LEGEA SECURITII CIBERNETICE A ROMNIEI

PROIECT
CAPITOLUL I DISPOZITII GENERALE
Art. 1 - Prezenta lege stabilete cadrul general de reglementare a activitilor n
domeniul securitii cibernetice i obligaiile ce revin persoanelor juridice de drept
public sau privat n scopul protejrii infrastructurilor cibernetice.
Art. 2 - Dispoziiile prezentei legi se aplic persoanelor juridice de drept public sau
privat, care au calitatea de proprietari, administratori, operatori sau utilizatori de
infrastructuri cibernetice, denumite n continuare deintori de infrastructuri
cibernetice.
Art. 3 - (1) Securitatea cibernetic este component a securitii naionale a
Romniei i se realizeaz prin:
a) cunoaterea, prevenirea i contracararea ameninrilor i atacurilor, precum
i prin diminuarea vulnerabilitilor infrastructurilor cibernetice, n scopul gestionrii
riscurilor la adresa securitii acestora;
b) prevenirea i combaterea criminalitii informatice;
c) aprarea cibernetic.
(2) Prevenirea criminalitii informatice se realizeaz n condiiile Legii
nr.161/2003 privind unele msuri pentru asigurarea transparenei n exercitarea
demnitilor publice, a funciilor publice i n mediul de afaceri, prevenirea i
sancionarea corupiei, cu modificri i completri. Combaterea criminalitii
informatice se efectueaz de organele judiciare n condiiile legislaiei penale i
procesual penale.
Art. 4 -Securitatea cibernetic vizeaz:
a) realizarea rezilienei infrastructurilor cibernetice;
b) creterea capacitii de reacie la incidentele cibernetice i diminuarea
impactului acestora asupra resurselor i serviciilor infrastructurilor cibernetice;
c) asigurarea proteciei datelor gestionate prin intermediul infrastructurilor
cibernetice;
d) asigurarea nivelului de ncredere necesar pentru dezvoltarea societii
informaionale i a mediului de afaceri n spaiul cibernetic;
e) realizarea accesului egal i nediscriminatoriu al persoanelor la informaii i
servicii publice oferite prin intermediul infrastructurilor cibernetice;
f) guvernana participativ, democratic i eficient a spaiului cibernetic;
g) responsabilizarea deintorilor de infrastructuri cibernetice pentru asigurarea
securitii cibernetice;
h) asigurarea climatului de exercitare nengrdit a drepturilor i libertilor
fundamentale ale persoanelor n spaiul cibernetic.
Art. 5 -n sensul prezentei legi, termenii i expresiile utilizate au urmtorul neles:
1/13

1. ameninare cibernetic - circumstan sau eveniment care constituie un

pericol potenial la adresa securitii cibernetice;
2. aprare cibernetic aciuni desfurate n scopul protejrii, monitorizrii,
analizrii, detectrii, contracarrii agresiunilor i asigurrii rspunsului oportun
mpotriva ameninrilor asupra infrastructurilor cibernetice destinate aprrii
naionale;
3. atac cibernetic - aciune ostil desfurat n spaiul cibernetic de natur
s afecteze securitatea cibernetic;
4. audit de securitate cibernetic evaluare sistematic, detaliat,
msurabil i tehnic a modului n care politicile de securitate cibernetic sunt
aplicate la nivelul infrastructurilor cibernetice, precum i emiterea de recomandri
pentru minimizarea riscurilor identificate;
5. criminalitate informatic - totalitatea faptelor prevzute de legea penal
sau de alte legi speciale care prezint pericol social i sunt svrite cu vinovie,
prin intermediul ori asupra infrastructurilor cibernetice;
6. incident cibernetic - eveniment survenit n spaiul cibernetic ale crui
consecine afecteaz securitatea cibernetic;
7. eveniment survenit n spaiul cibernetic aciune desfurat n spaiul
cibernetic care are drept consecin modificarea strii infrastructurilor cibernetice;
8. infrastructuri cibernetice - infrastructuri din domeniul tehnologiei
informaiei i comunicaiilor, constnd n sisteme informatice, aplicaii aferente, reele
i servicii de comunicaii electronice;
9. infrastructuri cibernetice de interes naional (ICIN) - infrastructurile
cibernetice care susin servicii publice sau de interes public, ori servicii ale societii
informaionale, a cror afectare poate aduce atingere securitii naionale, sau
prejudicii grave statului romn ori cetenilor acestuia;
10. managementul identitii - metode de validare a identitii persoanelor
cnd acestea acceseaz anumite infrastructuri cibernetice;
11. managementul riscului - un proces complex, fcontinuu i flexibil de
identificare, evaluare i contracarare a riscurilor la adresa securitii cibernetice,
bazat pe utilizarea unor tehnici i instrumente complexe, pentru prevenirea
pierderilor de orice natur;
12. operaii n reele de calculatoare - procesul complex de planificare,
coordonare, sincronizare, armonizare i desfurare a aciunilor n spaiul cibernetic
pentru protecia, controlul i utilizarea reelelor de calculatoare, n scopul obinerii
superioritii informaionale, concomitent cu neutralizarea capabilitilor adversarului;
13. reziliena infrastructurilor cibernetice - capacitatea componentelor
infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic i de a
reveni la starea de normalitate;
14. risc de securitate n spaiul cibernetic - probabilitatea ca o ameninare
s se materializeze, exploatnd o anumit vulnerabilitate specific infrastructurilor
cibernetice;
15. securitate cibernetic - starea de normalitate rezultat n urma aplicrii
unui ansamblu de msuri proactive i reactive prin care se asigur confidenialitatea,
2/13

