O.U.G. nr. 104/2021 privind înfiinţarea Directoratului Naţional de Securitate Cibernetică – contravenții și sancțiuni

În M. Of. nr. 918 din 24 septembrie 2021 s-a publicat O.U.G. nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică. 

Vă prezentăm, în continuare, dispozițiile relevante din respectiva Ordonanță.

Art. 1. Înființarea Directoratului

„(1) Se înființează Directoratul Național de Securitate Cibernetică, denumit în continuare DNSC, organ de specialitate al administrației publice centrale, în subordinea Guvernului și în coordonarea prim-ministrului, cu personalitate juridică, finanțat integral din bugetul de stat, prin bugetul Secretariatului General al Guvernului.

(2) Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO se desființează la data intrării în vigoare a prezentei ordonanțe de urgență.

(3) La data intrării în vigoare a prezentei ordonanțe de urgență, DNSC preia activitățile, atribuțiile și personalul Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, cu menținerea drepturilor salariale avute la data preluării.

(4) DNSC are sediul central în municipiul București, Strada Italiană nr. 22, sectorul 2, în imobilul proprietate a statului român și aflat în administrarea CERT-RO, potrivit Hotărârii Guvernului nr. 1.005/2020 privind transmiterea unui imobil aflat în domeniul public al statului din administrarea Ministerului Transporturilor, Infrastructurii și Comunicațiilor în administrarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, cu destinația de sediu al CERT-RO, și pentru modificarea Hotărârii Guvernului nr. 494/2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO.

(5) DNSC are calitatea de membru permanent în Consiliul Operativ de Securitate Cibernetică, denumit în continuare COSC.

(6) DNSC are responsabilități privind securitatea cibernetică a spațiului cibernetic național civil.

(7) DNSC are în structura internă compartimente funcționale, precum și alte structuri în subordinea sa, fără personalitate juridică.

(8) DNSC înființează structuri regionale și județene, fără personalitate juridică.”

Art. 3. Responsabilități și principii

„(1) Principala responsabilitate a DNSC este asigurarea securității cibernetice a spațiului cibernetic național civil, în colaborare cu instituțiile și autoritățile competente.

(2) DNSC este autoritatea competentă la nivel național pentru spațiul cibernetic național civil, precum și pentru gestionarea riscurilor și a incidentelor de securitate cibernetică.

(3) În exercitarea calității de autoritate competentă la nivel național, DNSC se consultă și cooperează cu:

a) Serviciul Român de Informații – privind asigurarea securității cibernetice a spațiului cibernetic național civil a cărei afectare aduce atingere securității naționale;

b) Ministerul Apărării Naționale – privind asigurarea securității cibernetice a spațiului cibernetic național civil a cărei afectare aduce atingere apărării țării;

c) Ministerul Afacerilor Interne, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale și Serviciul de Protecție și Pază – privind asigurarea securității cibernetice a spațiului cibernetic național civil a cărei afectare aduce atingere domeniului acestora de activitate și responsabilitate;

d) Administrația Prezidențială – privind asigurarea securității spațiului cibernetic național civil a cărei afectare aduce atingere infrastructurilor cibernetice din domeniul de activitate și responsabilitate al acesteia sau celor destinate Consiliului Suprem de Apărare a Țării, denumit în continuare CSAT, administrate potrivit cadrului legislativ specific și hotărârilor adoptate de acesta în condițiile legii.

(4) Pentru îndeplinirea responsabilităților sale, DNSC se consultă și cooperează, după caz, cu:

a) instituțiile publice prevăzute la alin. (3);

b) Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal, în condițiile legii;

c) Autoritatea Națională pentru Administrare și Reglementare în Comunicații, atunci când incidentele au ca rezultat afectarea securității ori funcționării rețelelor publice de comunicații electronice ori când pentru administrarea unui incident sunt necesare măsuri ce intră în aria de activitate și responsabilitate a acesteia;

d) Oficiul Registrului National al Informațiilor Secrete de Stat, în cazul incidentelor și atacurilor cibernetice asupra sistemelor informatice și de comunicații care vehiculează informații clasificate;

e) Ministerul Afacerilor Externe, în cazul unor incidente și atacuri cibernetice care afectează interese pe plan extern ale României;

f) organele de urmărire penală, în condițiile legii.

