ORDONANȚĂ DE URGENȚĂ nr. 130 din 28 decembrie 2023pentru modificarea și completarea Ordonanței de urgență a Guvernului nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice
Publicată în
MONITORUL OFICIAL nr. 1.196 din 29 decembrie 2023
Una dintre direcțiile de acțiune pentru asigurarea securității naționale prevăzute în Strategia Națională de Apărare a Țării pentru perioada 2020-2024, aprobată prin Hotărârea Parlamentului României nr. 22/2020, este reprezentată de realizarea infrastructurii necesare pentru digitalizarea României, cu scopul eficientizării aparatului administrativ și al creșterii calității serviciilor publice. Pentru transpunerea în realitate a acestei direcții de acțiune este necesară implementarea infrastructurii de cloud guvernamental, cu caracter de maximă urgență. Reglementarea care nu poate fi amânată este cauzată de faptul că în jalonul nr. 153 din Planul național de redresare și reziliență (PNNR) se specifică faptul că implementarea unei infrastructuri de tip cloud în sectorul public cuprinde construcția de centre de date Tier IV de la momentul conceperii pentru cele două centre principale, Tier III de la momentul conceperii pentru cele secundare, infrastructuri specifice găzduirii de sisteme informatice on-premise, iar de construirea urgentă a acestora depinde transferul la timp al finanțării de către Comisia Europeană și sporirea rezilienței sistemelor și rețelelor informatice ale statului român. În acest context, situația fiscal-bugetară reclamă accesarea fără întârzieri a finanțărilor disponibile prin PNRR. Transformarea digitală este un obiectiv de interes strategic național, care cuprinde procesul de transformare digitală atât la nivelul serviciilor publice din România, cât și la nivelul mediului de afaceri, în cazul căruia acest proces se referă la mecanismele de automatizare a proceselor de producție și la robotizarea acestora, cu impact asupra competitivității și calității produselor și serviciilor pe piața europeană. În lipsa unor reglementări specifice, imediate și efective ale pieței serviciilor de tip cloud se pot genera riscuri de securitate cibernetică a sistemelor informatice, dar și riscuri de utilizare a informațiilor specifice de date de către utilizatori neautorizați, iar prin aceasta se pot crea prejudicii proprietarilor de date, persoane fizice și/sau juridice, cu impact asupra fondurilor externe nerambursabile accesate de România atât prin Mecanismul de redresare și reziliență, cât și prin politica de coeziune. Mediul de afaceri are nevoie de mecanisme de transformare digitală rapide și specifice care să îi permită să dezvolte platforme informatice în acord cu nevoile de automatizare și robotizare specifice pieței concurențiale europene pentru a gestiona eficient cheltuielile cu mentenanța, dar și cele specifice echipamentelor IT. Situația extraordinara care impune modificarea și completarea prin ordonanța de urgența a Guvernului a domeniului este generată de conflictul armat de pe teritoriul Ucrainei și de nevoia urgenta de creștere a rezilienței capabilităților sistemelor și rețelelor informatice ale statului român, inclusiv prin prisma necesității asigurării securității datelor personale ale cetățenilor români. De asemenea, situația extraordinara care impune modificarea și completarea prin ordonanța de urgența a Ordonanței de urgența a Guvernului nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice este cauzata și de creșterea volumului informațiilor din bazele de date critice administrate de statul român, de necesitatea consolidării și interconectării acestora, precum și de necesitatea asigurării în mod unitar a securității cibernetice a acestora, în contextul conflictelor convenționale și neconvenționale din vecinătatea României și al revoluției digitale care s-a