integritatea, disponibilitatea, autenticitatea i nonrepudierea informaiilor n format

electronic, a resurselor i serviciilor publice sau private, din spaiul cibernetic.
Msurile proactive i reactive pot include politici, concepte, standarde i ghiduri de
securitate, managementul riscului, activiti de instruire i contientizare,
implementarea de soluii tehnice de protejare a infrastructurilor cibernetice,
managementul identitii, managementul consecinelor;
16. spaiu cibernetic - mediul virtual, generat de infrastructurile cibernetice,
incluznd coninutul informaional procesat, stocat sau transmis, precum i aciunile
derulate de utilizatori n acesta;
17. vulnerabilitate n spaiul cibernetic - slbiciune n proiectarea i
implementarea infrastructurilor cibernetice sau a msurilor de securitate aferente
care poate fi exploatat de ctre o ameninare.

CAPITOLUL II Sistemul Naional de Securitate Cibernetic

Art. 6 -(1) n vederea asigurrii cadrului general de cooperare pentru realizarea
securitii cibernetice se constituie Sistemul Naional de Securitate Cibernetic,
denumit n continuare SNSC, care reunete autoritile i instituiile publice cu
responsabiliti i capabiliti n domeniu.
(2) Autoritile i instituiile publice din SNSC colaboreaz cu deintorii de
infrastructuri cibernetice, mediul academic, mediul de afaceri, asociaiile
profesionale i organizaiile neguvernamentale.
(3) Activitatea SNSC este coordonat la nivel strategic de Consiliul Suprem
de Aprare a rii, denumit n continuare CSAT.
Art. 7 - (1) SNSC ndeplinete urmtoarele funcii:
a) funcia de cunoatere, care furnizeaz suportul informaional necesar
elaborrii msurilor proactive i reactive, n vederea asigurrii securitii cibernetice;
b) funcia de prevenire, care reprezint principalul mijloc de asigurare a
securitii cibernetice, prin crearea i dezvoltarea capabilitilor necesare analizei i
prognozei evoluiei strii acesteia;
c) funcia de cooperare i coordonare, care asigur mecanismul unitar i
eficient de relaionare n cadrul SNSC;
d) funcia de contracarare, care asigur reacia eficient la ameninrile sau
atacurile cibernetice, prin identificarea i blocarea manifestrii acestora. Aceasta se
realizeaz n scopul meninerii sau restabilirii securitii infrastructurilor cibernetice
vizate, precum i pentru identificarea i sancionarea autorilor, potrivit legii.
(2) Funciile SNSC se realizeaz prin adoptarea de msuri proactive i
reactive privind informarea, monitorizarea, diseminarea, analizarea, avertizarea,
coordonarea, decizia, reacia, refacerea i contientizarea.
Art. 8 - (1) Coordonarea unitar a activitilor SNSC se realizeaz de ctre Consiliul
Operativ de Securitate Cibernetic, denumit n continuare COSC.
(2) COSC este format din reprezentani ai Ministerului Aprrii Naionale,
Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru
3/13

