate de furnizarea serviciilor sale esențiale care sunt necesare strict în scopul desfășurării misiunii de consiliere și în condițiile alin. (10).(10) Misiunile de consiliere care au loc pe teritoriul național se desfășoară în conformitate cu prevederile naționale în ceea ce privește securitatea națională și protecția intereselor naționale în materie de securitate, respectând responsabilitatea autorităților naționale competente în aceste domenii.(11) În situația în care misiunea de consiliere se desfășoară în România, CNCPIC informează GREC cu privire la principalele constatări ale misiunii de consiliere și la lecțiile desprinse în vederea promovării învățării reciproce.  +  Capitolul V Cooperare și raportare  +  Articolul 19Grupul privind reziliența entităților critice(1) CNCPIC reprezintă România în cadrul GREC, sprijină Comisia Europeană și facilitează cooperarea dintre statele membre și schimbul de informații privind aspectele referitoare la prezenta lege.(2) Reprezentanții desemnați de către CNCPIC dețin autorizații de acces la informații clasificate conform prevederilor legislației naționale în domeniul protecției informațiilor clasificate, după caz.  +  Articolul 20Reprezentarea în cadrul GRECReprezentanților CNCPIC în cadrul GREC le revin următoarele responsabilități:a) să sprijine Comisia Europeană în ceea ce privește asistența acordată statelor membre pentru consolidarea capacității acestora de a contribui la asigurarea rezilienței entităților critice în conformitate cu prevederile prezentei legi;b) să participe la analiza strategiilor în vederea identificării bunelor practici în ceea ce privește strategiile respective;c) să furnizeze date și informații pentru asigurarea schimbului de bune practici în ceea ce privește identificarea entităților critice în temeiul art. 6 alin. (1), inclusiv în legătură cu dependențele transfrontaliere și intersectoriale și în ceea ce privește riscurile și incidentele;d) după caz, să contribuie la documentele privind reziliența la nivelul Uniunii Europene;e) să contribuie la elaborarea orientărilor menționate la art. 7 alin. (4) și art. 13 alin. (6) și, la cererea Comisiei Europene, a oricăror acte delegate sau de punere în aplicare adoptate în temeiul Directivei (UE) 2022/2.557;f) să participe la analizarea rapoartelor de sinteză menționate la art. 9 alin. (8) în vederea promovării schimbului de bune practici cu privire la măsurile luate în conformitate cu art. 15 alin. (6) și (7);g) să notifice Comisia Europeană cu privire la incidentele menționate la art. 15 alin. (4);h) să participe la discutarea rapoartelor de sinteză ale misiunilor de consiliere și la lecțiile desprinse în conformitate cu art. 18 alin. (11);i) să asigure schimbul de informații și de bune practici privind inovarea, cercetarea și dezvoltarea referitoare la reziliența entităților critice;j) după caz, să asigure schimbul de informații privind aspecte legate de reziliența entităților critice cu instituțiile, organismele, oficiile și agențiile relevante ale Uniunii Europene;k) să contribuie la stabilirea programului de lucru cu privire la acțiunile care urmează să fie întreprinse pentru punerea în aplicare a obiectivelor și sarcinilor sale;l) să participe la activitățile GREC pentru a promova și facilita cooperarea și schimbul de informații.  +  Capitolul VI Supravegherea și asigurarea respectării legislației  +  Articolul 21Supravegherea și asigurarea respectării legislației(1) Pentru a evalua respectarea de către entitățile identificate drept entități critice în temeiul art. 6 alin. (1) a obligațiilor care le revin în temeiul prezentei legi, CNCPIC și ACS au obligația de a întreprinde demersuri cu scopul de a dispune de mijloacele necesare pentru:a) a efectua inspecții la fața locului ale infrastructurii critice și ale spațiilor pe care le utilizează entitatea critică pentru a-și furniza serviciile esențiale, precum și monitorizarea măsurilor luate de entitățile critice în conformitate cu art. 13;b) a efectua sau a dispune executarea de controale la nivelul entităților critice respective.