extins în toate statele lumii. Având în vedere dispozițiile art. 6 din Ordonanța de urgența a Guvernului nr. 124/2021 privind stabilirea cadrului instituțional și financiar pentru gestionarea fondurilor europene alocate României prin Mecanismul de redresare și reziliența, precum și pentru modificarea și completarea Ordonanței de urgența a Guvernului nr. 155/2020 privind unele masuri pentru elaborarea Planului național de redresare și reziliența necesar României pentru accesarea de fonduri externe rambursabile și nerambursabile în cadrul Mecanismului de redresare și reziliența, aprobata cu modificări și completări prin Legea nr. 178/2022, cu modificările și completările ulterioare, în temeiul art. 115 alin. (4) din Constituția României, republicata, Guvernul României adopta prezenta ordonanța de urgența. + Articolul IOrdonanța de urgența a Guvernului nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice, publicata în Monitorul Oficial al României, Partea I, nr. 638 din 28 iunie 2022, aprobata cu modificări și completări prin Legea nr. 180/2023, se modifica și se completează după cum urmează:1. La articolul 1, după alineatul (2) se introduce un nou alineat, alin. (2^1), cu următorul cuprins:(2^1) Cloudul privat guvernamental este compus din doua componente: componenta de cloud intern, denumita în continuare cloud intern, și componenta de cloud dedicat, denumita în continuare cloud dedicat.2. La articolul 1, după alineatul (5) se introduc trei noi alineate, alin. (5^1)-(5^3), cu următorul cuprins:(5^1) Cloudul intern include infrastructura de baza, astfel cum aceasta este definita la art. 2 lit. k), asigura furnizarea de servicii de tip IaaS, PaaS, SaaS, printr-un ansamblu de resurse informatice, de comunicații și de securitate cibernetica, se afla în proprietatea statului român și este interconectat la nivel de servicii cu cloudul dedicat și cu alte clouduri publice și/sau private din Platforma.(5^2) Cloudul dedicat asigura furnizarea de servicii de tip IaaS, PaaS, SaaS, inclusiv licențele necesare, de pe o infrastructura informatica distincta de cea a cloudului intern, ce utilizeaza din infrastructura de baza, în limita resurselor disponibile, clădirile, instalațiile, dotările și echipamentele tehnologice aferente și comunicațiile necesare asigurării transportului de date și interconectării cu rețelele publice de comunicații electronice.(5^3) Cloudul dedicat se interconecteaza la nivel de servicii cu cloudul intern în vederea utilizării de resurse de comunicații și tehnologia informației, prin API-uri, de catre sistemele informatice din Cloudul privat guvernamental, în conformitate cu prevederile art. 17 alin. (5).3. La articolul 2, după litera w) se introduc trei noi litere, lit. x)-z), cu următorul cuprins:x) cloud intern - model de cloud privat scalabil și elastic, care permite accesul la cerere, prin rețea, la resurse fizice și/sau virtuale, în mod partajat, necesare utilizatorilor, sub forma de servicii de cloud, respectiv IaaS, PaaS și SaaS, și care dispune de o platforma de monitorizare unitara a resurselor;y) cloud dedicat - model de cloud privat care permite accesul prin rețea la un grup scalabil și elastic de resurse fizice și/sau virtuale care pot fi folosite de catre utilizatori, în mod partajat, la cerere, în sistem self-service, sub forma de servicii de cloud, respectiv IaaS, PaaS și SaaS, și care dispune de o platforma de management unitara a resurselor la nivel de CPG, asigurata de ADR;z) API - interfața de programare a aplicației, respectiv un set de funcții, proceduri, definiții și protocoale pentru comunicarea dintre mașini și schimbul fara sincope de date.4. La articolul 3, după alineatul (5) se introduce un nou alineat, alin. (5^1), cu următorul cuprins:(5^1) Guvernul României, prin MCID, încheie