Societatea Informaional, Serviciului Romn de Informaii, Serviciului de Informaii

Externe, Serviciului de Telecomunicaii Speciale, Serviciului de Protecie i Paz,
Oficiului Registrului Naional al Informaiilor Secrete de Stat, precum i Secretarul
Consiliului Suprem de Aprare a rii.
(3) Conducerea COSC este asigurat de Consilierul Prezidenial pentru
aprare i securitate naional, n calitate de preedinte i de Consilierul Primului
Ministru pe probleme de securitate naional n calitate de vicepreedinte.
(4) COSC i desfoar activitatea n conformitate cu propriul Regulament
de Organizare i Funcionare, care se aprob prin hotrre a CSAT, la propunerea
Consilierul Prezidenial pentru aprare i securitate naional, n termen de 60 de
zile de la intrarea n vigoare a prezentei legi.
(5) La activitile COSC pot participa, n calitate de invitai, reprezentani ai
altor instituii sau autoriti publice.
Art. 9 - (1) n exercitarea atribuiilor sale, COSC analizeaz i evalueaz starea
securitii cibernetice, formuleaz i nainteaz CSA propuneri privind:
a) msuri de armonizare a reaciei autoritilor competente ale statului n
situaii generate de ameninri i atacuri cibernetice, care necesit schimbarea
nivelului de alert cibernetic;
b) solicitarea de asisten din partea altor state sau organizaii i organisme
internaionale;
c) modalitatea de rspuns la solicitrile de asisten adresate Romniei din
partea altor state sau organizaii i organisme internaionale;
d) planuri sau direcii de aciune, n funcie de concluziile rezultate i evoluia
spaiului cibernetic;
e) direcii de dezvoltare sau programe de investiii n domeniul securitii
cibernetice;
f) cerine minime de securitate cibernetic i politici de securitate
cibernetic pentru autoritile i instituiile publice prevzute la art.10 alin.(1) i (2).
(2) COSC coopereaz pentru realizarea securitii cibernetice cu organismele
de coordonare sau conducere constituite, potrivit legii, la nivel naional, pentru
managementul situaiilor de urgen, a aciunilor in situatii de criz n domeniul
ordinii publice, pentru prevenirea i combaterea terorismului i pentru aprarea
naional, aa cum sunt acestea prevzute de legislaia n domeniu.
Art. 10 - (1) Serviciul Romn de Informaii este desemnat autoritate naional n
domeniul securitii cibernetice, calitate n care asigur coordonarea tehnic a
COSC, precum i organizarea i executarea activitilor care privesc securitatea
cibernetic a Romniei. n acest scop, n structura SRI func ioneaz Centrul Na ional
de Securitate Cibernetic (CNSC).
(2) Ministerul Aprrii Naionale, Ministerul Afacerilor Interne, Oficiul Registrului
Naional al Informaiilor Secrete de Stat, Serviciul de Informaii Externe, Serviciul de
Telecomunicaii Speciale i Serviciul de Protecie i Paz sunt desemnate autoriti
n domeniul securitii cibernetice pentru domeniile lor de activitate, asigurnd
securitatea infrastructurilor cibernetice proprii sau aflate n responsabilitate potrivit
legii i au obligaia s constituie i s operaionalizeze structuri specializate de
securitate cibernetic.
4/13

(3) CNSC coopereaz cu autoritile i instituiile publice componente ale

SNSC, precum i cu deintorii de infrastructuri cibernetice.
(4) n caz de atac cibernetic care poate afecta securitatea cibernetic a
Romniei, CNSC este punct de contact pentru relaionarea cu organismele similare
din strintate.
(5) CERT-RO reprezint un punct naional de contact cu structurile de tip CERT
care funcioneaz n cadrul instituiilor sau autoritilor publice ori al altor persoane
juridice de drept public sau privat, naionale ori internaionale, cu respectarea
competenelor ce revin celorlalte autoriti i instituii publice cu atribuii n domeniu,
potrivit legii.
Art. 11 - (1) CNSC are urmtoarele atribuii principale:
a) acioneaz n scopul cunoaterii, prevenirii, proteciei, reaciei i
managementului consecinelor ameninrilor i atacurilor cibernetice;
b) asigur schimbul de date i informaii ntre autoritile i instituiile publice
componente ale SNSC;
c) analizeaz i integreaz date i informaii obinute de autoritile i
instituiile publice componente ale SNSC, n scopul stabilirii, ntreprinderii sau
propunerii msurilor ce se impun pentru asigurarea securitii cibernetice;
d) asigur colectarea i identificarea evenimentelor survenite n spaiul
cibernetic;
e) genereaz avertizri pentru deintorii de infrastructuri cibernetice i ICIN
cu privire la posibile incidente de securitate cibernetic i emite recomandri cu
privire la modalitatea de aciune;
f) primete notificrile fcute de persoanele juridice de drept public care dein
sau administreaz ICIN, potrivit art. 19 alin. (1) lit. g);
g) transmite autoritilor i instituiilor publice competente din cadrul SNSC
datele i informaiile necesare punerii n aplicare a msurilor specifice de aciune
corespunztoare fiecrui nivel de alert cibernetic;
h) elaboreaz propuneri cu privire la nivelul de alert cibernetic pe care le
nainteaz COSC, n baza analizelor i evalurilor efectuate cu privire la starea de
securitate cibernetic la nivel naional;
i) nainteaz propuneri ctre COSC cu privire la declararea nivelurilor de
alert cibernetic;
j) n caz de atac cibernetic, asigur colectarea i evaluarea datelor i
informaiilor cu privire la incident, propune msuri reactive de prim urgen pentru
asigurarea integritii datelor i remedierea situaiei de fapt, informeaz potrivit legii,
organele competente pentru investigare i cercetare, sau, dup caz, sesizeaz
organele de urmrire penal.
(2) Autoritile i instituiile publice din componena COSC deleag un
reprezentant n cadrul CNSC.
(3) Cadrul general de organizare i funcionare a CNSC se aprob prin
hotrre a CSA, la propunerea SRI, n termen de 60 de zile de la intrarea n
vigoare a prezentei legi.
Art. 12 - Autoritile i instituiile publice prevzute la art. 10 alin. (1) i (2)
asigur securitatea infrastructurilor cibernetice proprii sau aflate n responsabilitate
potrivit legii i n acest sens exercit urmtoarele atribuii generale:
5/13