(5) În vederea atingerii obiectivelor și funcțiilor, DNSC aplică următoarele principii:

a) principiul legalității – atât DNSC, cât și personalul instituției acționează cu respectarea prevederilor legale în vigoare și a tratatelor și convențiilor internaționale la care România este parte;

b) principiul egalității – beneficiarii activităților desfășurate de către DNSC vor fi tratați în mod egal, într-o manieră nediscriminatorie, corelativ cu obligația DNSC de autoritate națională, de a trata în mod egal pe toți beneficiarii, fără discriminare, pe criteriile prevăzute de legislația în domeniul de competență;

c) principiul transparenței – în procesul elaborării de propuneri de acte normative, DNSC va informa și va supune consultării și dezbaterii publice proiectele de acte normative și va permite accesul persoanelor juridice și fizice la datele și informațiile de interes public, în condițiile Legii nr. 544/2001 privind liberul acces la informațiile de interes public, cu modificările și completările ulterioare. În același timp, beneficiarii DNSC au dreptul de a obține informații de la instituție, iar instituția are obligația de a pune la dispoziția beneficiarilor informații, din oficiu sau la cerere, în limitele legii;

d) principiul proporționalității – activitatea DNSC trebuie să fie corespunzătoare cu legislația națională și să satisfacă interesul public, precum și echilibrată din punctul de vedere al efectelor asupra persoanelor fizice și juridice;

e) principiul imparțialității – personalul DNSC își exercită atribuțiile legale fără subiectivism, indiferent de propriile convingeri sau interese;

f) principiul continuității – activitatea DNSC se exercită fără întreruperi, cu respectarea prevederilor legale;

g) principiul neutralității tehnologice – în activitatea specifică de reglementare, testare și evaluare, DNSC nu favorizează o anumită marcă sau tehnologie și nu impune sau discriminează în favoarea utilizării unui anumit tip de tehnologie;

h) principiul solidarității internaționale – în relațiile cu partenerii din Uniunea Europeană și celelalte state sau organizații, DNSC promovează cooperarea între state în vederea rezolvării cât mai eficiente a provocărilor globale în domeniul securității cibernetice;

i) principiul sincronizării – măsurile și cerințele de securitate impuse de DNSC vor ține cont de evoluția fenomenului securității cibernetice la nivelul Uniunii Europene;

j) principiul satisfacerii interesului public – DNSC, precum și personalul instituției urmăresc satisfacerea interesului public înaintea celui individual sau de grup. Interesul public național este prioritar față de interesul public local;

k) principiul conștientizării – în activitatea sa de informare a persoanelor fizice și juridice, precum și a cetățenilor, DNSC prezintă noi cunoștințe și informații cu privire la vulnerabilitățile, riscurile și atacurile cibernetice, pe înțelesul tuturor, folosind diverse metode de atragere a interesului grupurilor-țintă.

(6) În îndeplinirea atribuțiilor sale, DNSC urmărește atingerea obiectivelor, luând în acest sens măsuri rezonabile, cu respectarea principiilor prevăzute la alin. (5).

(7) Responsabilitățile DNSC nu aduc atingere legislației în vigoare referitoare la sistemul național de apărare, ordine publică și securitate națională, la infrastructurile critice naționale și la informațiile clasificate.”

Art. 5. Funcții și atribuții

„În îndeplinirea obiectivelor, DNSC exercită următoarele funcții și atribuții:

a) Strategie și planificare

1. realizează politica Guvernului în domeniul securității cibernetice și stabilește la nivel național strategiile și politicile publice în domeniul securității cibernetice;

2. asigură elaborarea și diseminarea politicilor publice de prevenire și contracarare a incidentelor din cadrul infrastructurilor cibernetice din spațiul cibernetic civil național;

3. participă la elaborarea strategiei naționale de securitate cibernetică în cooperare cu instituțiile din Sistemul Național de Apărare, Ordine Publică și Securitate Națională, denumit în continuare SNAOPSN, cu competențe în domeniu, și coordonează implementarea acesteia, asigurând inclusiv monitorizarea acțiunilor întreprinse, a măsurilor implementate și evaluarea rezultatelor obținute;

4. elaborează și coordonează aplicarea planului de management al crizelor de securitate cibernetică la nivel național pe timp de pace, în cooperare cu instituțiile care au competențe și atribuții în domeniul managementului crizelor;

5. elaborează și coordonează implementarea strategiei naționale de instruire în domeniul securității cibernetice, în cooperare cu instituțiile care au competențe și atribuții în domeniu;

6. elaborează și coordonează implementarea strategiei naționale de cooperare între instituții din domeniul public, privat, de educație și cercetare, pentru asigurarea unei viziuni și abordări realiste, comune și coerente privitor la securitatea cibernetică a României, inclusiv din perspectiva pregătirii și menținerii resursei umane în România;

7. elaborează propuneri privind modificarea cadrului legislativ în domeniul securității cibernetice, pe care le înaintează către Guvernul României;

