Ţinând cont de faptul că evoluţia rapidă şi adoptarea tehnologiilor emergente creează noi tipuri de interdependenţe şi expun infrastructura critică a statului unor riscuri complexe, neprevăzute anterior, susceptibile de a genera efecte semnificative asupra securităţii cibernetice, efecte care se extind şi asupra autorităţilor şi instituţiilor din administraţia publică, având în vedere faptul că diversificarea şi utilizarea serviciilor furnizate în mediul online au cunoscut o accelerare majoră datorată unui ansamblu de factori, incluzând conflictul ruso-ucrainean, pandemia de COVID-19, dezvoltarea şi globalizarea mediului de afaceri, precum şi reducerea costurilor pentru accesarea de noi pieţe, au generat atât beneficii, cât şi un nou spectru de ameninţări, riscuri şi vulnerabilităţi aferente securităţii cibernetice, vulnerabilităţi ce sunt intrinsec asociate tehnologiilor smart, precum reţelele 5G, internetul lucrurilor (IoT) şi inteligenţa artificială (AI), luând în considerare faptul că de la izbucnirea conflictului armat în proximitatea teritoriului României s-a observat o utilizare intensificată a atacurilor cibernetice ca parte a operaţiunilor militare, cu efecte transfrontaliere care afectează şi state neimplicate direct în conflict, spre exemplu, atacul cibernetic asupra reţelei de comunicaţii prin satelit KA-SAT, operată de compania VIASAT, ale cărui efecte s-au extins la nivel european, impactul fiind resimţit şi în România, menţionând şi implicarea unor noi actori cibernetici în conflict, printre care grupuri de hackeri ce susţin una dintre taberele implicate în conflicte, precum Gruparea Killnet, care au desfăşurat atacuri cibernetice îndreptate împotriva infrastructurilor şi serviciilor esenţiale din state membre ale Uniunii Europene care sprijină Ucraina, inclusiv în România, ţinând cont şi de creşterea nivelului de digitalizare şi interconectare a sistemelor informatice, coroborată cu dezvoltarea capabilităţilor actorilor maligni din mediul online, ce a condus la o intensificare a incidentelor care generează un impact semnificativ asupra infrastructurilor din domenii de importanţă critică prin compromiterea lanţului de aprovizionare, evidenţiind incidente majore, precum cel din primul trimestru al anului 2024, care a afectat 26 de spitale, la nivel naţional, prin intermediul unui furnizor de servicii gestionate, cu impact direct asupra serviciilor vitale oferite populaţiei, care au relevat limitele acoperirii legislaţiei actuale în domeniul securităţii cibernetice şi nevoia de a implementa reglementările europene actualizate în ceea ce priveşte securitatea lanţului de aprovizionare şi impunerea unor obligaţii pentru managementul entităţilor, în vederea creşterii nivelului de rezilienţă al acestora, în corelare cu nivelul lor de risc în plan societal, având în vedere că adoptarea promptă a măsurilor şi mecanismelor prevăzute de Directiva NIS2 devine imperativă pentru creşterea rezilienţei României în faţa ameninţărilor cibernetice, dat fiind rolul crucial al acestei directive în consolidarea capacităţilor naţionale de apărare şi răspuns la incidente cibernetice şi, de asemenea, aplicarea prevederilor Directivei NIS2 contribuie la alinierea României la standardele internaţionale, consolidând astfel capacitatea naţională de a reacţiona în mod eficient în faţa evoluţiilor regionale şi globale din domeniul securităţii cibernetice, ţinând cont de faptul că aspectele prezentate constituie o stare de fapt obiectivă, cuantificabilă, extraordinară, independentă de voinţa Guvernului, care pune în pericol interesul public şi a cărei reglementare nu poate fi amânată, în temeiul art. 115 alin. (4) din Constituţia României, republicată, Guvernul României adoptă prezenta ordonanţă de urgenţă. CAP. I Dispoziţii generale SECŢIUNEA 1 Obiect şi scop ART. 1 Prezenta ordonanţă de urgenţă stabileşte cadrul juridic şi instituţional, măsurile şi mecanismele necesare pentru asigurarea unui nivel comun ridicat de securitate cibernetică la nivel naţional. ART. 2 (1) Scopul prezentei ordonanţe de urgenţă îl constituie: a) stabilirea măsurilor de gestionare a riscurilor de securitate cibernetică pentru spaţiul cibernetic naţional civil şi a obligaţiilor de raportare a incidentelor pentru entităţile esenţiale şi importante; b) stabilirea cadrului de cooperare la nivel naţional şi de participare la nivel european şi internaţional în domeniul asigurării securităţii cibernetice; c) desemnarea Directoratului Naţional de Securitate Cibernetică, denumit în continuare DNSC, ca autoritate competentă responsabilă cu securitatea cibernetică şi cu sarcinile de supraveghere şi asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică, precum şi a altor entităţi de drept public sau privat cu competenţe şi responsabilităţi în aplicarea prevederilor prezentei ordonanţe de urgenţă; d) desemnarea punctului unic de contact la nivel naţional şi a echipei naţionale de răspuns la incidente de securitate cibernetică. (2) Prezenta ordonanţă de urgenţă nu se aplică instituţiilor din domeniul apărării, ordinii publice şi securităţii naţionale, conform dispoziţiilor art. 6 din Legea nr. 51/1991 privind securitatea naţională a României, republicată, cu modificările şi completările ulterioare, Ministerului Afacerilor Externe, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat şi entităţilor cu atribuţii în domeniul aplicării legii, inclusiv prevenirii, investigării, depistării şi urmăririi penale a infracţiunilor. Sunt, de asemenea, exceptate de la aplicarea prezentei ordonanţe de urgenţă sistemele informatice şi de comunicaţii care vehiculează informaţii clasificate. (3) Entităţilor cărora li se aplică Regulamentul (UE) 2022/2.554 al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011, denumit în continuare Regulamentul DORA, le sunt incidente doar dispoziţiile art. 5-10 şi art. 18. (4) Prin excepţie de la alin. (2), în situaţia în care entităţi din cadrul acestora acţionează drept prestator de servicii de încredere, instituţiile din domeniul apărării, ordinii publice şi securităţii naţionale, Ministerul Afacerilor Externe, precum şi Oficiul Registrului Naţional al Informaţiilor Secrete de Stat asigură obţinerea unui nivel comun ridicat de securitate cibernetică prin aplicarea Legii nr. 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative. (5) Prezenta ordonanţă de urgenţă se aplică fără a aduce atingere prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările şi completările ulterioare, Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), Legii nr. 286/2009 privind Codul penal, cu modificările şi completările ulterioare, şi dispoziţiilor legale privind rezilienţa entităţilor critice. SECŢIUNEA a 2-a Principii şi definiţii ART. 3 (1) În aplicarea prezentei ordonanţe de urgenţă, sunt respectate următoarele principii: a) principiul responsabilităţii şi conştientizării - constă în efortul continuu derulat de entităţile de drept public şi privat în conştientizarea rolului şi responsabilităţii individuale pentru atingerea unui nivel comun ridicat de securitate cibernetică la nivel naţional; b) principiul proporţionalităţii - constă în asigurarea unui echilibru între riscurile la care reţelele şi sistemele informatice sunt supuse şi măsurile de securitate implementate; c) principiul cooperării şi coordonării - constă în realizarea în timp oportun a schimbului de informaţii referitoare la riscurile de securitate la adresa reţelelor şi sistemelor informatice şi asigurarea într-o manieră sincronizată a reacţiei la producerea incidentelor; d) principiul minimizării efectelor - în cazul unui incident se iau măsuri pentru a evita amplificarea sau extinderea efectelor la alte reţele şi sisteme informatice; e) principiul satisfacerii interesului public - se urmăreşte satisfacerea interesului public înaintea celui individual sau de grup. (2) În aplicarea prezentei ordonanţe de urgenţă, pot face obiectul schimbului de informaţii cu Comisia Europeană şi cu alte autorităţi informaţiile confidenţiale si informaţiile privind secretul comercial. Schimbul de informaţii se limitează la informaţiile relevante, proporţional cu scopul urmărit. Schimbul de informaţii păstrează confidenţialitatea respectivelor informaţii şi protejează securitatea şi interesele comerciale ale entităţilor în cauză. ART. 4 În înţelesul prezentei ordonanţe de urgenţă, termenii şi expresiile de mai jos au următoarea semnificaţie: a) ameninţare cibernetică înseamnă o ameninţare, astfel cum aceasta este definită la art. 2 lit. f) din Ordonanţa de urgenţă a Guvernului nr. 104/2021 privind Înfiinţarea Directoratului Naţional de Securitate Cibernetică, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare; b) ameninţare cibernetică semnificativă înseamnă o ameninţare cibernetică despre care se poate presupune, pe baza caracteristicilor sale tehnice, că are potenţialul de a afecta grav reţeaua şi sistemele informatice ale unei entităţi sau utilizatorii serviciilor furnizate de entitate, cauzând prejudicii materiale sau morale considerabile; c) audit de securitate cibernetică, astfel cum este definit la art. 2 lit. d) din Legea nr. 58/2023; d) autoritate competentă sectorial în domeniul securităţii cibernetice este acea instituţie publică care are fie rol de reglementare sau rol de supraveghere şi control, fie rol de reglementare, supraveghere şi control în domeniile corespunzătoare sectoarelor prevăzute în anexe şi care, potrivit competenţelor şi atribuţiilor stabilite prin actele normative de organizare şi funcţionare proprii, are atribuţii în domeniul securităţii cibernetice la nivelul entităţilor din cadrul sectoarelor prevăzute în anexele nr. 1 şi 2; e) criză cibernetică, astfel cum este definită în art. 2 lit. k) din Ordonanţa de urgenţă a Guvernului nr. 104/2021; f) entitate înseamnă o persoană fizică sau juridică constituită şi recunoscută ca atare în temeiul dreptului intern al locului său de stabilire, care poate, acţionând în nume propriu, să exercite drepturi şi să fie supusă unor obligaţii; g) entitate a administraţiei publice înseamnă o autoritate sau instituţie din administraţia publică, potrivit prevederilor art. 5 lit. k), l), w) şi kk) din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare, precum şi o unitate administrativ-teritorială, un organism de drept public sau o asociaţie formată din una sau mai multe astfel de autorităţi sau instituţii din sectorul public sau din unul sau mai multe astfel de organisme de drept public; h) entitate care furnizează servicii de înregistrare de nume de domenii înseamnă un operator de registru sau un agent care acţionează în numele operatorilor de registru, cum ar fi un furnizor sau un revânzător de servicii de protecţie a confidenţialităţii sau servicii de proxy; i) furnizor de servicii DNS înseamnă o entitate care furnizează: 1. servicii de rezoluţie recursivă a numelor de domenii accesibile publicului pentru utilizatorii finali ai internetului; 2. servicii de rezoluţie a numelor de domenii cu autoritate destinate utilizării de către terţi, cu excepţia serverelor de nume rădăcină; j) furnizor de servicii gestionate înseamnă o entitate care furnizează servicii legate de instalarea, gestionarea, funcţionarea sau întreţinerea produselor, reţelelor, infrastructurilor sau aplicaţiilor tehnologiei informaţiilor şi comunicaţiilor, denumită în continuare TIC, sau a altor reţele şi sisteme informatice, prin asistenţă sau administrare activă, fie la sediul clientului, fie de la distanţă; k) furnizor de servicii de securitate gestionate înseamnă un furnizor de servicii gestionate care efectuează sau furnizează asistenţă pentru activităţi legate de gestionarea riscurilor în materie de securitate cibernetică; l) gestionarea incidentului înseamnă toate acţiunile şi procedurile care vizează prevenirea, detectarea, analizarea şi limitarea unui incident sau vizează răspunsul la acesta şi redresarea în urma incidentului; m) incident înseamnă un eveniment care compromite disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate, transmise sau prelucrate ori a serviciilor oferite de reţele şi sisteme informatice sau accesibile prin intermediul acestora; n) incident de securitate cibernetică de mare amploare înseamnă un incident care provoacă perturbări care depăşesc capacităţile de răspuns ale unui singur stat membru al Uniunii Europene sau care are un impact semnificativ asupra a cel puţin două state membre ale Uniunii Europene; o) incident evitat la limită înseamnă un eveniment care ar fi putut compromite disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate, transmise sau prelucrate ori a serviciilor oferite de reţele şi sisteme informatice sau accesibile prin intermediul acestora, dar care a fost împiedicat cu succes să se materializeze sau care nu s-a materializat; p) internet exchange point înseamnă o facilitate a reţelei care permite interconectarea a mai mult de două reţele autonome independente, în special în scopul facilitării schimbului de trafic de internet, care furnizează interconectare doar pentru sisteme autonome şi care nu necesită trecerea printr-un al treilea sistem autonom a traficului de internet dintre orice pereche de sisteme autonome participante şi nici nu modifică sau interacţionează într-un alt mod cu acest trafic; q) motor de căutare online înseamnă un motor de căutare online, astfel cum este definit la art. 2 pct. 5 din Regulamentul (UE) 2019/1.150 al Parlamentului European şi al Consiliului din 20 iunie 2019 de promovare a echităţii şi a transparenţei pentru întreprinderile utilizatoare de servicii de intermediere online; r) organism de cercetare înseamnă o entitate al cărei obiectiv principal este de a desfăşura activităţi de cercetare aplicată sau de dezvoltare experimentală în vederea exploatării rezultatelor cercetării respective în scopuri comerciale, dar care nu include instituţiile de învăţământ; s) organism de evaluare a conformităţii înseamnă organismul menţionat la art. 2 pct. 13 din Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei în ceea ce priveşte comercializarea produselor şi de abrogare a Regulamentului (CEE) nr. 339/93; t) organism naţional de acreditare înseamnă organismul menţionat la art. 2 pct. 11 din Regulamentul (CE) nr. 765/2008; u) piaţă online înseamnă un serviciu, astfel cum este definit la art. 2 lit. o) din Legea nr. 363/2007 privind combaterea practicilor incorecte ale comercianţilor în relaţia cu consumatorii şi armonizarea reglementărilor cu legislaţia europeană privind protecţia consumatorilor, cu modificările şi completările ulterioare; v) platformă de servicii