Comunica experienta
MonitorulJuridic.ro
Provocările, riscurile şi ameninţările de securitate din spaţiul cibernetic s-au intensificat în ultimii ani, iar securitatea cibernetică a devenit o necesitate ce implică abordări integrate, cuprinzătoare, adoptarea de strategii de securitate cibernetică, noi şi permanente, investiţii financiare semnificative şi adaptări organizaţionale rapide şi ambiţioase.
Având în vedere faptul că ameninţările cibernetice nu au o adresă clară naţională a unui expeditor, nu sunt blocate la graniţele statale, au un profund caracter asimetric, întrucât, cu resurse relativ limitate, un individ sau un grup de indivizi, afiliaţi sau nu cu structuri guvernamentale, pot genera incidente cu efecte perturbatoare semnificative cu impact destabilizator la nivel statal sau al unui sector economic,
ţinând cont de faptul că atât statele membre ale Uniunii Europene, cât şi multe alte state, inclusiv NATO în anul 2016, au recunoscut spaţiul cibernetic ca fiind un spaţiu de confruntare şi domeniu operaţional, alături de domeniile terestru, aerian, cosmic şi maritim,
considerând că, pentru asigurarea unui nivel ridicat de securitate a reţelelor şi sistemelor informatice care stau la baza furnizării serviciilor esenţiale la nivelul României ca stat membru al Uniunii Europene, implementarea Directivei UE 2016/1.148 a Parlamentului European şi a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune este vitală pentru activităţile economice şi societale şi, în special, pentru funcţionarea pieţei interne,
ca urmare a evaluării de către Comisia Europeană a activităţii de implementare a Directivei UE 2016/1.148 la nivelul României, unde au fost constatate întârzieri şi neconformităţi în abordarea naţională,
ca urmare a Regulamentului (UE) 2021/887 al Parlamentului European şi al Consiliului din 20 mai 2021 de înfiinţare a Centrului de competenţe european industrial, tehnologic şi de cercetare în materie de securitate cibernetică şi a Reţelei de centre naţionale de coordonare, găzduit în România,
având în vedere obligaţiile naţionale ce revin României din Strategia de securitate cibernetică a Uniunii Europene pentru deceniul digital, având la bază Comunicarea comună către Parlamentul European şi Consiliu JOIN(2020) 18 final din 16 decembrie 2020,
motivat de faptul că în primul rând transformarea digitală expune statul, societatea, economia şi cetăţenii unor ameninţări şi atacuri cibernetice asimetrice caracterizate prin costuri scăzute şi prin faptul că atacatorul deţine iniţial avantaje,
motivat de necesitatea dezvoltării capabilităţilor de răspuns care trebuie să evolueze în acelaşi timp cu atacurile cibernetice, atât prin prevenţie, cât şi prin reacţie şi intervenţie specializată, de înaltă pregătire şi adaptată noilor tipuri de atacuri cibernetice,
motivat de necesitatea consolidării rezilienţei cibernetice, în contextul creşterii frecvenţei şi a complexităţii atacurilor cibernetice împotriva infrastructurilor ce susţin servicii esenţiale pentru societatea şi economia românească ce pot conduce la situaţii extraordinare de blocare a unor infrastructuri vitale dintr-o arie largă de domenii publice şi private,
având ca obiectiv gestionarea ameninţărilor cibernetice, în măsura în care riscurile asociate sunt foarte reale şi semnificative, pentru prevenirea nesiguranţei, a pierderilor economice sau a impactului asupra activităţilor,
mai mult, pentru o prezenţă mai activă a României pe harta mondială a statelor cu capacităţi de reacţie şi intervenţie ridicate şi, nu în ultimul rând, pentru ca România să devină un pol/nod de influenţă cibernetică regional/global şi, implicit, pentru consolidarea imaginii internaţionale a ţării,
ţintind ca noua instituţie să devină o instituţie de anvergură internaţională care să poziţioneze ferm România ca un lider recunoscut în securitatea cibernetică,
apreciind că cele de mai sus constituie premisele unei situaţii de urgenţă şi extraordinare a cărei reglementare nu poate fi amânată,
în temeiul art. 115 alin. (4) din Constituţia României, republicată,
Guvernul României adoptă prezenta ordonanţă de urgenţă.
ART. 1
Înfiinţarea Directoratului
(1) Se înfiinţează Directoratul Naţional de Securitate Cibernetică, denumit în continuare DNSC, organ de specialitate al administraţiei publice centrale, în subordinea Guvernului şi în coordonarea prim-ministrului, cu personalitate juridică, finanţat integral din bugetul de stat, prin bugetul Secretariatului General al Guvernului.
(2) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO se desfiinţează la data intrării în vigoare a prezentei ordonanţe de urgenţă.
(3) La data intrării în vigoare a prezentei ordonanţe de urgenţă, DNSC preia activităţile, atribuţiile şi personalul Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO, cu menţinerea drepturilor salariale avute la data preluării.
(4) DNSC are sediul central în municipiul Bucureşti, Strada Italiană nr. 22, sectorul 2, în imobilul proprietate a statului român şi aflat în administrarea CERT-RO, potrivit Hotărârii Guvernului nr. 1.005/2020 privind transmiterea unui imobil aflat în domeniul public al statului din administrarea Ministerului Transporturilor, Infrastructurii şi Comunicaţiilor în administrarea Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO, cu destinaţia de sediu al CERT-RO, şi pentru modificarea Hotărârii Guvernului nr. 494/2011 privind înfiinţarea Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO.
(5) DNSC are calitatea de membru permanent în Consiliul Operativ de Securitate Cibernetică, denumit în continuare COSC.
(6) DNSC are responsabilităţi privind securitatea cibernetică a spaţiului cibernetic naţional civil.
(7) DNSC are în structura internă compartimente funcţionale, precum şi alte structuri în subordinea sa, fără personalitate juridică.
(8) DNSC înfiinţează structuri regionale şi judeţene, fără personalitate juridică.
ART. 2
Concepte, definiţii şi termeni
În înţelesul prezentei ordonanţe de urgenţă, termenii şi expresiile de mai jos au următoarele semnificaţii:
a) CSIRT - echipă de răspuns la incidente de securitate cibernetică - entitate organizaţională specializată care dispune de capacitatea necesară pentru prevenirea, analiza, identificarea şi reacţia la incidentele cibernetice;
b) comunitatea CSIRT din România - ansamblul echipelor CSIRT care funcţionează în cadrul autorităţilor şi instituţiilor publice ori al altor persoane juridice de drept public sau privat din România şi care relaţionează cu Directoratul Naţional de Securitate Cibernetică pe baza unor proceduri şi protocoale de cooperare;
c) spaţiul cibernetic - mediul virtual, astfel cum este definit în Strategia de securitate cibernetică a României şi Planul de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică, aprobat prin Hotărârea Guvernului nr. 271/2013;
d) spaţiul cibernetic naţional civil - spaţiul cibernetic naţional care exclude infrastructurile cibernetice aflate, conform prevederilor legale, în administrarea sau responsabilitatea instituţiilor din sistemul naţional de apărare, ordine publică şi securitate naţională, precum şi cele care vehiculează informaţii clasificate;
e) securitate cibernetică - stare de normalitate, astfel cum este definită în Strategia de securitate cibernetică a României şi Planul de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică, aprobat prin Hotărârea Guvernului nr. 271/2013;
f) ameninţare cibernetică - orice circumstanţă, eveniment sau acţiune potenţială care ar putea cauza daune sau perturbări la nivelul reţelelor şi al sistemelor informatice, precum şi la nivelul utilizatorilor unor astfel de sisteme şi al altor persoane sau care poate avea un alt fel de impact negativ asupra acestora;
g) serviciile publice de tip preventiv - acele servicii oferite de Directoratul Naţional de Securitate Cibernetică care constau în:
1. anunţuri privind evenimente în domeniu;
2. anunţuri privind ameninţări nou-identificate pe plan naţional şi internaţional;
3. cercetare şi informare privind noutăţile tehnologice în domeniu;
4. realizarea, la cerere, de auditări şi evaluări de securitate sau teste de penetrare;
5. identificarea vulnerabilităţilor şi punerea la dispoziţie de situaţii actualizate privind încercările de intruziune şi servicii de localizare a surselor atacurilor, pe baza informaţiilor transmise de furnizorii de reţele şi servicii de comunicaţii electronice;
6. diseminarea informaţiilor de securitate cibernetică;
h) serviciile publice de tip reactiv - acele servicii oferite de Directoratul Naţional de Securitate Cibernetică care constau în:
1. alerte şi atenţionări privind apariţia unor activităţi premergătoare atacurilor;
2. gestiunea incidentelor la nivel naţional, în cooperare cu celelalte echipe CSIRT;
3. diseminarea rezultatelor investigaţiilor incidentelor de securitate cibernetică, cu respectarea prevederilor acordurilor de cooperare încheiate cu partenerii Directoratului Naţional de Securitate Cibernetică;
i) serviciile publice de consultanţă pentru managementul securităţii cibernetice - acele servicii oferite de Directoratul Naţional de Securitate Cibernetică care constau în:
1. analize de risc aplicate la nivel local şi la nivel naţional privind infrastructurile cibernetice de interes naţional;
2. planificarea asigurării funcţionării continue şi a recuperării în caz de dezastre;
3. atestarea managementului securităţii cibernetice şi a incidentelor cibernetice;
4. autorizarea echipelor de tip CSIRT şi atestarea auditorilor de securitate informatică specifice domeniului securităţii reţelelor şi sistemelor informatice;
j) sistem de alertă timpurie şi informare în timp real privind incidentele cibernetice - ansamblul de proceduri şi sisteme tehnice care au rolul de a identifica premisele de apariţie a incidentelor cibernetice şi de a avertiza în cazul producerii acestora. Sistemul include şi conexiuni de date ce vor transporta informaţii referitoare la incidentele cibernetice identificate de senzori dedicaţi, precum şi informaţii statistice referitoare la valorile de trafic înregistrate în nodurile de reţea ale infrastructurilor cibernetice ce asigură funcţionalităţi de utilitate publică ori asigură servicii ale societăţii informaţionale;
k) criza cibernetică - o stare de fapt care reprezintă o ameninţare reală sau o deteriorare a unei infrastructuri cibernetice, de natură să creeze daune reţelelor şi sistemelor informatice care furnizează servicii esenţiale, digitale sau de interes naţional;
l) produs de securitate cibernetică - un element sau un grup de elemente care asigură securitatea unei reţele sau a unui sistem informatic;
m) serviciu de securitate cibernetică - un serviciu care asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea, nonrepudierea unei reţele sau a unui sistem informatic.
