Sunteți pe pagina 1din 16

LEGE PRIVIND SECURITATEA CIBERNETIC A ROMNIEI

CAPITOLUL I - DISPOZIII GENERALE


Art. 1 - (1) Legea stabilete cadrul juridic privind organizarea i desfurarea
activitilor din domeniul securitii cibernetice a Romniei i asigurarea protejrii
drepturilor i libertilor fundamentale ale cetenilor n spaiul cibernetic.
(2) Securitatea cibernetic este component a securitii naionale a Romniei i
se realizeaz prin adoptarea i implementarea de politici i msuri de securitate la
nivelul deintorilor de infrastructuri cibernetice n scopul cunoaterii, prevenirii i
contracarrii riscurilor i ameninrilor n spaiul cibernetic.
Art. 2 - Prezenta lege se aplic:
autoritilor i instituiilor publice, persoanelor juridice deintoare de
infrastructuri cibernetice care susin servicii publice sau de interes public, ori servicii
ale societii informaionale, a cror afectare aduce atingere securitii naionale sau
prejudicii grave statului romn ori cetenilor acestuia;
persoanelor juridice, deintoare de infrastructuri cibernetice care prelucreaz
date cu caracter personal;
furnizorilor de reele publice de comunicaii electronice i furnizorilor de
servicii de comunicaii electronice destinate publicului;
furnizorilor de servicii de gzduire internet;

furnizorilor de servicii de securitate cibernetic.

Art. 3 - n sensul prezentei legi, termenii i expresiile de mai jos au urmtoarea


semnificaie:
a) ameninare cibernetic - circumstan sau eveniment care constituie un pericol
potenial la adresa securitii cibernetice;
b) alert cibernetic - semnalare referitoare la un posibil incident de securitate
cibernetic;
c) aprare cibernetic - aciuni desfurate n spaiul cibernetic n scopul
protejrii, monitorizrii, analizrii, detectrii, contracarrii agresiunilor i
asigurrii rspunsului oportun mpotriva ameninrilor asupra infrastructurilor
cibernetice destinate aprrii naionale;
d) atac cibernetic - aciune desfurat n spaiul cibernetic cu inten ia de a
afecta securitatea cibernetic;
e) audit de securitate cibernetic - activitate prin care se realizeaz o evaluare
sistematic a tuturor politicilor, procedurilor i msurilor de protecie
implementate la nivelul unei infrastructuri cibernetice, n vederea identificrii
disfunciilor i vulnerabilitilor i a furnizrii unor soluii de remediere a
acestora;
f) Catalog ICIN - registru de eviden a infrastructurilor cibernetice de interes
naional;
1 / 16

g) cerine minime de securitate cibernetic msuri de natur organizatoric,


tehnic sau procedural destinate asigurrii confidenialit ii, integrit ii,
disponibilitii, autenticitii i nonrepudierii datelor stocate i prelucrate n
cadrul unei infrastructuri cibernetice.
h) date de jurnalizare - date generate n mod automat de componente software i
hardware care descriu istoricul aciunilor ce au loc la nivelul acestora;
i) date tehnice - descriere general a infrastructurii cibernetice, rolul i
funcionalitile asigurate de aceasta, arhitectura, tipuri i numr de utilizatori,
fluxuri informaionale susinute, descrierea capacitii de stocare/prelucrare,
fiiere de jurnalizare a evenimentelor ce au loc n sistemele de securitate
software i hardware, sistemele de operare i aplicaiile software;
j) deintori de infrastructuri cibernetice - persoane juridice de drept public sau
privat care au calitatea de proprietari, administratori sau operatori de
infrastructuri cibernetice;
k) furnizori de servicii de gzduire internet - orice persoan juridic ce desfoar
activiti pe teritoriul Romniei, care pune la dispoziie infrastructuri
cibernetice, fizice sau virtuale, pentru derularea de activiti i servicii ale
societii informaionale;
l) furnizor de servicii de securitate cibernetic - orice persoan juridic ce
realizeaz, n vederea protejrii infrastructurilor cibernetice, cel puin una
dintre urmtoarele activiti: implementare de politici, proceduri i msuri,
auditare, evaluare, testare a msurilor implementate, management al
incidentelor de securitate;
m) incident de securitate cibernetic - eveniment survenit n spaiul cibernetic
care perturb funcionarea uneia sau mai multor infrastructuri cibernetice i
ale crui consecine sunt de natur a afecta securitatea cibernetic;
n) infrastructuri cibernetice - infrastructuri de tehnologia informaiei, constnd n
sisteme informatice sau reele de comunicaii electronice;
o) infrastructuri cibernetice de interes naional - infrastructuri cibernetice
deinute de persoane juridice de drept privat, care susin servicii publice sau de
interes public ori servicii ale societii informaionale, sau infrastructuri
cibernetice deinute de autoriti i instituii publice, a cror afectare aduce
atingere securitii naionale, sau prejudicii grave statului romn ori cetenilor
acestuia;
p) politici de securitate cibernetic - principii i reguli generale necesar a fi
ndeplinite pentru asigurarea securitii infrastructurilor cibernetice;
q) managementul incidentului de securitate cibernetic - ansamblul proceselor ce
prevd detectarea, raportarea, analiza i rspunsul la incidentul de securitate
cibernetic;
r) risc de securitate n spaiul cibernetic probabilitatea ca o ameninare s se
materializeze, exploatnd o vulnerabilitate specific infrastructurii cibernetice;
s) securitate cibernetic - stare de normalitate rezultat n urma aplicrii unui
ansamblu de msuri proactive i reactive prin care se asigur confidenialitatea,
integritatea, disponibilitatea, autenticitatea i nonrepudierea informaiilor n
2 / 16