a) elaboreaz i implementeaz politici de securitate i programe destinate

managementului riscurilor de securitate cibernetic;
b) asigur managementul incidentelor de securitate cibernetic;
c) controleaz modul n care se asigur securitatea cibernetic;
d) elaboreaz i aprob cadrul specific de reglementare destinat asigurrii
securitii cibernetice, cu respectarea cerinelor stabilite la nivel naional;
e) contribuie conform competenelor legale la asigurarea securitii cibernetice
n cadrul SNSC;
f) coopereaz i schimb date i informaii referitoare la securitatea
cibernetic cu CNSC i cu celelalte autoriti i instituii publice sau deintori de
infrastructuri cibernetice;
g) sesizeaz sau solicit convocarea COSC, potrivit propriilor competene i
ori de cte ori se impune, inclusiv pentru ridicarea nivelului de alert;
h) asigur colectarea i evaluarea datelor i informaiilor cu privire la incidente
i atacuri cibernetice, ia msuri reactive de prim urgen pentru asigurarea
integritii datelor i remedierea situaiei de fapt.
Art. 13 - (1) n vederea realizrii coerenei activitilor din cadrul SNSC, Ministerul
pentru Societatea Informaional asigur legtura COSC cu autoritile i instituiile
publice care nu sunt reprezentate n cadrul acestuia, iar prin Centrul Naional de
Rspuns la Incidente de Securitate, denumit n continuare CERT-RO, cu deintorii
de infrastructuri cibernetice, persoane juridice de drept privat.
(2) n cazul persoanelor prevzute la art. 22 alin. (1), pentru realizarea
dispoziiilor alin. (1), Ministerul pentru Societatea Informaional va colabora cu
Autoritatea Naional pentru Administrare i Reglementare n Comunicaii, denumit
n continuare ANCOM.
Art. 14 - n cadrul SNSC autoritile i instituiile publice desfoar, potrivit
competenelor legale, activiti pentru asigurarea securitii cibernetice a Romniei,
inclusiv activiti de informare i comunicare public, relaii publice i de cooperare
internaional.
Art. 15 - (1) La nivel naional se constituie Sistemul Naional de Alert
Cibernetic denumit n continuare SNAC, reprezentnd principalul mijloc al SNSC
destinat prevenirii i contracarrii activitilor de natur s afecteze securitatea
cibernetic.
(2) Organizarea SNAC, msurile specifice pe care autoritile i instituiile
publice competente le implementeaz pentru fiecare nivel de alert, precum i
procedura de instituire a nivelurilor de alert i cerin ele privind elaborarea planurilor
de aciune se aprob prin norme metodologice, la propunerea SRI, n termen de 60
de zile de la intrarea n vigoare a prezentei legi.
(3) n cadrul SNAC, strile de ameninare sunt identificate prin niveluri de
alert cibernetic. Acestea pot fi instituite pentru ntreg teritoriul naional, pentru o
zon geografic delimitat, pentru un anumit domeniu de activitate sau pentru una
sau mai multe persoane juridice de drept public sau privat.
(4) Instituirea nivelurilor de alert cibernetic, precum i trecerea de la un
nivel la altul se aprob de ctre CSA, la propunerea COSC.

6/13

(5) Pentru punerea n aplicare a msurilor specifice prevzute la alin. (2)