8. asigură sprijin autorităților publice în elaborarea și implementarea strategiilor naționale sectoriale, care includ componente de securitate cibernetică;

9. sprijină participarea instituțiilor statului român și a altor părți interesate în proiecte naționale și internaționale din domeniul securității cibernetice, în vederea îndeplinirii obiectivelor strategiei naționale de securitate cibernetică;

b) Funcția de autoritate competentă la nivel național de reglementare, supraveghere și control – asigură reglementarea și gestionarea securității cibernetice a României și a spațiului cibernetic național civil, astfel:

1. monitorizează implementarea strategiei și politicilor naționale și sectoriale în domeniul securității cibernetice;

2. elaborează cadrul normativ și instituțional în domeniul securității cibernetice, inițiază și, respectiv, avizează proiecte de acte normative în domeniul său de competență, pe care le supune spre aprobare, în condițiile legii;

3. exercită atribuțiile stabilite prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare;

4. elaborează regulamente, norme, cerințe, ghiduri și recomandări, în domeniul de competență, care se aprobă prin decizia directorului DNSC și se publică, după caz, în Monitorul Oficial al României sau pe site-ul instituției;

5. îndeplinește atribuțiile de autoritate națională pentru furnizorii de servicii de găzduire/hosting, de servicii tip cloud, de servicii de identificare electronică, de servicii de încredere pentru tranzacțiile electronice și furnizorii de rețele de distribuție de conținut;

6. stabilește standardele și reglementările în domeniul securității cibernetice la nivel național, cu excepția domeniilor prevăzute la art. 20 alin. (1), care devin obligatorii odată cu publicarea în Monitorul Oficial al României, Partea I, și verifică implementarea acestora prin acțiuni de control;

7. gestionează și administrează evidențe privind persoanele fizice și juridice care intră sub incidența actelor normative care reglementează domeniul securității cibernetice, conform atribuțiilor instituției;

c) Funcția de CSIRT național

1. asigură coordonarea activităților la nivel național de detecție, protecție și răspuns la atacuri cibernetice, precum și desfășurarea de activități de supraveghere, monitorizare, identificare, analiză, investigare și de răspuns la incidente de securitate cibernetică, prin echipa CSIRT națională, pentru infrastructurile cibernetice aflate în domeniul de competență, așa cum vor fi definite prin regulamentul de organizare și funcționare al DNSC;

2. exercită și atribuțiile de CSIRT național stabilite prin Legea nr. 362/2018, cu modificările și completările ulterioare;

3. coordonează răspunsul la incidente de securitate cibernetice la nivel național pentru domeniul său de competență;

4. monitorizează, identifică, analizează și răspunde la amenințările de securitate cibernetică din spațiul cibernetic național civil;

5. derulează activități de investigare a incidentelor cibernetice care vizează sau utilizează spațiul cibernetic național civil, în conformitate cu competențele legale, utilizând, după caz, metode tehnice care presupun inclusiv analiza metadatelor corespunzătoare conexiunilor de rețea puse la dispoziția DNSC de către posesorii acestora;

6. evaluează riscurile de securitate cibernetică la nivel național și emite avertizări, buletine de informare și de prognoză;

7. derulează activități de identificare și analiză a amenințărilor, inclusiv în cooperare cu mediul public, privat și academic, în scopul implementării unui nivel ridicat de securitate cibernetică;

8. derulează activități tehnice specifice de identificare a vulnerabilităților site-urilor cu conținut în limba română și emite avertizări de securitate;

9. dezvoltă sisteme și instrumente de identificare, analiză și prognoză privind incidentele cibernetice, în baza cărora stabilește impactul la nivel național și transfrontalier al incidentelor și informează autoritățile relevante la nivel național, precum și autoritățile similare din alte state potențial afectate. În acest sens, DNSC cooperează cu instituțiile din sistemul național de apărare, ordine publică și securitate națională, precum și cu mediul privat și mediul academic;

10. asigură colectarea, în condițiile legii, analiza și schimbul de informații privind riscurile și vulnerabilitățile de securitate ale rețelelor și sistemelor informatice, precum și ale produselor și serviciilor de securitate cibernetică;

11. oferă servicii publice de tip preventiv, de tip reactiv și de consultanță pentru managementul securității cibernetice;

12. implementează, gestionează și coordonează Platforma Națională pentru Raportarea Incidentelor de Securitate Cibernetică, denumită în continuare PNRISC;

d) Funcția de CSIRT guvernamental

1. monitorizează implementarea măsurilor de securitate cibernetică la nivelul instituțiilor Guvernului României, în colaborare și coordonare cu instituțiile statului care au competențe și atribuții în domeniu;