format electronic, precum i reziliena i stabilitatea resurselor i serviciilor


publice sau private din spaiul cibernetic;
t) Sistem de Control Industrial - infrastructuri i sisteme informatice de comand
i control utilizate pentru a automatiza procesele industriale;
u) spaiul cibernetic - mediul virtual generat de infrastructurile cibernetice,
incluznd coninutul informaional, procesat, stocat sau transmis, precum i
aciunile derulate de utilizatori n acesta;
v) vulnerabilitate n spaiul cibernetic slbiciune n proiectarea i implementarea
infrastructurilor cibernetice sau a msurilor de securitate aferente, care poate
fi exploatat de ctre o ameninare.
Art. 4 - Principiile care stau la baza prezentei legi sunt:
a) asigurarea, prin introducerea unor msuri de securitate cibernetic, a unui nivel
crescut de protecie a infrastructurilor cibernetice i, implicit, a datelor cu caracter
personal gestionate de ctre deintorii de infrastructuri cibernetice;
b) garantarea dreptului la via intim, familial i privat al cetenilor n rela ia
deintorilor de infrastructuri cibernetice cu autoritile n domeniu prevzute la art. 9;
c) asigurarea securitii cibernetice prin responsabilizarea deintorilor de
infrastructuri cibernetice, astfel nct acetia s evalueze capabilitile proprii de
securitate cibernetic i nivelul la care se situeaz;
d) creterea capacitii de reacie la incidentele cibernetice i diminuarea
impactului acestora asupra resurselor i serviciilor infrastructurilor cibernetice prin
impunerea de cerine minime de securitate cibernetic i asigurarea rezilienei
infrastructurilor cibernetice;
e) asigurarea nivelului de ncredere necesar pentru dezvoltarea societii
informaionale i a mediului de afaceri n spaiul cibernetic i asigurarea accesului egal
i nediscriminatoriu al persoanelor la informaii i servicii publice oferite prin
intermediul infrastructurilor cibernetice;
f) asigurarea unei guvernane participative, democratice i eficiente a spaiului
cibernetic prin cooperarea autoritilor competente cu sectorul privat;
g) cooperarea la nivel naional, ntre instituiile cu competene n materie i
internaional, cu persoane juridice de drept public i privat, implicate n asigurarea
securitii cibernetice.

CAPITOLUL II - SISTEMUL NAIONAL DE SECURITATE CIBERNETIC


Art. 5 - (1) La nivel naional activitatea de realizare a securit ii cibernetice se
organizeaz i se desfaoar n mod unitar, potrivit prezentei legi.
(2) n acest scop, cooperarea n domeniu se organizeaz ca Sistem Naional de
Securitate Cibernetic, la care particip autoriti i instituii publice cu atribu ii i
responsabiliti potrivit dispoziiilor prezentei legi.

3 / 16

(3) n exercitarea competenelor, autoritile i instituiile publice coopereaz cu


sectorul privat i cu mediul academic, asociaiile profesionale i organizaiile
neguvernamentale.
Art. 6 - (1) Coordonarea la nivel strategic a activitilor destinate asigurrii
securitii cibernetice desfurate la nivelul Sistemului Naional de Securitate
Cibernetic se realizeaz de ctre Consiliul Suprem de Aprare a rii.
(2) Coordonarea activitilor de realizare a securitii cibernetice este asigurat,
la nivel operaional, n cadrul Sistemului Naional de Securitate Cibernetic, de ctre
Consiliul Operativ de Securitate Cibernetic.
(3) Coordonarea tehnic a activitilor Consiliului Operativ de Securitate
Cibernetic, este asigurat de Serviciul Romn de Informaii.
Art. 7 - (1) Consiliul Operativ de Securitate Cibernetic este format din consilierul
prezidenial pentru probleme de securitate naional, consilierul Prim-Ministrului pe
probleme de securitate naional, Secretarul Consiliului Suprem de Aprare a rii,
precum i reprezentani ai: Ministerului Aprrii Naionale, Ministerului Afacerilor
Interne, Ministerului Afacerilor Externe, Ministerului Comunicaiilor i pentru Societatea
Informaional, Serviciului Romn de Informaii, Serviciului de Informaii Externe,
Serviciului de Telecomunicaii Speciale, Serviciului de Protecie i Paz i Oficiului
Registrului Naional al Informaiilor Secrete de Stat.
(2) Atunci cnd lucrrile din cadrul Consiliului Operativ de Securitate Cibernetic,
privesc sau pot avea efecte asupra persoanelor prevzute la art. 2 lit. c), la acestea
particip i reprezentantul Autoritii Naionale pentru Administrare i Reglementare n
Comunicaii.
(3) Conducerea Consiliului Operativ de Securitate Cibernetic este asigurat de un
preedinte - consilierul prezidenial pentru probleme de securitate naional i un
vicepreedinte - consilierul Prim-Ministrului pe probleme de securitate naional.
(4) Consiliul Operativ de Securitate Cibernetic i desfoar activitatea pe baza
unui Regulament de organizare i funcionare care se aprob de ctre Consiliul Suprem
de Aprare a rii.
(5) n cadrul lucrrilor Consiliului Operativ de Securitate Cibernetic pot prezenta
puncte de vedere cu privire la problemele aflate pe agenda de lucru, reprezentani ai
furnizorilor de servicii de securitate cibernetic, ai mediului academic, ai entit ilor de
tip CERT private i ai altor instituii publice.
(6) n exercitarea atribuiilor sale, Consiliul Operativ de Securitate Cibernetic
analizeaz i evalueaz starea securitii cibernetice, formuleaz i nainteaz
Consiliului Suprem de Aprare a rii propuneri privind:
a) msuri de armonizare a reaciei autoritilor competente ale statului n situaii
generate de ameninri i atacuri cibernetice, care necesit schimbarea nivelului de
alert cibernetic;
b) solicitarea, n caz de necesitate, de asisten din partea altor state sau
organizaii i organisme internaionale;
c) modalitatea de rspuns la solicitrile de asisten adresate Romniei din partea
altor state sau organizaii i organisme internaionale;
4 / 16