de socializare în reţea înseamnă o platformă care permite utilizatorilor finali să se conecteze, să partajeze, să descopere şi să comunice între ei pe mai multe dispozitive, inclusiv prin conversaţii online, postări, videoclipuri şi recomandări; w) politica de securitate a sistemelor şi reţelelor informatice înseamnă o politică care stabileşte măsurile de securitate pentru reţelele şi sistemele informatice care trebuie adoptate de o entitate esenţială sau importantă; x) prestator de servicii de încredere înseamnă un prestator de servicii de încredere în sensul art. 3 pct. 19 din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; y) prestator de servicii de încredere calificat înseamnă un prestator de servicii de încredere calificat în sensul art. 3 pct. 20 din Regulamentul (UE) nr. 910/2014; z) proces TIC înseamnă un proces TIC în sensul art. 2 pct. 14 din Regulamentul (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică); aa) produs TIC înseamnă un produs TIC în sensul art. 2 pct. 12) din Regulamentul (UE) 2019/881; bb) registru de nume TLD înseamnă o entitate căreia i-a fost delegat un anumit domeniu de prim nivel şi care răspunde de administrarea domeniului de prim nivel, inclusiv de înregistrarea numelor de domenii sub domeniul de prim nivel şi de operarea tehnică a domeniului de prim nivel, inclusiv exploatarea serverelor sale de nume, întreţinerea bazelor sale de date şi distribuirea fişierelor zonelor de domenii de prim nivel între serverele de nume, indiferent dacă este efectuată de entitatea însăşi sau externalizată, dar excluzând situaţiile în care numele de domenii de prim nivel sunt utilizate de un registru exclusiv pentru uz propriu; cc) reprezentant înseamnă o persoană fizică sau juridică stabilită în Uniunea Europeană care este desemnată în mod expres să acţioneze în numele unui furnizor de servicii DNS, al unui registru de nume TLD, al unei entităţi care furnizează servicii de înregistrare a numelor de domenii, al unui furnizor de servicii de cloud computing, al unui furnizor de servicii de centre de date, un furnizor de reţele de difuzare de conţinut, un furnizor de servicii gestionate, un furnizor de servicii de securitate gestionate, un furnizor al unei pieţe online, furnizor al unui motor de căutare online sau un furnizor de platforme de servicii de socializare în reţea care nu este stabilit în Uniunea Europeană, care poate fi contactat de autoritatea competentă în domeniul securităţii cibernetice în legătură cu obligaţiile entităţii respective în temeiul dispoziţiilor prezentei ordonanţe de urgenţă; dd) reţea de difuzare de conţinut înseamnă o reţea de servere distribuite geografic concepută pentru a asigura disponibilitatea ridicată, accesibilitatea sau furnizarea rapidă de conţinut şi servicii digitale utilizatorilor de internet în numele furnizorilor de conţinut şi servicii; ee) reţea publică de comunicaţii electronice înseamnă o reţea publică de comunicaţii electronice în sensul art. 4 alin. (1) pct. 10 din Ordonanţa de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, aprobată cu modificări şi completări prin Legea nr. 140/2012, cu modificările şi completările ulterioare; ff) reţea şi sistem informatic înseamnă: 1. reţea de comunicaţii electronice în sensul prevederilor art. 4 alin. (1) pct. 6 din Ordonanţa de urgenţă a Guvernului nr. 111/2011; 2. orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor digitale cu ajutorul unui program informatic; sau 3. datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevăzute la pct. 1 şi 2 în vederea funcţionării, utilizării, protejării şi întreţinerii lor; gg) risc înseamnă potenţialul de pierderi sau de perturbări cauzate de un incident şi trebuie exprimat ca o combinaţie între amploarea unei astfel de pierderi sau perturbări şi probabilitatea producerii incidentului; hh) securitate cibernetică înseamnă securitate cibernetică, astfel cum aceasta este definită la art. 2 lit. y) din Legea nr. 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative; ii) securitatea reţelelor şi a sistemelor informatice înseamnă capacitatea reţelelor şi a sistemelor informatice de a rezista, la un anumit nivel de încredere, oricărui eveniment care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate, transmise sau prelucrate sau a serviciilor furnizate de aceste reţele şi sisteme informatice puse la dispoziţie; jj) serviciu digital înseamnă un serviciu în sensul prevederilor art. 4 alin. (1) pct. 2 din Hotărârea Guvernului nr. 1.016/2004 privind măsurile pentru organizarea şi realizarea schimbului de informaţii în domeniul standardelor şi reglementărilor tehnice, precum şi al regulilor referitoare la serviciile societăţii informaţionale între România şi statele membre ale Uniunii Europene, precum şi Comisia Europeană, cu modificările şi completările ulterioare; kk) serviciu de centre de date înseamnă un serviciu care cuprinde structuri sau grupuri de structuri dedicate găzduirii, interconectării şi exploatării centralizate a echipamentelor informatice şi de reţea care furnizează servicii de stocare, prelucrare şi transport de date, împreună cu toate instalaţiile şi infrastructurile de distribuţie a energiei electrice şi de control al mediului; ll) serviciu de cloud computing înseamnă un serviciu digital care permite administrarea la cerere şi accesul larg de la distanţă la un set scalabil şi variabil de resurse informatice care pot fi partajate, inclusiv în cazul în care resursele respective sunt repartizate în diferite locaţii; mm) serviciu de comunicaţii electronice înseamnă un serviciu de comunicaţii electronice în sensul art. 4 alin. (1) pct. 9 din Ordonanţa de urgenţă a Guvernului nr. 111/2011; nn) serviciu de încredere înseamnă un serviciu de încredere în sensul art. 3 pct. 16 din Regulamentul (UE) nr. 910/2014; oo) serviciu de încredere calificat înseamnă un serviciu de încredere calificat în sensul art. 3 pct. 17 din Regulamentul (UE) nr. 910/2014; pp) serviciu TIC înseamnă un serviciu TIC în sensul art. 2, pct. 13) din Regulamentul (UE) 2019/881; qq) sistem de nume de domenii sau DNS înseamnă un sistem de denumire ierarhic şi distribuit de atribuire de nume care permite identificarea serviciilor şi resurselor de internet, care permite dispozitivelor utilizatorilor finali să utilizeze servicii de rutare şi conectivitate a internetului pentru a accesa aceste servicii şi resurse; rr) specificaţie tehnică înseamnă o specificaţie tehnică astfel cum este definită la art. 2 pct. 4 din Regulamentul (UE) nr. 1.025/2012 al Parlamentului European şi al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE şi 93/15/CEE ale Consiliului şi a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE şi 2009/105/CE ale Parlamentului European şi ale Consiliului şi de abrogare a Deciziei 87/95/CEE a Consiliului şi a Deciziei nr. 1.673/2006/CE a Parlamentului European şi a Consiliului; ss) standard înseamnă un standard în sensul art. 2 pct. 1 din Regulamentul (UE) nr. 1.025/2012 al Parlamentului European şi al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE şi 93/15/CEE ale Consiliului şi a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE şi 2009/105/CE ale Parlamentului European şi ale Consiliului şi de abrogare a Deciziei 87/95/CEE a Consiliului şi a Deciziei nr. 1.673/2006/CE a Parlamentului European şi a Consiliului; tt) vulnerabilitate înseamnă un punct slab, o susceptibilitate sau o deficienţă a unor produse TIC sau a unor servicii TIC care poate fi exploatată de o ameninţare cibernetică. CAP. II Domeniul de aplicare SECŢIUNEA 1 Entităţi esenţiale ART. 5 (1) Următoarele entităţi sunt considerate esenţiale, indiferent de dimensiunea pe care o au: a) entităţile administraţiei publice centrale în conformitate cu anexa nr. 1; b) entităţile din anexa nr. 1 sau nr. 2 identificate în conformitate cu art. 9; c) entităţile identificate drept entităţi critice conform dispoziţiilor legale privind rezilienţa entităţilor critice; d) furnizorii de servicii DNS; e) prestatori de servicii de încredere calificaţi; f) registrele de nume TLD. (2) Sunt considerate esenţiale entităţile din categoria întreprinderilor mari conform art. 8 şi care se încadrează în sectoarele prevăzute în anexa nr. 1. (3) Sunt considerate esenţiale entităţile din categoria întreprinderilor mijlocii conform art. 8 şi care sunt furnizori de reţele publice de comunicaţii electronice sau furnizori de servicii de comunicaţii electronice destinate publicului. (4) Sunt considerate esenţiale entităţile din categoria întreprinderilor mijlocii conform art. 8 şi care sunt furnizori de servicii de securitate gestionate. SECŢIUNEA a 2-a Entităţi importante ART. 6 (1) Sunt considerate entităţi importante entităţile din categoriile întreprinderilor mari şi mijlocii conform art. 8, care se încadrează în anexele nr. 1 şi 2 şi care nu sunt identificate drept entităţi esenţiale conform art. 5. (2) Următoarele entităţi sunt considerate importante dacă nu au fost identificate drept entităţi esenţiale conform art. 5 şi indiferent de dimensiunea pe care o au: a) entităţile din anexele nr. 1 şi 2 identificate în conformitate cu art. 9; b) furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului; c) prestatorii de servicii de încredere. SECŢIUNEA a 3-a Dispoziţii speciale ART. 7 (1) Entităţile care intră în domeniul de aplicare al prezentei ordonanţe de urgenţă sunt entităţile din sectoarele prevăzute în anexele nr. 1 şi 2, înfiinţate şi înregistrate pe teritoriul României conform prevederilor legale. (2) Prin excepţie de la alin. (1), furnizorii de reţele publice de comunicaţii electronice sau furnizorii de servicii de comunicaţii electronice destinate publicului intră în domeniul de aplicare al prezentei ordonanţe de urgenţă atunci când prestează servicii pe teritoriul României, indiferent de locul de înfiinţare sau de înregistrare. (3) Furnizorii de servicii DNS, registrele de nume TLD, entităţile care furnizează servicii de înregistrare a numelor de domenii, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de reţele de furnizare de conţinut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, precum şi furnizorii de pieţe online, de motoare de căutare online şi de platforme de servicii de socializare în reţea intră în domeniul de aplicare al prezentei ordonanţe de urgenţă atunci când sediul principal al acestora din Uniunea Europeană este situat pe teritoriul României. (4) Entităţile administraţiei publice străine sunt în jurisdicţia statului care le-a instituit. (5) În înţelesul prezentei ordonanţe de urgenţă, sediul principal astfel cum este menţionat la alin. (3) se determină astfel: a) este sediul în care se iau deciziile legate de măsurile de gestionare a riscurilor în materie de securitate cibernetică în mod predominant; b) atunci când nu se poate stabili sediul principal conform lit. a) sau dacă astfel de decizii nu sunt luate în Uniunea Europeană, se consideră a fi sediul în care îşi desfăşoară operaţiunile de securitate cibernetică; c) atunci când nu se poate stabili sediul principal conform lit. b), acesta este considerat a fi în statul în care entitatea în cauză îşi are sediul cu cel mai mare număr de angajaţi. (6) Atunci când, în situaţia descrisă la alin. (3), entitatea nu este stabilită în Uniunea Europeană, dar oferă servicii pe teritoriul acesteia, entitatea este obligată să desemneze un reprezentant în Uniunea Europeană, în cadrul unuia dintre statele membre în care îşi prestează serviciile. În acest caz, entitatea se consideră a fi sub jurisdicţia statului membru în care este stabilit reprezentantul. (7) Atunci când entitatea prestează servicii pe teritoriul României, DNSC poate introduce acţiuni în justiţie conform prevederilor legale împotriva entităţii în cauză pentru nerespectarea prevederilor prezentei ordonanţe de urgenţă, inclusiv în cazul în care entitatea nu a desemnat un reprezentant conform alin. (6). ART. 8 (1) O entitate este considerată întreprindere mare dacă depăşeşte criteriile stabilite pentru întreprinderile mijlocii astfel cum sunt prevăzute la art. 4 alin. (1) lit. c) din Legea nr. 346/2004 privind stimularea înfiinţării şi dezvoltării întreprinderilor mici şi mijlocii, cu modificările şi completările ulterioare, fără a fi aplicate însă dispoziţiile art. 4^5 din aceeaşi lege. (2) O entitate este considerată întreprindere mijlocie dacă îndeplineşte criteriile prevăzute la art. 4 alin. (1) lit. c) din legea prevăzută la alin. (1), fără a fi aplicate însă dispoziţiile art. 4^5 din aceeaşi lege. ART. 9 O entitate este considerată esenţială sau importantă dacă: a) entitatea este singurul furnizor al unui serviciu care este esenţial pentru susţinerea unor activităţi societale şi economice critice; b) perturbarea serviciului furnizat de entitate ar putea avea un impact semnificativ asupra siguranţei publice, a securităţii publice sau a sănătăţii publice; c) perturbarea serviciului furnizat de entitate ar putea genera un risc sistemic semnificativ, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier; d) entitatea este critică datorită importanţei sale specifice la nivel naţional sau regional pentru sectorul sau tipul de servicii în cauză sau pentru alte sectoare interdependente. ART. 10 (1) Determinarea impactului generat de perturbarea serviciului furnizat de entitate, prevăzut la art. 9, se realizează în funcţie de: a) impactul asupra drepturilor şi libertăţilor fundamentale; b) impactul asupra economiei naţionale; c) impactul asupra sănătăţii şi vieţii persoanelor; d) impactul financiar; e) impactul asupra apărării, ordinii publice şi securităţii naţionale; f) impactul transsectorial sau transfrontalier. (2) Criteriile prevăzute la alin. (1), pragurile corespunzătoare acestora şi metodologia de evaluare a nivelului de risc al entităţilor se stabilesc prin ordin al directorului DNSC. CAP. III Măsuri de gestionare a riscurilor de securitate cibernetică şi obligaţii de raportare ART. 11 (1) Entităţile esenţiale şi entităţile importante iau măsuri tehnice, operaţionale şi organizatorice proporţionale şi adecvate pentru a identifica, evalua şi gestiona riscurile aferente securităţii reţelelor şi a sistemelor informatice pe care acestea le utilizează în desfăşurarea activităţilor lor sau furnizarea serviciilor lor, precum şi pentru a elimina sau, după caz, a reduce efectele incidentelor asupra destinatarilor serviciilor lor şi asupra altor servicii. (2) Măsurile prevăzute la alin. (1) trebuie să asigure un nivel de securitate cibernetică adecvat nivelului de risc al entităţii, ţinând seama de stadiul actual al tehnologiei şi, după caz, de cele mai