cu producătorii de tehnologie software acorduri guvernamentale de stabilire a condițiilor de licențiere pentru nevoile statului român, necesare implementării și utilizării Cloudului privat guvernamental, în condițiile stabilite prin hotarâre a Guvernului.5. La articolul 4, alineatul (3) se modifică și va avea următorul cuprins:(3) ADR asigura implementarea, administrarea tehnica și operaționala, mentenanța, precum și dezvoltarea ulterioara pentru serviciile SaaS specifice cloudului intern, inclusiv asigurarea, prin acorduri-cadru, conform legislației achizițiilor publice, a licențelor necesare migrării în Cloudul privat guvernamental a sistemelor informatice și serviciilor publice electronice.6. La articolul 4, după alineatul (3) se introduce un nou alineat, alin. (3^1), cu următorul cuprins:(3^1) ADR este responsabila de proiectarea și achiziționarea cloudului dedicat și de asigurarea implementării, administrării tehnice și operaționale, securității cibernetice, mentenanței, precum și dezvoltării ulterioare a serviciilor specifice acestuia.7. La articolul 5, alineatele (1), (2) și (4) se modifică și vor avea următorul cuprins: + Articolul 5(1) Infrastructura de baza a cloudului intern este asigurata de STS.(2) STS asigura implementarea, administrarea tehnica și operaționala, securitatea cibernetica, mentenanța, precum și dezvoltarea ulterioara a infrastructurii de baza și a serviciilor de cloud de tip IaaS și PaaS furnizate de cloudul intern. ...............................(4) STS asigura securitatea cibernetica a cloudului intern prin prevenirea și contracararea atacurilor cibernetice îndreptate împotriva infrastructurii de baza și a serviciilor de cloud de tip IaaS și PaaS furnizate de cloudul intern, inclusiv a atacurilor de tip DDoS, în conformitate cu atribuțiile prevăzute prin actele normative în vigoare.8. La articolul 6, alineatele (1), (2) și (4) se modifică și vor avea următorul cuprins: + Articolul 6(1) SRI asigura securitatea cibernetica a serviciilor de cloud de tip SaaS furnizate entităților găzduite din cloudul intern prin cunoașterea, prevenirea și contracararea atacurilor, amenințărilor, riscurilor și vulnerabilităților cibernetice, inclusiv a celor complexe, de tip APT.(2) SRI cooperează cu STS, conform competențelor fiecărei instituții, pentru cunoașterea, prevenirea și contracararea atacurilor cibernetice complexe, de tip APT, îndreptate împotriva serviciilor IaaS și PaaS furnizate din cloudul intern, prin schimbul nemijlocit și automat al informațiilor referitoare la incidentele de securitate, fără a transfera date de conținut.(4) SRI asigură implementarea, administrarea tehnică și operațională, mentenanța, precum și dezvoltarea ulterioară a serviciilor de securitate cibernetică din cloudul intern, prevăzute la alin. (1), și sprijină ADR, la cerere, în realizarea securității cibernetice a cloudului dedicat din Cloudul privat guvernamental.9. La articolul 6, după alineatul (4) se introduce un nou alineat, alin. (5), cu următorul cuprins:(5) SRI asigură securitatea cibernetică a Cloudului privat guvernamental prin cunoașterea, prevenirea și contracararea atacurilor, amenințărilor, riscurilor și vulnerabilităților cibernetice, inclusiv a celor complexe, de tip APT, îndreptate împotriva serviciilor Cloudului privat guvernamental și a entităților găzduite și nominalizarea de experți în comisiile de recepție ale ADR și STS, care să valideze recepția calitativă și cantitativă a echipamentelor și soluțiilor destinate securității cibernetice, pentru cloudul intern și cloudul dedicat.10. La articolul 10, alineatele (1), (3) și (6) se modifică și vor avea următorul cuprins: + Articolul 10(1) Infrastructura de bază, laaS și PaaS aferente cloudului intern sunt proprietate a statului și în administrarea STS, care le achiziționează conform prevederilor legale în vigoare privind achizițiile publice. ................................