d) planuri sau direcii de aciune, n funcie de concluziile rezultate i evoluia


spaiului cibernetic;
e) direcii de dezvoltare sau programe de investiii n domeniul securitii
cibernetice.
Art. 8 - Pentru realizarea securitii cibernetice, Consiliul Operativ de Securitate
Cibernetic coopereaz cu organismele de coordonare sau de conducere constituite, la
nivel naional, pentru managementul situaiilor de urgen, a aciunilor in situaii de
criz n domeniul ordinii publice, pentru prevenirea i combaterea terorismului i pentru
aprarea naional.
Art. 9 - Pentru asigurarea securitii cibernetice, instituiile publice din Romnia
au atribuii dup cum urmeaz:
a) Ministerul Comunicaiilor i pentru Societatea Informaional, cu rol de
autoritate de reglementare i control al implementrii msurilor tehnice i
organizatorice privind securitatea infrastructurilor cibernetice, cu excepia celor aflate
n domeniul de competen, activitate i responsabilitate al instituiilor prevzute la lit.
d) i e);
b) Centrul Naional de Rspuns la Incidente de Securitate Cibernetic, denumit n
continuare CERT-RO, desemnat punct naional de contact cu entitile de tip CERT
naionale i internaionale i autoritate competent pentru coordonarea activitilor n
domeniul securitii cibernetice a infrastructurilor cibernetice, altele dect cele
menionate la lit. c), d) i e);
c) Serviciul Romn de Informaii, prin Centrul Naional de Securitate Cibernetic,
desemnat autoritate competent pentru coordonarea activitilor n domeniul securitii
cibernetice organizate i desfurate la nivelul infrastructurilor cibernetice de interes
naional, cu excepia infrastructurilor cibernetice de interes naional aflate n
administrarea sau responsabilitatea celorlalte autoriti prevzute la lit. d) i e);
d) Autoritatea Naional pentru Administrare i Reglementare n Comunicaii,
desemnat autoritate competent pentru coordonarea activitilor n domeniul
securitii cibernetice a reelelor publice de comunicaii electronice i a serviciilor de
comunicaii electronice destinate publicului;
e) Ministerul Aprrii Naionale, Ministerul Afacerilor Interne, Oficiul Registrului
Naional al Informaiilor Secrete de Stat, Autoritatea Naional pentru Administrare i
Reglementare n Comunicaii, Serviciul Romn de Informaii, Serviciul de Informaii
Externe, Serviciul de Telecomunicaii Speciale i Serviciul de Protecie i Paz sunt
autoriti responsabile de securitate cibernetic cu rol n stabilirea de structuri i
implementarea de msuri tehnice i organizatorice proprii privind coordonarea i
controlul activitilor referitoare la asigurarea securitii cibernetice pentru
infrastructurile cibernetice, inclusiv infrastructurile cibernetice de interes naional,
aflate n domeniul lor de activitate i responsabilitate.
Art. 10 Cerinele minime de securitate cibernetic i politicile de securitate
cibernetic pentru infrastructurile cibernetice de interes naional se stabilesc de
5 / 16

Ministerul Comunicaiilor i pentru Societatea Informaional, cu sprijinul autoritilor


prevzute de art. 9 lit. b) - e).
Art. 11 - (1) Autoritatea Naional pentru Administrare i Reglementare n
Comunicaii stabilete cerinele minime de securitate cibernetic pentru infrastructurile
cibernetice, care sunt n competena sa, conform art. 9 litera d).
(2) Ministerul Comunicaiilor i pentru Societatea Informaional stabilete
cerinele minime de securitate cibernetic pentru infrastructurile cibernetice, aflate n
aria de competen a autoritilor prevzute la art. 9 lit. b).
(3) Fac excepie de la prevederile alin. (1) i (2) infrastructurile cibernetice de
interes naional.

Art. 12 (1) Pentru infrastructurile cibernetice de interes naional, cerin ele minime de
securitate cibernetic au n vedere urmtoarele categorii de activit i viznd
securitatea cibernetic:
a) managementul drepturilor de acces;
b) contientizarea i instruirea utilizatorilor;
c) jurnalizarea i asigurarea trasabilitii activitilor n cadrul infrastructurii
cibernetice;
d) testarea i evaluarea securitii cibernetice;
e) managementul configuraiilor infrastructurii cibernetice;
f) asigurarea disponibilitii infrastructurii cibernetice i a continuit ii func ionrii
resurselor critice ale acesteia;
g) managementul identificrii i autentificrii utilizatorilor;
h) rspunsul la incidente de securitate cibernetic;
i) mentenana infrastructurii cibernetice;
j) managementul suporturilor de memorie extern;
k) asigurarea proteciei fizice a infrastructurii cibernetice;
l) realizarea planurilor de securitate;
m) asigurarea securitii personalului;
n) analizarea i evaluarea riscurilor de securitate cibernetic;
o) procedurarea activitilor de achiziie a sistemelor i serviciilor;
p) asigurarea proteciei produselor i serviciilor aferente infrastructurii cibernetice;
q) managementul vulnerabilitilor i alertelor de securitate cibernetic.
(2) Cerinele minime de securitate cibernetic pentru infrastructurile
cibernetice, altele dect infrastructurile cibernetice de interes naional, sunt stabilite
de ctre autoritile prevzute la art. 11 n baza urmtoarelor categorii de activit i de
asigurare a securitii cibernetice:
a) managementul accesului la infrastructura cibernetic;
b) contientizarea i instruirea utilizatorilor;
c) asigurarea proteciei la nivel software i hardware a infrastructurii cibernetice;
d) analiza si evaluarea riscurilor de securitate cibernetic;
e) protecia sistemelor de comunicaii aferente infrastructurii cibernetice.
Art. 13- (1) Autoritile prevzute de art. 9 lit. b) - e) au urmtoarele obligaii:
6 / 16