ART. 3
Responsabilităţi şi principii
(1) Principala responsabilitate a DNSC este asigurarea securităţii cibernetice a spaţiului cibernetic naţional civil, în colaborare cu instituţiile şi autorităţile competente.
(2) DNSC este autoritatea competentă la nivel naţional pentru spaţiul cibernetic naţional civil, precum şi pentru gestionarea riscurilor şi a incidentelor de securitate cibernetică.
(3) În exercitarea calităţii de autoritate competentă la nivel naţional, DNSC se consultă şi cooperează cu:
a) Serviciul Român de Informaţii - privind asigurarea securităţii cibernetice a spaţiului cibernetic naţional civil a cărei afectare aduce atingere securităţii naţionale;
b) Ministerul Apărării Naţionale - privind asigurarea securităţii cibernetice a spaţiului cibernetic naţional civil a cărei afectare aduce atingere apărării ţării;
c) Ministerul Afacerilor Interne, Serviciul de Informaţii Externe, Serviciul de Telecomunicaţii Speciale şi Serviciul de Protecţie şi Pază - privind asigurarea securităţii cibernetice a spaţiului cibernetic naţional civil a cărei afectare aduce atingere domeniului acestora de activitate şi responsabilitate;
d) Administraţia Prezidenţială - privind asigurarea securităţii spaţiului cibernetic naţional civil a cărei afectare aduce atingere infrastructurilor cibernetice din domeniul de activitate şi responsabilitate al acesteia sau celor destinate Consiliului Suprem de Apărare a Ţării, denumit în continuare CSAT, administrate potrivit cadrului legislativ specific şi hotărârilor adoptate de acesta în condiţiile legii.
(4) Pentru îndeplinirea responsabilităţilor sale, DNSC se consultă şi cooperează, după caz, cu:
a) instituţiile publice prevăzute la alin. (3);
b) Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cazul incidentelor care au ca rezultat încălcarea securităţii datelor cu caracter personal, în condiţiile legii;
c) Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii, atunci când incidentele au ca rezultat afectarea securităţii ori funcţionării reţelelor publice de comunicaţii electronice ori când pentru administrarea unui incident sunt necesare măsuri ce intră în aria de activitate şi responsabilitate a acesteia;
d) Oficiul Registrului National al Informaţiilor Secrete de Stat, în cazul incidentelor şi atacurilor cibernetice asupra sistemelor informatice şi de comunicaţii care vehiculează informaţii clasificate;
e) Ministerul Afacerilor Externe, în cazul unor incidente şi atacuri cibernetice care afectează interese pe plan extern ale României;
f) organele de urmărire penală, în condiţiile legii.
(5) În vederea atingerii obiectivelor şi funcţiilor, DNSC aplică următoarele principii:
a) principiul legalităţii - atât DNSC, cât şi personalul instituţiei acţionează cu respectarea prevederilor legale în vigoare şi a tratatelor şi convenţiilor internaţionale la care România este parte;
b) principiul egalităţii - beneficiarii activităţilor desfăşurate de către DNSC vor fi trataţi în mod egal, într-o manieră nediscriminatorie, corelativ cu obligaţia DNSC de autoritate naţională, de a trata în mod egal pe toţi beneficiarii, fără discriminare, pe criteriile prevăzute de legislaţia în domeniul de competenţă;
c) principiul transparenţei - în procesul elaborării de propuneri de acte normative, DNSC va informa şi va supune consultării şi dezbaterii publice proiectele de acte normative şi va permite accesul persoanelor juridice şi fizice la datele şi informaţiile de interes public, în condiţiile Legii nr. 544/2001 privind liberul acces la informaţiile de interes public, cu modificările şi completările ulterioare. În acelaşi timp, beneficiarii DNSC au dreptul de a obţine informaţii de la instituţie, iar instituţia are obligaţia de a pune la dispoziţia beneficiarilor informaţii, din oficiu sau la cerere, în limitele legii;
d) principiul proporţionalităţii - activitatea DNSC trebuie să fie corespunzătoare cu legislaţia naţională şi să satisfacă interesul public, precum şi echilibrată din punctul de vedere al efectelor asupra persoanelor fizice şi juridice;
e) principiul imparţialităţii - personalul DNSC îşi exercită atribuţiile legale fără subiectivism, indiferent de propriile convingeri sau interese;
f) principiul continuităţii - activitatea DNSC se exercită fără întreruperi, cu respectarea prevederilor legale;
g) principiul neutralităţii tehnologice - în activitatea specifică de reglementare, testare şi evaluare, DNSC nu favorizează o anumită marcă sau tehnologie şi nu impune sau discriminează în favoarea utilizării unui anumit tip de tehnologie;
h) principiul solidarităţii internaţionale - în relaţiile cu partenerii din Uniunea Europeană şi celelalte state sau organizaţii, DNSC promovează cooperarea între state în vederea rezolvării cât mai eficiente a provocărilor globale în domeniul securităţii cibernetice;
i) principiul sincronizării - măsurile şi cerinţele de securitate impuse de DNSC vor ţine cont de evoluţia fenomenului securităţii cibernetice la nivelul Uniunii Europene;
j) principiul satisfacerii interesului public - DNSC, precum şi personalul instituţiei urmăresc satisfacerea interesului public înaintea celui individual sau de grup. Interesul public naţional este prioritar faţă de interesul public local;
k) principiul conştientizării - în activitatea sa de informare a persoanelor fizice şi juridice, precum şi a cetăţenilor, DNSC prezintă noi cunoştinţe şi informaţii cu privire la vulnerabilităţile, riscurile şi atacurile cibernetice, pe înţelesul tuturor, folosind diverse metode de atragere a interesului grupurilor-ţintă.
(6) În îndeplinirea atribuţiilor sale, DNSC urmăreşte atingerea obiectivelor, luând în acest sens măsuri rezonabile, cu respectarea principiilor prevăzute la alin. (5).
(7) Responsabilităţile DNSC nu aduc atingere legislaţiei în vigoare referitoare la sistemul naţional de apărare, ordine publică şi securitate naţională, la infrastructurile critice naţionale şi la informaţiile clasificate.