(2) Entitățile care au fost identificate ca entități critice în temeiul art. 6 alin. (1) transmit CNCPIC și ACS, la cererea și în termenul stabilit de acestea:a) informațiile necesare pentru a evalua dacă măsurile luate de entitățile respective pentru a-și asigura reziliența îndeplinesc cerințele prevăzute la art. 13;b) dovada punerii în aplicare efectivă a măsurilor respective, inclusiv rezultatele unui audit efectuat de un auditor independent și calificat selectat de entitatea respectivă și efectuat pe cheltuiala acesteia.(3) Pentru informațiile solicitate la alin. (2), CNCPIC și ACS menționează scopul solicitării și precizează informațiile solicitate. Pentru punerea în aplicare a prevederilor alin. (2) lit. b), prin ordine ale conducătorilor ACS, se vor stabili procedura de selecție a auditorilor și cerințele pentru persoanele care desfășoară auditul.(4) CNCPIC și ACS stabilesc mecanismele și căile de comunicare de comun acord cu autoritățile competente responsabile cu securitatea cibernetică și cu sarcinile de supraveghere și asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică.(5) Fără a aduce atingere posibilității de a aplica sancțiuni în conformitate cu art. 23, ACS pot, în urma acțiunilor de supraveghere menționate la alin. (1) sau după evaluarea informațiilor menționate la alin. (2), să solicite, în scris, entităților critice în cauză să ia măsurile necesare și proporționale pentru a remedia orice încălcare identificată a prevederilor prezentei legi, într-un termen rezonabil stabilit de ACS, și să furnizeze CNCPIC informații cu privire la măsurile luate. Aceste solicitări țin seama, în special, de gravitatea încălcării.(6) Atunci când își exercită competențele prevăzute la alin. (1)-(3), CNCPIC și ACS se asigură că o astfel de exercitare are loc în mod obiectiv, transparent și proporțional, iar drepturile și interesele legitime ale entităților critice afectate, cum ar fi protecția secretelor comerciale și de afaceri, sunt protejate în mod corespunzător, inclusiv dreptul acestora de a fi ascultate, dreptul la apărare și dreptul la o cale de atac efectivă în fața unei instanțe independente.(7) CNCPIC informează autoritățile competente responsabile cu securitatea cibernetică și cu sarcinile de supraveghere și asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică, inclusiv autoritățile desemnate ale altor state membre interesate, atunci când ACS evaluează, în condițiile prezentului articol, respectarea de către o entitate critică a obligațiilor care îi revin.(8) În acest scop, CNCPIC și ACS pot solicita acestor autorități să își exercite competențele de supraveghere și de asigurare a respectării legislației în legătură cu o entitate care intră sub incidența legislației specifice securității cibernetice și sarcinilor de supraveghere și asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică și care a fost identificată drept entitate critică în temeiul art. 6 alin. (1) sau de către un alt stat membru.  +  Articolul 22ContravențiiConstituie contravenții următoarele fapte săvârșite de către ACS și entitățile critice:a) neîndeplinirea de către ACS a obligației prevăzute la art. 5 alin. (7);b) neîndeplinirea de către ACS a obligației prevăzute la art. 6 alin. (2);c) neîndeplinirea de către ACS a obligației de a furniza CNCPIC date pentru revizuirea și, după caz, actualizarea listei entităților critice prevăzută la art. 6 alin. (7);d) neîndeplinirea de către entitățile critice a obligației de a efectua o evaluare a riscurilor prevăzută la art. 12 alin. (1);e) neîndeplinirea de către entitățile critice a obligației de a lua măsuri tehnice, de securitate și organizatorice pentru a-și asigura reziliența prevăzută la art. 13 alin. (1);f) neîndeplinirea de către entitățile critice a obligației prevăzute la art. 13 alin. (3);g) neîndeplinirea de către entitățile critice a obligației de a desemna un ofițer de legătură sau un echivalent al acestuia prevăzută la art. 13 alin. (5);h) neîndeplinirea de către entitățile critice a obligației de a notifica incidentele prevăzute la art. 15 alin. (1); i) neîndeplinirea de către entitățile critice a obligației prevăzute la art. 17 alin. (2);j) neîndeplinirea de către entitățile critice a obligației stabilite de Comisia Europeană în notificarea prevăzută la art. 17 alin. (4);k) neîndeplinirea de către entitățile critice a obligației de a ține seama în mod corespunzător de avizul menționat la art. 18 alin. (7);l) neîndeplinirea de către entitățile critice a obligației prevăzute la art. 18 alin. (9).  +  Articolul 23Sancțiuni(1) Contravențiile prevăzute la art. 22 se sancționează după cum urmează:a) cu amendă de la 5.000 lei la 10.000 lei, contravențiile prevăzute la lit. a)-c) și lit. i)-l);b) cu amendă de la 10.000 lei la 30.000 lei contravențiile prevăzute la lit. d)-h).(2) Constatarea contravențiilor și aplicarea sancțiunilor prevăzute în prezenta lege se fac de către personalul împuternicit din cadrul CNCPIC și de către personalul împuternicit din cadrul ACS pentru entitățile critice din responsabilitate.(3) Împuternicirea prevăzută la alin. (2) se realizează prin ordin al ministrului afacerilor interne, respectiv prin ordine ale conducătorilor ACS, după caz.(4) Contravențiilor prevăzute la art. 22 le sunt aplicabile dispozițiile Ordonanței Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare.  +  Articolul 24Raportare și revizuireCNCPIC comunică Comisiei Europene, în termen de 2 zile de la data publicării în Monitorul Oficial al României, Partea I, a actului normativ de modificare și/sau de completare a prezentei legi, orice modificare ulterioară în ceea ce privește contravențiile și sancțiunile prevăzute de prezenta lege.  +  Capitolul VII Dispoziții tranzitorii și finale  +  Articolul 25Aplicarea prezentei legi(1) Prezenta lege intră în vigoare la 3 zile de la data publicării în Monitorul Oficial al României, Partea I, cu excepția prevederilor art. 22 și 23, care intră în vigoare la 10 zile de la data publicării acesteia în Monitorul Oficial al României, Partea I.(2) Referirile la noțiunea de infrastructură critică europeană (ICE) din cuprinsul actelor normative în vigoare sunt considerate ca referiri la noțiunea de infrastructură critică națională reglementată la art. 3 lit. a) din Ordonanța de urgență a Guvernului nr. 98/2010, aprobată cu modificări prin Legea nr. 18/2011, cu modificările și completările ulterioare.  +  Articolul 26Acte suplimentare(1) Până la data de 17 ianuarie 2026, CNCPIC elaborează un raport privind evaluarea riscurilor, prevăzută la art. 5 alin. (6).(2) Prin decizie a prim-ministrului se aprobă:a) Regulamentul de organizare și funcționare și componența Grupului de lucru interinstituțional pentru reziliența entităților critice, în temeiul art. 9 alin. (4), în termen de 60 de zile de la data intrării în vigoare a prezentei legi;b) Lista autorităților competente sectoriale în temeiul art. 1 alin. (4), în termen de 60 de zile de la data intrării în vigoare a prezentei legi;c) stabilirea criteriilor și pragurilor critice aferente pentru determinarea importanței unui efect perturbator la adresa entităților critice, prevăzute la art. 7 alin. (1), în termen de 90 de zile de la data intrării în vigoare a prezentei legi;d) Lista entităților critice identificate în temeiul art. 6 alin. (1), până la data de 17 iulie 2026;e) Lista entităților critice de importanță europeană deosebită identificate în temeiul art. 17 alin. (1).(3) Prin hotărâre a Guvernului se aprobă Strategia privind reziliența entităților critice, prevăzută la art. 4, până la data de 17 ianuarie 2026.(4) Hotărârea Guvernului prevăzută la art. 1 alin. (5) se adoptă în termen de 90 de zile de la data intrării în vigoare a prezentei legi.(5) Ordinele prevăzute la art. 23 alin. (3) se emit în termen de 45 de zile de la data intrării în vigoare a prezentei legi.(6) Ordinele prevăzute la art. 1 alin. (6) se emit în termen de 45 de zile de la data intrării în vigoare a prezentei legi.(7) Ordinele prevăzute la art. 21 alin. (3) se emit în termen de 90 de zile de la data intrării în vigoare a prezentei legi.  +  Articolul 27Modificarea unor acte normativeOrdonanța de urgență a Guvernului nr. 98/2010 privind identificarea, desemnarea și protecția infrastructurilor critice, publicată în Monitorul Oficial al României, Partea I, nr. 757 din 12 noiembrie 2010, aprobată cu modificări prin Legea nr. 18/2011, cu modificările și completările ulterioare, se modifică după cum urmează:1. La articolul 3, litera b) se abrogă.2. La articolul 6, alineatele (3)-(6) se abrogă.3. La articolul 7 alineatul (2), litera k) se abrogă.4. La articolul 9, alineatul (8) se modifică și va avea următorul cuprins:(8) Sectoarele stabilite pentru punerea în aplicare a prezentei ordonanțe de urgență sunt cele prevăzute în anexa nr. 1.5. La articolul 9, alineatul (9) se abrogă.6. La articolul 10, alineatele (3)-(7) se abrogă.7. La articolul 11, alineatul (7) se abrogă.8. Mențiunea de transpunere se abrogă.9. La anexa nr. 1, punctul 1.2 se abrogă.10. La anexa nr. 2, punctul II se abrogă.  +  Articolul 28Articolele 1-3 și anexele nr. 1 și 2 la Hotărârea Guvernului nr. 683/2016 privind desemnarea infrastructurilor critice europene și pentru modificarea Hotărârii Guvernului nr. 301/2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, publicată în Monitorul Oficial al României, Partea I, nr. 764 din 30 septembrie 2016, se abrogă.Prezenta lege transpune Directiva (UE) 2022/2.557 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 333 din 27 decembrie 2022.Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 și ale art. 76 alin. (2) din Constituția României, republicată.
    p. PREȘEDINTELE CAMEREI DEPUTAȚILOR,
    PETRE-FLORIN MANOLE
    PREȘEDINTELE SENATULUI
    NICOLAE-IONEL CIUCĂ
    București, 27 noiembrie 2024.Nr. 294.
     +  ANEXĂ
    Sectoare, subsectoare și categorii de entități
    SectoareSubsectoareCategorii de entități
    1. Energiea) Energie electrică- Întreprinderile din domeniul energiei electrice care îndeplinesc funcția de „furnizare“ în sensul definiției de la art. 3 pct. 46 din Legea energiei electrice și a gazelor naturale nr. 123/2012, cu modificările și completările ulterioare
    - Operatorii de distribuție în sensul definiției de la art. 3 pct. 70 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Operatorii de transport și de sistem în sensul definiției de la art. 3 pct. 71 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Producătorii de energie electrică în sensul definiției de la art. 3 pct. 92 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Operatorii pieței de energie electrică desemnați în sensul definiției de la art. 2 pct. 8 din Regulamentul (UE) 2019/943 al Parlamentului European și al Consiliului din 5 iunie 2019 privind piața internă de energie electrică, respectiv la art. 3 pct. 73 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Participanții la piața energiei electrice în sensul definiției de la art. 2 pct. 25 din Regulamentul (UE) 2019/943 al Parlamentului European și al Consiliului din 5 iunie 2019, respectiv la art. 3 pct. 79 din Legea nr. 123/2012, cu modificările și completările ulterioare, care furnizează serviciile de agregare, de consum dispecerizabil sau de stocare de energie în sensul definiției de la art. 3 pct. 6, 29 și 121 din Legea nr. 123/2012, cu modificările și completările ulterioare
    b) Sisteme de încălzire și răcire centralizată- Operatorii de sisteme de încălzire sau răcire centralizată în sensul definiției de la art. 2 lit. t) din Legea nr. 220/2008 pentru stabilirea sistemului de promovare a producerii energiei din surse regenerabile de energie, republicată, cu modificările și completările ulterioare
    c) Petrol- Operatorii de conducte de transport al petrolului
    - Operatorii instalațiilor de producție, de rafinare și de tratare, de depozitare și de transport al petrolului
    - Entitățile centrale de stocare în sensul definiției de la art. 2 lit. n) din Legea nr. 85/2018 privind constituirea și menținerea unor rezerve minime de țiței și/sau produse petroliere, cu modificările și completările ulterioare