a) s adopte planuri de aciune corespunztoare fiecrui nivel de alert


cibernetic;
b) s asigure sprijinul deintorilor de infrastructuri cibernetice pentru
implementarea msurilor aferente nivelului de alert cibernetic, n cazul instituirii unui
nivel de alert cibernetic;
c) s asigure colectarea notificrilor cu privire la incidente de securitate
cibernetic provenite de la deintorii infrastructurilor cibernetice aflate n domeniul
lor de competen, activitate sau responsabilitate;
d) s asigure evaluarea datelor i informaiilor cu privire la incidente i atacuri
cibernetice la adresa infrastructurilor cibernetice, aflate n domeniul lor de
competen, activitate sau responsabilitate;
e) s informeze deintorii de infrastructuri cibernetice aflate n domeniul de
competen, activitate sau responsabilitate cu privire la incidente de securitate
cibernetic sau vulnerabiliti i atacuri cibernetice identificate la nivelul acestora;
f) s coordoneze managementul incidentelor de securitate cibernetic identificate
n cadrul infrastructurilor cibernetice aflate n domeniul lor de competen;
g) s acorde sprijin deintorilor de infrastructuri cibernetice din zona de
competen, activitate sau responsabilitate pentru adoptarea de msuri reactive de
prim urgen pentru remedierea efectelor incidentelor de securitate cibernetic;
h) s desfoare activiti de informare i comunicare public;
i) s organizeze sesiuni de formare i instruire n domeniul securitii cibernetice,
pentru mbuntirea capacitilor deintorilor de infrastructuri cibernetice;
j) s organizeze sau s participe la exerciii naionale de securitate cibernetic;
k) s coopereze i s-i comunice reciproc date referitoare la securitatea
cibernetic, inclusiv ctre celelalte autoriti i instituii publice sau deintori de
infrastructuri cibernetice;
l) s solicite convocarea Consiliului Operativ de Securitate Cibernetic, potrivit
propriilor competene, inclusiv pentru ridicarea nivelului de alert cibernetic.
(2) Autoritile prevzute la alin. (1) pot constitui structuri specializate n
realizarea de audit de securitate cibernetic i pot constitui i operaionaliza structuri
specializate de securitate cibernetic de tip CERT.
Art. 14 - Autoritile prevzute la art. 9 lit. e), pentru infrastructurile cibernetice
aflate n domeniul lor de activitate i responsabilitate, au i urmtoarele obligaii
specifice:
a) s realizeze periodic evaluri ale strii de securitate cibernetic;
b) s elaboreze politici de securitate cibernetic specifice;
c) s asigure managementul incidentelor de securitate cibernetic identificate.
Art. 15 - (1) n procesul identificrii infrastructurilor cibernetice de interes
naional n vederea ntocmirii Catalogului ICIN, deintorii de infrastructuri cibernetice
au obligaia de a furniza autoritilor de la art. 9 datele tehnice necesare.
7 / 16

(2) La propunerea autoritilor prevzute la art. 9 literele b) e), Ministerul


Comunicaiilor i pentru Societatea Informaional ntocmete Catalogul ICIN.
(3) Se excepteaz de la prevederile alin. (1) i (2) infrastructurile cibernetice de
interes naional care stocheaz, proceseaz sau transmit informaii clasificate, deinute,
administrate sau utilizate de persoanele juridice de drept public sau privat, care se
centralizeaz la nivelul Oficiului Registrului Naional al Informaiilor Secrete de Stat.
(4) Infrastructurile cibernetice de interes naional prevzute la alin. (3) se
comunic Centrului Naional de Securitate Cibernetic, cu excepia celor constituite la
nivelul Autoritilor Desemnate de Securitate, care dein Structuri Interne INFOSEC
potrivit prevederilor legale n vigoare.
(5) Deintorii de infrastructuri cibernetice de interes naional prevzu i la art. 9
litera c) trebuie s notifice Centrul Naional de Securitate Cibernetic, n termen de 10
zile, cu privire la orice modificare intervenit n statutul juridic al infrastructurilor
cibernetice de interes naional, respectiv n arhitectura acestora.
(6) Datele tehnice necesare pentru ntocmirea Catalogului ICIN trebuie s
cuprind urmtoarele:
a) descrierea general a infrastructurilor cibernetice de interes naional;
b) rolul i funcionalitile asigurate de infrastructurile cibernetice de interes
naional;
c) arhitectura infrastructurilor cibernetice de interes naional;
d) tipuri i numr de utilizatori;
e) fluxuri informaionale susinute, precum i dinamica datelor stocate/prelucrate,
capacitatea de stocare/prelucrare.
(7) Datele tehnice necesare pentru ntocmirea Catalogului ICIN, prevzute la alin.
(1), nu vor conine date care pot aduce atingere drepturilor i libertilor ceteneti ori
intereselor legitime ale unor tere entiti implicate.
Art. 16 - Pentru derularea procesului de identificare a infrastructurilor
cibernetice de interes naional, deintorii de infrastructuri cibernetice, sub
coordonarea autoritilor competente, vor evalua msura n care infrastructurile
cibernetice proprii se ncadreaz n cel puin una dintre urmtoarele categorii de
poteniale infrastructuri cibernetice de interes naional:
a) infrastructuri cibernetice destinate susinerii administraiei publice;
b) infrastructuri cibernetice destinate susinerii serviciilor publice;
c) infrastructuri cibernetice din sectoarele energetic, alimentare cu ap,
alimentaie, sntate, transporturi, industrie chimic i nuclear, spaiu i cercetare;
d) infrastructuri cibernetice prin intermediul crora se asigur accesul cetenilor
i a mediului de afaceri la servicii publice;
e) infrastructuri cibernetice destinate susinerii funciilor de aprare, ordine
public, justiie i securitate naional;
f) infrastructuri cibernetice destinate tranzaciilor economice i financiar-bancare;
g) infrastructuri cibernetice de tip Sistem de Control Industrial;
8 / 16

