Având în vedere faptul că la data de 12 ianuarie 2019 a intrat în vigoare Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, fiind publicată în Monitorul Oficial al României, Partea I, nr. 21 din 9 ianuarie 2019,având în vedere faptul că Legea nr. 362/2018, cu modificările și completările ulterioare, transpune în totalitate Directiva (UE) 2016/1.148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune,ținând cont de faptul că sub aspectul cadrului instituțional Legea nr. 362/2018, cu modificările și completările ulterioare, desemnează pentru îndeplinirea atribuțiilor de autoritate competentă, punct unic de contact și echipă de intervenție în caz de incidente de securitate informatică, denumită în continuare echipă CSIRT națională, Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, instituție publică cu personalitate juridică, în coordonarea prim-ministrului,având în vedere că pentru asigurarea unui nivel ridicat de securitate a rețelelor și sistemelor informatice care stau la baza furnizării serviciilor esențiale, identificarea operatorilor de servicii esențiale și înscrierea acestora în Registrul operatorilor de servicii esențiale este una dintre principalele etape ale implementării la nivelul României a Directivei (UE) 2016/1.148,motivat de faptul că prevederile art. 6 alin. (3) din Legea nr. 362/2018, cu modificările și completările ulterioare, nu pot fi aplicate, având în vedere faptul că există inadvertențe în textul alineatului, respectiv literele b) și c) care, în fapt, reprezintă subpuncte ale literei a),mai mult, având în vedere scrisoarea adresată României de către Comisia Europeană în Cauza 2019/2.214 (operatori servicii esențiale) de punere în întârziere, prin care Comisia reclamă încălcarea de către România a obligațiilor care îi revin în temeiul articolului 5 alineatul (7) din Directiva (UE) 2016/1.148,ținând cont de activitățile de evaluare periodică efectuate de Comisia Europeană cu privire la implementarea Directivei (UE) 2016/1.148 la nivelul statelor membre, precum și de întârzierile în transmiterea informațiilor în vederea evaluării aplicării Legii nr. 362/2018, cu modificările și completările ulterioare, de către România din cauza procesului anevoios de adoptare a actelor normative subsecvente,apreciind că cele de mai sus constituie premisele unei situații de urgență și extraordinare a căror reglementare nu poate fi amânată, din cauza efectelor negative ce ar putea afecta imaginea și interesele României în plan extern,în temeiul art. 115 alin. (4) din Constituția României, republicată,Guvernul României adoptă prezenta ordonanță de urgență. +
Articolul ILegea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, publicată în Monitorul Oficial al României, Partea I, nr. 21 din 9 ianuarie 2019, cu modificările și completările ulterioare, se modifică și se completează după cum urmează:1.La articolul 6, alineatul (3) se modifică și va avea următorul cuprins:(3)Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, denumit în continuare CERT-RO, după consultarea Grupului de lucru interinstituțional pentru determinarea valorilor de prag necesare pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale-GdLINIS, denumit în continuare GdLINIS, supune aprobării, prin hotărâre a Guvernului inițiată de Secretariatul General al Guvernului, următoarele:a)valorile de prag pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale, prin:(i)valorile de prag corespunzătoare criteriilor intersectoriale stabilite potrivit dispozițiilor alin. (2); … (ii)criteriile sectoriale specifice și valorile de prag corespunzătoare fiecărui sector și subsector de activitate prevăzut în anexă; … … b)normele tehnice de stabilire a impactului incidentelor. … … 2.La articolul 6, alineatul (4) se modifică și va avea următorul cuprins:(4)GdLINIS se înființează și funcționează la nivelul și în coordonarea CERT-RO și are un rol consultativ, fără personalitate juridică. … 3.La articolul 6, după alineatul (4) se introduc două noi alineate, alineatele (4^1) și (4^2), cu următorul cuprins:(4^1)GdLINIS sprijină CERT-RO, autoritatea competentă la nivel național, în ceea ce privește:a)determinarea și actualizarea permanentă a valorilor de prag necesare pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul rețelelor și sistemelor informatice ale operatorilor de servicii esențiale; … b)elaborarea și actualizarea permanentă a normelor tehnice de stabilire a impactului incidentelor. … (4^2)GdLINIS este compus din câte un expert/specialist din cadrul entităților prevăzute la art. 15 alin. (2) și al autorităților și entităților de reglementare și administrare a sectoarelor și subsectoarelor prevăzute în anexă. … 4.La articolul 6, alineatul (5) se abrogă. … 5.La articolul 20, litera r) se modifică și va avea următorul cuprins:r)alcătuiește și actualizează periodic, cel puțin o dată la doi ani, lista serviciilor esențiale care îndeplinesc condițiile de la art. 6 alin. (1) cu consultarea autorităților și entităților prevăzute la lit. a), precum și a celor prevăzute la art. 15 alin. (2), care se aprobă prin hotărâre de Guvern inițiată de Secretariatul General al Guvernului. … … 6.La articolul 28, alineatul (2) se modifică și va avea următorul cuprins:(2)CERT-RO, după consultarea GdLINIS, elaborează și actualizează normele tehnice de stabilire a impactului pentru categoriile de operatori și furnizori prevăzuți de prezenta lege care se aprobă prin hotărâre a Guvernului inițiată de Secretariatul General al Guvernului. … 7.În cuprinsul legii, următoarele sintagme și abrevieri se modifică și se înlocuiesc după cum urmează:a)sintagma „prin ordin al ministrului comunicațiilor și societății informaționale“ se înlocuiește cu sintagma „prin ordin al secretarului general al Guvernului“; … b)abrevierea „MCSI“ se înlocuiește cu sintagma „Secretariatul General al Guvernului“. … … +
Articolul IIÎn termen de 30 de zile de la data intrării în vigoare a prezentei ordonanțe de urgență, Secretariatul General al Guvernului propune spre aprobare hotărârile Guvernului prevăzute la art. 6 alin. (3) și la art. 20 lit. r) din Legea nr. 362/2018, cu modificările și completările ulterioare, precum și cu cele aduse prin prezenta ordonanță de urgență. +
Articolul IIISectoarele și subsectoarele de activitate prevăzute în anexa la Legea nr. 362/2018, cu modificările și completările ulterioare, se modifică sau se completează la propunerea CERT-RO prin hotărâre a Guvernului inițiată de Secretariatul General al Guvernului. +
Articolul IVPrezenta ordonanță de urgență nu aduce atingere legislației în vigoare referitoare la infrastructurile critice naționale. +
Articolul VLegea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, publicată în Monitorul Oficial al României, Partea I, nr. 21 din 9 ianuarie 2019, cu modificările și completările ulterioare, inclusiv cu cele aduse prin prezenta ordonanță de urgență, se va republica în Monitorul Oficial al României, Partea I, după aprobarea acesteia prin lege, dându-se textelor o nouă numerotare.
PRIM-MINISTRU
LUDOVIC ORBAN
Contrasemnează:
Secretarul general al Guvernului,
Antonel Tănase
Directorul general al Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO,
Dan Cîmpean
Ministrul afacerilor externe,
Bogdan Lucian Aurescu
Ministrul apărării naționale,
Nicolae-Ionel Ciucă
Ministrul afacerilor interne,
Marcel Ion VelaBucurești, 22 iulie 2020.Nr. 119.–-