ART. 4
Obiective
Principalele obiective ale DNSC sunt:
a) asigurarea securităţii, confidenţialităţii, integrităţii, disponibilităţii, rezilienţei elementelor din spaţiul cibernetic naţional civil, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniu;
b) asigurarea cadrului de strategii, politici şi reglementări care să susţină implementarea viziunii naţionale în domeniul securităţii cibernetice;
c) crearea cadrului naţional de cooperare între instituţii din domeniul public, privat, de educaţie şi cercetare, pentru asigurarea unei viziuni şi abordări realiste, comune şi coerente privitor la securitatea cibernetică a României;
d) crearea şi operarea unei platforme naţionale de colaborare care să permită schimbul de informaţii între constituenţi, instituţii ale statului, mediul academic şi mediul privat în domeniul incidentelor, vulnerabilităţilor şi crizelor de natură cibernetică;
e) crearea cadrului naţional de certificare în domeniul securităţii cibernetice, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniu;
f) crearea cadrului naţional de instruire în domeniul securităţii cibernetice, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniu;
g) promovarea şi susţinerea pe plan internaţional a strategiei naţionale în domeniul securităţii cibernetice;
h) crearea cadrului naţional destinat evaluării noilor tehnologii şi impactului acestora asupra securităţii cibernetice a României;
i) dezvoltarea capacităţii de atragere de fonduri de finanţare pentru realizarea obiectivelor instituţionale;
j) elaborarea şi coordonarea planului de management al crizelor de securitate cibernetică la nivel naţional, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniul managementului crizelor, precum şi prin colaborare cu ceilalţi membri permanenţi din COSC.
ART. 5
Funcţii şi atribuţii
În îndeplinirea obiectivelor, DNSC exercită următoarele funcţii şi atribuţii:
a) Strategie şi planificare
1. realizează politica Guvernului în domeniul securităţii cibernetice şi stabileşte la nivel naţional strategiile şi politicile publice în domeniul securităţii cibernetice;
2. asigură elaborarea şi diseminarea politicilor publice de prevenire şi contracarare a incidentelor din cadrul infrastructurilor cibernetice din spaţiul cibernetic civil naţional;
3. participă la elaborarea strategiei naţionale de securitate cibernetică în cooperare cu instituţiile din Sistemul Naţional de Apărare, Ordine Publică şi Securitate Naţională, denumit în continuare SNAOPSN, cu competenţe în domeniu, şi coordonează implementarea acesteia, asigurând inclusiv monitorizarea acţiunilor întreprinse, a măsurilor implementate şi evaluarea rezultatelor obţinute;
4. elaborează şi coordonează aplicarea planului de management al crizelor de securitate cibernetică la nivel naţional pe timp de pace, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniul managementului crizelor;
5. elaborează şi coordonează implementarea strategiei naţionale de instruire în domeniul securităţii cibernetice, în cooperare cu instituţiile care au competenţe şi atribuţii în domeniu;
6. elaborează şi coordonează implementarea strategiei naţionale de cooperare între instituţii din domeniul public, privat, de educaţie şi cercetare, pentru asigurarea unei viziuni şi abordări realiste, comune şi coerente privitor la securitatea cibernetică a României, inclusiv din perspectiva pregătirii şi menţinerii resursei umane în România;
7. elaborează propuneri privind modificarea cadrului legislativ în domeniul securităţii cibernetice, pe care le înaintează către Guvernul României;
8. asigură sprijin autorităţilor publice în elaborarea şi implementarea strategiilor naţionale sectoriale, care includ componente de securitate cibernetică;
9. sprijină participarea instituţiilor statului român şi a altor părţi interesate în proiecte naţionale şi internaţionale din domeniul securităţii cibernetice, în vederea îndeplinirii obiectivelor strategiei naţionale de securitate cibernetică;
b) Funcţia de autoritate competentă la nivel naţional de reglementare, supraveghere şi control - asigură reglementarea şi gestionarea securităţii cibernetice a României şi a spaţiului cibernetic naţional civil, astfel:
1. monitorizează implementarea strategiei şi politicilor naţionale şi sectoriale în domeniul securităţii cibernetice;
2. elaborează cadrul normativ şi instituţional în domeniul securităţii cibernetice, iniţiază şi, respectiv, avizează proiecte de acte normative în domeniul său de competenţă, pe care le supune spre aprobare, în condiţiile legii;
3. exercită atribuţiile stabilite prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare;
4. elaborează regulamente, norme, cerinţe, ghiduri şi recomandări, în domeniul de competenţă, care se aprobă prin decizia directorului DNSC şi se publică, după caz, în Monitorul Oficial al României sau pe site-ul instituţiei;
5. îndeplineşte atribuţiile de autoritate naţională pentru furnizorii de servicii de găzduire/hosting, de servicii tip cloud, de servicii de identificare electronică, de servicii de încredere pentru tranzacţiile electronice şi furnizorii de reţele de distribuţie de conţinut;
6. stabileşte standardele şi reglementările în domeniul securităţii cibernetice la nivel naţional, cu excepţia domeniilor prevăzute la art. 20 alin. (1), care devin obligatorii odată cu publicarea în Monitorul Oficial al României, Partea I, şi verifică implementarea acestora prin acţiuni de control;
7. gestionează şi administrează evidenţe privind persoanele fizice şi juridice care intră sub incidenţa actelor normative care reglementează domeniul securităţii cibernetice, conform atribuţiilor instituţiei;
c) Funcţia de CSIRT naţional
1. asigură coordonarea activităţilor la nivel naţional de detecţie, protecţie şi răspuns la atacuri cibernetice, precum şi desfăşurarea de activităţi de supraveghere, monitorizare, identificare, analiză, investigare şi de răspuns la incidente de securitate cibernetică, prin echipa CSIRT naţională, pentru infrastructurile cibernetice aflate în domeniul de competenţă, aşa cum vor fi definite prin regulamentul de organizare şi funcţionare al DNSC;
2. exercită şi atribuţiile de CSIRT naţional stabilite prin Legea nr. 362/2018, cu modificările şi completările ulterioare;
3. coordonează răspunsul la incidente de securitate cibernetice la nivel naţional pentru domeniul său de competenţă;
4. monitorizează, identifică, analizează şi răspunde la ameninţările de securitate cibernetică din spaţiul cibernetic naţional civil;
5. derulează activităţi de investigare a incidentelor cibernetice care vizează sau utilizează spaţiul cibernetic naţional civil, în conformitate cu competenţele legale, utilizând, după caz, metode tehnice care presupun inclusiv analiza metadatelor corespunzătoare conexiunilor de reţea puse la dispoziţia DNSC de către posesorii acestora;
6. evaluează riscurile de securitate cibernetică la nivel naţional şi emite avertizări, buletine de informare şi de prognoză;
7. derulează activităţi de identificare şi analiză a ameninţărilor, inclusiv în cooperare cu mediul public, privat şi academic, în scopul implementării unui nivel ridicat de securitate cibernetică;
8. derulează activităţi tehnice specifice de identificare a vulnerabilităţilor site-urilor cu conţinut în limba română şi emite avertizări de securitate;
9. dezvoltă sisteme şi instrumente de identificare, analiză şi prognoză privind incidentele cibernetice, în baza cărora stabileşte impactul la nivel naţional şi transfrontalier al incidentelor şi informează autorităţile relevante la nivel naţional, precum şi autorităţile similare din alte state potenţial afectate. În acest sens, DNSC cooperează cu instituţiile din sistemul naţional de apărare, ordine publică şi securitate naţională, precum şi cu mediul privat şi mediul academic;
10. asigură colectarea, în condiţiile legii, analiza şi schimbul de informaţii privind riscurile şi vulnerabilităţile de securitate ale reţelelor şi sistemelor informatice, precum şi ale produselor şi serviciilor de securitate cibernetică;
11. oferă servicii publice de tip preventiv, de tip reactiv şi de consultanţă pentru managementul securităţii cibernetice;
12. implementează, gestionează şi coordonează Platforma Naţională pentru Raportarea Incidentelor de Securitate Cibernetică, denumită în continuare PNRISC;
d) Funcţia de CSIRT guvernamental
1. monitorizează implementarea măsurilor de securitate cibernetică la nivelul instituţiilor Guvernului României, în colaborare şi coordonare cu instituţiile statului care au competenţe şi atribuţii în domeniu;
2. sprijină instituţiile statului care au competenţe şi atribuţii în domeniu în exercitarea atribuţiilor legate de securitatea cibernetică;
e) Funcţia de coordonare, implementare, îndrumare şi sprijin a CSIRT-urilor sectoriale
1. asigură sau participă la asigurarea funcţiei de CSIRT sectorial pentru toate sectoarele specificate de Legea nr. 362/2018, cu modificările şi completările ulterioare, în colaborare şi coordonare cu instituţiile statului care au competenţe şi atribuţii în domeniu şi cu autorităţile de reglementare din sectoarele implicate;