h) infrastructuri cibernetice care asigur supraveghere, sesizare, avertizare i


alert;
i) infrastructuri cibernetice care asigur servicii de securitate cibernetic;
j) infrastructuri cibernetice care asigur componenta naional destinat
cooperrii n cadrul NATO, UE sau al organizaiilor la care Romnia este parte;
k) infrastructuri cibernetice pentru navigaie, radiolocaie i identificare;
l) infrastructuri cibernetice care susin transmisia sau retransmisia serviciilor de
programe de televiziune sau radiodifuziune;
m) infrastructuri cibernetice utilizate de ctre furnizorii de servicii potale.
Art. 17- (1) Evaluarea potenialului impact asupra securitii infrastructurilor
cibernetice prin compromiterea confidenialitii, integritii, disponibilitii,
autenticitii sau a non-repudierii datelor, resurselor i serviciilor se realizeaz pe baza
urmtoarelor criterii:
a) prejudiciul adus intereselor statului romn;
b) prejudiciul produs n planul securitii naionale;
c) afectarea vieii i siguranei ceteanului;
d) afectarea ncrederii utilizatorilor n serviciile oferite;
e) prejudiciul material sau financiar;
f) ntreruperea furnizrii serviciului afectat;
g) utilizatorii afectai raportat la spaiul geografic - internaional, naional,
regional, local;
h) afectarea relaiilor internaionale n care Romnia este angrenat;
i) afectarea infrastructurii critice de interes naional n cazul n care infrastructura
cibernetic este parte component a acesteia sau n interdependen cu aceasta;
j) interdependena cu alte infrastructuri cibernetice.
(2) n cadrul analizei de interdependen, autoritile competente pot colabora i
cu alte autoriti sau persoane juridice n condiiile n care infrastructurile cibernetice
de interes naional ar putea genera efecte n domeniul de competen al acestora.

CAPITOLUL III - ASIGURAREA SECURITII CIBERNETICE


Art. 18 (1) Sistemul Naional de Alert Cibernetic, denumit n continuare SNAC,
este un ansamblu organizat de msuri tehnice i procedurale destinate prevenirii i
contracarrii activitilor de natur s afecteze securitatea cibernetic la nivel naional.
(2) n cadrul SNAC, strile de ameninare reflect gradul de risc pentru
securitatea cibernetic i sunt identificate prin niveluri de alert cibernetic. Acestea
pot fi instituite pentru ntreg teritoriul naional, pentru o zon geografic delimitat,

9 / 16

pentru un anumit domeniu de activitate sau pentru una sau mai multe persoane juridice
de drept public sau privat.
(3) Instituirea nivelurilor de alert cibernetic, precum i trecerea de la un nivel
la altul se aprob de ctre Consiliul Suprem de Aprare a rii, la propunerea Consiliului
Operativ de Securitate Cibernetic.
(4) Deintorii de infrastructuri cibernetice au obligaia s sprijine autoritile
competente pentru implementarea msurilor corespunztoare fiecrui nivel de alert
cibernetic.
(5) Persoanele juridice de drept public sau privat deintori de infrastructuri
cibernetice de interes naional elaboreaz planuri de aciune proprii, corespunztoare
fiecrui nivel de alert cibernetic, pe care au obligaia s le pun n aplicare la
instituirea unui nivel de alert cibernetic, conform normelor cu privire la organizarea i
funcionarea SNAC, aprobate prin Hotrre a Guvernului.
(6) La modificarea nivelului de alert cibernetic deintorii de infrastructuri
cibernetice de interes naional au obligaia informrii dendat a Centrului Naional de
Securitate Cibernetic cu privire la gradul de afectare a infrastructurii cibernetice i
msurile preconizate.
(7) n funcie de impactul asupra securitii cibernetice, nivelurile de alert
cibernetic sunt ierarhizate dup cum urmeaz:
a) nivel de alert 1 - verde-sczut;
b) nivel de alert 2 - galben-moderat;
c) nivel de alert 3 - portocaliu-ridicat;
d) nivel de alert 4 - roucritic.
Art. 19 (1) Deintorii de infrastructuri cibernetice prevzui la art. 2, lit. a) - c)
adopt msuri organizatorice i tehnice pentru:
a) evaluarea infrastructurilor cibernetice
demersurilor de ntocmire a Catalogului ICIN;