relevante standarde şi bune practici naţionale, europene şi internaţionale, cât şi de costurile de punere în aplicare a acestor măsuri. (3) Nivelul de risc al entităţii se evaluează conform metodologiei de evaluare a nivelului de risc al entităţilor cuprinse în ordinul directorului DNSC prevăzut la art. 10 alin. (2). (4) Măsurile prevăzute la alin. (1) trebuie să cuprindă o abordare cuprinzătoare a ameninţărilor cibernetice în vederea asigurării protecţiei reţelelor şi a sistemelor informatice atât la nivel logic, cât şi fizic împotriva incidentelor, inclusiv prin jurnalizarea şi asigurarea trasabilităţii tuturor activităţilor în cadrul reţelelor şi sistemelor informatice. (5) Entităţile esenţiale şi entităţile importante sunt obligate să se supună efectuării unui audit de securitate cibernetică în condiţiile şi cu periodicitatea stabilite prin ordinul directorului DNSC prevăzut la art. 12 alin. (1), în funcţie de nivelul de risc prevăzut la alin. (3). (6) Atunci când există autoritatea cu competenţe sectoriale, condiţiile şi periodicitatea auditului de securitate prevăzute la alin. (5) vor fi stabilite prin ordin comun în condiţiile art. 37 alin. (8) lit. b), în funcţie de nivelul de risc prevăzut la alin. (3). (7) Entităţile esenţiale şi importante pun la dispoziţia DNSC, la cerere, lista activelor relevante şi lista riscurilor identificate în urma analizei riscurilor, prevăzută la alin. (1). (8) Cu privire la securitatea lanţului de aprovizionare, măsurile prevăzute la alin. (1) trebuie să ţină seama de: a) vulnerabilităţile specifice ale fiecărui furnizor direct şi ale fiecărui furnizor de servicii, de calitatea generală a produselor şi de calitatea practicilor de securitate cibernetică ale furnizorilor direcţi şi ale furnizorilor de servicii, inclusiv de securitatea proceselor de dezvoltare ale acestora; b) rezultatele evaluărilor coordonate ale riscurilor efectuate care au în vedere rezultatele evaluărilor coordonate ale riscurilor de securitate a lanţurilor critice de aprovizionare elaborate la nivelul Uniunii Europene în cadrul Grupului de cooperare. (9) În vederea asigurării securităţii lanţului de aprovizionare, entităţile esenţiale şi entităţile importante au obligaţia să transmită către DNSC, la cerere, date cu privire la prestatorii de servicii de încredere, prestatorii de servicii de încredere calificaţi, furnizorii de servicii DNS, registrele de nume TLD sau entităţile care oferă servicii de înregistrare nume de domenii, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de servicii gestionate şi furnizorii de servicii de securitate gestionate şi care le asigură aceste tipuri de servicii, în termenul prevăzut în cererea DNSC. (10) Atunci când este evaluată proporţionalitatea măsurilor de gestionare a riscurilor în conformitate cu dispoziţiile alin. (1), se ţine seama în mod corespunzător de amploarea expunerii la riscuri a entităţii şi a serviciilor pe care le furnizează, de dimensiunea entităţii, de probabilitatea producerii unor incidente şi de gravitatea acestora, inclusiv de impactul lor social şi economic. ART. 12 (1) Directorul DNSC emite un ordin privind măsurile de gestionare a riscurilor prevăzute la art. 11 alin. (1) în ceea ce priveşte cerinţele tehnice, operaţionale şi organizatorice, conform art. 13. (2) Fără a aduce atingere dispoziţiilor art. 37 alin. (8) lit. b) şi alin. (17), ordinul emis conform alin. (1) poate include şi cerinţe sectoriale specifice pentru aceste măsuri de gestionare a riscurilor ca urmare a consultării autorităţilor competente la nivel sectorial cu atribuţii de reglementare. (3) În cazul în care organele de conducere ale entităţilor esenţiale şi ale entităţilor importante constată că nu respectă măsurile prevăzute în ordinul de la alin. (1) sau, după caz, pe cele prevăzute în ordinul de la art. 37 alin. (8) lit. b), acestea aplică, fără întârzieri nejustificate, măsurile corective necesare. (4) Entităţile esenţiale şi entităţile importante realizează şi transmit către DNSC şi, după caz, către autoritatea competentă sectorial, anual, o autoevaluare a nivelului de maturitate a măsurilor de gestionare a riscurilor de securitate cibernetică conform ordinului prevăzut la alin. (1) sau, după caz, conform ordinului prevăzut la art. 37 alin. (8) lit. b), asumată de managementul entităţii. (5) În termen de 30 de zile de la realizarea autoevaluării, entităţile esenţiale întocmesc şi transmit către DNSC şi, după caz, către autoritatea competentă sectorial, un plan de măsuri pentru remedierea deficienţelor identificate, asumat de managementul entităţii, în conformitate cu măsurile de gestionare a riscurilor aplicabile acestora. ART. 13 Măsurile prevăzute la art. 11 alin. (1) cuprind cel puţin următoarele: a) politicile şi procedurile referitoare la analiza riscurilor şi la securitatea sistemelor informatice şi revizuirea periodică a acestora; b) politicile şi procedurile de evaluare a eficacităţii măsurilor de gestionare a riscurilor de securitate cibernetică; c) politicile şi procedurile referitoare la utilizarea criptografiei şi, după caz, a criptării; d) securitatea lanţului de aprovizionare, inclusiv aspectele legate de securitatea relaţiei dintre entitate şi prestatorii şi furnizorii săi direcţi; e) securitatea achiziţiei, dezvoltării, întreţinerii şi casării reţelelor şi sistemelor informatice, inclusiv gestionarea şi divulgarea vulnerabilităţilor; f) securitatea resurselor umane, politicile de control al accesului şi gestionarea activelor; g) gestionarea incidentelor; h) continuitatea activităţii, inclusiv gestionarea copiilor de rezervă, redresarea în caz de dezastru şi managementul crizelor; i) practicile de bază în materie de igienă cibernetică şi formarea în domeniul securităţii cibernetice; j) utilizarea soluţiilor de autentificare multifactor sau de autentificare continuă a comunicaţiilor vocale, video şi text, a sistemelor de comunicaţii de urgenţă securizate şi securizate în interiorul entităţii, după caz. ART. 14 (1) Organele de conducere ale entităţilor esenţiale şi ale entităţilor importante aprobă măsurile de gestionare a riscurilor de securitate cibernetică pe care le iau în vederea respectării art. 11-13 şi, după caz, a dispoziţiilor ordinului comun prevăzut la art. 37 alin. (8) lit. b), supraveghează punerea acestora în aplicare şi sunt responsabile de încălcările acestor dispoziţii, fără a aduce atingere dispoziţiilor legale privind răspunderea instituţiilor publice, a funcţionarilor publici şi a celor aleşi sau numiţi. (2) Membrii organelor de conducere ale entităţilor esenţiale şi ale entităţilor importante urmează cursuri de formare profesională acreditate în vederea asigurării unui nivel suficient de cunoştinţe şi competenţe pentru a identifica riscurile şi a evalua practicile de gestionare a riscurilor de securitate cibernetică, precum şi impactul acestora asupra serviciilor furnizate de entitate. Entităţile esenţiale şi importante asigură formarea profesională întregului personal în vederea asigurării unui nivel suficient de cunoştinţe şi competenţe. (3) Organele de conducere ale entităţilor esenţiale şi ale entităţilor importante stabilesc mijloacele permanente de contact, asigură alocarea resurselor necesare pentru punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică şi, după caz, desemnează responsabilii cu securitatea reţelelor şi sistemelor informatice care au rolul de a implementa şi supraveghea măsurile de gestionare a riscurilor de securitate cibernetică la nivelul entităţii. (4) Persoana responsabilă cu securitatea reţelelor şi sistemelor informatice, prevăzută la alin. (3), desemnată în cadrul entităţilor esenţiale, cu excepţia entităţilor administraţiei publice, precum şi a microîntreprinderilor şi întreprinderilor mici, astfel cum sunt stabilite potrivit dispoziţiilor art. 4 alin. (1) lit. a) şi b) din Legea nr. 346/2004, trebuie să îndeplinească cumulativ cel puţin următoarele: a) are autoritate managerială; b) este subordonată direct organelor de conducere ale entităţii; c) funcţionează independent de structurile IT şi de tehnologie operaţională din cadrul entităţii; d) are acces la resursele necesare pentru supravegherea şi implementarea eficientă a măsurilor de gestionare a riscurilor de securitate cibernetică; e) să fi obţinut un curs de specialitate acreditat, recunoscut de DNSC, în domeniul securităţii cibernetice, în termen de 12 luni de la desemnare. ART. 15 (1) Entităţile esenţiale şi entităţile importante raportează, fără întârzieri nejustificate, echipei de răspuns la incidente de securitate cibernetică naţionale orice incident care are un impact semnificativ asupra prestării serviciilor lor şi, dacă este cazul, entităţile în cauză notifică, fără întârzieri nejustificate, destinatarilor serviciilor lor incidentele semnificative care ar putea afecta prestarea serviciilor respective. (2) Raportarea se face prin intermediul Platformei naţionale pentru raportarea incidentelor de securitate cibernetică, denumită în continuare PNRISC, astfel cum este prevăzută la art. 20 din Legea nr. 58/2023. (3) Entităţile esenţiale şi entităţile importante raportează, fără întârzieri nejustificate, dar nu mai târziu de 6 ore de la momentul la care au luat cunoştinţă de orice informaţie care îi permite echipei de răspuns la incidente de securitate cibernetică naţionale să constate un impact transfrontalier al incidentului. Simpla raportare nu expune entitatea unei răspunderi sporite. (4) În cazul unui incident semnificativ transfrontalier, punctul unic de contact naţional se asigură că autorităţile omoloage din statele respective primesc în timp util informaţiile relevante raportate conform alin. (7). (5) Dacă este cazul, entităţile esenţiale şi entităţile importante comunică, fără întârzieri nejustificate, destinatarilor serviciilor lor care ar putea fi afectaţi de o ameninţare cibernetică semnificativă orice măsuri sau măsuri corective pe care destinatarii respectivi le pot lua ca răspuns la ameninţarea respectivă şi, după caz, entităţile informează, de asemenea, destinatarii în cauză despre ameninţarea semnificativă propriu-zisă. (6) Un incident este considerat semnificativ sau impactul unui incident este considerat semnificativ dacă: a) a provocat sau poate provoca perturbări operaţionale grave ale serviciilor sau pierderi financiare pentru entitatea în cauză; b) a afectat sau poate afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau nonmateriale considerabile. (7) În scopul raportării în temeiul alin. (1), entităţile în cauză transmit echipei de răspuns la incidente de securitate cibernetică naţionale: a) fără întârzieri nejustificate, dar nu mai târziu de 24 de ore de la data la care au luat cunoştinţă de incidentul semnificativ, o avertizare timpurie care, după caz, indică dacă există suspiciuni că incidentul este cauzat de acţiuni ilicite sau răuvoitoare sau că ar putea avea un impact transfrontalier; b) fără întârzieri nejustificate, dar nu mai târziu de 72 de ore din momentul în care au luat cunoştinţă de incidentul semnificativ, o raportare a incidentului, care, după caz, actualizează informaţiile menţionate la lit. a) şi prezintă o evaluare iniţială a incidentului semnificativ, inclusiv a gravităţii şi a impactului acestuia, precum şi a indicatorilor de compromitere, dacă sunt disponibili; c) un raport intermediar privind actualizarea relevantă a situaţiei, la cererea echipei de răspuns la incidente de securitate cibernetică naţionale; d) un raport final, în termen de cel mult o lună de la transmiterea notificării incidentului în temeiul lit. b), care să includă cel puţin următoarele elemente: 1. o descriere detaliată a incidentului, inclusiv a gravităţii şi a impactului acestuia; 2. tipul de ameninţare sau de cauză principală care probabil că a declanşat incidentul; 3. măsurile de atenuare aplicate şi în curs; 4. dacă este cazul, impactul transfrontalier al incidentului; e) în cazul unui incident în desfăşurare la momentul prezentării raportului menţionat la lit. d), entităţile în cauză prezintă un raport privind progresele înregistrate şi un raport final în termen de o lună de la gestionarea incidentului. (8) Prin excepţie de la alin. (7) lit. b), un prestator de servicii de încredere raportează, în ceea ce priveşte incidentele semnificative care afectează prestarea serviciilor sale de încredere, echipei de răspuns la incidente de securitate cibernetică naţionale, fără întârzieri nejustificate şi, în orice caz, în termen de 24 de ore de la data la care a luat cunoştinţă de incidentul semnificativ. (9) Echipa de răspuns la incidente de securitate cibernetică naţională furnizează, fără întârzieri nejustificate şi, atunci când este posibil, în termen de 24 de ore de la primirea avertizării timpurii conform alin. (7) lit. a), un răspuns entităţii raportoare, inclusiv un răspuns iniţial cu privire la incidentul semnificativ şi, la cererea entităţii, orientări sau instrucţiuni operaţionale privind punerea în aplicare a unor eventuale măsuri de atenuare. (10) Echipa de răspuns la incidente de securitate cibernetică naţională poate să furnizeze sprijin tehnic suplimentar în cazul în care entitatea în cauză solicită acest lucru. În cazul în care se apreciază că incidentul este de natură penală, echipa de răspuns la incidente de securitate cibernetică naţionale furnizează, de asemenea, orientări privind sesizarea incidentului către organele de urmărire penală. (11) După caz şi în special dacă incidentul semnificativ implică două sau mai multe state, DNSC informează, fără întârzieri nejustificate, celelalte state afectate şi Agenţia Uniunii Europene pentru Securitate Cibernetică, denumită în continuare ENISA, cu privire la incidentul semnificativ. Aceste informaţii includ tipul de informaţii primite conform alin. (7). (12) În cazul alin. (11), DNSC, în conformitate cu legislaţia naţională şi normele Uniunii Europene, protejează interesele de securitate şi pe cele comerciale ale entităţii, precum informaţiile privilegiate, datele legate de afacere şi asigură confidenţialitatea informaţiilor furnizate. (13) În cazul în care informarea publicului este necesară pentru a preveni un incident semnificativ sau pentru a gestiona un incident semnificativ în curs sau în cazul în care divulgarea incidentului semnificativ este în alt mod în interesul public, DNSC sau, după caz, DNSC împreună cu autorităţile omoloage din alte state în cauză pot, după consultarea entităţii respective, să informeze publicul cu privire la incidentul semnificativ sau să solicite entităţii să facă acest lucru. (14) Punctul unic de contact naţional