2. în cooperare cu instituţiile sau organizaţiile care coordonează şi/sau reglementează domenii de activitate ce pot fi afectate de incidente de securitate cibernetică, dezvoltă echipe CSIRT sectoriale sau participă la completarea capabilităţilor echipelor constituite la nivel sectorial, subsectorial ori al instituţiilor sau organizaţiilor;
f) Funcţia de echipă de răspuns la incidente de securitate cibernetică pentru produse şi servicii informatice utilizate în cadrul sectorului guvernamental
1. asigură identificarea, evaluarea şi gestionarea riscurilor asociate vulnerabilităţilor de securitate cibernetică din produsele, soluţiile, componentele şi/sau serviciile informatice ale sectorului guvernamental;
2. asigură infrastructura şi procesele necesare pentru primirea, investigarea şi raportarea, publică sau către instituţiile statului care au competenţe şi atribuţii în domeniu, a informaţiilor privind vulnerabilităţile de securitate cibernetică ale produselor, soluţiilor, componentelor şi/sau serviciilor informatice ale sectorului guvernamental;
g) Funcţia de alertare, prevenire, conştientizare şi instruire
1. asigură informarea şi pregătirea la nivel naţional a populaţiei, precum şi a tuturor entităţilor care fac parte din spaţiul cibernetic civil naţional, inclusiv a operatorilor economici din sectoarele stabilite în baza Legii nr. 362/2018, cu modificările şi completările ulterioare, şi din sectorul public cu privire la riscurile de securitate din spaţiul cibernetic civil;
2. promovează dezvoltarea unui comportament adecvat în spaţiul cibernetic naţional civil pentru persoanele fizice şi juridice prin conştientizarea efectelor consecinţelor atacurilor cibernetice şi a modalităţii de semnalare a acestora;
3. emite informări privind obligaţiile care derivă din calitatea de administrator, furnizor sau utilizator al reţelelor şi sistemelor informatice, privind răspunsul în faţa unor posibile atacuri cibernetice, privind conştientizarea cetăţenilor şi instituţiilor publice şi private despre necesitatea semnalării sau notificării atacurilor cibernetice;
4. dezvoltă cadrul naţional de conştientizare a populaţiei în cooperare cu mediul public, privat şi academic în scopul asigurării unei abordări eficiente a pregătirii populaţiei privind modalităţile de comportament, reacţie şi rezilienţă cibernetică în mediul online;
5. desfăşoară şi participă la campanii şi acţiuni de prevenire şi conştientizare a cauzelor şi consecinţelor atacurilor cibernetice asupra reţelelor şi sistemelor informatice civile, la nivel internaţional, naţional şi regional;
h) Funcţia de cooperare şi colaborare
1. asigură cadrul de cooperare în vederea derulării de activităţi specifice asigurării securităţii cibernetice, cercetării, schimbului de informaţii, instruirii, educaţiei, conştientizării, elaborării de proiecte, precum şi a oricăror altor activităţi necesare pentru asigurarea securităţii cibernetice a României, conform competenţelor legale;
2. asigură reprezentarea României în formatele de cooperare internaţională pe domeniile de competenţă, în cooperare cu alte autorităţi competente ale statului, în interesul asigurării cooperării interinstituţionale, informării reciproce şi susţinerii unei poziţii unitare la nivel internaţional;
3. sprijină efortul naţional, instituţiile şi autorităţile competente ale statului, precum şi iniţiativele de cooperare în cadrul organizaţiilor internaţionale din care România face parte - în special în cadrul Uniunii Europene (UE), al Organizaţiei Naţiunilor Unite (ONU), al Organizaţiei pentru Securitate şi Cooperare în Europa (OSCE) şi al Organizaţiei Tratatului Atlanticului de Nord (NATO);
4. în colaborare cu alte autorităţi competente, universităţi, centre de cercetare şi operatori economici, participă la dezvoltarea de soluţii tehnologice de securitate cibernetică de interes, care pot avea o dublă utilizare civilă şi militară;
5. înfiinţează, coordonează şi gestionează Platforma Naţională de Cooperare în Domeniul Securităţii Cibernetice, denumită în continuare PNCDSC, între instituţiile de stat, mediul privat, mediul academic şi organizaţii nonguvernamentale, în scopul asigurării unui cadru naţional unitar de expertiză, cercetare, informare şi orice alte acţiuni conexe domeniului de competenţă;
6. participă în grupuri de cooperare, de lucru sau de specialitate şi în reţele de cooperare, forumuri şi organizaţii din domeniul securităţii cibernetice constituite la nivel naţional, european şi internaţional;
7. dezvoltă relaţii de parteneriat cu alte structuri naţionale sau internaţionale cu competenţe şi responsabilităţi în domeniul securităţii cibernetice, în acest sens încheind memorandumuri şi protocoale de cooperare cu persoane de drept public sau privat, naţionale sau străine;
8. cooperează cu instituţiile din SNAOPSN, precum şi din COSC în vederea asigurării securităţii cibernetice la nivelul României;
9. cooperează cu Ministerul Cercetării, Inovării şi Digitalizării, precum şi cu Centrul de competenţe european industrial, tehnologic şi de cercetare în materie de securitate cibernetică pe domeniile de competenţă;
10. sprijină participarea instituţiilor statului român şi a altor părţi interesate în proiecte naţionale şi internaţionale din domeniul securităţii cibernetice;
i) Funcţia de autoritate naţională de certificare privind securitatea cibernetică - are calitatea de organism naţional şi asigură mecanismele naţionale privind evaluarea, certificarea şi acreditarea produselor, serviciilor şi proceselor în domeniul securităţii cibernetice.
1. DNSC este autoritate naţională de certificare în domeniul securităţii cibernetice pentru spaţiul cibernetic civil. În această calitate, certifică din punctul de vedere al securităţii cibernetice tehnologii, produse şi servicii;
2. stabileşte norme, cerinţe tehnice, standarde şi proceduri pentru implementarea Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică);
3. înfiinţează şi gestionează Registrul Naţional al Activelor, Produselor şi Serviciilor de Securitate Cibernetică, denumit în continuare RNAPSSC;
4. autorizează laboratoarele civile de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor care sunt utilizate în cadrul reţelelor şi sistemelor informatice;
5. cooperează cu instituţiile naţionale şi internaţionale în domeniul standardizării şi acreditarii produselor, serviciilor şi proceselor în domeniul securităţii cibernetice;
j) Funcţia de asigurare a conformităţii şi abordării unitare a securităţii cibernetice în cadrul infrastructurilor cibernetice
1. avizează din punct de vedere al securităţii cibernetice proiectele finanţate din fonduri publice sau pentru care s-au solicitat garanţii guvernamentale care implică reţele şi sisteme informatice care intră sub incidenţa Legii nr. 362/2018. Avizarea se realizează prin raportare la cerinţele şi normele tehnice din domeniul securităţii cibernetice adoptate la nivel naţional şi internaţional;
2. verifică şi validează conformitatea implementării măsurilor de securitate cibernetică în proiectele de la pct. 1;
k) Funcţia de reprezentare - asigură, în numele României, reprezentarea în organismele şi organizaţiile naţionale, regionale, europene şi internaţionale, ca autoritate naţională pentru domeniul său de activitate, în conformitate cu cadrul normativ în vigoare.
l) Funcţia de cercetare-dezvoltare
1. consolidează, sprijină şi promovează potenţialul naţional de cercetare, dezvoltare şi inovare al activităţilor, proceselor şi tehnologiilor de vârf de securitate cibernetică, pe baza capacităţilor individuale şi colective ale sectorului public şi privat, ale mediului academic şi ale industriei;
2. desfăşoară şi participă la activităţi de cercetare-dezvoltare în domeniul securităţii cibernetice şi elaborează proceduri şi recomandări privind securitatea cibernetică, potrivit prevederilor legale privind cercetarea ştiinţifică şi dezvoltarea tehnologică;
3. elaborează studii şi cercetări privind problematica securităţii cibernetice a produselor, serviciilor şi infrastructurilor cibernetice;
4. elaborează şi actualizează cadrul metodologic, procedural şi de bune practici cu privire la activitatea de cercetare ştiinţifică în domeniul securităţii cibernetice, prin consultare cu instituţiile care au atribuţii şi competenţe în domeniu;
5. planifică şi desfăşoară activităţi de cercetare ştiinţifică în domeniile de competenţă, cooperând la nivel central şi teritorial cu instituţii din mediul public, privat şi academic, precum şi cu persoane fizice;
6. dezvoltă relaţii pe linie de cercetare ştiinţifică cu universităţi, institute de cercetare, edituri, biblioteci şi specialişti în domeniu din ţară şi din străinătate;
7. promovează iniţiativa ştiinţifică, dezvoltarea şi inovarea în domenii specifice securităţii cibernetice, cu scopul de a sprijini şi proteja interesele naţionale în acest domeniu;
m) Funcţia de analiză şi prognoză - evaluează şi analizează evoluţiile din domeniul securităţii cibernetice şi emite avertizări, analize, buletine de informare şi de prognoză.