deinute

vederea

susinerii

b) elaborarea i implementarea de politici i planuri de securitate cibernetic, cu


respectarea cerinelor minime de securitate;
c) managementul incidentelor de securitate cibernetic;
d) prevenirea accesului neautorizat la infrastructurile cibernetice;
e) prevenirea diseminrii datelor deinute la nivelul infrastructurilor cibernetice
ctre alte persoane dect cele autorizate s cunoasc coninutul acestora.
(2) Fa de cele prevzute la alin. (1), deintorii de infrastructuri cibernetice de
interes naional adopt, suplimentar, msuri organizatorice i tehnice pentru:
a) implementarea unui sistem de management al riscului;
b) elaborarea de planuri de aciune pe niveluri de alert cibernetic;
c) auditarea nivelului de securitate cibernetic a infrastructurilor cibernetice de
interes naional.
Art. 20 Deintorii de infrastructuri cibernetice prevzu i la art. 2, lit. a) - c) au
urmtoarele drepturi:
10 / 16

a) s fie informai cu privire la orice msur de securitate cibernetic adoptat de


ctre autoritile competente, care i vizeaz;
b) s primeasc informri din partea autoritilor competente cu privire la
identificarea unor incidente de securitate cibernetic sau vulnerabilit i i atacuri
cibernetice identificate la nivelul infrastructurilor cibernetice deinute;
c) s solicite asisten de specialitate autoritilor competente potrivit prezentei
legi, pentru asigurarea securitii cibernetice n domeniul lor de activitate;
d) s solicite sprijinul autoritilor competente pentru realizarea de auditri de
securitate sau s utilizeze furnizori de servicii de securitate cibernetic;
e) s decid n ceea ce privete modalitatea de elaborare a politicilor proprii de
securitate cibernetic i implementare a msurilor necesare n vederea respectrii
cerinelor minime de securitate cibernetic;
f) s realizeze managementul incidentelor de securitate cibernetic, prin utilizarea
resurselor proprii, prin contractarea unor servicii de securitate cibernetic sau
solicitarea sprijinului autoritilor competente.
Art. 21 (1) Deintorii de infrastructuri cibernetice prevzu i la art. 2 lit. a) - c)
au urmtoarele obligaii:
a) s asigure implementarea cerinelor minime de securitate cibernetic;
b) s notifice dendat autoritatea competent cu privire la incidentele de
securitate cibernetic identificate;
c) s se asigure c datele tehnice referitoare la configurarea i protecia
infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate s le
cunoasc;
d) s nu permit accesul la datele de coninut din infrastructurile cibernetice
deinute sau aflate n competen, n lipsa unei ntiinri scrise din partea autoritilor
abilitate, privind existena unei autorizaii emise de judector, n condiiile legii;
e) s gestioneze incidentele de securitate cibernetic;
f) s nu afecteze, prin aciunile proprii, securitatea altor infrastructuri
cibernetice.
(2) Fa de cele prevzute la alin. (1), deintorii de infrastructuri cibernetice de
interes naional au, suplimentar, urmtoarele obligaii:
a) s efectueze auditri de securitate cibernetic, potrivit standardelor i
specificaiilor europene sau internaionale, aplicabile n domeniul securit ii
cibernetice;
b) s constituie structuri sau s desemneze persoane responsabile privind
coordonarea activitilor de securitate cibernetic;
c) s transmit autoritilor competente copie dup rapoartele de audit de
securitate cibernetic;

11 / 16

d) s elaboreze i s transmit autoritii competente planuri de aciune


corespunztoare fiecrui nivel de alert cibernetic, pe care au obligaia s le pun n
aplicare la instituirea unui nivel de alert cibernetic;
e) s transmit autoritilor competente date referitoare la rezultatele msurilor
de contracarare a incidentelor de securitate cibernetic aplicate.
Art. 22 (1) Furnizorii de servicii de comunicaii electronice destinate publicului
au obligaia de a-i informa utilizatorii i abonaii de ndat ce au fost sesizai de
autoritatea competent, dar nu mai trziu de 24 de ore din momentul n care au fost
sesizai de autoritile competente potrivit prezentei legi, cu privire la situaiile n care
sistemele informatice utilizate de acetia au fost implicate n atacuri cibernetice i de a
recomanda msurile necesare n vederea restabilirii condiiilor normale de funcionare.
(2) Notificarea prevzut la alin. (1) se realizeaz n scris, prin mijloace
electronice, sau prin orice alt modalitate stabilit prin contractul de furnizare de
servicii.
Art. 23 - (1) Furnizorii de servicii de securitate cibernetic ce desfoar
activiti pe teritoriul Romniei au obligaia s notifice autoritile competente,
dendat dar nu mai trziu de 24 de ore, cu privire la identificarea unor ameninri sau
vulnerabiliti critice a cror manifestare poate afecta infrastructura cibernetic a
deintorului sau a unor teri.
(2) Notificarea prevzut la alin. (1) se realizeaz n scris, prin mijloace
electronice sau prin orice alt modalitate stabilit de comun acord.
(3) Furnizorii de servicii de securitate cibernetic care realizeaz audit de
securitate pentru infrastructuri cibernetice de interes naional au obligaia de a se
nregistra la Ministerul Comunicaiilor i pentru Societatea Informaional, potrivit
normelor aprobate prin ordin al ministrului, care stabilesc condi iile pentru nregistrarea
i radierea acestora din Registrul Furnizorilor de Audit de Securitate Cibernetic.
Art. 24- (1) Furnizorii de servicii de gzduire internet care desfoar activiti
pe teritoriul Romniei au obligaia s acorde sprijin autoritilor competente, respectiv
organelor de urmrire penal, pentru punerea n aplicare, potrivit legii, a oricrui act de
autorizare a restrngerii temporare a exerciiului drepturilor i libertilor persoanelor,
emis de judector.
(2) Furnizorii de servicii de gzduire internet au obligaia de a nregistra i stoca
date de jurnalizare a activitilor din sistemele informatice deinute care fac obiectul
actului de autorizare de la alin. (1), pe toat perioada de valabilitate a acestuia.
(3) Persoanele care sunt chemate s acorde sprijin tehnic la punerea n executare
a actelor de autorizare, precum i persoanele care iau la cunotin despre aceasta au
obligaia s pstreze secretul operaiunii efectuate, sub sanciunea legii penale.
CAPITOLUL IV GESTIONAREA INCIDENTELOR DE SECURITATE CIBERNETIC
Art. 25 (1) Notificarea incidentelor de securitate cibernetic se transmite n
modalitatea stabilit de autoritatea competent i trebuie s conin, n mod
obligatoriu, urmtoarele elemente:
12 / 16