(3) Software-ul și licențele aferente migrării în Cloudul privat guvernamental a sistemelor informatice sunt proprietate privată a statului și în administrarea ADR, care le achiziționează sau le preia, după caz, conform prevederilor legale în vigoare privind achizițiile publice, prin intermediul unor proceduri competitive, transparente, necondiționate și nediscriminatorii și le pune la dispoziția utilizatorilor de servicii cloud, în condițiile stabilite în acordul de migrare prevăzut la art. 4 alin. (4).(6) Administratorii cloudului intern și cloudului dedicat din care sunt furnizate serviciile de laaS, PaaS și SaaS în Cloudul privat guvernamental, precum și administratorii de securitate cibernetică menționați la art. 5-7 asigură jurnalizarea evenimentelor și accesului la datele entităților găzduite în Cloudul privat guvernamental, conform responsabilităților prevăzute de prezenta ordonanță de urgență, în scopul efectuării unor activități de audit de conformitate periodice pe linia protecției, calității, securității și trasabilității datelor, în vederea asigurării transparenței utilizării acestora.11. La articolul 10, după alineatul (1) se introduce un nou alineat, alin. (1^1), cu următorul cuprins:(1^1) Cloudul dedicat este proprietate privată a statului și este achiziționat și administrat de ADR, conform prevederilor legale în vigoare privind achizițiile publice, cu excepția acelor componente pentru care se achiziționează dreptul de utilizare.12. La articolul 10, după alineatul (10) se introduc șase noi alineate, alin. (11)-(16), cu următorul cuprins:(11) STS achiziționează pe bază de acorduri-cadru, încheiate în conformitate cu legislația în vigoare privind achizițiile publice, în limita resurselor disponibile, licențele de sisteme de operare și baze de date necesare funcționării sistemelor informatice aparținând utilizatorilor de servicii de cloud din cloudul intern.(12) Încheierea de către STS a contractelor subsecvente având ca obiect licențele prevăzute la alin. (1) se realizează în baza unei solicitări scrise transmise de ADR către STS, în urma analizei de migrare a utilizatorilor de servicii de cloud în cloudul intern.(13) În termen de 5 zile lucrătoare de la recepționare, licențele prevăzute la alin. (2) se transferă fără plată către ADR, pe bază de proces-verbal de predare-preluare, care constituie document justificativ pentru înregistrarea acestora în contabilitate.(14) Prevederile alin. (11)-(13) se aplică exclusiv pe perioada de implementare a cloudului intern, obligația de asigurare a acestor licențe ulterior finalizării implementării cloudului intern revenind utilizatorilor de servicii de cloud de tip laaS și PaaS furnizate din Cloudul privat guvernamental sau ADR.(15) ADR achiziționează, în conformitate cu legislația în vigoare privind achizițiile publice, resurse necesare funcționării sistemelor informatice aparținând utilizatorilor de servicii de cloud din cloudul dedicat.(16) Ulterior finalizării implementării Cloudului privat guvernamental, costurile generate de utilizarea resurselor necesare funcționării sistemelor informatice găzduite în Cloudul privat guvernamental sunt suportate de către utilizatorii de servicii de cloud, în conformitate cu prevederile acordului încheiat în acest sens cu ADR. + Articolul II Hotărârea Guvernului prevăzută la art. 3 alin. (5^1) din Ordonanța de urgență a Guvernului nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice, aprobată cu modificări și completări prin Legea nr. 180/2023, cu modificările și completările aduse prin prezenta ordonanță de urgență, se adoptă în termen de 90 de zile de la intrarea în vigoare a prezentei ordonanțe de urgență.