n) Funcţia de identificare, evaluare, monitorizare şi atenuare a riscurilor cibernetice la nivel naţional
o) Funcţia de centru naţional de gestionare a crizelor de natură cibernetică pe timp de pace
1. la nivelul DNSC se constituie Centrul Naţional de Gestionare a Crizelor de Securitate Cibernetică, denumit în continuare CNGCSC, din care fac parte reprezentanţi din cadrul instituţiilor şi autorităţilor competente, cu responsabilităţi în domeniul securităţii cibernetice;
2. împreună cu instituţiile din SNAOPSN, CNGCSC, asigură procesarea şi analiza datelor şi informaţiilor referitoare la atacurile cibernetice care vizează spaţiul naţional cu potenţial impact major în sfera reţelelor şi sistemelor informatice, prin produse analitice, destinate fundamentării deciziei de nivel strategic sau care să constituie suportul operaţional pentru managementul crizelor cibernetice;
3. prin colaborare cu ceilalţi membri permanenţi din COSC, CNGCSC, asigură managementul crizelor cibernetice cauzate de atacuri cibernetice, în colaborare cu instituţiile statului care au competenţe şi atribuţii în domeniul de gestionare a crizelor care afectează buna funcţionare a statului;
p) Funcţia de evaluare a securităţii cibernetice a noilor tehnologii
1. evaluează din punctul de vedere al securităţii cibernetice sisteme de control industrial, sisteme informatice şi reţele complexe, produse şi servicii, precum şi noile tehnologii;
2. evaluează riscurile identificate, precum şi impactul acestora asupra securităţii cibernetice a României;
q) Funcţia de evaluare şi certificare
1. evaluează, testează şi certifică produse şi servicii de securitate cibernetică, pentru nevoi proprii sau la solicitarea instituţiilor din SNAOPSN şi/sau a Guvernului;
2. stabileşte reguli, prescripţii sau caracteristici pentru activităţi sau pentru rezultatele acestora din domeniul securităţii cibernetice, pentru asigurarea unei abordări unitare la nivel naţional în scopul realizării unui nivel ridicat al securităţii cibernetice;
3. în colaborare cu organismele specializate, participă la elaborarea, aprobarea şi adoptarea de standarde în domeniul de competenţă, pe care le pune la dispoziţia publicului;
4. participă la lucrările comitetelor tehnice naţionale şi internaţionale pentru punerea în aplicare a standardelor şi specificaţiilor tehnice acceptate la nivel internaţional, aplicabile securităţii reţelelor şi a sistemelor informatice, fără a impune sau discrimina în favoarea utilizării unui anumit tip de tehnologie;
r) Funcţia de educaţie şi pregătire în domeniul securităţii cibernetice
1. dezvoltă parteneriate cu ministere de resort, cu şcoli, licee, colegii şi universităţi, cu mediul privat, precum şi cu parteneri internaţionali, în scopul creării cadrului naţional de educaţie şi pregătire în domeniul securităţii cibernetice care să ofere resursa umană necesară statului român pentru asigurarea securităţii cibernetice;
2. promovează şcolarizarea, educarea şi formarea profesională a elevilor şi studenţilor cu privire la securitatea cibernetică în vederea asigurării implementării şi utilizării noilor tehnologii în viaţa de zi cu zi;
3. desfăşoară acţiuni, exerciţii şi colocvii de pregătire şi instruire;
4. iniţiază şi coordonează, în colaborare cu reprezentanţi ai mediului public, privat şi academic, înfiinţarea şi dezvoltarea de centre de excelenţă în domeniul securităţii cibernetice, centrale şi regionale, având ca scop pregătirea resursei umane calificate pentru nevoile naţionale, desfăşurarea de activităţi de cercetare-dezvoltare în domeniul securităţii cibernetice, precum şi orice alte activităţi necesare asigurării unui nivel ridicat de securitate cibernetică în România. Aceste activităţi pot include, fără a se limita la, pregătirea resursei umane din alte state;
5. certifică, la cerere, centre de excelenţă, programe de şcolarizare, educare şi formare profesională în domeniul securităţii cibernetice;
s) Funcţia de management al proiectelor şi serviciilor pentru activităţi se realizează fără a aduce atingere activităţilor prevăzute la lit. b) şi lit. q), după cum urmează:
1. întocmeşte, conduce, execută şi participă la identificarea, coordonarea şi implementarea de proiecte de interes comun, cu finanţare internă sau externă, atât pe cont propriu, cât şi în parteneriat, şi facilitează accesul instituţiilor, operatorilor economici şi persoanelor abilitate la aceste proiecte;
2. pe durata derulării activităţilor specifice proiectelor prevăzute la pct. 1, poate crea sau participa în structuri fără personalitate juridică, departamente, secţii, laboratoare ori alte structuri legale sau organizatorice necesare realizării obiectivelor, funcţiilor şi atribuţiilor sale, cu respectarea prevederilor legale în vigoare.
ART. 6
Conducere
(1) Conducerea DNSC este asigurată de directorul DNSC şi cinci adjuncţi ai directorului DNSC, care au rang de secretar de stat, respectiv subsecretari de stat.
(2) Directorul DNSC şi cei cinci adjuncţi ai directorului DNSC sunt numiţi şi eliberaţi din funcţie prin decizie a prim-ministrului, cu avizul CSAT.
(3) Directorului DNSC şi celor cinci adjuncţi ai directorului DNSC le sunt aplicabile regimul incompatibilităţilor şi al conflictului de interese aplicabil funcţiilor de secretar de stat şi subsecretar de stat, astfel cum este prevăzut de cartea I titlul IV din Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, cu modificările şi completările ulterioare.
(4) Durata mandatului directorului DNSC este de 5 ani, cu posibilitatea prelungirii o singură dată, nu mai mult de 5 ani.
(5) Mandatul directorului DNSC încetează în următoarele situaţii:
a) în situaţia imposibilităţii de a-şi îndeplini mandatul mai mult de 120 de zile calendaristice consecutive dintr-un interval de 140 de zile;
b) în caz de condamnare penală prin hotărâre judecătorească definitivă, pentru care nu a intervenit reabilitarea;
c) în situaţia retragerii avizului CSAT;
d) prin demisie;
e) prin deces;
f) la expirarea perioadei mandatului.
(6) Dacă funcţia de director DNSC devine vacantă, în condiţiile alin. (5) lit. a)-e) se procedează la numirea unei noi persoane pentru această funcţie pentru durata rămasă din mandat, în condiţiile prevederilor alin. (3).
(7) În caz de vacanţă a funcţiei de director DNSC, până la desemnarea şi numirea, în condiţiile legii, a unui nou director, pentru durata rămasă din mandat, interimatul va fi asigurat de unul din adjuncţii directorului DNSC.
ART. 7
Reprezentare
(1) Directorul DNSC reprezintă instituţia în raporturile cu alte autorităţi şi instituţii publice, organizaţii nonguvernamentale, precum şi cu orice persoane juridice şi fizice din ţară şi din străinătate.
(2) Directorul DNSC este ordonator terţiar de credite în condiţiile legii.
(3) În exercitarea atribuţiilor sale, directorul DNSC emite decizii şi ordine.
(4) Deciziile şi ordinele cu caracter normativ se publică în Monitorul Oficial al României, Partea I.
(5) Deciziile şi ordinele emise în exercitarea atribuţiilor prevăzute de lege, inclusiv cele adoptate în conformitate cu prevederile Legii nr. 362/2018, pot fi atacate în contencios administrativ, în condiţiile legii.
(6) DNSC transmite Comisiei Europene informaţii cu privire la implementarea normativelor europene ce intră în domeniile de competenţă ale instituţiei, conform termenelor stabilite sau la solicitarea expresă a Comisiei Europene.
ART. 8
Atribuţii ale conducerii DNSC
(1) Directorul DNSC are următoarele atribuţii principale:
a) supune spre aprobare prim-ministrului, cu avizul CSAT, strategia de dezvoltare instituţională a DNSC, programe de activitate şi cooperare şi planul anual de activitate ale DNSC;
b) aprobă planurile de investiţii ale DNSC;
c) convoacă şi prezidează reuniunile Comitetului director al DNSC;
d) stabileşte amplasarea sediilor structurilor regionale şi judeţene ale DNSC, structuri fără personalitate juridică;
e) stabileşte, prin decizie internă, atribuţiile specifice fiecărui compartiment funcţional din cadrul DNSC;
f) aprobă regulamentul intern al DNSC;
g) aprobă, în condiţiile legii, încadrarea, promovarea, precum şi modificarea sau încetarea raporturilor de muncă ale personalului DNSC;
h) prezintă anual în CSAT raportul de activitate al DNSC;
i) supune spre aprobare CSAT actele de organizare ale DNSC, respectiv statul de funcţii, structura organizatorică şi regulamentul de organizare şi funcţionare, precum şi orice modificare a acestora.
(2) Directorul DNSC poate delega adjuncţilor săi atribuţiile prevăzute la alin. (1).
(3) În lipsa directorului DNSC, atribuţiile sale se exercită de către adjunctul directorului DNSC desemnat prin decizie a directorului DNSC.