înaintează, după caz, raportările primite conform alin. (1) punctelor unice de contact din celelalte state membre afectate. (15) Punctul unic de contact naţional transmite către ENISA, o dată la trei luni, un raport de sinteză care include date anonimizate agregate privind incidentele semnificative, incidentele, ameninţările cibernetice şi incidentele evitate la limită raportate conform alin. (1) şi cu cele privind raportarea voluntară. (16) DNSC furnizează Centrului Naţional de Coordonare a Protecţiei Infrastructurilor Critice, denumit în continuare CNCPIC, informaţii cu privire la incidentele semnificative, incidentele, ameninţările cibernetice şi incidentele evitate la limită raportate conform alin. (1) şi cu prevederile privitoare la raportarea voluntară de către entităţile identificate ca fiind entităţi critice în temeiul dispoziţiilor legale privind rezilienţa entităţilor critice. (17) Fără a aduce atingere dispoziţiilor art. 37 alin. (8) lit. b), prin ordin al directorului DNSC se stabilesc norme metodologice privind raportarea incidentelor. ART. 16 (1) Pot raporta către echipa de răspuns la incidente de securitate cibernetică naţională: a) entităţile esenţiale şi entităţile importante, cu privire la incidente, ameninţări cibernetice şi incidente evitate la limită; b) alte entităţi decât cele menţionate la lit. a), indiferent dacă intră în domeniul de aplicare al prezentei ordonanţe de urgenţă, cu privire la incidente semnificative, ameninţări cibernetice şi incidente evitate la limită. (2) Raportarea voluntară menţionată la alin. (1) se realizează în conformitate cu art. 15. (3) Echipa de răspuns la incidente de securitate cibernetică naţională prelucrează cu prioritate notificările obligatorii atunci când consideră necesar. (4) Raportarea voluntară nu impune entităţii notificatoare nicio obligaţie suplimentară care nu i-ar fi revenit dacă nu ar fi transmis raportarea. ART. 17 Prin derogare de la dispoziţiile art. 21 alin. (1) şi (2) din Legea nr. 58/2023, persoanele prevăzute la art. 3 alin. (1) lit. b) şi c) din aceeaşi lege, care sunt identificate ca fiind entităţi esenţiale şi entităţi importante, aplică prevederile art. 15 şi 16 privind raportarea incidentelor. CAP. IV Înregistrare SECŢIUNEA 1 Registrul entităţilor ART. 18 (1) DNSC păstrează un registru al entităţilor esenţiale şi al entităţilor importante identificate. (2) Entităţile care desfăşoară activitate în sectoarele din anexa nr. 1 sau anexa nr. 2 notifică DNSC în vederea înregistrării în cel mult 30 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă sau în termen de cel mult 30 de zile de la data la care prevederile prezentei ordonanţe de urgenţă le sunt aplicabile, atunci când, conform art. 5 şi 6, se încadrează ca entităţi esenţiale sau entităţi importante. (3) Notificarea de la alin. (2) constă în furnizarea către DNSC a următoarelor tipuri de informaţii: a) denumirea; b) adresa sediului social principal şi datele de contact actualizate, inclusiv adresele de e-mail şi numerele de telefon; c) adresele celorlalte sedii sociale din Uniunea Europeană, după caz; d) mijloacele permanente de contact şi persoana din cadrul entităţii însărcinată cu monitorizarea mijloacelor de contact; e) persoana desemnată în calitate de reprezentant al entităţii, adresa şi datele de contact ale acesteia, dacă entitatea nu este stabilită în Uniunea Europeană; f) sectorul, subsectorul şi tipul de entitate, astfel cum acestea se încadrează în anexa nr. 1 sau în anexa nr. 2; g) statele membre în care prestează servicii, după caz; h) intervalele de adrese IP publice ale entităţii, în cazul furnizorilor de servicii DNS, registrelor de nume TLD, entităţilor care furnizează servicii de înregistrare a numelor de domenii, furnizorilor de servicii de cloud computing, operatorilor de reţele de livrare de conţinut, furnizorilor de servicii de centre de date, furnizorilor de servicii gestionate, furnizorilor de servicii de securitate gestionate şi furnizorilor de servicii digitale; i) intervalele de adrese IP publice ale entităţii, pentru alte entităţi decât cele prevăzute la lit. h), după caz; j) informaţii necesare şi suficiente din care să rezulte îndeplinirea condiţiilor pentru identificarea drept entitate esenţială sau entitate importantă conform art. 5 şi, respectiv, art. 6. (4) În termen de 60 de zile de la primirea notificării prevăzute la alin. (2), conducerea DNSC emite o decizie pentru identificarea şi înscrierea în registru a entităţilor esenţiale. (5) În termen de 150 de zile de la primirea notificării prevăzute la alin. (2), conducerea DNSC emite o decizie pentru identificarea şi înscrierea în registru a entităţilor importante. (6) În termen 60 de zile de la data comunicării deciziei directorului DNSC prevăzute la alin. (4), respectiv alin. (5), entităţile esenţiale şi entităţile importante transmit către DNSC evaluarea nivelului de risc a entităţii în conformitate cu art. 10 alin. (2). (7) În termen de 60 de zile de la transmiterea evaluării nivelului de risc prevăzute la alin. (6), entităţile realizează o autoevaluare a nivelului de maturitate a măsurilor de gestionare a riscurilor de securitate cibernetică prevăzută la art. 12 alin. (4). (8) Entităţile prevăzute la alin. (2) comunică DNSC modificările aduse informaţiilor prevăzute la alin. (3), astfel: a) pentru informaţiile prevăzute la alin. (3) lit. a)-d), lit. f) şi j), fără întârzieri nejustificate şi, în orice caz, în termen de cel mult 2 săptămâni de la data modificării; b) pentru informaţiile prevăzute la alin. (3) lit. e) şi lit. g)-i), fără întârzieri nejustificate şi, în orice caz, în termen de cel mult trei luni de la data modificării. (9) Prin ordin al directorului DNSC se stabilesc cerinţele privind alin. (3), inclusiv metoda de transmitere a informaţiilor şi utilizarea unor formulare. (10) Punctul unic de contact naţional transmite, în legătură cu furnizorii de servicii DNS, registrele de nume TLD, entităţile care furnizează servicii de înregistrare a numelor de domenii, furnizorii de servicii de cloud computing, operatorii de reţele de livrare de conţinut, furnizorii de servicii de centre de date, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate şi furnizorii de servicii digitale, informaţiile prevăzute la alin. (3) către ENISA, după primirea acestora, cu excepţia informaţiilor cuprinse în alin. (3) lit. i) şi j) până cel târziu la data de 17 ianuarie 2025 şi ori de câte ori intervin modificări în legătură cu acestea. Punctul unic de contact revizuieşte informaţiile prevăzute în mod regulat şi cel puţin o dată la doi ani. Până la data de 17 aprilie 2025 şi la cererea Comisiei Europene, punctul unic de contact naţional notifică Comisiei Europene denumirile entităţilor esenţiale şi ale entităţilor importante identificate conform art. 9. (11) Entitatea se asigură că poate fi contactată prin intermediul datelor de contact transmise în conformitate cu alin. (3). (12) După expirarea termenului prevăzut la alin. (2), DNSC, din oficiu sau în urma unei sesizări privind sustragerea de la o obligaţie de notificare şi înscriere în registru făcută de orice persoană interesată, notifică entitatea în cauză cu privire la respectarea obligaţiei de a se supune procesului de identificare în vederea înscrierii în registrul entităţilor esenţiale sau importante. (13) Entităţile care nu mai îndeplinesc condiţiile şi criteriile prevăzute de dispoziţiile prezentei ordonanţe de urgenţă notifică DNSC în vederea radierii din registru şi furnizează acte doveditoare pentru aceasta în termen de 30 de zile de la data la care se constată schimbările. (14) DNSC dispune, prin decizie a conducerii, radierea din registru în urma evaluării documentaţiilor prevăzute la alin. (13) şi comunică entităţii decizia. (15) Entităţile pot solicita asistenţa DNSC cu privire la procesul de identificare, modificare sau radiere. (16) Atunci când o entitate furnizează un serviciu esenţial şi în cadrul altor state membre ale Uniunii Europene, DNSC se consultă cu autorităţile omoloage din statele respective înainte de adoptarea unei decizii privind radierea. (17) Se pot înregistra la DNSC şi alte entităţi decât cele menţionate la alin. (2), indiferent de dimensiunea acestora, în conformitate cu alin. (2)-(16). (18) Pentru îndeplinirea atribuţiilor care le revin, autorităţile competente sectorial pot solicita şi obţine, gratuit, în urma încheierii unui protocol, informaţii privind date înregistrate în registrul entităţilor esenţiale şi al entităţilor importante, corespunzătoare domeniilor acestora de activitate, cu respectarea legislaţiei în vigoare, în special a celei privind protecţia datelor cu caracter personal. ART. 19 (1) Pentru a contribui la securitatea, stabilitatea şi rezilienţa sistemelor de nume de domenii, registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii depun diligenţele necesare pentru a colecta date exacte şi complete de înregistrare a numelor de domenii într-o bază de date dedicată, în conformitate cu dreptul Uniunii Europene privind protecţia datelor. (2) O bază de date conform alin. (1) conţine informaţiile necesare pentru identificarea şi contactarea titularilor de nume de domenii şi a punctelor de contact care administrează numele de domenii în TLD şi trebuie să includă următoarele: a) numele de domeniu; b) data înregistrării; c) numele, adresa de e-mail şi numărul de telefon ale solicitantului înregistrării; d) adresa de e-mail de contact şi numărul de telefon ale punctului de contact care administrează numele de domeniu, dacă sunt diferite de cele ale solicitantului înregistrării. (3) Registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii stabilesc politici şi proceduri, inclusiv proceduri de verificare, pentru a se asigura că bazele de date menţionate la alin. (1) conţin informaţii exacte şi complete şi pun la dispoziţia publicului aceste politici şi proceduri. (4) Registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii pun la dispoziţia publicului datele de înregistrare a numelor de domenii fără caracter personal imediat după înregistrarea unui nume de domeniu. (5) În măsura în care datele furnizate de titularul numelui de domeniu sunt incorecte, inexacte sau incomplete, registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domeniu notifică aceasta titularului dreptului de utilizare a numelui de domeniu pentru a pune la dispoziţie datele corecte, exacte şi complete în termenul comunicat. (6) Dacă termenul acordat conform alin. (5) nu este respectat, numele de domeniu este blocat. (7) Transferul unui nume de domeniu blocat este interzis, iar atunci când datele solicitate nu au fost corectate corespunzător, numele de domeniu este anulat. (8) Registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii oferă acces la datele solicitate de înregistrare a numelor de domenii, în baza unor cereri legal întemeiate şi motivate corespunzător, persoanelor care justifică un interes legitim conform dispoziţiilor legale. (9) Registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii pun la dispoziţia publicului politicile şi procedurile privind divulgarea datelor şi răspund la toate cererile de acces cu celeritate, dar nu mai târziu de 72 de ore de la primirea unei cereri. (10) Registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii cooperează între ele, inclusiv pentru a evita suprapunerile în colectarea datelor de înregistrare a numelor de domenii, în contextul îndeplinirii obligaţiilor prevăzute la alin. (1)-(9). (11) DNSC poate solicita motivat accesul la datele de înregistrare a numelor de domenii şi poate încheia protocoale corespunzătoare cu operatorii de registru TLD şi cu furnizorii de servicii de înregistrare a numelor de domenii. SECŢIUNEA a 2-a Schimbul de informaţii în materie de securitate cibernetică ART. 20 (1) Entităţile esenţiale, entităţile importante şi, după caz, alte entităţi pot face schimb reciproc de informaţii relevante în materie de securitate cibernetică, în mod voluntar, inclusiv de informaţii referitoare la ameninţări cibernetice, incidente evitate la limită, vulnerabilităţi, tehnici şi proceduri, indicatori de compromitere, tactici adversariale, informaţii specifice actorului care generează ameninţări, alerte de securitate cibernetică şi recomandări privind configuraţia instrumentelor de securitate cibernetică pentru detectarea atacurilor cibernetice. (2) Schimbul de informaţii prevăzut la alin. (1) se realizează în cadrul unor asociaţii ale entităţilor esenţiale şi ale entităţilor importante şi, după caz, ale prestatorilor sau furnizorilor lor de servicii, prin intermediul unor acorduri privind schimbul de informaţii în materie de securitate cibernetică, cu respectarea tuturor prevederilor privind protecţia datelor cu caracter personal. (3) Schimbul de informaţii se realizează în următoarele scopuri: a) prevenirea şi detectarea incidentelor, răspunsul la incidente sau redresarea în urma acestora sau atenuarea impactului lor; b) sporirea nivelului de securitate cibernetică, în special prin sensibilizarea cu privire la ameninţările cibernetice, prin limitarea sau împiedicarea posibilităţii răspândirii unor asemenea ameninţări, sprijinirea gamei de capacităţi defensive, remedierea şi divulgarea vulnerabilităţilor, detectarea ameninţărilor, tehnicile de limitare şi prevenire a ameninţărilor, strategiile de atenuare sau etapele proceselor de răspuns şi de recuperare sau promovarea colaborării dintre entităţile publice şi private în domeniul cercetării ameninţărilor cibernetice. (4) Acordurile privind schimbul de informaţii în materie de securitate cibernetică cuprind şi informaţii cu privire la elemente operaţionale, inclusiv utilizarea platformelor TIC dedicate şi a instrumentelor de automatizare, conţinutul şi condiţiile acordurilor privind schimbul de informaţii şi se notifică DNSC atât încheierea, cât şi retragerea din cadrul acestora. (5) DNSC poate sprijini entităţile interesate în încheierea unui acord privind schimbul de informaţii în materie de securitate cibernetică şi poate solicita limitarea schimbului de informaţii atunci când acestea fac referire la informaţiile puse la dispoziţie de autorităţi competente sau de echipele de răspuns la incidente de securitate cibernetică. CAP. V Roluri şi responsabilităţi SECŢIUNEA 1 Coordonare la nivel naţional ART. 21 (1) Viziunea, principalele linii directoare şi abordările generale privind domeniul securităţii cibernetice la nivel naţional sunt definite şi asumate în Strategia de securitate cibernetică a României, aprobată prin Hotărârea Guvernului nr. 1.321/2021 privind aprobarea Strategiei