2. sprijină instituțiile statului care au competențe și atribuții în domeniu în exercitarea atribuțiilor legate de securitatea cibernetică;

e) Funcția de coordonare, implementare, îndrumare și sprijin a CSIRT-urilor sectoriale

1. asigură sau participă la asigurarea funcției de CSIRT sectorial pentru toate sectoarele specificate de Legea nr. 362/2018, cu modificările și completările ulterioare, în colaborare și coordonare cu instituțiile statului care au competențe și atribuții în domeniu și cu autoritățile de reglementare din sectoarele implicate;

2. în cooperare cu instituțiile sau organizațiile care coordonează și/sau reglementează domenii de activitate ce pot fi afectate de incidente de securitate cibernetică, dezvoltă echipe CSIRT sectoriale sau participă la completarea capabilităților echipelor constituite la nivel sectorial, subsectorial ori al instituțiilor sau organizațiilor;

f) Funcția de echipă de răspuns la incidente de securitate cibernetică pentru produse și servicii informatice utilizate în cadrul sectorului guvernamental

1. asigură identificarea, evaluarea și gestionarea riscurilor asociate vulnerabilităților de securitate cibernetică din produsele, soluțiile, componentele și/sau serviciile informatice ale sectorului guvernamental;

2. asigură infrastructura și procesele necesare pentru primirea, investigarea și raportarea, publică sau către instituțiile statului care au competențe și atribuții în domeniu, a informațiilor privind vulnerabilitățile de securitate cibernetică ale produselor, soluțiilor, componentelor și/sau serviciilor informatice ale sectorului guvernamental;

g) Funcția de alertare, prevenire, conștientizare și instruire

1. asigură informarea și pregătirea la nivel național a populației, precum și a tuturor entităților care fac parte din spațiul cibernetic civil național, inclusiv a operatorilor economici din sectoarele stabilite în baza Legii nr. 362/2018, cu modificările și completările ulterioare, și din sectorul public cu privire la riscurile de securitate din spațiul cibernetic civil;

2. promovează dezvoltarea unui comportament adecvat în spațiul cibernetic național civil pentru persoanele fizice și juridice prin conștientizarea efectelor consecințelor atacurilor cibernetice și a modalității de semnalare a acestora;

3. emite informări privind obligațiile care derivă din calitatea de administrator, furnizor sau utilizator al rețelelor și sistemelor informatice, privind răspunsul în fața unor posibile atacuri cibernetice, privind conștientizarea cetățenilor și instituțiilor publice și private despre necesitatea semnalării sau notificării atacurilor cibernetice;

4. dezvoltă cadrul național de conștientizare a populației în cooperare cu mediul public, privat și academic în scopul asigurării unei abordări eficiente a pregătirii populației privind modalitățile de comportament, reacție și reziliență cibernetică în mediul online;

5. desfășoară și participă la campanii și acțiuni de prevenire și conștientizare a cauzelor și consecințelor atacurilor cibernetice asupra rețelelor și sistemelor informatice civile, la nivel internațional, național și regional;

h) Funcția de cooperare și colaborare

1. asigură cadrul de cooperare în vederea derulării de activități specifice asigurării securității cibernetice, cercetării, schimbului de informații, instruirii, educației, conștientizării, elaborării de proiecte, precum și a oricăror altor activități necesare pentru asigurarea securității cibernetice a României, conform competențelor legale;

2. asigură reprezentarea României în formatele de cooperare internațională pe domeniile de competență, în cooperare cu alte autorități competente ale statului, în interesul asigurării cooperării interinstituționale, informării reciproce și susținerii unei poziții unitare la nivel internațional;

3. sprijină efortul național, instituțiile și autoritățile competente ale statului, precum și inițiativele de cooperare în cadrul organizațiilor internaționale din care România face parte – în special în cadrul Uniunii Europene (UE), al Organizației Națiunilor Unite (ONU), al Organizației pentru Securitate și Cooperare în Europa (OSCE) și al Organizației Tratatului Atlanticului de Nord (NATO);

4. în colaborare cu alte autorități competente, universități, centre de cercetare și operatori economici, participă la dezvoltarea de soluții tehnologice de securitate cibernetică de interes, care pot avea o dublă utilizare civilă și militară;

5. înființează, coordonează și gestionează Platforma Națională de Cooperare în Domeniul Securității Cibernetice, denumită în continuare PNCDSC, între instituțiile de stat, mediul privat, mediul academic și organizații nonguvernamentale, în scopul asigurării unui cadru național unitar de expertiză, cercetare, informare și orice alte acțiuni conexe domeniului de competență;

6. participă în grupuri de cooperare, de lucru sau de specialitate și în rețele de cooperare, forumuri și organizații din domeniul securității cibernetice constituite la nivel național, european și internațional;