PRIM-MINISTRU
ION-MARCEL CIOLACU
Contrasemnează:
Viceprim-ministru,
Marian Neacșu
Ministrul cercetării, inovării și digitalizării,
Bogdan-Gruia Ivan
p. Președintele Autorității pentru Digitalizarea României,
Bogdan-Ionel Floricel
Directorul Serviciului de Telecomunicații Speciale,
Ionel-Sorin Bălan
p. Directorul Serviciului Român de Informații,
Răzvan Ionescu
Secretarul general al Guvernului,
Mircea Abrudean
p. Ministrul investițiilor și proiectelor europene,
Teodora-Elena Preoteasa,
secretar de stat București, 28 decembrie 2023. Nr. 130. -----
EMITENT |
Una dintre direcțiile de acțiune pentru asigurarea securității naționale prevăzute în Strategia Națională de Apărare a Țării pentru perioada 2020-2024, aprobată prin Hotărârea Parlamentului României nr. 22/2020, este reprezentată de realizarea infrastructurii necesare pentru digitalizarea României, cu scopul eficientizării aparatului administrativ și al creșterii calității serviciilor publice. Pentru transpunerea în realitate a acestei direcții de acțiune este necesară implementarea infrastructurii de cloud guvernamental, cu caracter de maximă urgență. Reglementarea care nu poate fi amânată este cauzată de faptul că în jalonul nr. 153 din Planul național de redresare și reziliență (PNNR) se specifică faptul că implementarea unei infrastructuri de tip cloud în sectorul public cuprinde construcția de centre de date Tier IV de la momentul conceperii pentru cele două centre principale, Tier III de la momentul conceperii pentru cele secundare, infrastructuri specifice găzduirii de sisteme informatice on-premise, iar de construirea urgentă a acestora depinde transferul la timp al finanțării de către Comisia Europeană și sporirea rezilienței sistemelor și rețelelor informatice ale statului român. În acest context, situația fiscal-bugetară reclamă accesarea fără întârzieri a finanțărilor disponibile prin PNRR. Transformarea digitală este un obiectiv de interes strategic național, care cuprinde procesul de transformare digitală atât la nivelul serviciilor publice din România, cât și la nivelul mediului de afaceri, în cazul căruia acest proces se referă la mecanismele de automatizare a proceselor de producție și la robotizarea acestora, cu impact asupra competitivității și calității produselor și serviciilor pe piața europeană. În lipsa unor reglementări specifice, imediate și efective ale pieței serviciilor de tip cloud se pot genera riscuri de securitate cibernetică a sistemelor informatice, dar și riscuri de utilizare a informațiilor specifice de date de către utilizatori neautorizați, iar prin aceasta se pot crea prejudicii proprietarilor de date, persoane fizice și/sau juridice, cu impact asupra fondurilor externe nerambursabile accesate de România atât prin Mecanismul de redresare și reziliență, cât și prin politica de coeziune. Mediul de afaceri are nevoie de mecanisme de transformare digitală rapide și specifice care să îi permită să dezvolte platforme informatice în acord cu nevoile de automatizare și robotizare specifice pieței concurențiale europene pentru a gestiona eficient cheltuielile cu mentenanța, dar și cele specifice echipamentelor IT. Situația extraordinara care impune modificarea și completarea prin ordonanța de urgența a Guvernului a domeniului este generată de conflictul armat de pe teritoriul Ucrainei și de nevoia urgenta de creștere a rezilienței capabilităților sistemelor și rețelelor informatice ale statului român, inclusiv prin prisma necesității asigurării securității datelor personale ale cetățenilor români. De asemenea, situația extraordinara care impune modificarea și completarea prin ordonanța de urgența a Ordonanței de urgența a Guvernului nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice este cauzata și de creșterea volumului informațiilor din bazele de date critice administrate de statul român, de necesitatea consolidării și interconectării acestora, precum și de necesitatea asigurării în mod unitar a securității cibernetice a acestora, în contextul