de securitate cibernetică a României, pentru perioada 2022-2027, precum şi a Planului de acţiune pentru implementarea Strategiei de securitate cibernetică a României, pentru perioada 2022-2027, denumită în continuare Strategia, şi în Planul de acţiune pentru implementarea acesteia. (2) Cadrul general de cooperare în domeniul securităţii cibernetice la nivel naţional este Sistemul naţional de securitate cibernetică, denumit în continuare SNSC, în conformitate cu dispoziţiile Legii nr. 58/2023. ART. 22 (1) Strategia naţională de securitate cibernetică este elaborată de către DNSC, cu consultarea celorlalte autorităţi cu atribuţii în domeniul securităţii cibernetice conform prevederilor Legii nr. 58/2023, cu avizul Consiliului Operativ de Securitate Cibernetică, denumit în continuare COSC, şi este adoptată prin hotărâre a Guvernului, împreună cu planul de acţiune pentru implementarea strategiei, care este anexă la aceasta. (2) În elaborarea sau actualizarea strategiei naţionale de securitate cibernetică, DNSC poate solicita asistenţa ENISA. (3) Strategia naţională de securitate cibernetică prevede obiectivele strategice, resursele necesare pentru atingerea obiectivelor respective şi măsurile de politică şi de reglementare adecvate în vederea atingerii şi menţinerii unui nivel ridicat de securitate cibernetică. (4) Strategia naţională de securitate cibernetică este evaluată periodic şi cel puţin o dată la cinci ani, pe baza indicatorilor-cheie de performanţă şi, dacă este necesar, este actualizată şi adoptată, urmând acelaşi mecanism. (5) În termen de trei luni de la data adoptării strategiei naţionale de securitate cibernetică, DNSC transmite Comisiei Europene aceasta. ART. 23 (1) Strategia naţională de securitate cibernetică elaborată conform art. 22 cuprinde cel puţin următoarele: a) obiectivele şi priorităţile strategiei naţionale de securitate cibernetică, care acoperă în special sectoarele menţionate în anexele nr. 1 şi 2; b) un cadru de guvernanţă pentru realizarea obiectivelor şi priorităţilor menţionate la lit. a), inclusiv politicile publice; c) un cadru de guvernanţă care clarifică rolurile şi responsabilităţile părţilor interesate relevante la nivel naţional, care sprijină cooperarea şi coordonarea la nivel naţional între autorităţile competente, punctele unice de contact şi echipele de răspuns la incidente de securitate cibernetică în temeiul prezentei ordonanţe de urgenţă, precum şi coordonarea şi cooperarea dintre aceste organisme şi autorităţile competente în temeiul actelor juridice sectoriale ale Uniunii Europene; d) un mecanism care să identifice activele relevante şi o evaluare a riscurilor la nivel naţional; e) o identificare a măsurilor de asigurare a pregătirii pentru incidente la nivel naţional, a capacităţii de răspuns la acestea şi a redresării în urma acestora, inclusiv cooperarea dintre sectorul public şi cel privat; f) o listă a diferitelor autorităţi şi părţi interesate care participă la punerea în aplicare a strategiei naţionale de securitate cibernetică; g) un cadru de politică menit să asigure o mai bună coordonare între autorităţile competente în temeiul prezentei ordonanţe de urgenţă şi al dispoziţiilor legale privind rezilienţa entităţilor critice în scopul schimbului de informaţii privind riscurile, ameninţările cibernetice şi incidentele, precum şi privind riscurile, ameninţările şi incidentele fără caracter cibernetic şi al exercitării sarcinilor de supraveghere, după caz; h) un plan care să cuprindă inclusiv măsurile necesare pentru a spori nivelul general de sensibilizare a cetăţenilor cu privire la securitatea cibernetică. (2) În cadrul strategiei naţionale de securitate cibernetică se prevăd cel puţin următoarele politici publice: a) care abordează securitatea cibernetică a lanţului de aprovizionare pentru produsele TIC şi serviciile TIC utilizate de entităţi pentru furnizarea serviciilor lor; b) care privesc includerea şi specificarea cerinţelor legate de securitatea cibernetică pentru produsele TIC şi serviciile TIC în cadrul achiziţiilor publice, inclusiv în legătură cu certificarea de securitate cibernetică, criptarea şi utilizarea produselor de securitate cibernetică cu sursă deschisă; c) de gestionare a vulnerabilităţilor, inclusiv promovarea şi facilitarea divulgării coordonate a vulnerabilităţilor; d) legate de menţinerea disponibilităţii, integrităţii şi confidenţialităţii generale a nucleului public al internetului deschis, inclusiv securitatea cibernetică a cablurilor de comunicaţii submarine, după caz; e) de promovare a dezvoltării şi integrării tehnologiilor avansate relevante care vizează implementarea unor măsuri de ultimă generaţie de gestionare a riscurilor în materie de securitate cibernetică; f) de promovare şi dezvoltare a educaţiei şi a formării privind securitatea cibernetică, competenţele, sensibilizarea şi iniţiativele de cercetare şi dezvoltare în materie de securitate cibernetică, precum şi orientări privind bunele practici şi controale în materie de igienă cibernetică, destinate cetăţenilor, părţilor interesate şi entităţilor; g) de sprijinire a instituţiilor academice şi de cercetare în vederea dezvoltării, consolidării şi promovării implementării unor instrumente de securitate cibernetică şi a unei infrastructuri de reţele securizate; h) care să includă proceduri relevante şi instrumente adecvate de schimb de informaţii care să sprijine schimbul voluntar de informaţii în materie de securitate cibernetică între entităţi, în conformitate cu dreptul Uniunii Europene; i) de consolidare a rezilienţei cibernetice şi a nivelului de referinţă în materie de igienă cibernetică pentru întreprinderile mici şi mijlocii, în special pentru cele excluse din domeniul de aplicare al prezentei ordonanţe de urgenţă, prin furnizarea de orientări şi asistenţă uşor accesibile pentru nevoile lor specifice; j) de promovare a unei protecţii cibernetice active. SECŢIUNEA a 2-a Autoritatea competentă la nivel naţional ART. 24 (1) DNSC este autoritatea competentă responsabilă cu securitatea cibernetică şi cu sarcinile de supraveghere şi asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică. (2) DNSC îndeplineşte funcţia de echipă de răspuns la incidente de securitate cibernetică naţională, denumită în continuare CSIRT naţional, în temeiul dispoziţiilor Ordonanţei de urgenţă a Guvernului nr. 104/2021. (3) În vederea îndeplinirii atribuţiilor ce îi revin în temeiul prevederilor prezentei ordonanţe de urgenţă, DNSC se asigură că deţine personal suficient şi competent şi că dispune de resurse adecvate pentru a-şi îndeplini în mod eficace şi eficient atribuţiile. (4) Pentru aplicarea alin. (3), din bugetul DNSC se asigură, cu respectarea prevederilor legale, următoarele categorii de cheltuieli: a) achiziţionarea de servicii de specialitate; b) achiziţia de echipamente şi software, inclusiv software dezvoltat la comandă; c) afilierea la reţele şi organizaţii internaţionale de profil şi participarea prin reprezentanţi la lucrările acestora, precum şi la alte evenimente de profil; d) cursuri de formare şi perfecţionare, precum şi certificări ale personalului propriu; e) editarea de publicaţii, ghiduri de specialitate, clipuri video de conştientizare; f) organizarea de conferinţe, seminare şi alte evenimente de profil; g) efectuarea de studii statistice şi activităţi de cercetare. ART. 25 (1) DNSC, în exercitarea calităţii de autoritate competentă responsabilă cu securitatea cibernetică şi cu sarcinile de supraveghere şi asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică în temeiul prezentei ordonanţe de urgenţă, are următoarele atribuţii: a) elaborează şi asigură punerea în aplicare a strategiei naţionale de securitate cibernetică alături de celelalte autorităţi competente; b) elaborează norme şi cerinţe în domeniul de aplicare al prezentei ordonanţe de urgenţă; c) elaborează şi actualizează ghiduri, recomandări şi bune practici în domeniul de aplicare al prezentei ordonanţe de urgenţă; d) administrează şi gestionează resursele pentru punerea în aplicarea a prezentei ordonanţe de urgenţă; e) participă, prin reprezentanţi, la formatele de cooperare la nivel european; f) supraveghează, verifică şi controlează respectarea prevederilor prezentei ordonanţe de urgenţă; g) primeşte sesizări cu privire la neîndeplinirea obligaţiilor de către entităţile esenţiale şi importante; h) cooperează cu autorităţile competente din celelalte state membre ale Uniunii Europene şi oferă asistenţă acestora, prin schimbul de informaţii, transmiterea de solicitări şi sesizări, efectuarea controlului ori luarea de măsuri de supraveghere şi remediere a deficienţelor constatate, în cazul entităţilor care fac obiectul prezentei ordonanţe de urgenţă; i) autorizează, revocă sau reînnoieşte autorizarea echipelor de răspuns la incidente de securitate cibernetică ce deservesc entităţile esenţiale şi importante; j) eliberează, revocă sau reînnoieşte atestatele auditorilor de securitate cibernetică care pot efectua audit în cadrul reţelelor şi sistemelor informatice ce susţin servicii esenţiale ori servicii importante, în condiţiile prezentei ordonanţe de urgenţă; k) autorizează, revocă sau reînnoieşte autorizarea furnizorilor de servicii de formare pentru securitate cibernetică pentru formarea auditorilor de securitate cibernetică şi a echipelor de răspuns la incidente de securitate cibernetică; l) asigură ducerea la îndeplinire a obligaţiilor de raportare a incidentelor de către entităţile esenţiale şi importante în condiţiile prezentei ordonanţe de urgenţă; m) încurajează utilizarea de către entităţile esenţiale şi importante a produselor TIC, serviciilor TIC şi proceselor TIC ce corespund cerinţelor de standardizare şi certificare în domeniul securităţii cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881 şi a serviciilor de încredere calificate, cu respectarea standardelor şi a specificaţiilor tehnice europene şi internaţionale relevante pentru securitatea reţelelor şi a sistemelor informatice; n) reglementează şi gestionează procesul de divulgare coordonată a vulnerabilităţilor. (2) DNSC este responsabil de gestionarea procesului de identificare a entităţilor esenţiale şi a entităţilor importante şi păstrează un registru al acestora conform art. 18. (3) DNSC este responsabil de gestionarea procesului de identificare a furnizorilor de servicii DNS, registrelor de nume TLD, furnizorilor de servicii de cloud computing, furnizorilor de servicii de centre de date, furnizorilor de reţele de furnizare de conţinut, furnizorilor de servicii gestionate, furnizorilor de servicii de securitate gestionate, precum şi furnizorilor de pieţe online, de motoare de căutare online şi de platforme de servicii de socializare în reţea şi transmite către ENISA datele privind identificarea acestora până la data de 17 ianuarie 2025. (4) DNSC identifică serviciile, sistemele şi produsele TIC care pot face obiectul evaluării de risc naţionale din perspectiva lanţului de aprovizionare pe care o elaborează şi o transmite către ENISA, rezultatele evaluării fiind transmise către entităţile esenţiale şi entităţile importante şi către autorităţile competente sectorial. (5) DNSC păstrează evidenţa datelor prevăzute la alin. (3), le actualizează periodic şi transmite modificările către ENISA. (6) DNSC realizează, ori de câte ori este nevoie şi cel puţin o dată pe an, o evaluare a securităţii cibernetice a spaţiului cibernetic naţional civil, evaluarea fiind transmisă şi autorităţilor competente sectorial. ART. 26 (1) DNSC, în exercitarea atribuţiilor de supraveghere şi control, în cazul neîndeplinirii de către entităţile esenţiale şi entităţile importante a obligaţiilor ce le revin conform dispoziţiilor prezentei ordonanţe de urgenţă, verifică respectarea dispoziţiilor prezentei ordonanţe de urgenţă şi realizează controale, emite dispoziţii cu caracter obligatoriu pentru entităţile esenţiale şi entităţile importante în vederea conformării şi remedierii deficienţelor constatate şi stabileşte termene pentru aceasta, instituie măsuri de supraveghere pentru entităţile esenţiale şi pentru entităţile importante şi aplică sancţiuni. (2) DNSC asigură evaluarea procesului de pregătire şi specializare a auditorilor în vederea atestării ca auditori de securitate cibernetică, a membrilor echipelor de răspuns la incidente de securitate cibernetică, a responsabililor de securitate cibernetică şi a furnizorilor de servicii de formare pentru securitate cibernetică. ART. 27 (1) DNSC cooperează cu instituţiile din COSC şi poate solicita efectuarea de verificări ale riscurilor de securitate, inclusiv din perspectiva securităţii naţionale, cu privire la solicitantul de atestat de auditor, membrii echipelor de răspuns la incidente de securitate cibernetică şi furnizorilor de servicii specifice echipelor de răspuns la incidente de securitate cibernetică. (2) În urma aplicării alin. (1), DNSC evaluează riscurile de securitate şi în funcţie de situaţie dispune continuarea sau întreruperea procedurii de evaluare şi atestare. SECŢIUNEA a 3-a Cadrul naţional de gestionare a crizelor cibernetice ART. 28 (1) DNSC este autoritatea naţională de gestionare a crizelor cibernetice şi este responsabilă la nivel naţional cu gestionarea incidentelor de securitate cibernetică de mare amploare şi crize de securitate cibernetică, calitate pe care o îndeplineşte prin Centrul Naţional de Gestionare a Crizelor de Securitate Cibernetică, denumit în continuare CNGCSC, conform dispoziţiilor art. 5 lit. o) din Ordonanţa de urgenţă a Guvernului nr. 104/2021. (2) În îndeplinirea calităţii prevăzute la alin. (1), DNSC are următoarele atribuţii: a) identifică capacităţile, mijloacele şi procedurile care pot fi utilizate în caz de criză, în funcţie de care elaborează, actualizează şi coordonează aplicarea Planului de management al crizelor de securitate cibernetică la nivel naţional pe timp de pace, adoptat prin ordin al directorului DNSC; b) adoptă măsurile tehnice şi organizatorice necesare pentru instituirea nivelului critic de alertă cibernetică şi pentru gestionarea acestuia, conform prevederilor Legii nr. 58/2023; c) asigură şi coordonează schimbul de informaţii referitoare la crizele de securitate cibernetică cu toate părţile interesate relevante din sectorul public şi privat; d) participă, prin intermediul CNGCSC, la gestionarea coordonată a incidentelor de securitate cibernetică de mare amploare şi a crizelor de securitate cibernetică la nivelul Uniunii Europene şi acordă sprijin autorităţilor statelor membre; e) organizează şi participă, prin intermediul