    d) Gaze- Întreprinderile de furnizare în sensul definiției de la art. 100 pct. 44 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Operatorii de distribuție în sensul definiției de la art. 100 pct. 63 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Operatorii de transport și de sistem în sensul definiției de la art. 100 pct. 65 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Operatorii de înmagazinare în sensul definiției de la art. 100 pct. 64 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Operatorii de sistem GNL în sensul definiției de la art. 100 pct. 60 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Întreprinderile din sectorul gazelor naturale în sensul definiției de la art. 100 pct. 67 din Legea nr. 123/2012, cu modificările și completările ulterioare
    - Operatorii de instalație de rafinare și de tratare a gazelor naturale
    e) Hidrogen- Operatorii de producție, stocare și transport de hidrogen
    2. Transporturia) Transport aerian- Transportatorii aerieni în sensul definiției de la art. 3 pct. 4 din Regulamentul (CE) nr. 300/2008 al Parlamentului European și al Consiliului din 11 martie 2008 privind norme comune în domeniul securității aviației civile și de abrogare a Regulamentului (CE) nr. 2.320/2002, care operează în scop comercial
    - Organele de administrare a aeroportului în sensul definiției de la art. 4 lit. b) din Hotărârea Guvernului nr. 455/2011 privind tarifele de aeroport, aeroporturile în sensul definiției de la art. 4 lit. a) din hotărârea respectivă, inclusiv aeroporturile din cadrul rețelei centrale enumerate în anexa II la Regulamentul (UE) 2024/1.679 al Parlamentului European și al Consiliului din 13 iunie 2024 privind orientările Uniunii pentru dezvoltarea rețelei transeuropene de transport, de modificare a Regulamentelor (UE) 2021/1.153 și (UE) nr. 913/2010 și de abrogare a Regulamentului (UE) nr. 1.315/2013, precum și entități care operează instalații auxiliare în cadrul aeroporturilor
    - Operatorii de control al gestionării traficului care prestează serviciile de control al traficului aerian (ATC) în sensul definiției de la art. 2 pct. 1 din Regulamentul (CE) nr. 549/2004 al Parlamentului European și al Consiliului din 10 martie 2004 de stabilire a cadrului pentru crearea cerului unic european (regulament-cadru)
    b) Transport feroviar- Administratorii de infrastructură în sensul definiției de la art. 3 pct. 3 din Legea nr. 202/2016 privind integrarea sistemului feroviar din România în spațiul feroviar unic european, cu modificările și completările ulterioare
    - Întreprinderile feroviare în sensul definiției de la art. 3 pct. 18 din Legea nr. 202/2016, cu modificările și completările ulterioare, și operatorii unor infrastructuri de servicii în sensul definiției de la art. 3 pct. 19 din legea respectivă
    c) Transport pe apă- Companiile de transport de pasageri și de mărfuri pe ape interioare, maritime și de coastă, astfel cum sunt definite în domeniul transportului maritim în anexa I la Regulamentul (CE) nr. 725/2004 al Parlamentului European și al Consiliului din 31 martie 2004 privind consolidarea securității navelor și a instalațiilor portuare, denumit în continuare Regulamentul (UE) nr. 725/2004, cu excepția navelor individuale operate de companiile respective
    - Organismele de gestionare a porturilor în sensul art. 5 din Ordonanța Guvernului nr. 22/1999 privind administrarea porturilor și a căilor navigabile, utilizarea infrastructurilor de transport naval aparținând domeniului public, precum și desfășurarea activităților de transport naval în porturi și pe căile navigabile interioare, republicată, cu modificările și completările ulterioare, inclusiv instalațiile portuare ale acestora în sensul definiției de la art. 2 pct. 11 din Regulamentul (CE) nr. 725/2004, și entitățile care operează lucrări și echipamente în cadrul porturilor
    - Operatorii de servicii de trafic maritim (VTS) în sensul definiției de la art. 3 lit. t) din Hotărârea Guvernului nr. 1.016/2010 pentru stabilirea Sistemului de informare și monitorizare a traficului navelor maritime care intră/ies în/din apele naționale navigabile ale României, cu modificările și completările ulterioare