personale juridice de drept public sau privat deintori de ICIN elaboreaz planuri de
aciune proprii, corespunztoare fiecrui nivel de alert cibernetic.
(6) La instituirea unui nivel de alert cibernetic, personale juridice de drept
public sau privat deintori de ICIN au obligaia s pun n aplicare msurile
specifice prevzute prin planurile prevzute la alin.(5).
(7) Deintorii de infrastructuri cibernetice au obligaia s sprijine autoritile i
instituiile publice competente pentru implementarea msurilor corespunztoare
fiecrui nivel de alert cibernetic, potrivit solicitrilor acestora, adresate n condiiile
art.17 alin.(1) lit.a).
(8) Persoanele juridice de drept public sau privat deintori de ICIN au
obligaia transmiterii cu celeritate a datelor privind starea de securitate cibernetic la
nivelul acestora ctre CNSC conform competenelor prevzute de lege.
CAPITOLUL III Asigurarea securitii cibernetice
Art. 16 - Deintorii de infrastructuri cibernetice au urmtoarele obligaii:
a) s adopte i s pun n aplicare politici de securitate cibernetic, cu
respectarea cerinelor minime de securitate stabilite la nivel naional de Ministerul
pentru Societatea Informaional sau de ctre alte autoriti publice competente
potrivit legii;
b) s identifice i s implementeze msurile tehnice i organizatorice
adecvate pentru a gestiona eficient riscurile de securitate n infrastructurile
cibernetice proprii sau aflate n responsabilitate;
c) s previn i s reduc la minimum impactul incidentelor care afecteaz
infrastructurile cibernetice proprii sau aflate n responsabilitate;
d) s nu afecteze, prin aciunile proprii, securitatea altor infrastructuri
cibernetice;
e) s previn accesul neautorizat al persoanelor la resursele infrastructurilor
cibernetice proprii sau aflate n responsabilitate;
f) s se asigure c datele i/sau informaiile referitoare la configurarea i
protecia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate
s le cunoasc.
Art. 17 - (1) Pentru realizarea securitii cibernetice, deintorii de infrastructuri
cibernetice au urmtoarele responsabiliti:
a) s acorde sprijinul necesar, la solicitarea motivat a Serviciului Romn de
Informaii, Ministerului Aprrii Naionale, Ministerului Afacerilor Interne, Oficiului
Registrului Naional al Informaiilor Secrete de Stat, Serviciului de Informaii Externe,
Serviciului de Telecomunicaii Speciale, Serviciului de Protecie i Paz, CERT-RO i
ANCOM, n ndeplinirea atribuiilor ce le revin acestora i s permit accesul
reprezentanilor desemnai n acest scop la datele deinute, relevante n contextul
solicitrii;
b) s informeze, de ndat, autoritile i instituiile publice prevzute la lit.a)
cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin
normele metodologice la prezenta lege.

7/13

(2) Deintorii de infrastructuri cibernetice pot solicita asisten de specialitate

autoritilor i instituiilor publice cu atribuii n domeniul securitii cibernetice, pentru
asigurarea securitii cibernetice n domeniul lor de activitate.
Art. 18 - Deintorii de infrastructuri cibernetice, furnizori de servicii de internet au
obligaia de a-i notifica, de ndat, clienii, persoane de drept public i privat, n
situaiile n care sistemele informatice utilizate de acetia au fost implicate n
incidente sau atacuri cibernetice i de a dispune msurile necesare n vederea
restabilirii condiiilor normale de funcionare.
Art.19 - (1) La nivel naional se constituie Catalogul ICIN, care se aprob n
termen de 90 de zile de la intrarea n vigoare a prezentei legi, prin hotrre a
Guvernului .
(2) Catalogul ICIN se ntocmete de ctre Ministerul pentru Societatea
Informaional, cu consultarea COSC, la propunerea CNSC sau dup caz, a CERTRO, potrivit competenelor legale.
(3) Identificarea ICIN se realizeaz pe baza criteriilor de selecie cuprinse n
metodologia elaborat de Serviciul Romn de Informaii i Ministerul pentru
Societatea Informaional i aprobat, n termen de 90 de zile de la intrarea n
vigoare a prezentei legi, prin hotrre de Guvern.
(4) La elaborarea catalogului ICIN, Ministerul pentru Societatea Informaional
va colabora i cu ANCOM, n situaia persoanelor juridice de drept privat care de in
calitatea de furnizori de reele publice sau servicii de comunicaii electronice
destinate publicului.
(5) Se excepteaz de la prevederile alin. (1) ICIN care stocheaz, proceseaz
sau transmit informaii clasificate, deinute, administrate sau utilizate de persoanele
juridice de drept public sau privat, care se centralizeaz la nivelul Oficiului
Registrului Naional al Informaiilor Secrete de Stat, denumit n continuare ORNISS.
(6) ICIN prevzute la alin. (5), se comunic CNSC, cu excepia celor
constituite la nivelul Autoritilor Desemnate de Securitate, care dein Structuri
Interne INFOSEC acreditate potrivit prevederilor legale n vigoare.
(7) Persoanele juridice de drept public i privat deintoare de sau care au n
responsabilitate ICIN trebuie s notifice CNSC i CERT RO, n termen de 48 de ore,
cu privire la orice modificare intervenit n regimul juridic al ICIN, respectiv n
configuraia acesteia.
Art.20 - (1) Persoanele juridice de drept public sau privat care dein sau au
n responsabilitate ICIN au urmtoarele obligaii:
a) s stabileasc i s aplice msuri pentru asigurarea rezilienei
infrastructurilor cibernetice proprii sau aflate n responsabilitate;
b) s ntocmeasc planul de securitate al ICIN, precum i planuri de ac iune
proprii corespunztoare fiecrui nivel de alert cibernetic;
c) s efectueze periodic i/sau s permit efectuarea unor auditri de
securitate cibernetic, la solicitarea motivat a autoritilor competente potrivit
prezentei legi;