CNGCSC, la exerciţii, activităţi de formare şi alte măsuri naţionale de pregătire în domeniul crizelor de securitate cibernetică. ART. 29 (1) Gestionarea la nivel naţional a incidentelor şi a crizelor de securitate cibernetică se realizează în conformitate cu Planul de management al crizelor de securitate cibernetică la nivel naţional pe timp de pace. (2) Planul de management al crizelor de securitate cibernetică la nivel naţional pe timp de pace are ca scop gestionarea incidentelor de securitate cibernetică de mare amploare şi al crizelor cibernetice şi prevede cel puţin: a) obiectivele măsurilor şi ale activităţilor de pregătire; b) sarcinile şi responsabilităţile autorităţilor de gestionare a crizelor cibernetice; c) procedurile de gestionare a crizelor cibernetice, inclusiv integrarea acestora în cadrul naţional general de gestionare a crizelor şi canalele de schimb de informaţii; d) măsurile de pregătire, inclusiv exerciţii şi activităţi de formare; e) părţile interesate relevante din sectorul public şi privat şi infrastructura implicată; f) procedurile naţionale şi acordurile dintre autorităţile şi organismele naţionale relevante menite să asigure participarea efectivă a României la gestionarea coordonată a incidentelor de securitate cibernetică de mare amploare şi a crizelor la nivelul Uniunii Europene şi sprijinul acordat de aceasta. (3) În termen de trei luni de la adoptarea sau modificarea planului prevăzut la alin. (1), DNSC transmite Comisiei Europene şi Reţelei europene a organizaţiilor de legătură în materie de crize cibernetice, denumită în continuare EU-CyCLONe, informaţii relevante în legătură cu acesta, cu excepţia informaţiilor care pot aduce atingere securităţii naţionale. (4) În termen de trei luni de la intrarea în vigoare a prezentei ordonanţe de urgenţă, punctul unic de contact naţional notifică Comisiei Europene şi EU-CyCLONe calitatea DNSC de autoritate naţională de gestionare a crizelor cibernetice, precum şi orice modificări ulterioare ale acestei calităţi. SECŢIUNEA a 4-a Echipele de răspuns la incidente de securitate cibernetică ART. 30 (1) Entităţile esenţiale, entităţile importante şi autorităţile competente sectorial pot constitui echipe de răspuns la incidente de securitate cibernetică, denumite în continuare CSIRT, proprii sau sectoriale ori pot achiziţiona servicii de specialitate de la furnizori de servicii specifice CSIRT, autorizaţi de către DNSC. (2) CSIRT-urile prevăzute la alin. (1) sunt autorizate de către DNSC în urma evaluării îndeplinirii condiţiilor specifice de autorizare a acestui tip de serviciu, conform alin. (3) şi art. 31-33. (3) În vederea obţinerii autorizării, CSIRT-urile prevăzute la alin. (1) trebuie să probeze deţinerea unei infrastructuri de comunicare şi de informaţii adecvate, sigure şi reziliente care să permită schimbul de informaţii cu entităţile pe care acestea le deservesc şi cu alte părţi interesate relevante, precum şi existenţa resurselor adecvate pentru îndeplinirea efectivă a sarcinilor ce le revin. (4) CSIRT-urile prevăzute la alin. (1) cooperează şi fac schimb de informaţii relevante cu comunităţile sectoriale sau transsectoriale formate din entităţi esenţiale şi entităţi importante, cât şi cu CSIRT-uri din state terţe, inclusiv pentru a le oferi asistenţă în materie de securitate cibernetică. (5) CSIRT-urile prevăzute la alin. (1) participă la grupuri de cooperare naţionale şi internaţionale, evaluări inter pares, la Reţeaua CSIRT sau la alte formate asemănătoare la solicitarea CSIRT naţional. (6) CSIRT-urile prevăzute la alin. (1) cooperează atât între ele, cât şi cu CSIRT naţional. (7) DNSC poate delega una sau mai multe persoane atât din personalul propriu de control, cât şi de specialitate să îşi exercite temporar atribuţiile în cadrul unui CSIRT prevăzut la alin. (1). ART. 31 (1) CSIRT-urile proprii, sectoriale sau furnizorii de servicii specifice CSIRT care deservesc entităţile esenţiale sau entităţile importante au următoarele obligaţii: a) să fie autorizate de către DNSC; b) să asigure compatibilitatea şi interoperabilitatea sistemelor, procedurilor şi metodelor utilizate cu cele ale CSIRT naţional; c) să furnizeze cel puţin pachetul minim de servicii de tip CSIRT necesar asigurării la nivel naţional a unei protecţii unitare a entităţilor esenţiale şi a entităţilor importante, în condiţiile alin. (2); d) să utilizeze în cadrul echipelor un număr corespunzător de persoane calificate; e) să se interconecteze la serviciul de alertă, monitorizare şi cooperare al DNSC şi să asigure un răspuns prompt la alertele şi solicitările transmise de CSIRT naţional; f) să dispună de personal adecvat pentru a asigura disponibilitatea permanentă a serviciilor lor; g) să aloce anual bugetul necesar în vederea menţinerii unui nivel ridicat al capabilităţilor atât din punctul de vedere al resurselor umane, cât şi tehnice. (2) Normele tehnice privind compatibilitatea şi interoperabilitatea prevăzute la alin. (1) lit. b), pachetul minim de servicii de tip CSIRT prevăzut la alin. (1) lit. c) şi criteriile de stabilire a numărului de persoane calificate prevăzute la alin. (1) lit. d) se aprobă prin ordin al directorului DNSC. (3) DNSC elaborează tematicile pentru specializarea personalului din cadrul CSIRT-urilor în vederea autorizării conform art. 30 alin. (2), prin decizie a directorului DNSC. ART. 32 (1) CSIRT-urile trebuie să îndeplinească următoarele cerinţe: a) să asigure o disponibilitate ridicată a canalelor de comunicare proprii, evitând punctele unice de defecţiune, dispunând de mai multe mijloace pentru a fi conectate şi pentru a contacta alte entităţi în orice moment; b) să specifice canalele de comunicare prevăzute la lit. a) şi să le aducă la cunoştinţă bazei de utilizatori şi parteneri de cooperare; c) să menţină sediile şi sistemele informatice de suport în amplasamente securizate; d) să dispună de un sistem adecvat de gestionare şi rutare a cererilor; e) să asigure confidenţialitatea şi credibilitatea operaţiunilor lor; f) să dispună de personal adecvat pentru a asigura disponibilitatea permanentă a serviciilor lor; g) să fie echipate cu sisteme redundante şi spaţiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor, chiar şi după un incident; h) să protejeze datele confidenţiale şi sensibile ale beneficiarilor serviciilor lor de accesul neautorizat, sustragerea, alterarea sau distrugerea lor, prin măsuri tehnice şi procedurale suficiente, adecvate şi proporţionale. (2) CSIRT-urile pot acorda prioritate unor cereri de sprijin în temeiul unei abordări bazate pe riscuri. (3) CSIRT-urile stabilesc relaţii de cooperare cu părţile interesate relevante în vederea îndeplinirii atribuţiilor acestora. (4) Pentru a facilita cooperarea prevăzută la alin. (3), CSIRT-urile promovează adoptarea şi utilizarea unor practici, sisteme de clasificare şi taxonomii comune sau standardizate în legătură cu: a) procedurile de gestionare a incidentelor; b) gestionarea crizelor; c) divulgarea coordonată a vulnerabilităţilor, în temeiul art. 36. (5) Pachetul minim de servicii de tip CSIRT trebuie să acopere cel puţin funcţiile şi controalele sau elementele aferente funcţiilor, de prioritate medie şi înaltă, aşa cum sunt definite de standardele şi cadrele sau platformele recunoscute la nivel internaţional în domeniul răspunsului la incidente şi al managementului riscului de securitate cibernetică, ce vor fi precizate şi actualizate periodic prin ordin al directorului DNSC. ART. 33 (1) CSIRT-urile au următoarele responsabilităţi: a) monitorizarea şi analiza ameninţărilor cibernetice, a vulnerabilităţilor şi a incidentelor la nivel naţional şi, la cerere, acordarea de asistenţă entităţilor esenţiale şi entităţilor importante implicate cu privire la monitorizarea în timp real sau în timp aproape real a reţelei lor şi a sistemelor lor informatice în conformitate cu necesităţile acestora; b) asigurarea unor mecanisme de avertizare timpurii, alerte, anunţuri şi diseminare de informaţii către entităţile esenţiale şi entităţile importante, precum şi către autorităţile competente şi alte părţi interesate relevante cu privire la ameninţări cibernetice, vulnerabilităţi şi incidente în timp aproape real; c) răspunsul la incidente şi acordarea de asistenţă entităţilor esenţiale şi entităţilor importante implicate, după caz; d) colectarea şi analiza datelor şi furnizarea de analize dinamice de risc şi de incident şi conştientizarea situaţiei în materie de securitate cibernetică; e) furnizarea, la cererea unei entităţi esenţiale sau a unei entităţi importante, a unei scanări de securitate a reţelelor şi sistemelor informatice ale entităţii implicate pentru a detecta vulnerabilităţile cu un impact potenţial semnificativ; f) participarea la implementarea unor instrumente securizate de schimb de informaţii, în conformitate cu art. 20. (2) Scanările prevăzute la alin. (1) lit. e) sunt neintruzive şi se efectuează pentru a detecta reţelele şi sistemele informatice vulnerabile sau configurate în mod nesigur şi nu aduc niciun efect negativ funcţionalităţii serviciilor entităţilor în cauză. ART. 34 (1) CSIRT-urile care deservesc entităţi esenţiale sau entităţi importante se autorizează de către DNSC. (2) În acest sens, DNSC are următoarele atribuţii generale: a) elaborează şi adoptă, prin ordin al directorului DNSC, regulamentul privind autorizarea şi verificarea CSIRT-urilor care deservesc entităţile esenţiale şi entităţile importante şi stabileşte condiţiile de valabilitate pentru autorizaţiile acordate, precum şi tematicile pentru formarea personalului CSIRT-urilor; b) acordă, prelungeşte, suspendă sau retrage, prin decizie a directorului DNSC, autorizarea pentru CSIRT-uri; c) acordă, prelungeşte, suspendă sau retrage, prin decizie a directorului DNSC, autorizarea furnizorilor de servicii de formare pentru activităţile specifice CSIRT; d) verifică, în urma sesizărilor sau din oficiu, îndeplinirea de către CSIRT-urile autorizate a obligaţiilor ce le revin. (3) Autorizările prevăzute la alin. (2) lit. b) au o valabilitate de trei ani. ART. 35 (1) DNSC, în calitate de CSIRT naţional, poate asigura sprijin pentru gestionarea incidentelor: a) entităţilor esenţiale şi entităţilor importante, la solicitarea acestora; b) echipelor de răspuns la incidente de securitate cibernetică. (2) CSIRT naţional îndeplineşte cerinţele prevăzute la art. 30 alin. (3) şi art. 32 alin. (1). (3) CSIRT naţional poate stabili relaţii de cooperare cu CSIRT-uri din ţări terţe, inclusiv pentru a le oferi asistenţă reciprocă în materie de securitate cibernetică. În cadrul acestor relaţii de cooperare, se facilitează un schimb de informaţii eficace, eficient şi securizat cu respectivele CSIRT-uri, utilizând protocoalele relevante de schimb de informaţii. (4) CSIRT naţional poate face schimb de informaţii relevante cu CSIRT-urile din ţări terţe, inclusiv de date cu caracter personal în conformitate cu legislaţia privind protecţia datelor. ART. 36 (1) DNSC, în calitate de CSIRT naţional, este responsabil de gestionarea procesului de divulgare coordonată a vulnerabilităţilor şi este desemnat drept coordonator care acţionează ca intermediar de încredere, facilitând, atunci când este necesar, interacţiunea dintre persoana fizică sau juridică care raportează o vulnerabilitate şi producătorul sau furnizorul de produse TIC sau servicii TIC potenţial vulnerabile, la cererea oricărei părţi. (2) În îndeplinirea prevederilor alin. (1), DNSC: a) asigură primirea, stocarea şi evaluarea raportărilor referitoare la orice vulnerabilitate a unui produs sau serviciu TIC, înaintate în condiţiile alin. (3); b) asigură posibilitatea anonimatului persoanei care raportează o vulnerabilitate; c) identifică şi contactează entităţile care produc, deţin sau administrează produse sau servicii TIC care fac obiectul raportării conform alin. (3), cărora le comunică vulnerabilităţile raportate; d) facilitează, în măsura în care este necesar, atunci când acţionează drept intermediar de încredere, interacţiunea dintre persoana care raportează o vulnerabilitate şi producătorul, deţinătorul, administratorul sau furnizorul de produse sau servicii TIC potenţial vulnerabile, la cererea uneia dintre părţi şi cu acordul celeilalte părţi; e) dispune măsuri adecvate, conform atribuţiilor sale legale, în legătură cu gestionarea vulnerabilităţilor raportate de către entităţile care produc, deţin, administrează sau furnizează produse sau servicii TIC care fac obiectul raportării conform alin. (3); f) efectuează, după caz, verificări asupra vulnerabilităţilor în sistemele informatice, cu sprijinul producătorilor, deţinătorilor, administratorilor sau furnizorilor de produse sau servicii TIC potenţial vulnerabile; g) negociază cu entităţile afectate calendarele de divulgare şi gestionare a vulnerabilităţilor care afectează mai multe entităţi; h) atunci când o vulnerabilitate raportată ar putea avea un impact semnificativ transfrontalier, cooperează, după caz, cu CSIRT-urile desemnate din cadrul Reţelei CSIRT; i) emite proceduri, norme tehnice şi ghiduri conţinând cerinţe minime şi recomandări pentru raportarea vulnerabilităţilor şi conduita raportorilor, gestionarea acestora de către entităţi şi îndeplinirea de către acestea a obligaţiilor conexe, programele private de divulgare a vulnerabilităţilor şi relaţiile dintre entităţi şi raportori; j) poate asista persoanele care raportează o vulnerabilitate. (3) Orice persoană fizică sau juridică poate raporta către DNSC vulnerabilităţi ale unor produse sau servicii TIC, cu respectarea prevederilor legale. (4) Producătorii şi furnizorii de produse sau servicii TIC au obligaţiile de a transmite către DNSC toate informaţiile cu privire la vulnerabilităţile pe care le identifică, precum şi cu privire la vulnerabilităţile care le sunt semnalate de către terţi şi care le afectează propriile produse sau servicii şi de a remedia respectivele vulnerabilităţi într-un termen stabilit de comun acord cu DNSC. (5) Persoana fizică sau juridică care raportează conform alin. (3) respectă cel puţin următoarele: a) activitatea de cercetare pentru descoperirea de vulnerabilităţii raportate se efectuează cu bună-credinţă, exclusiv cu scopul de a contribui la îmbunătăţirea securităţii cibernetice şi cu respectarea prevederilor legale; b) activitatea de cercetare se desfăşoară fără accesarea sau copierea neautorizată a conţinutului fişierelor din sistemele informatice care fac obiectul activităţii de cercetare; c) în cadrul activităţii de cercetare nu sunt şterse sau modificate date din sistemele informatice care fac obiectul