(4) Dacă atât directorul DNSC, cât şi adjuncţii directorului DNSC sunt absenţi sau în imposibilitate temporară de a-şi exercita prerogativele, reprezentarea DNSC se asigură de către o persoană cu funcţie de conducere desemnată prin decizie a directorului DNSC.
ART. 9
Comitetul director
(1) În activitatea sa, conducerea DNSC este sprijinită de Comitetul director al DNSC, ce funcţionează în baza unui statut elaborat de către DNSC, aprobat de prim-ministru, cu avizul CSAT.
(2) Comitetul director este format din câte un reprezentant al:
a) Administraţiei Prezidenţiale;
b) prim-ministrului;
c) Ministerului Afacerilor Interne;
d) Ministerului Apărării Naţionale;
e) Ministerului Afacerilor Externe;
f) Ministerului Finanţelor;
g) Ministerului Muncii şi Protecţiei Sociale;
h) Ministerului Cercetării, Inovării şi Digitalizării;
i) Ministerului Educaţiei;
j) Serviciului Român de Informaţii;
k) Serviciului de Informaţii Externe;
l) Serviciului de Telecomunicaţii Speciale;
m) Serviciului de Protecţie şi Pază;
n) Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii;
o) Oficiului Registrului Naţional al Informaţiilor Secrete de Stat.
(3) Membrii Comitetului director sunt desemnaţi de către conducerea instituţiilor menţionate la alin. (2).
(4) Directorul DNSC şi adjuncţii directorului DNSC sunt membri de drept ai Comitetului director.
(5) Comitetul director are următoarele atribuţii şi competenţe:
a) avizează strategiile de dezvoltare ale DNSC şi propunerile de politici publice elaborate de DNSC, destinate prevenirii şi contracarării incidentelor din cadrul infrastructurilor cibernetice;
b) avizează proiectul bugetului anual, planul anual de activitate şi raportul anual de activitate ale DNSC;
c) urmăreşte desfăşurarea în condiţii de eficienţă economică şi performanţă profesională a activităţii DNSC;
d) formulează recomandări privind obiectivele din planul anual de activitate al DNSC;
e) formulează recomandări privind punctele de vedere naţionale ce trebuie susţinute de reprezentanţii DNSC în formatele de cooperare internaţionale;
f) analizează activitatea DNSC pe baza rapoartelor de activitate prezentate de către directorul DNSC;
g) avizează actele de organizare ale DNSC, precum şi orice modificare a acestora, respectiv statul de funcţii, structura organizatorică şi regulamentul de organizare şi funcţionare;
h) sprijină conducerea DNSC în îndeplinirea obiectivelor instituţionale asumate prin prezentul act normativ şi prin regulamentul de organizare şi funcţionare.
(6) Comitetul director îşi desfăşoară activitatea în cadrul unor întâlniri trimestriale, în şedinţe ordinare, sau ori de câte ori este nevoie, în şedinţe extraordinare.
(7) În exercitarea atribuţiilor sale, Comitetul director emite avize şi recomandări, precum şi decizii de numire şi revocare a membrilor Comitetului de reglementare, care se adoptă cu votul majorităţii simple a membrilor prezenţi la şedinţă.
(8) Secretariatul Comitetului director este asigurat de către DNSC.
ART. 10
Comitetul de reglementare
(1) Se înfiinţează Comitetul de reglementare cu rol de garant al obiectivităţii, transparenţei, neutralităţii, echidistanţei, nediscriminării şi legalităţii activităţilor de reglementare desfăşurate de DNSC, acordând, în acest scop, sprijin de specialitate, prin îndrumări şi recomandări, în ceea ce priveşte asigurarea respectării principiilor obiectivităţii, transparenţei, neutralităţii, echidistanţei, nediscriminării şi legalităţii în activitatea de reglementare a DNSC.
(2) Comitetul de reglementare are un rol consultativ şi are următoarea componenţă:
a) trei membri din cadrul DNSC, desemnaţi prin decizie a directorului DNSC;
b) câte un membru din instituţiile prevăzute la art. 9 alin. (2).
(3) Numirea şi revocarea membrilor Comitetului de reglementare se fac de către Comitetul director la propunerea instituţiilor menţionate la alin. (2).
(4) Unul dintre membrii DNSC desemnaţi conform alin. (2) lit. a) convoacă şi prezidează reuniunile Comitetului de reglementare.
(5) Membrii Comitetului de reglementare trebuie să îndeplinească următoarele condiţii:
a) să fie cetăţeni români, cu domiciliul stabil în România, cu o bună reputaţie etică şi profesională, atestată de către instituţiile care au făcut nominalizarea, printr-o scrisoare de recomandare;
b) să fie absolvenţi de studii superioare şi cu pregătire profesională în domeniul tehnic, economic sau juridic, având o vechime în muncă de minimum 10 ani;
c) să aibă o experienţă de minimum 5 ani în funcţii de conducere în domeniul securităţii cibernetice, reţelelor şi sistemelor informatice sau din SNAOPSN.
(6) Durata mandatului membrilor Comitetului de reglementare este de 3 ani.
(7) În cazul imposibilităţii definitive de exercitare a mandatului de către unul dintre membri, instituţiile menţionate la alin. (2) desemnează o nouă persoană în condiţiile alin. (3) şi (5) pentru perioada rămasă din mandat.
(8) Se consideră imposibilitate definitivă de exercitare a mandatului orice împrejurare care creează o indisponibilizare cu o durată mai mare de 90 de zile consecutive.
(9) Activitatea Comitetului de reglementare se desfăşoară în baza statutului Comitetului de reglementare, elaborat de către DNSC cu avizul CSAT.
(10) Secretariatul Comitetului de reglementare este asigurat de DNSC prin compartimentul funcţional care gestionează activitatea de reglementare.
ART. 11
Finanţare
(1) Finanţarea cheltuielilor curente şi de capital ale DNSC se asigură integral din bugetul de stat, prin bugetul Secretariatului General al Guvernului.
(2) DNSC stabileşte şi încasează:
a) cuantumul tarifelor pentru servicii din activităţile prevăzute la art. 22 alin. (1) lit. l), art. 32 alin. (2) lit. c) şi e) şi la art. 33 alin. (2) lit. c) şi e) din Legea nr. 362/2018, cu modificările şi completările ulterioare, stabilite prin decizie a directorului DNSC care se publică în Monitorul Oficial al României, Partea I;
b) cuantumul tarifelor pentru înscrierea în Registrul naţional al activelor, produselor şi serviciilor de securitate cibernetică;
c) cuantumul tarifelor pentru autorizarea laboratoarelor civile de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor care sunt utilizate în cadrul reţelelor şi sistemelor informatice;
d) cuantumul tarifelor pentru avizarea, verificarea şi validarea conformităţii privind securitatea cibernetică;
e) cuantumul tarifelor pentru certificarea securităţii cibernetice a soluţiilor, produselor şi serviciilor de tehnologia informaţiei şi comunicaţiilor, inclusiv a noilor tehnologii;
f) venituri din servicii de specialitate;
g) venituri din furnizare de produse şi componente din domeniul securităţii cibernetice sau conexe acestuia;
h) venituri din drepturi de proprietate intelectuală şi licenţe;
i) venituri din comisioane pentru parteneriate şi proiecte;
j) alte venituri, a căror natură este aprobată prin hotărâre a Guvernului.
(3) Resursele prevăzute la alin. (2) se fac venit la bugetul de stat. Sumele încasate potrivit alin. (2) se virează în conturile corespunzătoare de venituri bugetare, în termen de cel mult două zile lucrătoare de la încasare.
ART. 12
Analiza activităţii DNSC
(1) Activitatea DNSC este analizată de CSAT pe baza raportului anual, care se prezintă pentru anul anterior, precum şi a rapoartelor specifice întocmite la solicitarea CSAT.
(2) Raportul anual de activitate se depune la CSAT, până la data de 31 martie, după avizare de către Comitetul director.
(3) DNSC elaborează rapoarte, analize şi informări cu privire la securitatea cibernetică a spaţiului cibernetic naţional, a infrastructurilor cibernetice de interes naţional, a reţelelor şi sistemelor informatice din domeniile de competenţă pe care le prezintă prim-ministrului, preşedintelui, CSAT, COSC şi instituţiilor cu atribuţii în SNAOPSN, precum şi Comitetului director.
ART. 13
Personalul instituţiei
(1) Personalul DNSC este format din personal contractual propriu şi personal detaşat din SNAOPSN, încadrat pe funcţii conform statului de funcţii al DNSC.
(2) Statul de funcţii, structura organizatorică şi regulamentul de organizare şi funcţionare al DNSC, precum şi orice modificare a acestora se aprobă de către CSAT. Statul de funcţii cuprinde şi funcţiile prevăzute a se încadra cu personal provenit inclusiv din SNAOPSN.