conflictelor convenționale și neconvenționale din vecinătatea României și al revoluției digitale care s-a extins în toate statele lumii. Având în vedere dispozițiile art. 6 din Ordonanța de urgența a Guvernului nr. 124/2021 privind stabilirea cadrului instituțional și financiar pentru gestionarea fondurilor europene alocate României prin Mecanismul de redresare și reziliența, precum și pentru modificarea și completarea Ordonanței de urgența a Guvernului nr. 155/2020 privind unele masuri pentru elaborarea Planului național de redresare și reziliența necesar României pentru accesarea de fonduri externe rambursabile și nerambursabile în cadrul Mecanismului de redresare și reziliența, aprobata cu modificări și completări prin Legea nr. 178/2022, cu modificările și completările ulterioare, în temeiul art. 115 alin. (4) din Constituția României, republicata, Guvernul României adopta prezenta ordonanța de urgența. + Articolul IOrdonanța de urgența a Guvernului nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice, publicata în Monitorul Oficial al României, Partea I, nr. 638 din 28 iunie 2022, aprobata cu modificări și completări prin Legea nr. 180/2023, se modifica și se completează după cum urmează:1. La articolul 1, după alineatul (2) se introduce un nou alineat, alin. (2^1), cu următorul cuprins:(2^1) Cloudul privat guvernamental este compus din doua componente: componenta de cloud intern, denumita în continuare cloud intern, și componenta de cloud dedicat, denumita în continuare cloud dedicat.2. La articolul 1, după alineatul (5) se introduc trei noi alineate, alin. (5^1)-(5^3), cu următorul cuprins:(5^1) Cloudul intern include infrastructura de baza, astfel cum aceasta este definita la art. 2 lit. k), asigura furnizarea de servicii de tip IaaS, PaaS, SaaS, printr-un ansamblu de resurse informatice, de comunicații și de securitate cibernetica, se afla în proprietatea statului român și este interconectat la nivel de servicii cu cloudul dedicat și cu alte clouduri publice și/sau private din Platforma.(5^2) Cloudul dedicat asigura furnizarea de servicii de tip IaaS, PaaS, SaaS, inclusiv licențele necesare, de pe o infrastructura informatica distincta de cea a cloudului intern, ce utilizeaza din infrastructura de baza, în limita resurselor disponibile, clădirile, instalațiile, dotările și echipamentele tehnologice aferente și comunicațiile necesare asigurării transportului de date și interconectării cu rețelele publice de comunicații electronice.(5^3) Cloudul dedicat se interconecteaza la nivel de servicii cu cloudul intern în vederea utilizării de resurse de comunicații și tehnologia informației, prin API-uri, de catre sistemele informatice din Cloudul privat guvernamental, în conformitate cu prevederile art. 17 alin. (5).3. La articolul 2, după litera w) se introduc trei noi litere, lit. x)-z), cu următorul cuprins:x) cloud intern - model de cloud privat scalabil și elastic, care permite accesul la cerere, prin rețea, la resurse fizice și/sau virtuale, în mod partajat, necesare utilizatorilor, sub forma de servicii de cloud, respectiv IaaS, PaaS și SaaS, și care dispune de o platforma de monitorizare unitara a resurselor;y) cloud dedicat - model de cloud privat care permite accesul prin rețea la un grup scalabil și elastic de resurse fizice și/sau virtuale care pot fi folosite de catre utilizatori, în mod partajat, la cerere, în sistem self-service, sub forma de servicii de cloud, respectiv IaaS, PaaS și SaaS, și care dispune de o platforma de management unitara a resurselor la nivel de CPG, asigurata de ADR;z) API - interfața de programare a aplicației, respectiv un set de funcții, proceduri, definiții și protocoale pentru comunicarea dintre mașini și schimbul fara sincope de date.4. La articolul 3, după alineatul (5) se introduce un nou alineat, alin. (5^1), cu următorul cuprins:(5^1) Guvernul României, prin MCID, încheie cu producătorii de tehnologie software acorduri guvernamentale de stabilire a condițiilor de licențiere pentru