    d) Transport rutier- Autoritățile rutiere în sensul definiției de la art. 2 pct. 12 din Regulamentul delegat (UE) 2015/962 al Comisiei din 18 decembrie 2014 de completare a Directivei 2010/40/UE a Parlamentului European și a Consiliului în ceea ce privește prestarea la nivelul UE a unor servicii de informare în timp real cu privire la trafic, precum și în sensul definiției de la art. 2 pct. 10 din Regulamentul delegat (UE) 2022/670 al Comisiei din 2 februarie 2022 de completare a Directivei 2010/40/UE a Parlamentului European și a Consiliului în ceea ce privește furnizarea la nivelul UE a unor servicii de informare în timp real cu privire la trafic, responsabile cu controlul gestionării traficului, cu excepția entităților publice în cazul cărora gestionarea traficului sau operarea de sisteme de transport inteligente reprezintă doar o parte neesențială a activității lor generale
    - Operatorii de sisteme de transport inteligente în sensul Strategiei naționale privind sistemele de transport inteligente pentru perioada 2022-2030, aprobată prin Hotărârea Guvernului nr. 1.086/2022
    e) Transport public- Operatorii de servicii publice în sensul definiției de la art. 2 lit. d) din Regulamentul (CE) nr. 1.370/2007 al Parlamentului European și al Consiliului din 23 octombrie 2007 privind serviciile publice de transport feroviar și rutier de călători și de abrogare a Regulamentelor (CEE) nr. 1.191/69 și nr. 1.107/70 ale Consiliului
    3. Sectorul bancar- Instituțiile de credit în sensul definiției de la art. 4 pct. 1 din Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului din 26 iunie 2013 privind cerințele prudențiale pentru instituțiile de credit și de modificare a Regulamentului (UE) nr. 648/2012
    4. Infrastructuri ale pieței financiare- Operatorii de locuri de tranzacționare în sensul definiției de la art. 3 alin. (1) pct. 40 din Legea nr. 126/2018 privind piețele de instrumente financiare, cu modificările și completările ulterioare
    - Contrapărțile centrale (CPC) în sensul definiției de la art. 2 pct. 1 din Regulamentul (UE) nr. 648/2012 al Parlamentului European și al Consiliului din 4 iulie 2012 privind instrumentele financiare derivate extrabursiere, contrapărțile centrale și registrele centrale de tranzacții
    - Instituții care asigură efectuarea operațiunilor de încasări și plăți privind fondurile publice, inclusiv cele privind datoria publică, și a altor operațiuni ale statului
    5. Sectorul sănătății- Furnizorii de servicii medicale în sensul Legii nr. 95/2006 privind reforma în domeniul sănătății, republicată, cu modificările și completările ulterioare
    - Laboratoarele de referință menționate la art. 15 din Regulamentul (UE) 2022/2.371 al Parlamentului European și al Consiliului din 23 noiembrie 2022 privind amenințările transfrontaliere grave pentru sănătate și de abrogare a Deciziei nr. 1.082/2013/UE
    - Entitățile care desfășoară activități de cercetare și dezvoltare a medicamentelor în sensul definiției de la art. 699 pct. 1 din Legea nr. 95/2006, republicată, cu modificările și completările ulterioare
    - Entitățile care fabrică produse farmaceutice de bază și preparate farmaceutice menționate în secțiunea C diviziunea 21 a Regulamentului (CE) 1.893/2006 al Parlamentului European și al Consiliului din 20 decembrie 2006 de stabilire a Nomenclatorului statistic al activităților economice NACE a doua revizuire și de modificare a Regulamentului (CEE) nr. 3.037/90 al Consiliului, precum și a anumitor regulamente CE privind domenii statistice specifice
    - Entitățile care fabrică dispozitive medicale considerate esențiale în contextul unei urgențe de sănătate publică („lista dispozitivelor esențiale pentru urgența de sănătate publică“) în sensul art. 22 din Regulamentul (UE) 2022/123 al Parlamentului European și al Consiliului din 25 ianuarie 2022 privind consolidarea rolului Agenției Europene pentru Medicamente în ceea ce privește pregătirea pentru situații de criză în domeniul medicamentelor și al dispozitivelor medicale și gestionarea acestora