7. dezvoltă relații de parteneriat cu alte structuri naționale sau internaționale cu competențe și responsabilități în domeniul securității cibernetice, în acest sens încheind memorandumuri și protocoale de cooperare cu persoane de drept public sau privat, naționale sau străine;

8. cooperează cu instituțiile din SNAOPSN, precum și din COSC în vederea asigurării securității cibernetice la nivelul României;

9. cooperează cu Ministerul Cercetării, Inovării și Digitalizării, precum și cu Centrul de competențe european industrial, tehnologic și de cercetare în materie de securitate cibernetică pe domeniile de competență;

10. sprijină participarea instituțiilor statului român și a altor părți interesate în proiecte naționale și internaționale din domeniul securității cibernetice;

i) Funcția de autoritate națională de certificare privind securitatea cibernetică – are calitatea de organism național și asigură mecanismele naționale privind evaluarea, certificarea și acreditarea produselor, serviciilor și proceselor în domeniul securității cibernetice.

1. DNSC este autoritate națională de certificare în domeniul securității cibernetice pentru spațiul cibernetic civil. În această calitate, certifică din punctul de vedere al securității cibernetice tehnologii, produse și servicii;

2. stabilește norme, cerințe tehnice, standarde și proceduri pentru implementarea Regulamentului (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică);

3. înființează și gestionează Registrul Național al Activelor, Produselor și Serviciilor de Securitate Cibernetică, denumit în continuare RNAPSSC;

4. autorizează laboratoarele civile de testare, evaluare și certificare a securității cibernetice a produselor și serviciilor care sunt utilizate în cadrul rețelelor și sistemelor informatice;

5. cooperează cu instituțiile naționale și internaționale în domeniul standardizării și acreditarii produselor, serviciilor și proceselor în domeniul securității cibernetice;

j) Funcția de asigurare a conformității și abordării unitare a securității cibernetice în cadrul infrastructurilor cibernetice

1. avizează din punct de vedere al securității cibernetice proiectele finanțate din fonduri publice sau pentru care s-au solicitat garanții guvernamentale care implică rețele și sisteme informatice care intră sub incidența Legii nr. 362/2018. Avizarea se realizează prin raportare la cerințele și normele tehnice din domeniul securității cibernetice adoptate la nivel național și internațional;

2. verifică și validează conformitatea implementării măsurilor de securitate cibernetică în proiectele de la pct. 1;

k) Funcția de reprezentare – asigură, în numele României, reprezentarea în organismele și organizațiile naționale, regionale, europene și internaționale, ca autoritate națională pentru domeniul său de activitate, în conformitate cu cadrul normativ în vigoare.

l) Funcția de cercetare-dezvoltare

1. consolidează, sprijină și promovează potențialul național de cercetare, dezvoltare și inovare al activităților, proceselor și tehnologiilor de vârf de securitate cibernetică, pe baza capacităților individuale și colective ale sectorului public și privat, ale mediului academic și ale industriei;

2. desfășoară și participă la activități de cercetare-dezvoltare în domeniul securității cibernetice și elaborează proceduri și recomandări privind securitatea cibernetică, potrivit prevederilor legale privind cercetarea științifică și dezvoltarea tehnologică;

3. elaborează studii și cercetări privind problematica securității cibernetice a produselor, serviciilor și infrastructurilor cibernetice;

4. elaborează și actualizează cadrul metodologic, procedural și de bune practici cu privire la activitatea de cercetare științifică în domeniul securității cibernetice, prin consultare cu instituțiile care au atribuții și competențe în domeniu;

5. planifică și desfășoară activități de cercetare științifică în domeniile de competență, cooperând la nivel central și teritorial cu instituții din mediul public, privat și academic, precum și cu persoane fizice;

6. dezvoltă relații pe linie de cercetare științifică cu universități, institute de cercetare, edituri, biblioteci și specialiști în domeniu din țară și din străinătate;

7. promovează inițiativa științifică, dezvoltarea și inovarea în domenii specifice securității cibernetice, cu scopul de a sprijini și proteja interesele naționale în acest domeniu;

m) Funcția de analiză și prognoză – evaluează și analizează evoluțiile din domeniul securității cibernetice și emite avertizări, analize, buletine de informare și de prognoză.

n) Funcția de identificare, evaluare, monitorizare și atenuare a riscurilor cibernetice la nivel național

o) Funcția de centru național de gestionare a crizelor de natură cibernetică pe timp de pace

1. la nivelul DNSC se constituie Centrul Național de Gestionare a Crizelor de Securitate Cibernetică, denumit în continuare CNGCSC, din care fac parte reprezentanți din cadrul instituțiilor și autorităților competente, cu responsabilități în domeniul securității cibernetice;