a) elementele de identificare ale infrastructurii cibernetice afectate;


b) descrierea incidentului;
c) perioada de desfurare a incidentului;
d) impactul incidentului.
(2) Pentru gestionarea incidentelor de securitate cibernetic, deintorii de
infrastructuri cibernetice pot solicita sprijinul furnizorilor de servicii de securitate
cibernetic sau al autoritilor prevzute de art. 9 lit. b) - e), potrivit competen elor
acestora, crora le pot pune la dispoziie date tehnice referitoare la incidentele i
atacurile cibernetice pe care le gestioneaz, cu asigurarea anonimizrii datelor cu
caracter personal deinute.
(3) Notificarea prevzut la alin. (1) i datele tehnice transmise n condi iile alin.
(2) nu vor conine:
a) informaii clasificate;
b) date care pot aduce atingere drepturilor i libertilor ceteneti ori intereselor
legitime ale unor tere entiti implicate.
Art. 26 Autoritile competente au obligaia de a stoca i a pstra pe un termen
de 5 ani notificrile primite cu privire la incidentele de securitate cibernetic i
atacurile cibernetice.
Art. 27 La primirea unei notificri sau n cazul identificrii unui incident de
securitate cibernetic sau a unui atac cibernetic, autoritatea competent are obligaia:
a) s coordoneze activitatea de management al incidentelor de securitate
cibernetic i s acorde sprijin deintorilor de infrastructuri cibernetice din zona sa de
competen pentru adoptarea de msuri reactive de prim urgen pentru asigurarea
integritii datelor i remedierea efectelor incidentelor de securitate;
b) s notifice deintorii de infrastructuri cibernetice din domeniul de competen
i celelalte autoriti competente, dac se constat c pot fi afectate de incidentul de
securitate cibernetic.
Art. 28 (1) n situaia n care n cadrul activitilor de management al
incidentului de securitate cibernetic sunt identificate informaii sau fapte care pot
indica svrirea unei infraciuni care vizeaz infrastructuri cibernetice este obligatorie
sesizarea organelor judiciare.
(2) Autoritatea competent are obligaia s sprijine activitile derulate de
organele de cercetare penal pentru investigarea infraciunilor ce vizeaz sistemele
informatice aparinnd unor infrastructuri cibernetice aflate n competena acesteia.
Art. 29 n baza notificrilor primite i a rezultatelor propriilor activiti de
identificare a ameninrilor, riscurilor i vulnerabilitilor la adresa securitii
cibernetice, autoritile competente emit ntiinri adresate, dup caz, publicului,
altor autoriti competente sau deintorilor de infrastructuri cibernetice aflai n aria
de competen, cu privire la evenimente sau stri de fapt care afecteaz securitatea
cibernetic a Romniei.
13 / 16

CAPITOLUL V APRAREA CIBERNETIC


Art. 30 (1) Aprarea cibernetic cuprinde ansamblul de msuri i activiti
adoptate i desfurate de autoritile cu atribuii n domeniul aprrii rii i securitii
naionale pentru protejarea infrastructurilor cibernetice destinate aprrii naionale i a
infrastructurilor cibernetice naionale care susin activitile NATO i UE.
(2) Infrastructurile cibernetice destinate aprrii naionale i msurile privind
aprarea cibernetic a acestora se stabilesc la intrarea n vigoare a prezentei legi i se
actualizeaz periodic prin hotrre a Consiliului Suprem de Aprare a rii.
Art. 31 (1) Activitile prevzute la art. 30 alin. (1) se planific i se desfoar
de autoritile cu atribuii n domeniul aprrii rii i securitii naionale n strns
legtur cu activitile privind aprarea naional i planificarea aprrii, conform legii
i potrivit obligaiilor asumate de Romnia la nivel internaional.
(2) Autoritile i instituiile publice au obligaia de a identifica i implementa, n
condiiile legii i n termen de 180 de zile de la intrarea n vigoare a prezentei legi
msuri de aprare cibernetic i rspund de executarea acestora, fiecare n domeniul
su de activitate.
Art. 32 (1) Ministerul Aprrii Naionale mpreun cu celelalte autoriti i
instituii publice cu atribuii n domeniul aprrii rii i securitii naionale asigur,
din timp de pace, integrarea ntr-o concepie unitar a activitilor privind aprarea
cibernetic desfurate de forele armate participante la aciunile de aprare a rii n
caz de agresiune armat, la instituirea strii de asediu, declararea strii de mobilizare
sau a strii de rzboi.
(2) Conducerea aciunilor de aprare cibernetic n caz de agresiune armat, la
instituirea strii de asediu, declararea strii de mobilizare sau a strii de rzboi se
realizeaz de ctre Centrul Naional Militar de Comand n cooperare cu Consiliul
Operativ de Securitate Cibernetic.