(3) Numărul maxim de posturi este de 1.250, care include structurile centrale, regionale şi judeţene, exclusiv demnitarii şi posturile aferente cabinetelor demnitarilor.
(4) Pe lângă funcţiile prevăzute de Legea-cadru nr. 153/2017 privind salarizarea personalului plătit din fonduri publice, cu modificările şi completările ulterioare, statul de funcţii al DNSC conţine şi funcţii specifice de conducere şi de execuţie după cum urmează:
a) funcţii de conducere: manager superior securitate cibernetică, manager securitate cibernetică, coordonator superior securitate cibernetică, coordonator securitate cibernetică;
b) funcţii de execuţie (studii superioare): expert securitate cibernetică, expert preluare, analiză primară şi răspuns la incidente securitate cibernetică, expert investigaţii digitale şi analiză malware, expert dezvoltare, implementare şi administrare infrastructuri securitate cibernetică, expert analiză surse deschise, riscuri şi ameninţări securitate cibernetică, expert accesare fonduri, implementare şi administrare proiecte securitate cibernetică, expert legal politici, standardizare de securitate cibernetică, expert evaluare şi impact financiar securitate cibernetică, expert politici, strategii şi cooperare securitate cibernetică, expert dezvoltare competenţe, aptitudini şi cunoştinţe specifice de securitate cibernetică;
c) funcţii de execuţie (studii medii): asistent securitate cibernetică, asistent preluare, analiză primară şi răspuns la incidente securitate cibernetică, asistent investigaţii digitale şi analiză malware, asistent dezvoltare, implementare şi administrare infrastructuri securitate cibernetică, asistent analiză surse deschise, riscuri şi ameninţări securitate cibernetică, asistent accesare fonduri, implementare şi administrare proiecte securitate cibernetică, asistent legal politici, standardizare de securitate cibernetică, asistent evaluare şi impact financiar securitate cibernetică, asistent politici, strategii şi cooperare securitate cibernetică, asistent dezvoltare competenţe, aptitudini şi cunoştinţe specifice de securitate cibernetică.
ART. 14
Încadrarea şi promovarea personalului
Personalul DNSC este angajat pe bază de concurs sau examen organizat în condiţiile legii, în conformitate cu structura organizatorică, iar salarizarea funcţiilor specifice de conducere şi de execuţie din cadrul DNSC se stabileşte potrivit art. 28 din Legea-cadru nr. 153/2017, cu modificările şi completările ulterioare, prin asimilare cu funcţiile şi salariile de bază prevăzute în anexele la Legea-cadru şi aplicabile categoriei de personal respective, cu avizul Ministerului Muncii şi Protecţiei Sociale şi al Ministerului Finanţelor, în termen de 45 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă.
ART. 15
Patrimoniu
(1) La data intrării în vigoare a prezentei ordonanţe de urgenţă DNSC preia patrimoniul, arhiva şi creditele bugetare angajate, inclusiv pe întreg anul în curs, în limita creditelor de angajament şi în scopurile pentru care au fost aprobate Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO, care se desfiinţează.
(2) DNSC se subrogă în toate drepturile şi obligaţiile CERT-RO, inclusiv în litigiile aflate pe rolul instanţelor judecătoreşti, şi dobândeşte calitatea procesuală a acestuia.
(3) Predarea-preluarea patrimoniului se efectuează în baza situaţiilor financiare întocmite potrivit prevederilor art. 28 alin. (1^1) din Legea contabilităţii nr. 82/1991, republicată, cu modificările şi completările ulterioare, şi a protocolului de predare-preluare întocmit în termen de 30 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă. Protocolul de predare-preluare cuprinde şi creditele bugetare, creditele de angajament şi execuţia bugetară pe anul în curs.
ART. 16
Cooperare
(1) DNSC cooperează cu organizaţii şi organisme internaţionale pe domeniile sale de competenţă.
(2) DNSC reprezintă România la nivelul instituţiilor Uniunii Europene şi la nivelul altor foruri internaţionale pentru domeniile de competenţă.
(3) Pentru asigurarea unei capacităţi adecvate de identificare, evaluare şi adoptare a unor măsuri de management al riscului şi/sau de răspuns la incidente şi atacuri cibernetice, DNSC dezvoltă schimburi de informaţii şi transfer de expertiză cu instituţiile şi autorităţile cu responsabilităţi în domeniu, promovează şi susţine cooperarea între sectorul public şi cel privat, precum şi cooperarea cu mediile neguvernamentale şi comunitatea academică.
(4) DNSC poate face parte ca membru cotizant în organizaţii şi organisme naţionale şi internaţionale, pe domeniile sale de competenţă.
ART. 17
Atribuţii în situaţii de criză cibernetică pe timp de pace
(1) Atribuţiile specifice, modul de organizare şi funcţionare a CNGCSC se stabilesc prin Regulamentul de organizare şi funcţionare a CNGCSC, care se elaborează de către DNSC în termen de 180 de zile de la intrarea în vigoare a prezentei ordonanţe de urgenţă şi se aprobă de către directorul DNSC, după consultarea celorlalţi membri permanenţi din COSC.
(2) Conducerea DNSC va dispune măsurile necesare pentru asigurarea capacităţii operaţionale a instituţiei, inclusiv a CNGCSC pentru gestionarea de criză cibernetică pe timp de pace.
ART. 18
Autorizarea laboratoarelor civile
(1) În implementarea Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică), produsele şi serviciile de securitate cibernetică utilizate în cadrul reţelelor şi sistemelor informatice sunt testate, evaluate şi certificate de operatori economici care au calitatea de laboratoare civile autorizate. Funcţionarea laboratoarelor civile autorizate ce efectuează activităţi de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor care sunt utilizate în cadrul reţelelor şi sistemelor informatice este condiţionată de obţinerea prealabilă a unei autorizaţii din partea DNSC.
(2) Acordarea, prelungirea, suspendarea sau retragerea autorizaţiei prevăzute la alin. (1) se efectuează în baza regulamentului de autorizare şi verificare a laboratoarelor civile de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor care sunt utilizate în cadrul reţelelor şi sistemelor informatice, elaborat de DNSC şi aprobat prin hotărâre a Guvernului. Valabilitatea autorizaţiei este de maximum 3 ani.
(3) Cererea pentru obţinerea autorizaţiei de funcţionare a laboratoarelor civile prevăzute la alin. (1) însoţită de documentaţia stabilită prin regulamentul prevăzut la alin. (2) se transmite către DNSC în format fizic sau prin mijloace electronice.
(4) În termen de 10 zile de la primirea cererii solicitantului, DNSC îl informează pe acesta dacă documentaţia este completă sau solicită informaţii suplimentare relevante.
(5) În termen de maximum 60 de zile de la data primirii tuturor informaţiilor solicitate, DNSC eliberează autorizaţia de funcţionare a laboratorului de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor care sunt utilizate în cadrul reţelelor şi sistemelor informatice sau informează solicitantul asupra deciziei sale negative.
(6) DNSC justifică în mod corespunzător orice decizie prin care refuză autorizaţia de funcţionare a laboratorului de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor care sunt utilizate în cadrul reţelelor şi sistemelor informatice.
(7) Laboratoarele civile prevăzute la alin. (1) se supun controlului desfăşurat de către DNSC în vederea stabilirii gradului de respectare a obligaţiilor ce le revin în temeiul prezentei ordonanţe de urgenţă.
ART. 19
Activitatea de verificare a laboratoarelor civile
(1) DNSC exercită controlul activităţii desfăşurate de către laboratoarele civile de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor care sunt utilizate în cadrul reţelelor şi sistemelor informatice.
(2) DNSC verifică îndeplinirea obligaţiilor de către laboratoarele civile în baza regulamentului de autorizare şi verificare prevăzut la art. 18 alin. (2).
(3) Următoarele fapte constituie contravenţii dacă nu au fost săvârşite în astfel de condiţii încât să fie considerate infracţiuni potrivit legii:
a) utilizarea titulaturii de laborator civil autorizat, fără o autorizaţie acordată de către DNSC, în temeiul art. 18 alin. (1);
b) furnizarea de rapoarte sau certificate de testare, evaluare sau certificare de către laboratoare civile neautorizate sau fără autorizaţie valabilă în temeiul art. 18 alin. (1);
c) refuzul laboratorului civil de a se supune controlului declanşat de DNSC în temeiul art. 18 alin. (7).
(4) Prin derogare de la dispoziţiile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, contravenţiile prevăzute la alin. (3) se sancţionează astfel:
a) cu amendă de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 200.000 lei;
b) pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, cu amendă în cuantum de până la 5% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 10% din cifra de afaceri netă.