activităţii de cercetare; d) activitatea de cercetare se desfăşoară fără încălcarea sau ocolirea unor bariere tehnice precum parole sau detalii de identificare, prin tehnici precum atacuri brute-force, prin phishing sau alte procedee de inginerie socială; e) nu se cauzează nicio întrerupere sau deteriorare a produselor sau serviciilor TIC ale terţilor; f) activitatea de cercetare nu se desfăşoară pentru a derula atacuri, nu produce prejudicii şi nu utilizează produse de tip malware sau tehnici de natură să afecteze disponibilitatea serviciilor TIC; g) nu a dezvăluit public informaţii cu privire la vulnerabilitatea identificată, anterior sau ulterior momentului raportării, fără acordul DNSC. (6) Raportarea de la alin. (3) se realizează în termen de cel mult 48 de ore de la identificarea vulnerabilităţii. (7) Entităţile care fac obiectul prezentei ordonanţe de urgenţă au obligaţia de a institui la nivelul acestora procese de management al vulnerabilităţilor TIC aferente produselor şi serviciilor pe care le oferă şi care includ cel puţin următoarele măsuri: a) asigură primirea raportărilor de vulnerabilităţi, analiza acestora în vederea confirmării sau infirmării validităţii celor semnalate, precum şi pentru remedierea vulnerabilităţilor confirmate, inclusiv soluţii temporare până la remediere pentru persoanele afectate; b) cooperarea cu DNSC în procesele de management al vulnerabilităţilor şi de divulgare coordonată a vulnerabilităţilor; c) stabilirea şi publicarea în cadrul detaliilor de contact tehnic în documente şi pe pagina de internet a modalităţilor de contact şi de comunicare privind vulnerabilităţile, precum şi a termenilor şi condiţiilor pentru raportarea de vulnerabilităţi; d) asigurarea comunicării şi cooperării cu raportorii şi cu DNSC în procesul divulgare coordonată a vulnerabilităţilor, precum şi, după caz, cu utilizatorii produselor sau serviciilor potenţial vulnerabile. CAP. VI Cooperare SECŢIUNEA 1 Cooperare la nivel naţional ART. 37 (1) În vederea asigurării unui nivel comun ridicat de securitate cibernetică la nivel naţional, DNSC se consultă şi cooperează cu următoarele: a) Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii, denumită în continuare ANCOM, care este autoritate competentă sectorial în domeniul securităţii cibernetice, potrivit prevederilor prezentei ordonanţe de urgenţă, pentru sectorul „8. Infrastructură digitală“: „Furnizorii de IXP (internet exchange point)“, „Furnizorii de servicii de centre de date“, „Furnizorii de reţele publice de comunicaţii electronice“ şi „Furnizorii de servicii de comunicaţii electronice destinate publicului“ din anexa nr. 1 şi pentru sectorul „1. Servicii poştale şi de curierat“ din anexa nr. 2; b) autorităţile, astfel cum acestea se identifică în temeiul art. 2 alin. (2) din Regulamentul delegat (UE) 2024/1.366 al Comisiei din 11 martie 2024 de completare a Regulamentului (UE) 2019/943 al Parlamentului European şi al Consiliului prin stabilirea unui cod de reţea privind normele sectoriale pentru aspectele legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică; c) Autoritatea pentru Digitalizarea României, denumită în continuare ADR, care este autoritate competentă sectorial în domeniul securităţii cibernetice, potrivit prevederilor prezentei ordonanţe de urgenţă, pentru sectorul „8. Infrastructură digitală“: „Prestatorii de servicii de încredere“; d) alte autorităţi competente sectorial în domeniul securităţii cibernetice, conform anexelor nr. 1 şi 2. (2) În vederea asigurării unui nivel comun ridicat de securitate cibernetică la nivel naţional, DNSC se coordonează cu CNCPIC şi face schimb de informaţii periodic pentru identificarea entităţilor esenţiale identificate ca fiind entităţi critice în ceea ce priveşte riscurile, incidentele şi ameninţările cibernetice şi de altă natură decât cibernetică care le privesc şi le afectează, precum şi cu privire la măsurile luate ca răspuns la acestea. (3) DNSC cooperează şi colaborează cu Banca Naţională a României, denumită în continuare BNR, şi Autoritatea de Supraveghere Financiară, denumită în continuare ASF, pentru evaluarea şi gestionarea riscurilor cibernetice, identificarea vulnerabilităţilor şi implementarea măsurilor de protecţie adecvate entităţilor esenţiale şi entităţilor importante din domeniul bancar şi al infrastructurilor pieţei financiare, astfel: a) BNR şi ASF transmit în timp util către DNSC informaţii privind incidentele majore legate de TIC şi ameninţările cibernetice semnificative, raportate de către entităţile cărora li se aplică cerinţele Regulamentului DORA, iar DNSC transmite către BNR şi ASF informaţii privind incidentele majore şi ameninţările cibernetice, raportate de către entităţile esenţiale sau importante cărora li se aplică prezenta ordonanţă de urgenţă şi care au fost desemnate conform Regulamentului DORA drept furnizori terţi esenţiali de servicii TIC; b) BNR şi ASF pot solicita orice tip de consultanţă şi asistenţă tehnică relevantă din partea DNSC, în limita capacităţilor şi resurselor DNSC, şi pot stabili acorduri de cooperare pentru a permite crearea unor mecanisme de coordonare eficace şi rapide. (4) DNSC aplică dispoziţiile art. 3 alin. (4) şi art. 5 lit. h) pct. 8 şi 9 din Ordonanţa de urgenţă a Guvernului nr. 104/2021. (5) Autoritatea competentă sectorial va fi desemnată de către ministerele de resort, prin hotărâre a Guvernului. (6) Atunci când o entitate desfăşoară activitate în două sau mai multe sectoare, astfel cum sunt prevăzute în anexele nr. 1 şi 2, acesteia i se aplică măsurile tehnice, operaţionale şi organizatorice proporţionale şi adecvate pentru a gestiona riscurile aferente securităţii reţelelor şi a sistemelor informatice de nivelul cel mai ridicat. (7) Autorităţile, astfel cum sunt stabilite la alin. (1), pot: a) constitui CSIRT-uri sectoriale, sens în care monitorizează, identifică, analizează şi răspund la ameninţările de securitate cibernetică din sectorul corespunzător şi oferă servicii publice de tip preventiv, de tip reactiv sau de consultanţă pentru managementul securităţii cibernetice sau pot achiziţiona servicii de specialitate de la furnizorii de servicii specifice CSIRT, autorizaţi de către DNSC; b) colecta raportări de incidente din propriul sector, potrivit ordinelor comune prevăzute la alin. (8) lit. b); c) derula activităţi de investigare a incidentelor, sub coordonarea CSIRT naţional; d) derula activităţi tehnice specifice de identificare a vulnerabilităţilor reţelelor şi sistemelor informatice ale entităţilor care îşi desfăşoară activitatea în domeniile de competenţă ale acestora, sens în care se consultă şi cooperează cu CSIRT naţional; e) derula activităţi de evaluare a incidentelor în scopul identificării principalelor cauze, astfel încât să reducă riscul apariţiei unor astfel de incidente; f) elabora ghiduri şi recomandări în domeniul securităţii cibernetice din domeniul de competenţă pentru asigurarea unei capacităţi adecvate de identificare, evaluare şi adoptare a unor măsuri de management al riscului, răspuns la incidente şi atacuri cibernetice, de asigurare a securităţii lanţului de aprovizionare, precum şi de gestionare a situaţiilor de criză. (8) Autorităţile, astfel cum sunt stabilite la alin. (1), au următoarele atribuţii: a) transmit către DNSC, în măsura în care le deţin, informaţii şi date privind ameninţările cibernetice, inclusiv de indicatori de compromitere, tactici, tehnici şi proceduri, alerte de securitate cibernetică şi instrumente de configurare atunci când aceste schimburi de informaţii şi date vizează sporirea rezilienţei operaţionale digitale a entităţilor din domeniul de competenţă a acestora prin sensibilizarea cu privire la ameninţările cibernetice, limitarea sau împiedicarea răspândirii ameninţărilor cibernetice, sprijinirea gamei de capacităţi defensive ale entităţilor, tehnicile de detectare a ameninţărilor, strategiile de atenuare sau etapele proceselor de răspuns şi de recuperare; b) emit ordine comune, împreună cu DNSC, în domeniul securităţii cibernetice din domeniul de competenţă, în vederea asigurării unui nivel comun ridicat de securitate cibernetică la nivel naţional, inclusiv în ceea ce priveşte măsurile tehnice, operaţionale şi organizatorice de gestionare a riscurilor, proporţionale şi adecvate pe care entităţile din domeniul de competenţă au obligaţia de a le lua în desfăşurarea activităţii lor, procedura de notificare şi de răspuns la incidentele de securitate cibernetică aplicabile entităţilor din domeniul de competenţă, pragurile specifice şi criteriile de stabilire a impactului incidentelor de securitate din domeniul de competenţă; c) monitorizează respectarea actelor normative din domeniul securităţii cibernetice, elaborate potrivit lit. b), de către entităţile din domeniul de competenţă şi realizează activităţi de supraveghere şi control, potrivit prevederilor prezentei ordonanţe de urgenţă, aplicând în mod corespunzător art. 46 alin. (1) şi (4)-(9), art. 47 alin. (1)-(7), art. 48-50, art. 51 alin. (1) şi art. 57. (9) Autorităţile, astfel cum sunt stabilite la alin. (1), au următoarele obligaţii: a) sprijină DNSC în identificarea entităţilor esenţiale şi entităţilor importante din domeniul de competenţă conform art. 5-10; b) participă la elaborarea criteriilor de stabilire a impactului incidentelor, la cererea DNSC; c) asigură armonizarea reglementărilor sectoriale în domeniul securităţii cibernetice cu dispoziţiile actelor de reglementare emise de către DNSC; d) se coordonează cu DNSC cu privire la planificarea şi derularea activităţilor de control care au ca obiect aspecte de securitate cibernetică; e) transmit către DNSC informaţiile privitoare la încălcările dispoziţiilor prezentei ordonanţe de urgenţă, în vederea sprijinirii DNSC în stabilirea măsurilor de remediere şi a sancţiunii. (10) Autorităţile competente sectorial sunt, de asemenea, împuternicite să asigure supravegherea, controlul şi sancţionarea în aplicarea prevederilor prezentei ordonanţe de urgenţă, precum şi ale regulamentelor Uniunii Europene din domeniul securităţii cibernetice şi ale actelor de punere în aplicare a dispoziţiilor Directivei (UE) 2022/2.555 care vizează entităţile din sectorul lor de competenţă potrivit prezentei ordonanţe de urgenţă, în cazul în care competenţele de supraveghere, control şi sancţionare ale Regulamentelor, respectiv ale actelor de punere în aplicare nu au fost acordate altei autorităţi. (11) Controlul realizat în temeiul alin. (10) se desfăşoară, după caz, împreună cu personal de control sau de specialitate din cadrul DNSC. (12) Autorităţile competente sectorial îşi pot exercita atribuţiile de supraveghere şi control prevăzute de prezenta ordonanţă de urgenţă inclusiv la solicitarea motivată a CNCPIC, pentru entităţile identificate critice conform dispoziţiilor legale privind rezilienţa entităţilor critice. (13) Aplicarea actelor juridice ale Uniunii Europene nu derogă de la celelalte obligaţii care revin entităţilor esenţiale şi entităţilor importante conform dispoziţiilor prezentei ordonanţe de urgenţă. (14) În cazul în care actele juridice sectoriale ale Uniunii Europene impun entităţilor esenţiale sau entităţilor importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să raporteze incidentele semnificative, iar cerinţele respective au un efect cel puţin echivalent cu efectul obligaţiilor prevăzute în prezenta ordonanţă de urgenţă, dispoziţiile prezentei ordonanţe de urgenţă privind măsurile de gestionare a riscurilor, raportarea incidentelor, precum şi supravegherea, verificarea şi controlul nu se aplică acestor entităţi. În cazul în care actele juridice sectoriale ale Uniunii Europene nu acoperă toate entităţile dintr-un anumit sector care intră în domeniul de aplicare a prezentei ordonanţe de urgenţă, dispoziţiile relevante ale prezentei ordonanţe de urgenţă se aplică în continuare entităţilor care nu fac obiectul respectivelor acte juridice sectoriale ale Uniunii Europene. (15) Cerinţele menţionate la alin. (14) sunt considerate echivalente în privinţa efectului cu obligaţiile prevăzute în prezenta ordonanţă de urgenţă, în cazul în care îndeplineşte cel puţin o condiţie dintre următoarele: a) măsurile de gestionare a riscurilor în materie de securitate cibernetică sunt cel puţin echivalente în privinţa efectului cu cele prevăzute la art. 13; b) actul juridic sectorial al Uniunii Europene prevede accesul imediat, după caz, automat şi direct, la raportarea incidentelor pentru CSIRT-uri, autorităţile competente sau punctele unice de contact în temeiul prezentei ordonanţe de urgenţă şi dacă cerinţele de raportare a incidentelor semnificative au un efect cel puţin echivalent cu cele prevăzute la art. 15. (16) Dispoziţiile alin. (7)-(14) nu se aplică BNR şi ASF. (17) Prin ordinul comun prevăzut la alin. (8) lit. b) se pot stabili modalităţile de implementare a dispoziţiilor art. 11, art. 13, art. 15 alin. (1), (3), (5)-(10) şi art. 16. (18) DNSC cooperează şi colaborează cu Autoritatea Aeronautică Civilă Română, denumită în continuare AACR, autoritate competentă în temeiul art. 6 alin. (1) din Regulamentul de punere în aplicare (UE) 2023/203 al Comisiei din 27 octombrie 2022 de stabilire a normelor de aplicare a Regulamentului (UE) 2018/1.139 al Parlamentului European şi al Consiliului în ceea ce priveşte cerinţele referitoare la managementul riscurilor în materie de securitate a informaţiilor cu impact potenţial asupra siguranţei aviaţiei, impuse organizaţiilor care intră sub incidenţa Regulamentelor (UE) nr. 1.321/2014, (UE) nr. 965/2012, (UE) nr. 1.178/2011, (UE) 2015/340 ale Comisiei şi a Regulamentelor de punere în aplicare (UE) 2017/373 şi (UE) 2021/664 ale Comisiei, precum şi autorităţilor competente care intră sub incidenţa Regulamentelor (UE) nr. 748/2012, (UE) nr. 1.321/2014, (UE) nr. 965/2012, (UE) nr. 1.178/2011, (UE) 2015/340 şi (UE) nr. 139/2014 ale Comisiei şi a Regulamentelor de punere în aplicare (UE) 2017/373 şi (UE) 2021/664 ale Comisiei, şi de modificare a Regulamentelor (UE) nr. 1.178/2011, (UE) nr. 748/2012, (UE) nr. 965/2012, (UE) nr. 139/2014, (UE) nr. 1.321/2014, (UE) 2015/340 ale Comisiei şi a Regulamentelor de punere în aplicare (UE) 2017/373 şi (UE) 2021/664 ale Comisiei şi la art. 5 alin. (1) din Regulamentul delegat (UE) 2022/1.645 al Comisiei din 14 iulie 2022 de stabilire a normelor de aplicare a Regulamentului (UE) 2018/1.139 al Parlamentului European şi al Consiliului în ceea ce priveşte cerinţele referitoare la managementul riscurilor în materie de securitate a informaţiilor cu impact potenţial asupra siguranţei aviaţiei