2. împreună cu instituțiile din SNAOPSN, CNGCSC, asigură procesarea și analiza datelor și informațiilor referitoare la atacurile cibernetice care vizează spațiul național cu potențial impact major în sfera rețelelor și sistemelor informatice, prin produse analitice, destinate fundamentării deciziei de nivel strategic sau care să constituie suportul operațional pentru managementul crizelor cibernetice;

3. prin colaborare cu ceilalți membri permanenți din COSC, CNGCSC, asigură managementul crizelor cibernetice cauzate de atacuri cibernetice, în colaborare cu instituțiile statului care au competențe și atribuții în domeniul de gestionare a crizelor care afectează buna funcționare a statului;

p) Funcția de evaluare a securității cibernetice a noilor tehnologii

1. evaluează din punctul de vedere al securității cibernetice sisteme de control industrial, sisteme informatice și rețele complexe, produse și servicii, precum și noile tehnologii;

2. evaluează riscurile identificate, precum și impactul acestora asupra securității cibernetice a României;

q) Funcția de evaluare și certificare

1. evaluează, testează și certifică produse și servicii de securitate cibernetică, pentru nevoi proprii sau la solicitarea instituțiilor din SNAOPSN și/sau a Guvernului;

2. stabilește reguli, prescripții sau caracteristici pentru activități sau pentru rezultatele acestora din domeniul securității cibernetice, pentru asigurarea unei abordări unitare la nivel național în scopul realizării unui nivel ridicat al securității cibernetice;

3. în colaborare cu organismele specializate, participă la elaborarea, aprobarea și adoptarea de standarde în domeniul de competență, pe care le pune la dispoziția publicului;

4. participă la lucrările comitetelor tehnice naționale și internaționale pentru punerea în aplicare a standardelor și specificațiilor tehnice acceptate la nivel internațional, aplicabile securității rețelelor și a sistemelor informatice, fără a impune sau discrimina în favoarea utilizării unui anumit tip de tehnologie;

r) Funcția de educație și pregătire în domeniul securității cibernetice

1. dezvoltă parteneriate cu ministere de resort, cu școli, licee, colegii și universități, cu mediul privat, precum și cu parteneri internaționali, în scopul creării cadrului național de educație și pregătire în domeniul securității cibernetice care să ofere resursa umană necesară statului român pentru asigurarea securității cibernetice;

2. promovează școlarizarea, educarea și formarea profesională a elevilor și studenților cu privire la securitatea cibernetică în vederea asigurării implementării și utilizării noilor tehnologii în viața de zi cu zi;

3. desfășoară acțiuni, exerciții și colocvii de pregătire și instruire;

4. inițiază și coordonează, în colaborare cu reprezentanți ai mediului public, privat și academic, înființarea și dezvoltarea de centre de excelență în domeniul securității cibernetice, centrale și regionale, având ca scop pregătirea resursei umane calificate pentru nevoile naționale, desfășurarea de activități de cercetare-dezvoltare în domeniul securității cibernetice, precum și orice alte activități necesare asigurării unui nivel ridicat de securitate cibernetică în România. Aceste activități pot include, fără a se limita la, pregătirea resursei umane din alte state;

5. certifică, la cerere, centre de excelență, programe de școlarizare, educare și formare profesională în domeniul securității cibernetice;

s) Funcția de management al proiectelor și serviciilor pentru activități se realizează fără a aduce atingere activităților prevăzute la lit. b) și lit. q), după cum urmează:

1. întocmește, conduce, execută și participă la identificarea, coordonarea și implementarea de proiecte de interes comun, cu finanțare internă sau externă, atât pe cont propriu, cât și în parteneriat, și facilitează accesul instituțiilor, operatorilor economici și persoanelor abilitate la aceste proiecte;

2. pe durata derulării activităților specifice proiectelor prevăzute la pct. 1, poate crea sau participa în structuri fără personalitate juridică, departamente, secții, laboratoare ori alte structuri legale sau organizatorice necesare realizării obiectivelor, funcțiilor și atribuțiilor sale, cu respectarea prevederilor legale în vigoare.”