8/13

d) s constituie structuri sau s desemneze persoane responsabile cu

prevenirea, identificarea i reacia la incidentele cibernetice;
e) s implementeze soluii pentru gestionarea permanent a evenimentelor
din spaiul cibernetic care pot afecta securitatea infrastructurii cibernetice i s
genereze alerte cu privire la acestea;
f) s aplice politicile de securitate prevzute prin cerinele minime stabilite
conform dispoziiilor prezentei legi;
g) s previn i s minimizeze, dup caz, impactul incidentelor cibernetice
asupra utilizatorilor sau beneficiarilor ICIN i, dup caz, s i informeze cu privire la
acestea;
h) s notifice imediat, dup caz, CNSC, CERT-RO, ANCOM sau autoritile
desemnate, n condiiile legii, n domeniul securit ii cibernetice cu privire la riscurile
i incidentele cibernetice care, prin efectul lor, pot aduce prejudicii de orice natur
utilizatorilor sau beneficiarilor serviciilor lor;
i) s respecte modalitatea de notificare, precum i datele i informaiile care
nsoesc n mod obligatoriu notificarea, stabilite potrivit alin.(2) al prezentului articol.
(2) n vederea ndeplinirii obligaiilor prevzute la alin. (1), lit. a), f) i g),
Ministerul pentru Societatea Informaional, ANCOM sau autoritile desemnate, n
condiiile legii, n domeniul securitii cibernetice, stabilesc cerinele minime de
securitate cibernetic, modalitatea de notificare, precum i datele i informaiile care
nsoesc n mod obligatoriu notificarea, care se aprob prin ordine sau decizii emise
n termen de 90 de zile de la intrarea n vigoare a prezentei legi, de conductorii
autoritilor sau instituiilor publice respective, publicate n Monitorul Oficial al
Romniei, Partea I.
Art.21 - (1) n funcie de tipul i natura riscurilor i incidentelor cibernetice,
autoritile competente s recepioneze notificarea prevzut la art. 20 alin. (1)
lit. h), acioneaz potrivit competenelor stabilite prin lege.
(2) Deintorii de ICIN, care au transmis notificri conform art. 20 alin. (1) lit.
h), au urmtoarele obligaii:
a) s aplice planurile prevzute la art. 20 alin. (1) lit. b);
b) s menin legtura permanent cu autoritile competente, potrivit legii,
informnd despre evoluia incidentului i modul n care acesta este gestionat;
c) s permit autoritilor competente, potrivit legii, s intervin pentru
identificarea i analizarea cauzelor incidentelor cibernetice, respectiv pentru
nlturarea sau reducerea efectelor incidentelor cibernetice;
d) s rein i s asigure integritatea datelor referitoare la incidentele
cibernetice pentru o perioad de 6 luni de la data notificrii, cu respectarea
principiului confidentialitatii i s le pun la dispoziia autoritilor competente, n
condiiile legii.
(3) Obligaiile prevzute la alin. (2), se aplic tuturor deintorilor de
infrastructuri cibernetice implicate n incidentul notificat.
(4) Dispoziiile prezentului articol nu se aplic n cazul instituiilor i autoritilor
publice prevzute la art. 10 alin.(1) i (2).
Art.22 - CERT-RO informeaz CNSC cu privire la notificarile primite i la
situaiile n care a intervenit.
9/13

Art.23 - (1) Securitatea infrastructurilor cibernetice deinute sau administrate

de furnizorii de reele publice de comunicaii electronice sau de servicii de
comunicaii electronice destinate publicului se realizeaz n condiiile Ordonanei de
urgen a Guvernului nr. 111/2011 privind comunicaiile electronice, aprobat, cu
modificri i completri, prin Legea nr. 140/2012, precum i n conformitate cu
dispoziiile prezentei legi.
(2) Pentru ndeplinirea obiectivelor prezentei legi, ANCOM poate institui
obligaii n sarcina furnizorilor de reele publice sau servicii de comunicaii electronice
destinate publicului.
(3) n vederea realizrii scopului prezentei legi, ANCOM i revin urmtoarele
atribuii:
a) emite, n termen de 90 de zile de la intrarea n vigoare a prezentei legi,
cerinele minime prevzute la art. 20 alin. (2) aplicabile furnizorilor de reele publice
sau servicii de comunicaii electronice destinate publicului i verific respectarea
acestora;
b) verific respectarea de ctre furnizorii de reele publice sau servicii de
comunicaii electronice destinate publicului care dein i/sau administreaz ICIN a
dispoziiilor art. 20 alin.(1), lit. a)- g);
c) stabilete modalitatea de notificare, precum i datele i informaiile care
nsoesc n mod obligatoriu notificarea, prevzute la art. 20 alin. (2), aplicabile
furnizorilor de reele publice sau servicii de comunicaii electronice destinate
publicului care dein i/sau administreaz ICIN i controleaz respectarea acestora;
d) exercit controlul respectrii dispoziiilor art. 20 de ctre furnizorii de reele
publice sau servicii de comunicaii electronice destinate publicului care dein i/sau
administreaz ICIN.
(4) n cazul furnizorilor de reele publice sau servicii de comunicaii electronice
destinate publicului care dein i/sau administreaz ICIN, notificarea prevzut la art.
20 alin. (1) lit. h) se transmite ctre ANCOM.
(5) ANCOM va transmite CNSC, conform unor proceduri convenite de comun
acord, n cel mult 24 de ore, informaiile relevante privind atacurile, ameninrile i
incidentele, care prin efectul lor, pot compromite sau aduce atingere securitii
naionale i aprrii rii sau care afecteaz serviciile de interes public ori serviciile
societii informaionale determinnd producerea unor prejudicii grave statului romn
ori cetenilor acestuia.
(6) n implementarea prevederilor prezentei legi, ANCOM i constituie structur
specializat de securitate cibernetic.
CAPITOLUL IV Aprarea cibernetic
Art.24 - (1) Aprarea cibernetic cuprinde ansamblul de msuri i activiti
adoptate i desfurate de autoritile competente pentru protejarea infrastructurilor
cibernetice destinate aprrii naionale i a infrastructurilor cibernetice naionale care
sunt critice pentru misiunile NATO i UE.
(2) Infrastructurile cibernetice destinate aprrii naionale i msurile privind
aprarea cibernetic a acestora se stabilesc n termen de 60 de zile de la intrarea n
vigoare a prezentei legi i se actualizeaz periodic prin hotrre a CSAT.
10/13