nevoile statului român, necesare implementării și utilizării Cloudului privat guvernamental, în condițiile stabilite prin hotarâre a Guvernului.5. La articolul 4, alineatul (3) se modifică și va avea următorul cuprins:(3) ADR asigura implementarea, administrarea tehnica și operaționala, mentenanța, precum și dezvoltarea ulterioara pentru serviciile SaaS specifice cloudului intern, inclusiv asigurarea, prin acorduri-cadru, conform legislației achizițiilor publice, a licențelor necesare migrării în Cloudul privat guvernamental a sistemelor informatice și serviciilor publice electronice.6. La articolul 4, după alineatul (3) se introduce un nou alineat, alin. (3^1), cu următorul cuprins:(3^1) ADR este responsabila de proiectarea și achiziționarea cloudului dedicat și de asigurarea implementării, administrării tehnice și operaționale, securității cibernetice, mentenanței, precum și dezvoltării ulterioare a serviciilor specifice acestuia.7. La articolul 5, alineatele (1), (2) și (4) se modifică și vor avea următorul cuprins: + Articolul 5(1) Infrastructura de baza a cloudului intern este asigurata de STS.(2) STS asigura implementarea, administrarea tehnica și operaționala, securitatea cibernetica, mentenanța, precum și dezvoltarea ulterioara a infrastructurii de baza și a serviciilor de cloud de tip IaaS și PaaS furnizate de cloudul intern. ...............................(4) STS asigura securitatea cibernetica a cloudului intern prin prevenirea și contracararea atacurilor cibernetice îndreptate împotriva infrastructurii de baza și a serviciilor de cloud de tip IaaS și PaaS furnizate de cloudul intern, inclusiv a atacurilor de tip DDoS, în conformitate cu atribuțiile prevăzute prin actele normative în vigoare.8. La articolul 6, alineatele (1), (2) și (4) se modifică și vor avea următorul cuprins: + Articolul 6(1) SRI asigura securitatea cibernetica a serviciilor de cloud de tip SaaS furnizate entităților găzduite din cloudul intern prin cunoașterea, prevenirea și contracararea atacurilor, amenințărilor, riscurilor și vulnerabilităților cibernetice, inclusiv a celor complexe, de tip APT.(2) SRI cooperează cu STS, conform competențelor fiecărei instituții, pentru cunoașterea, prevenirea și contracararea atacurilor cibernetice complexe, de tip APT, îndreptate împotriva serviciilor IaaS și PaaS furnizate din cloudul intern, prin schimbul nemijlocit și automat al informațiilor referitoare la incidentele de securitate, fără a transfera date de conținut.(4) SRI asigură implementarea, administrarea tehnică și operațională, mentenanța, precum și dezvoltarea ulterioară a serviciilor de securitate cibernetică din cloudul intern, prevăzute la alin. (1), și sprijină ADR, la cerere, în realizarea securității cibernetice a cloudului dedicat din Cloudul privat guvernamental.9. La articolul 6, după alineatul (4) se introduce un nou alineat, alin. (5), cu următorul cuprins:(5) SRI asigură securitatea cibernetică a Cloudului privat guvernamental prin cunoașterea, prevenirea și contracararea atacurilor, amenințărilor, riscurilor și vulnerabilităților cibernetice, inclusiv a celor complexe, de tip APT, îndreptate împotriva serviciilor Cloudului privat guvernamental și a entităților găzduite și nominalizarea de experți în comisiile de recepție ale ADR și STS, care să valideze recepția calitativă și cantitativă a echipamentelor și soluțiilor destinate securității cibernetice, pentru cloudul intern și cloudul dedicat.10. La articolul 10, alineatele (1), (3) și (6) se modifică și vor avea următorul cuprins: + Articolul 10(1) Infrastructura de bază, laaS și PaaS aferente cloudului intern sunt proprietate a statului și în administrarea STS, care le achiziționează conform prevederilor legale în vigoare privind achizițiile publice. ................................