Art. 8. Atribuții ale conducerii DNSC

„(1) Directorul DNSC are următoarele atribuții principale:

a) supune spre aprobare prim-ministrului, cu avizul CSAT, strategia de dezvoltare instituțională a DNSC, programe de activitate și cooperare și planul anual de activitate ale DNSC;

b) aprobă planurile de investiții ale DNSC;

c) convoacă și prezidează reuniunile Comitetului director al DNSC;

d) stabilește amplasarea sediilor structurilor regionale și județene ale DNSC, structuri fără personalitate juridică;

e) stabilește, prin decizie internă, atribuțiile specifice fiecărui compartiment funcțional din cadrul DNSC;

f) aprobă regulamentul intern al DNSC;

g) aprobă, în condițiile legii, încadrarea, promovarea, precum și modificarea sau încetarea raporturilor de muncă ale personalului DNSC;

h) prezintă anual în CSAT raportul de activitate al DNSC;

i) supune spre aprobare CSAT actele de organizare ale DNSC, respectiv statul de funcții, structura organizatorică și regulamentul de organizare și funcționare, precum și orice modificare a acestora.

(2) Directorul DNSC poate delega adjuncților săi atribuțiile prevăzute la alin. (1).

(3) În lipsa directorului DNSC, atribuțiile sale se exercită de către adjunctul directorului DNSC desemnat prin decizie a directorului DNSC.

(4) Dacă atât directorul DNSC, cât și adjuncții directorului DNSC sunt absenți sau în imposibilitate temporară de a-și exercita prerogativele, reprezentarea DNSC se asigură de către o persoană cu funcție de conducere desemnată prin decizie a directorului DNSC.”

Art. 15. Patrimoniu

„(1) La data intrării în vigoare a prezentei ordonanțe de urgență DNSC preia patrimoniul, arhiva și creditele bugetare angajate, inclusiv pe întreg anul în curs, în limita creditelor de angajament și în scopurile pentru care au fost aprobate Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, care se desființează.

(2) DNSC se subrogă în toate drepturile și obligațiile CERT-RO, inclusiv în litigiile aflate pe rolul instanțelor judecătorești, și dobândește calitatea procesuală a acestuia.

(3) Predarea-preluarea patrimoniului se efectuează în baza situațiilor financiare întocmite potrivit prevederilor art. 28 alin. (1¹) din Legea contabilității nr. 82/1991, republicată, cu modificările și completările ulterioare, și a protocolului de predare-preluare întocmit în termen de 30 de zile de la data intrării în vigoare a prezentei ordonanțe de urgență. Protocolul de predare-preluare cuprinde și creditele bugetare, creditele de angajament și execuția bugetară pe anul în curs.”

Art. 17. Atribuții în situații de criză cibernetică pe timp de pace

„(1) Atribuțiile specifice, modul de organizare și funcționare a CNGCSC se stabilesc prin Regulamentul de organizare și funcționare a CNGCSC, care se elaborează de către DNSC în termen de 180 de zile de la intrarea în vigoare a prezentei ordonanțe de urgență și se aprobă de către directorul DNSC, după consultarea celorlalți membri permanenți din COSC.

(2) Conducerea DNSC va dispune măsurile necesare pentru asigurarea capacității operaționale a instituției, inclusiv a CNGCSC pentru gestionarea de criză cibernetică pe timp de pace.”

Art. 19. Activitatea de verificare a laboratoarelor civile

„(1) DNSC exercită controlul activității desfășurate de către laboratoarele civile de testare, evaluare și certificare a securității cibernetice a produselor și serviciilor care sunt utilizate în cadrul rețelelor și sistemelor informatice.

(2) DNSC verifică îndeplinirea obligațiilor de către laboratoarele civile în baza regulamentului de autorizare și verificare prevăzut la art. 18 alin. (2).

(3) Următoarele fapte constituie contravenții dacă nu au fost săvârșite în astfel de condiții încât să fie considerate infracțiuni potrivit legii:

a) utilizarea titulaturii de laborator civil autorizat, fără o autorizație acordată de către DNSC, în temeiul art. 18 alin. (1);

b) furnizarea de rapoarte sau certificate de testare, evaluare sau certificare de către laboratoare civile neautorizate sau fără autorizație valabilă în temeiul art. 18 alin. (1);

c) refuzul laboratorului civil de a se supune controlului declanșat de DNSC în temeiul art. 18 alin. (7).

(4) Prin derogare de la dispozițiile art. 8 alin. (2) lit. a) din Ordonanța Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, contravențiile prevăzute la alin. (3) se sancționează astfel:

a) cu amendă de la 5.000 lei la 50.000 lei, iar în cazul săvârșirii unei noi contravenții în termen de 6 luni, de la data săvârșirii primei contravenții, limita maximă a amenzii este de 200.000 lei;

b) pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, cu amendă în cuantum de până la 5% din cifra de afaceri netă, iar, în cazul săvârșirii unei noi contravenții, în termen de 6 luni, de la data săvârșirii primei contravenții, limita maximă a amenzii este de 10% din cifra de afaceri netă.