CAPITOLUL VI - CONTROL I SANCIUNI


Art. 33 (1) Autoritile prevzute la art. 9, lit. a), d) i e) au atribuii de control
asupra aplicrii prevederilor prezentei legi de ctre deintorii infrastructurilor
cibernetice aflate n domeniul lor de competen, activitate sau responsabilitate.
(2) n vederea exercitrii atribuiilor, conductorii autoritilor competente
desemneaz persoanele abilitate s desfoare activiti de control, n baza i n
limitele mputernicirii aprobate.
Art. 34 (1) Nerespectarea prevederilor prezentei legi atrage rspunderea
contravenional, potrivit dispoziiilor legale n vigoare.
(2) Constatarea contraveniilor i aplicarea sanciunilor se realizeaz potrivit
prevederilor Cap. II din Ordonana Guvernului nr. 2/2001 privind regimul juridic al

14 / 16

contraveniilor, aprobat cu modificri i completri prin Legea nr. 180/2002, cu


modificrile i completrile ulterioare.
(3) Procesul-verbal de contravenie poate fi contestat n termen de 30 de zile de
la data nmnrii sau comunicrii acestuia, conform Cap. IV din Ordonana Guvernului
nr. 2/2001 privind regimul juridic al contraveniilor, aprobat cu modificri i completri
prin Legea nr. 180/2002, cu modificrile i completrile ulterioare.
(4) Deintorii de infrastructuri cibernetice de la art. 2, lit. a) - c) i e) pot s
conteste actele i msurile luate de ctre autoritile competente, care sunt
susceptibile de a le prejudicia drepturile sau interesele legitime.
Art. 35 - (1) La nivelul instituiilor publice, aa cum sunt definite n Legea nr.
500/2002 privind finanele publice, cu modificrile i completrile ulterioare, fondurile
necesare organizrii i desfurrii activitii n condiiile prezentei legi se asigur de la
bugetul de stat, din venituri proprii sau din alte surse legal constituite, anual, potrivit
legii.
(2) Pentru buna desfurare a activitilor specifice pot fi utilizate i fonduri
provenite din credite externe contractate sau garantate de stat i ale cror rambursare,
dobnzi i alte costuri se asigur din fonduri publice, precum i din fonduri externe sau
europene.
Art. 36 - Constituie contravenii urmtoarele fapte dac nu au fost svrite n
astfel de condiii nct s fie considerate, potrivit legii, infraciuni:
a) nerespectarea de ctre deintorii de infrastructuri cibernetice prevzui la art.
2, lit. a) - c) a obligaiilor prevzute la art. 21 alin. (1), lit. a) i c);
b) nclcarea de ctre deintorii de infrastructuri cibernetice prevzui la art. 2,
lit. a) - c) a obligaiilor prevzute la art. 21 alin.(1), lit. d), e) i f);
c) nerespectarea de ctre deintorii de infrastructuri cibernetice de interes
naional a obligaiei prevzute la art. 19 alin. (2), precum i a obligaiilor prevzute la
art. 21, alin.(2), lit. a) - e);
d) nerespectarea de ctre furnizorii de servicii de comunicaii electronice destinate
publicului a obligaiei prevzute la art. 22;
e) nclcarea de ctre furnizorii de servicii de securitate cibernetic ce i
desfoar activitatea pe teritoriul Romniei a obligaiei prevzute la art. 23, alin. (1);
f) nerespectarea de ctre deintorii de infrastructuri cibernetice a obliga iei de
notificare prevzute la art. 21 alin. (1) lit. b) n condiiile stabilite de art. 25 alin. (1).
Art. 37 - Contraveniile prevzute la art. 36 se sancioneaz astfel:
a) cu amend de la 1.000 lei la 10.000 lei, pentru svrirea contraveniilor
prevzute la art. 36 lit. a), e) i f);
b) cu amend de la 2.000 lei la 20.000 lei, pentru svrirea contraveniilor
prevzute la art. 36, lit. b) - d).

15 / 16

CAPITOLUL VII - DISPOZIII FINALE


Art. 38 - (1) Prezenta lege nu aduce atingere prevederilor Legii nr. 677/2001
pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i
libera circulaie a acestor date, cu modificrile i completrile ulterioare precum i
celor ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal i protec ia
vieii private n sectorul comunicaiilor electronice, cu modificrile i completrile
ulterioare.
(2) n termen de 90 zile de la intrarea n vigoare a prezentei legi, Ministerul
Comunicaiilor i pentru Societatea Informaional cu sprijinul autoritilor prevzute la
art. 9 lit. b) - e) iniiaz i supune aprobrii Guvernului organizarea i funcionarea
Sistemului Naional de Alert Cibernetic.
(3) n termen de 90 zile de la intrarea n vigoare a prezentei legi, Ministerul
Comunicaiilor i pentru Societatea Informaional supune aprobrii Guvernului
Programul naional destinat managementului riscului n domeniul securitii cibernetice.
(4) Catalogul infrastructurilor cibernetice de interes naional prevzut la art.15
alin. (2) se aprob prin hotrre a Guvernului n termen de 180 de zile de la intrarea n
vigoare a prezentei legi i se va revizui periodic.
(5) Cerinele minime de securitate prevzute la art. 11, alin.1 se aprob prin
decizia preedintelui Autoritii Naionale pentru Administrare i Reglementare n
Comunicaii, n termen de 90 de zile de intrarea n vigoare a prezentei legi.
(6) Cerinele minime de securitate prevzute la art. 10 i 11 alin.(2) se aprob
prin hotrre a Guvernului, n termen de 90 zile de la intrarea n vigoare a prezentei
legi.
(7) Implementarea de ctre deintorii de infrastructuri cibernetice a cerin elor
minime de securitate cibernetic se realizeaz n termen de maximum un an de la
publicarea acestora de ctre autoritile prevzute la art. 10 i art. 11 alin. (1) i (2)
din prezenta lege.

16 / 16