Art.25 - (1) Activitile prevzute la art.24 alin.(1) se planific i se

desfoar de autoritile competente n strns legtur cu activitile privind
aprarea naional i planificarea aprrii, conform legii i potrivit obligaiilor
asumate de Romnia la nivel internaional.
(2) Autoritile i instituiile publice au obligaia de a identifica i implementa, n
condiiile legii, msuri de aprare cibernetic i rspund de executarea acestora,
fiecare n domeniul su de activitate.
Art.26 - (1) Ministerul Aprrii Naionale mpreun cu celelalte autoriti i
instituii publice din Sistemul Naional de Aprare, Ordine Public i Securitate
Naional asigur, din timp de pace, integrarea ntr-o concepie unitar a activitilor
privind aprarea cibernetic desfurate de forele armate participante la aciunile de
aprare a rii n caz de agresiune armat, la instituirea strii de asediu, declararea
strii de mobilizare sau a strii de rzboi.
(2) Conducerea aciunilor de aprare cibernetic n caz de agresiune armat, la
instituirea strii de asediu, declararea strii de mobilizare sau a strii de rzboi se
realizeaz de ctre Centrul naional militar de comand n cooperare cu COSC.

CAPITOLUL V Regimul sancionator i dispoziii procedurale

Art.27 - (1) Monitorizarea i controlul aplicrii prevederilor prezentei legi se
asigur, potrivit competenelor stabilite prin lege, de ctre:
a) Camera Deputailor i Senat, Administraia Prezidenial, Guvern, CSA,
precum i instituiile i autoritile publice prevzute la art. 10 alin. (1) i (2), pentru
infrastructurile cibernetice proprii sau aflate n responsabilitate;
b) Serviciul Romn de Informaii pentru deintorii de ICIN persoane juridice de
drept public;
c) Ministerul pentru Societatea Informaional, respectiv ANCOM, dup caz,
pentru deintorii de ICIN, persoane juridice de drept privat.
(3) n vederea exercitrii atribuiilor prevzute la alin.(1), conductorii
autoritilor desemneaz persoanele abilitate s desf oare activit i de control care,
n baza i n limitele mputernicirii aprobate au dreptul:
a) s solicite declaraii sau orice documente necesare pentru efectuarea
controlului;
b) s fac inspecii, inclusiv inopinate, la orice instalaie, incint sau
infrastructur, destinate ICIN, cu respectarea prevederilor legale n vigoare;
c) s primeasc, la cerere sau la faa locului, informaii sau justificri.
Art.28 - (1) Constituie contravenii urmtoarele fapte:
a)nerespectarea de ctre deintorii de infrastructuri cibernetice a obligaiei
privind adoptarea i punerea n aplicare a politicii de securitate cibernetic care s
respecte cerinele minime de securitate stabilite potrivit prezentei legi, prevzute la
art. 16 lit. a);
b)nerespectarea de ctre deintorii de sau cei care au n responsabilitate ICIN
a obligaiei de notificare cu privire la modificrile de regim juridic, respectiv de
configuraie a ICIN, prevzute la art.19 alin.(7);
11/13