(5) Cifra de afaceri netă prevăzută la alin. (4) lit. b) este cea înregistrată de operatorul economic în ultimul exerciţiu financiar.
(6) În vederea individualizării sancţiunii prevăzute la alin. (4), DNSC va lua în considerare gradul de pericol social concret al faptei şi perioada de timp în care obligaţia legală a fost încălcată.
(7) Pentru persoanele fizice autorizate, întreprinderile individuale şi întreprinderile familiale, cifrei de afaceri prevăzute la alin. (4) lit. b) îi corespunde totalitatea veniturilor realizate de respectivii operatori economici în exerciţiul financiar anterior sancţionării.
(8) Pentru entităţile nou-înfiinţate şi pentru entităţile care nu au înregistrat cifra de afaceri în exerciţiul financiar anterior sancţionării, amenda prevăzută la alin. (4) se stabileşte în cuantum de minimum 1 şi maximum 25 de salarii minime brute pe economie.
(9) În măsura în care prezenta ordonanţă de urgenţă nu prevede altfel, contravenţiilor prevăzute la alin. (3) li se aplică dispoziţiile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.
(10) Constatarea contravenţiilor prevăzute la alin. (3) se realizează de către personalul de control din cadrul DNSC, iar aplicarea sancţiunii corespunzătoare se face prin decizia directorului DNSC.
(11) Decizia prevăzută la alin. (10) trebuie să cuprindă următoarele elemente: datele de identificare ale contravenientului, data săvârşirii faptei, descrierea faptei contravenţionale şi a împrejurărilor care au fost avute în vedere la individualizarea sancţiunii, indicarea temeiului legal potrivit căruia se stabileşte şi se sancţionează contravenţia, sancţiunea aplicată, termenul şi modalitatea de plată a amenzii, termenul de exercitare a căii de atac şi instanţa de judecată competentă.
(12) Dacă este cazul, directorul DNSC sesizează Consiliul Concurenţei cu privire la existenţa unor posibile fapte sau acte anticoncurenţiale.
(13) Prin derogare de la prevederile art. 13 din Ordonanţa Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, aplicarea sancţiunii potrivit alin. (4) se prescrie în termen de un an de la data săvârşirii faptei. În cazul încălcărilor care durează în timp sau al celor constând în săvârşirea, în baza aceleiaşi rezoluţii, la intervale diferite de timp, a mai multor acţiuni sau inacţiuni, care prezintă, fiecare în parte, conţinutul aceleiaşi contravenţii, prescripţia începe să curgă de la data constatării sau de la data încetării ultimului act ori fapt săvârşit, dacă acest moment intervine anterior constatării.
(14) Prin derogare de la dispoziţiile art. 14 alin. (1) din Ordonanţa Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002 cu modificările şi completările ulterioare, decizia prevăzută la alin. (10) se comunică contravenientului în termen de 15 zile de la data emiterii deciziei.
(15) Odată cu decizia prevăzută la alin. (10), contravenientului i se comunică şi înştiinţarea de plată, care conţine menţiunea privind obligativitatea achitării amenzii în termen de 30 de zile de la data comunicării deciziei.
(16) Decizia prevăzută la alin. (10) constituie titlu executoriu, fără vreo altă formalitate. Acţiunea în contencios administrativ în condiţiile alin. (18) suspendă executarea numai în ceea ce priveşte achitarea amenzii, până la pronunţarea de către instanţa de judecată a unei hotărâri definitive.
(17) Sumele provenite din amenzile aplicate în conformitate cu dispoziţiile prezentului articol se fac venit integral la bugetul de stat. Executarea se realizează în conformitate cu dispoziţiile legale privind executarea silită a creanţelor fiscale. În vederea punerii în executare a sancţiunii, DNSC comunică din oficiu organelor de specialitate ale Agenţiei Naţionale de Administrare Fiscală decizia prevăzută la alin. (10), după expirarea termenului prevăzut în înştiinţarea de plată sau după rămânerea definitivă a hotărârii judecătoreşti prin care s-a soluţionat acţiunea în contencios administrativ.
(18) Prin derogare de la dispoziţiile art. 7 din Legea contenciosului administrativ nr. 554/2004, cu modificările şi completările ulterioare, şi de la dispoziţiile art. 32 alin. (1) din Ordonanţa Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, deciziile adoptate potrivit prezentei ordonanţe de urgenţă pot fi atacate în contencios administrativ la Curtea de Apel Bucureşti, fără parcurgerea procedurii prealabile, în termen de 30 de zile de la comunicarea acestora.
(19) În exercitarea atribuţiilor prevăzute la art. 5 lit. i) DNSC sesizează Consiliul Concurenţei cu privire la existenţa unor posibile fapte sau acte anticoncurenţiale.
(20) Prevederile art. 19 intră in vigoare în termen de 30 de zile de la data publicării prezentei ordonanţe de urgenţă.
ART. 20
Dispoziţii tranzitorii şi finale
(1) Prezenta ordonanţă de urgenţă nu se aplică domeniilor de activitate din responsabilitatea instituţiilor de apărare, ordine publică şi securitate naţională, infrastructurilor critice naţionale şi infrastructurilor ce vehiculează informaţii clasificate.
(2) Lista bunurilor proprietate publică a statului, precum şi lista bunurilor imobile proprietate privată a statului, preluate în administrare de către DNSC, se vor aproba prin hotărâre a Guvernului, în termen de 30 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă.
(3) Reîncadrarea personalului preluat potrivit art. 1 alin. (3) în structura organizatorică a DNSC se realizează în termenele şi cu procedura prevăzute de lege.
(4) De la data aprobării de către CSAT a statului de funcţii, organigramei şi regulamentului de organizare şi funcţionare a DNSC se va demara procedura de ocupare a posturilor vacante în noua structură organizatorică, cu încadrare în prevederile bugetare anuale aprobate.
(5) În termen de 180 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă se va aproba, prin hotărâre a Guvernului, regulamentul de autorizare şi verificare a laboratoarelor civile de testare, evaluare şi certificare a securităţii cibernetice a produselor şi serviciilor care sunt utilizate în cadrul reţelelor şi sistemelor informatice.
(6) Normele metodologice de organizare şi funcţionare a registrului prevăzut la art. 5 lit. i) pct. 3 se aprobă în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă, prin ordin al directorului DNSC care se publică în Monitorul Oficial al României, Partea I.
(7) Normele privind modalităţile de avizare, verificare şi validare din punctul de vedere al securităţii cibernetice prevăzute la art. 5 lit. j) pct. 1 şi 2 se aprobă în termen de 180 de zile de la intrarea în vigoare a prezentei ordonanţe de urgenţă, la propunerea directorului DNSC, prin ordin al secretarului general al Guvernului, care se publică în Monitorul Oficial al României, Partea I.
(8) Prin derogare de la dispoziţiile art. 27 alin. (3) din Legea nr. 55/2020 privind unele măsuri pentru prevenirea şi combaterea efectelor pandemiei de COVID-19, cu modificările şi completările ulterioare, pe durata stării de alertă se pot desfăşura şi concursuri sau examene pentru ocuparea posturilor vacante sau temporar vacante din structura organizatorică a DNSC.
(9) În tot cuprinsul Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, publicată în Monitorul Oficial al României, Partea I, nr. 21 din 9 ianuarie 2019, cu modificările şi completările ulterioare, sintagmele „Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO“ şi „Secretariatul General al Guvernului“ se înlocuiesc cu sintagma „Directoratul Naţional de Securitate Cibernetică“, sintagma „CERT-RO“ cu sintagma „DNSC“, iar sintagma „secretarul general al Guvernului“ cu sintagma „directorul DNSC“.
(10) La data intrării în vigoare a prezentei ordonanţe de urgenţă se abrogă Hotărârea Guvernului nr. 494/2011 privind înfiinţarea Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO, publicată în Monitorul Oficial al României, Partea I, nr. 388 din 2 iunie 2011, cu modificările şi completările ulterioare.
PRIM-MINISTRU
FLORIN-VASILE CÎŢU
Contrasemnează:
Secretarul general al Guvernului,
Tiberiu Horaţiu Gorun
Directorul general al Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO,
Dan Cîmpean
p. Ministrul muncii şi protecţiei sociale,
Mihnea-Claudiu Drumea,
secretar de stat
Ministrul apărării naţionale,
Nicolae-Ionel Ciucă
Ministrul afacerilor interne,
Lucian Nicolae Bode
Ministrul cercetării, inovării şi digitalizării, interimar,
Tánczos Barna
p. Ministrul educaţiei,
Gigel Paraschiv,
secretar de stat
p. Ministrul afacerilor externe,
Cornel Feruţă,
secretar de stat
Ministrul finanţelor,
Dan Vîlceanu
Bucureşti, 22 septembrie 2021.
Nr. 104.
----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