(3) Software-ul și licențele aferente migrării în Cloudul privat guvernamental a sistemelor informatice sunt proprietate privată a statului și în administrarea ADR, care le achiziționează sau le preia, după caz, conform prevederilor legale în vigoare privind achizițiile publice, prin intermediul unor proceduri competitive, transparente, necondiționate și nediscriminatorii și le pune la dispoziția utilizatorilor de servicii cloud, în condițiile stabilite în acordul de migrare prevăzut la art. 4 alin. (4).(6) Administratorii cloudului intern și cloudului dedicat din care sunt furnizate serviciile de laaS, PaaS și SaaS în Cloudul privat guvernamental, precum și administratorii de securitate cibernetică menționați la art. 5-7 asigură jurnalizarea evenimentelor și accesului la datele entităților găzduite în Cloudul privat guvernamental, conform responsabilităților prevăzute de prezenta ordonanță de urgență, în scopul efectuării unor activități de audit de conformitate periodice pe linia protecției, calității, securității și trasabilității datelor, în vederea asigurării transparenței utilizării acestora.11. La articolul 10, după alineatul (1) se introduce un nou alineat, alin. (1^1), cu următorul cuprins:(1^1) Cloudul dedicat este proprietate privată a statului și este achiziționat și administrat de ADR, conform prevederilor legale în vigoare privind achizițiile publice, cu excepția acelor componente pentru care se achiziționează dreptul de utilizare.12. La articolul 10, după alineatul (10) se introduc șase noi alineate, alin. (11)-(16), cu următorul cuprins:(11) STS achiziționează pe bază de acorduri-cadru, încheiate în conformitate cu legislația în vigoare privind achizițiile publice, în limita resurselor disponibile, licențele de sisteme de operare și baze de date necesare funcționării sistemelor informatice aparținând utilizatorilor de servicii de cloud din cloudul intern.(12) Încheierea de către STS a contractelor subsecvente având ca obiect licențele prevăzute la alin. (1) se realizează în baza unei solicitări scrise transmise de ADR către STS, în urma analizei de migrare a utilizatorilor de servicii de cloud în cloudul intern.(13) În termen de 5 zile lucrătoare de la recepționare, licențele prevăzute la alin. (2) se transferă fără plată către ADR, pe bază de proces-verbal de predare-preluare, care constituie document justificativ pentru înregistrarea acestora în contabilitate.(14) Prevederile alin. (11)-(13) se aplică exclusiv pe perioada de implementare a cloudului intern, obligația de asigurare a acestor licențe ulterior finalizării implementării cloudului intern revenind utilizatorilor de servicii de cloud de tip laaS și PaaS furnizate din Cloudul privat guvernamental sau ADR.(15) ADR achiziționează, în conformitate cu legislația în vigoare privind achizițiile publice, resurse necesare funcționării sistemelor informatice aparținând utilizatorilor de servicii de cloud din cloudul dedicat.(16) Ulterior finalizării implementării Cloudului privat guvernamental, costurile generate de utilizarea resurselor necesare funcționării sistemelor informatice găzduite în Cloudul privat guvernamental sunt suportate de către utilizatorii de servicii de cloud, în conformitate cu prevederile acordului încheiat în acest sens cu ADR. + Articolul II Hotărârea Guvernului prevăzută la art. 3 alin. (5^1) din Ordonanța de urgență a Guvernului nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice, aprobată cu modificări și completări prin Legea nr. 180/2023, cu modificările și completările aduse prin prezenta ordonanță de urgență, se adoptă în termen de 90 de zile de la intrarea în vigoare a prezentei ordonanțe de urgență.
PRIM-MINISTRU
ION-MARCEL CIOLACU
Contrasemnează:
Viceprim-ministru,
Marian Neacșu
Ministrul cercetării, inovării și digitalizării,
Bogdan-Gruia Ivan
p. Președintele Autorității pentru Digitalizarea României,
Bogdan-Ionel Floricel
Directorul Serviciului de Telecomunicații Speciale,
Ionel-Sorin Bălan
p. Directorul Serviciului Român de Informații,
Răzvan Ionescu
Secretarul general al Guvernului,
Mircea Abrudean
p. Ministrul investițiilor și proiectelor europene,
Teodora-Elena Preoteasa,
secretar de stat București, 28 decembrie 2023. Nr. 130. -----