(5) Cifra de afaceri netă prevăzută la alin. (4) lit. b) este cea înregistrată de operatorul economic în ultimul exercițiu financiar.

(6) În vederea individualizării sancțiunii prevăzute la alin. (4), DNSC va lua în considerare gradul de pericol social concret al faptei și perioada de timp în care obligația legală a fost încălcată.

(7) Pentru persoanele fizice autorizate, întreprinderile individuale și întreprinderile familiale, cifrei de afaceri prevăzute la alin. (4) lit. b) îi corespunde totalitatea veniturilor realizate de respectivii operatori economici în exercițiul financiar anterior sancționării.

(8) Pentru entitățile nou-înființate și pentru entitățile care nu au înregistrat cifra de afaceri în exercițiul financiar anterior sancționării, amenda prevăzută la alin. (4) se stabilește în cuantum de minimum 1 și maximum 25 de salarii minime brute pe economie.

(9) În măsura în care prezenta ordonanță de urgență nu prevede altfel, contravențiilor prevăzute la alin. (3) li se aplică dispozițiile Ordonanței Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare.

(10) Constatarea contravențiilor prevăzute la alin. (3) se realizează de către personalul de control din cadrul DNSC, iar aplicarea sancțiunii corespunzătoare se face prin decizia directorului DNSC.

(11) Decizia prevăzută la alin. (10) trebuie să cuprindă următoarele elemente: datele de identificare ale contravenientului, data săvârșirii faptei, descrierea faptei contravenționale și a împrejurărilor care au fost avute în vedere la individualizarea sancțiunii, indicarea temeiului legal potrivit căruia se stabilește și se sancționează contravenția, sancțiunea aplicată, termenul și modalitatea de plată a amenzii, termenul de exercitare a căii de atac și instanța de judecată competentă.

(12) Dacă este cazul, directorul DNSC sesizează Consiliul Concurenței cu privire la existența unor posibile fapte sau acte anticoncurențiale.

(13) Prin derogare de la prevederile art. 13 din Ordonanța Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, aplicarea sancțiunii potrivit alin. (4) se prescrie în termen de un an de la data săvârșirii faptei. În cazul încălcărilor care durează în timp sau al celor constând în săvârșirea, în baza aceleiași rezoluții, la intervale diferite de timp, a mai multor acțiuni sau inacțiuni, care prezintă, fiecare în parte, conținutul aceleiași contravenții, prescripția începe să curgă de la data constatării sau de la data încetării ultimului act ori fapt săvârșit, dacă acest moment intervine anterior constatării.

(14) Prin derogare de la dispozițiile art. 14 alin. (1) din Ordonanța Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002 cu modificările și completările ulterioare, decizia prevăzută la alin. (10) se comunică contravenientului în termen de 15 zile de la data emiterii deciziei.

(15) Odată cu decizia prevăzută la alin. (10), contravenientului i se comunică și înștiințarea de plată, care conține mențiunea privind obligativitatea achitării amenzii în termen de 30 de zile de la data comunicării deciziei.

(16) Decizia prevăzută la alin. (10) constituie titlu executoriu, fără vreo altă formalitate. Acțiunea în contencios administrativ în condițiile alin. (18) suspendă executarea numai în ceea ce privește achitarea amenzii, până la pronunțarea de către instanța de judecată a unei hotărâri definitive.

(17) Sumele provenite din amenzile aplicate în conformitate cu dispozițiile prezentului articol se fac venit integral la bugetul de stat. Executarea se realizează în conformitate cu dispozițiile legale privind executarea silită a creanțelor fiscale. În vederea punerii în executare a sancțiunii, DNSC comunică din oficiu organelor de specialitate ale Agenției Naționale de Administrare Fiscală decizia prevăzută la alin. (10), după expirarea termenului prevăzut în înștiințarea de plată sau după rămânerea definitivă a hotărârii judecătorești prin care s-a soluționat acțiunea în contencios administrativ.

(18) Prin derogare de la dispozițiile art. 7 din Legea contenciosului administrativ nr. 554/2004, cu modificările și completările ulterioare, și de la dispozițiile art. 32 alin. (1) din Ordonanța Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, deciziile adoptate potrivit prezentei ordonanțe de urgență pot fi atacate în contencios administrativ la Curtea de Apel București, fără parcurgerea procedurii prealabile, în termen de 30 de zile de la comunicarea acestora.

(19) În exercitarea atribuțiilor prevăzute la art. 5 lit. i) DNSC sesizează Consiliul Concurenței cu privire la existența unor posibile fapte sau acte anticoncurențiale.

(20) Prevederile art. 19 intră în vigoare în termen de 30 de zile de la data publicării prezentei ordonanțe de urgență.”