c)nclcarea de ctre deintorii de sau cei care au n responsabilitate ICIN

obligaiilor prevzute la art. 20 alin. (1), lit. c)-e) privind efectuarea de auditri de
securitate cibernetic, constituirea de structuri sau desemnarea de persoane
responsabile cu prevenirea, identificarea i reacia la incidente cibernetice, respectiv
implementarea de soluii pentru gestionarea evenimentelor din spaiul cibernetic i
generarea de alerte cu privire la acestea;
d)nerespectarea de ctre deintorii de sau cei care au n responsabilitate ICIN
a obligaiei privind aplicarea politicilor de securitate, potrivit art.20 ali.(1) lit.f);
e)nerespectarea de ctre deintorii de sau cei care au n responsabilitate ICIN
a obligaiei de notificare impuse potrivit art. 20 alin. (1), lit. h);
f) nerespectarea de ctre deintorii de sau cei care au n responsabilitate ICIN
a cerinelor minime de securitate cibernetic, a modalitii de notificare, precum i
datele i informaiile care nsoesc n mod obligatoriu notificarea prevzut la art. 20
alin. (1), lit. i);
g)nerespectarea de ctre deintorii de sau cei care au n responsabilitate ICIN
care au transmis notificarea n condiiile prevzute la art. 20 alin. (2) a obligaiilor de
aplicare a planurilor de securitate sau de aciune, respectiv de a permite autoritilor
competente s intervin, precum i a obligaiei de a reine i asigura integritatea
datelor referitoare la incidentele cibernetice, prevzute la art. 21 alin. (2) lit. c) i lit.
d);
h)nclcarea de ctre deintorii de sau cei care au n responsabilitate ICIN a
obligaiei de a menine permanent legtura cu autoritile competente potrivit legii,
stabilite de prevederile art. 21 alin. (2) lit. b);
i) nerespectarea de ctre furnizorii de reele publice sau servicii de comunicaii
electronice destinate publicului, deintori de sau care au n administrare
infrastructuri cibernetice a cerinelor minime stabilite de ANCOM, a modalitii de
notificare, precum i datele i informaiile care nsoesc n mod obligatoriu
notificarea, n temeiul art. 23 alin. (3) lit.a) i c) precum i refuzul de a se supune
notificrii potrivit art.23 alin.(3) lit.c).
j) nerespectarea obligaiei de notificare a clientilor de ctre deintorii de
infrastructuri cibernetice, furnizori de servicii de internet, prevzut la art. 18.

Art.29 - (1) Contraveniile prevzute la art. 28 se sancioneaz, astfel:

a) cu amend de la 500 lei la 5.000, pentru svrirea contraveniilor prevzute
la art. 28 lit. a) i h)- j);
b) cu amend de la 1.000 la 10.000 lei, pentru svrirea contraveniilor
prevzute la art. 28 lit. b) g).
(2) Sanciunile prevzute la alin. (1) se aplic i n cazul persoanelor juridice.
(3) Dispozitiile Ordonanei Guvernului nr. 2/2001 privind regimul juridic al
contraveniilor, aprobat cu modificri i completri prin Legea nr. 180/2002, cu
modificrile ulterioare se aplic n mod corespunztor.

Art.30 - (1) Constatarea contraveniilor i aplicarea amenzilor se realizeaz,

potrivit competenelor legale, de ctre:
a) Ministerul pentru Societatea Informaional pentru contraveniile prevzute la
art. 28 lit. a) h);
12/13

b) ANCOM n situaia n care contraveniile prevzute la art. 28 lit. a) sunt

svrite de persoanele juridice prevzute la art. 23 alin. (1), precum i pentru
contraveniile prevzute la art. 28 lit. i) i j);
c) autoritile i instituiile publice prevzute la art.27 alin.(1) lit. a) pentru
contraveniile prevzute la art.28 lit.b) h) ce vizeaza infrastructurile cibernetice
proprii sau aflate n responsabilitate.
(2) n cazul art.27 alin.(1) lit.b) aplicarea amenzilor pentru contraveniile
prevzute la art.28 lit.b) h) se face, n condiiile legii, de ctre Ministerul pentru
Societatea Informaional.

CAPITOLUL VII Dispoziii finale

Art.31 - (1) La nivelul persoanelor juridice de drept public, fondurile
necesare organizrii i desfurrii activitii n condiiile prezentei legi se asigur de
la bugetul de stat, din venituri extrabugetare i din alte surse legal constituite, anual,
potrivit legii.
(2) Pentru buna desfurare a activitilor specifice pot fi utilizate i fonduri
provenite din credite externe contractate sau garantate de stat i ale cror
rambursare, dobnzi i alte costuri se asigur din fonduri publice, precum i din
fonduri externe sau europene.
(3) La nivelul persoanelor juridice de drept privat, cheltuielile legate de
asigurarea punerii n executare a dispoziiilor prezentei legi sunt deductibile fiscal n
condiiile i cuantumul stabilit de Ministerul Finanelor Publice, n condiiile Codului
fiscal, aprobat prin Legea nr.571/2003, cu modificrile i completrile ulterioare.
Art.32 - (1) Prezenta lege intr n vigoare la 30 de zile de la publicarea n
Monitorul Oficial al Romniei, Partea I.
(2) n termen de 90 de zile de la data publicrii n Monitorul Oficial al
Romniei, Partea I, Guvernul aprob normele metodologice de aplicare a prezentei
legi.

13/13