    - Entitățile titulare ale unei autorizații de distribuție a medicamentelor menționate la art. 803 din Legea nr. 95/2006, republicată, cu modificările și completările ulterioare
    6. Apă potabilă- Furnizorii și distribuitorii de apă destinată consumului uman în sensul definiției de la art. 2 lit. a) din Ordonanța Guvernului nr. 7/2023 privind calitatea apei destinate consumului uman, aprobată cu modificări prin Legea nr. 96/2024, cu excepția distribuitorilor pentru care distribuția de apă destinată consumului uman reprezintă o parte neesențială din activitatea lor generală de distribuție a altor produse de bază și bunuri
    7. Ape uzate- Întreprinderile care colectează, evacuează sau tratează ape uzate menajere, ape uzate industriale și ape uzate orășenești, în sensul definiției de la art. 3 lit. p)-r) din Legea serviciului de alimentare cu apă și de canalizare nr. 241/2006, republicată, cu modificările și completările ulterioare, cu excepția întreprinderilor pentru care colectarea, evacuarea sau tratarea apelor uzate menajere, a apelor uzate industriale și a apelor uzate orășenești reprezintă o parte neesențială a activității lor generale
    8. Infrastructură digitală- Furnizorii de internet exchange points în sensul definiției de la art. 6 pct. 18 din Directiva (UE) 2022/2.555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1.972 și de abrogare a Directivei (UE) 2016/1.148 (Directiva NIS 2), denumită în continuare Directiva (UE) 2022/2.555
    - Furnizorii de servicii DNS în sensul definiției de la art. 3 lit. d) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, cu excepția operatorilor de servere de nume primare
    - Furnizorii de registre de nume de domenii de prim nivel în sensul definiției de la art. 6 pct. 21 din Directiva (UE) 2022/2.555
    - Furnizorii de servicii de cloud computing în sensul definiției de la art. 6 pct. 30 din Directiva (UE) 2022/2.555
    - Furnizorii de servicii de centre de date în sensul definiției de la art. 6 pct. 31 din Directiva (UE) 2022/2.555
    - Furnizorii de rețele de furnizare de conținut în sensul definiției de la art. 6 pct. 32 din Directiva (UE) 2022/2.555
    - Prestatorii de servicii de încredere în sensul definiției de la art. 3 pct. 19 din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE
    - Furnizorii de rețele publice de comunicații electronice în sensul definiției de la art. 4 alin. (1) pct. 6 din Ordonanța de urgență a Guvernului nr. 111/2011 privind comunicațiile electronice, aprobată cu modificări și completări prin Legea nr. 140/2012, cu modificările și completările ulterioare
    - Furnizorii de servicii de comunicații electronice în sensul definiției de la art. 4 alin. (1) pct. 9 din Ordonanța de urgență a Guvernului nr. 111/2011, aprobată cu modificări și completări prin Legea nr. 140/2012, cu modificările și completările ulterioare, în măsura în care serviciile acestora sunt destinate publicului
    9. Administrație publică- Entități ale administrației publice centrale, astfel cum sunt definite în Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare
    10. Spațiu- Operatorii de infrastructură terestră deținută, gestionată și operată de statele membre sau de părți private, care sprijină furnizarea de servicii spațiale, cu excepția furnizorilor de rețele publice de comunicații electronice în sensul definiției de la art. 4 alin. (1) pct. 10 din Ordonanța de urgență a Guvernului nr. 111/2011, aprobată cu modificări și completări prin Legea nr. 140/2012, cu modificările și completările ulterioare
    11. Producția, prelucrarea și distribuția de alimente- Întreprinderile cu profil alimentar în sensul definiției de la art. 3 pct. 2 din Regulamentul (CE) nr. 178/2002 al Parlamentului European și al Consiliului din 28 ianuarie 2002 de stabilire a principiilor și a cerințelor generale ale legislației alimentare, de instituire a Autorității Europene pentru Siguranța Alimentară și de stabilire a procedurilor în domeniul siguranței produselor alimentare, care își desfășoară activitatea exclusiv în domeniul logisticii și distribuției angro și al producției și prelucrării industriale la scară largă
    ----