impuse organizaţiilor care intră sub incidenţa Regulamentelor (UE) nr. 748/2012 şi (UE) nr. 139/2014 ale Comisiei şi de modificare a Regulamentelor (UE) nr. 748/2012 şi (UE) nr. 139/2014 ale Comisiei, pentru evaluarea şi gestionarea riscurilor cibernetice, identificarea vulnerabilităţilor şi implementarea măsurilor de protecţie adecvate entităţilor din domeniul transporturilor aeriene prevăzute în anexa nr. 1, sectorul Transporturi, subsectorul Transport aerian la prezenta ordonanţă de urgenţă, astfel: a) AACR şi DNSC cooperează pentru gestionarea incidentelor şi ameninţărilor cibernetice semnificative, raportate de către entităţile care intră în competenţa AACR, iar DNSC transmite către AACR informaţii privind incidentele şi ameninţările cibernetice, raportate de către entităţile care intră în competenţa AACR şi cărora li se aplică prezenta ordonanţă de urgenţă; b) AACR poate solicita consultanţă şi asistenţă tehnică relevantă din partea DNSC, în limita capacităţilor şi resurselor DNSC, şi se pot stabili acorduri de cooperare între cele două autorităţi pentru a permite crearea unor mecanisme de coordonare eficace şi rapide. (19) DNSC informează Forumul de supraveghere instituit în temeiul art. 32 alin. (1) din Regulamentul (UE) 2022/2.554 atunci când îşi exercită competenţele de supraveghere şi control menite să asigure respectarea prezentei ordonanţe de urgenţă de către o entitate esenţială sau importantă, care este desemnată ca fiind un furnizor terţ de servicii TIC critice în temeiul art. 31 din Regulamentul (UE) 2022/2.554. (20) În vederea asigurării unui nivel comun ridicat de securitate cibernetică la nivel naţional în domeniul transformării digitale şi societăţii informaţionale, DNSC cooperează cu ADR în ceea ce priveşte riscurile, incidentele şi ameninţările cibernetice. (21) În vederea îndeplinirii atribuţiilor ce le revin în temeiul prevederilor prezentei ordonanţe de urgenţă, autorităţile competente sectorial se asigură că deţin personal suficient şi competent şi că dispun de resurse adecvate pentru a-şi îndeplini în mod eficace şi eficient atribuţiile. ART. 38 (1) În exercitarea atribuţiilor prevăzute la art. 37 alin. (8) lit. b), DNSC şi autoritatea competentă sectorial au obligaţia de a respecta procedura de consultare stabilită prin prezentul articol ori de câte ori măsurile pe care intenţionează să le adopte sunt de natură să producă un impact semnificativ în domeniul securităţii cibernetice în sectorul corespunzător. (2) DNSC şi autoritatea competentă sectorial au obligaţia de a publica textul supus consultării pe paginile de internet proprii, precizând, totodată, şi: data publicării documentului, data la care expiră termenul de depunere a observaţiilor şi data estimativă la care intenţionează să adopte măsura care face obiectul consultării. (3) De la data la care textul supus consultării este publicat pe paginile de internet, DNSC şi autoritatea competentă sectorial vor acorda un termen de cel puţin 30 de zile pentru depunerea de observaţii, în scris, de către orice persoană interesată. În situaţiile în care este necesară adoptarea unor măsuri în regim de urgenţă, DNSC şi autoritatea competentă sectorial vor acorda pentru depunerea de observaţii un termen de 10 până la 30 de zile. (4) Cel mai târziu la data publicării pe pagina de internet a proiectului ordinului prin care se adoptă măsura, DNSC şi autoritatea competentă sectorial au obligaţia de a publica şi un material de sinteză comun cu observaţiile primite, în care vor preciza şi poziţia lor faţă de aceste observaţii. (5) DNSC şi autoritatea competentă sectorial pot decide, de comun acord, ca numai DNSC sau numai autoritatea competentă sectorial să desfăşoare procedura de consultare publică. În acest caz, fiecare autoritate aplică procedura aplicabilă propriilor sale acte, cu respectarea unui dialog permanent între cele două instituţii implicate. ART. 39 (1) Pentru asigurarea unui nivel comun ridicat de securitate cibernetică la nivel naţional, DNSC se consultă şi cooperează cu: a) Serviciul Român de Informaţii, pentru securitatea reţelelor şi a sistemelor informatice care asigură servicii esenţiale a căror afectare aduce atingere securităţii naţionale; b) Ministerul Apărării Naţionale, pentru securitatea reţelelor şi a sistemelor informatice care asigură servicii esenţiale în sprijinul activităţilor privind apărarea naţională; c) Ministerul Afacerilor Interne, Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, Serviciul de Informaţii Externe, Serviciul de Telecomunicaţii Speciale şi Serviciul de Protecţie şi Pază, pentru securitatea reţelelor şi a sistemelor informatice care asigură servicii esenţiale în domeniul lor de activitate şi responsabilitate. (2) DNSC se consultă şi cooperează, după caz, cu: a) organele de urmărire penală; b) Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, în cazul incidentelor care au ca rezultat încălcarea securităţii datelor cu caracter personal, în condiţiile legii. SECŢIUNEA a 2-a Cooperare la nivel european şi internaţional ART. 40 (1) DNSC îndeplineşte funcţia de punct unic de contact la nivel naţional, calitate în care facilitează cooperarea pentru securitatea reţelelor şi a sistemelor informatice cu autorităţi relevante din state membre, cu Comisia Europeană şi cu ENISA, inclusiv pentru alte autorităţi competente din România. (2) În calitate de punct unic de contact la nivel naţional, DNSC îi revin următoarele atribuţii: a) exercită funcţia de legătură între autorităţile competente din România şi autorităţile cu competenţe în aplicare de măsuri pentru un nivel comun ridicat de securitate cibernetică în statele membre, precum şi, acolo unde este cazul, cu Comisia Europeană, ENISA, Grupul de cooperare şi Reţeaua CSIRT; b) informează celelalte state membre sau partenere afectate, dacă incidentul are un impact semnificativ asupra continuităţii serviciilor esenţiale ori a serviciilor importante în statele respective; c) transmite Grupului de cooperare rapoarte de sinteză privind notificările primite şi acţiunile întreprinse; d) transmite autorităţilor sau CSIRT-urilor naţionale ale altor state membre, CSIRT-urilor autorizate de către DNSC conform prevederilor prezentei ordonanţe de urgenţă, Reţelei EU-CyCLONe, punctelor unice de contact din celelalte state membre, potrivit ariei de responsabilitate, notificările şi solicitările privind incidentele ce afectează funcţionarea serviciilor esenţiale din unul sau mai multe sectoare stabilite în anexele nr. 1 şi 2; e) transmite autorităţilor competente notificările şi cererile primite din partea altor state membre, potrivit ariei de responsabilitate; f) transmite către ENISA, o dată la trei luni, un raport de sinteză ce include date anonimizate şi agregate privind incidentele semnificative, incidentele, ameninţările cibernetice semnificative şi incidentele evitate la limită raportate de către entităţile esenţiale şi entităţile importante către DNSC, precum şi de către orice altă entitate, conform art. 15 şi 16. ART. 41 (1) DNSC, în calitate de CSIRT naţional, participă la Reţeaua CSIRT în scop operaţional. (2) În îndeplinirea acestei calităţi, DNSC îi revin următoarele atribuţii: a) participă la partajarea, transferul şi schimbul de tehnologie între CSIRT-urile parte la Reţea; b) participă la schimbul de informaţii privind măsuri, politici, instrumente, procese, bune practici şi cadre relevante între CSIRT-urile parte la Reţea; c) participă la schimbul de informaţii relevante privind incidentele, incidentele evitate la limită, ameninţările cibernetice, riscurile şi vulnerabilităţile; d) participă la schimbul de informaţii în ceea ce priveşte publicaţiile şi recomandările în materie de securitate cibernetică; e) participă la elaborarea unui răspuns coordonat al Reţelei pentru managementul unui incident identificat pe teritoriul unui alt stat membru; f) implementează şi utilizează specificaţiile şi protocoalele referitoare la schimbul de informaţii care să asigure interoperabilitatea cu celelalte CSIRT-uri din cadrul Uniunii Europene; g) colaborează cu CSIRT-ul naţional al statului afectat de un incident pentru a facilita schimbul de informaţii referitoare la incident, la ameninţările cibernetice, riscurile şi vulnerabilităţile asociate acestuia, la solicitarea statului afectat, membru al Reţelei; h) sprijină statele membre în abordarea incidentelor cu caracter transfrontalier, în condiţiile Legii nr. 58/2023; i) participă la schimbul de bune practici şi cooperează cu alte CSIRT-uri desemnate coordonator în ceea ce priveşte gestionarea divulgării coordonate a vulnerabilităţilor care ar putea avea un impact semnificativ transfrontalier; j) participă la bilanţul exerciţiilor de securitate cibernetică, inclusiv al celor desfăşurate de ENISA; k) cooperează şi participă la schimbul de informaţii cu centrele operaţionale de securitate de la nivel regional şi de la nivelul Uniunii Europene pentru a îmbunătăţi conştientizarea comună a situaţiei cu privire la incidente şi ameninţări cibernetice; l) evaluează rapoartele privind evaluarea inter pares, după caz; m) oferă orientări pentru a facilita convergenţa practicilor operaţionale în ceea ce priveşte aplicarea dispoziţiilor prezentei ordonanţe de urgenţă referitoare la cooperarea operaţională; n) transmite, după caz, solicitările de sprijin către ceilalţi membri ai Reţelei pentru elaborarea unui răspuns coordonat al Reţelei pentru managementul unui incident identificat pe teritoriul României. ART. 42 În scopul facilitării cooperării strategice şi schimbului de informaţii între statele membre, DNSC, în calitatea sa de autoritate competentă responsabilă cu securitatea cibernetică şi cu sarcinile de supraveghere şi asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică, participă la Grupul de cooperare instituit la nivelul Uniunii Europene. ART. 43 DNSC, în calitate de CNGCSC, participă la EU-CyCLONe pentru a sprijini gestionarea coordonată, la nivel operaţional, a incidentelor de securitate cibernetică de mare amploare şi a crizelor şi pentru a asigura schimbul periodic de informaţii relevante între statele membre şi instituţiile, organizaţiile, oficiile şi agenţiile Uniunii Europene. ART. 44 (1) Evaluările inter pares reprezintă procese voluntare şi de cooperare desfăşurate între statele membre în care experţi în materie de securitate cibernetică, desemnaţi de către cel puţin două state diferite de statul care face obiectul evaluării, analizează reciproc punerea în aplicare a măsurilor de securitate cibernetică şi a capacităţilor operaţionale şi implică vizite fizice sau întâlniri virtuale, precum şi schimburi de date şi informaţii. Grupul de cooperare, în colaborare cu Comisia Europeană şi ENISA, elaborează coduri de conduită adecvate care stau la baza metodelor de lucru ale experţilor desemnaţi. (2) În conformitate cu principiul bunei cooperări, DNSC furnizează experţilor în materie de securitate cibernetică desemnaţi informaţiile necesare pentru evaluare, fără a aduce atingere dreptului naţional sau dreptului Uniunii privind protecţia informaţiilor confidenţiale sau clasificate şi protejării funcţiilor esenţiale ale statului, cum ar fi securitatea naţională. (3) Evaluările inter pares acoperă cel puţin unul dintre următoarele: a) nivelul punerii în aplicare a măsurilor de gestionare a riscurilor în materie de securitate cibernetică şi a obligaţiilor de raportare stabilite în temeiul prezentei ordonanţe de urgenţă; b) nivelul capacităţilor, inclusiv resursele financiare, tehnice şi umane disponibile, precum şi eficacitatea exercitării sarcinilor autorităţilor competente; c) capacităţile operaţionale ale CSIRT-urilor; d) nivelul de punere în aplicare a asistenţei reciproce; e) nivelul de punere în aplicare a acordurilor privind schimbul de informaţii în materie de securitate cibernetică; f) aspecte specifice de natură transfrontalieră sau transsectorială. (4) DNSC desemnează experţi în securitate cibernetică pentru efectuarea evaluărilor inter pares pe baza unei metodologii care include criterii obiective, nediscriminatorii, echitabile şi transparente, elaborate de către Grupul de cooperare. (5) DNSC se asigură că orice risc de conflict de interese în ceea ce priveşte experţii în materie de securitate cibernetică desemnaţi este dezvăluit celorlalte state membre, Grupului de cooperare, Comisiei şi ENISA, înainte de începerea evaluării inter pares. (6) Atunci când România face obiectul evaluării inter pares, DNSC se poate opune desemnării anumitor experţi în materie de securitate cibernetică din motive justificate corespunzător, comunicate statului membru care i-a desemnat. Atunci când un alt stat membru este supus evaluării inter pares, acesta se poate opune desemnării anumitor experţi în materie de securitate cibernetică în aceleaşi condiţii precum DNSC. (7) Experţii în materie de securitate cibernetică care participă la evaluări inter pares elaborează rapoarte cu privire la constatările şi concluziile evaluărilor inter pares. Rapoartele includ recomandări care să faciliteze îmbunătăţirea aspectelor acoperite de evaluarea inter pares şi sunt transmise Grupului de cooperare şi Reţelei CSIRT atunci când este cazul. (8) DNSC, atunci când face obiectul unei evaluări inter pares, poate prezenta observaţii cu privire la proiectele de rapoarte care îl privesc, iar aceste observaţii se anexează la rapoarte. (9) DNSC, atunci când face obiectul unei evaluări inter pares, poate decide să pună la dispoziţia publicului raportul său sau o versiune anonimizată a acestuia. (10) Înainte de a începe o evaluare inter pares, DNSC informează statele membre participante cu privire la domeniul de aplicare al acesteia, inclusiv aspectele specifice prevăzute la alin. (3) lit. f). (11) Înainte de începerea evaluării inter pares, DNSC poate efectua o autoevaluare a aspectelor analizate şi furniza autoevaluarea respectivă experţilor în materie de securitate cibernetică desemnaţi. (12) Orice informaţie obţinută prin intermediul evaluării inter pares este utilizată exclusiv în acest scop. Experţii în materie de securitate cibernetică care participă la evaluarea inter pares nu divulgă terţilor nicio informaţie sensibilă sau confidenţială obţinută în cursul evaluării inter pares respective. (13) Odată ce au făcut obiectul unei evaluări inter pares, aceleaşi aspecte evaluate în România nu pot face obiectul unei noi evaluări inter pares timp de doi ani de la încheierea evaluării inter pares, cu excepţia cazului în care DNSC decide altfel sau se convine astfel la propunerea Grupului de cooperare. ART. 45 (1) Atunci când o entitate înregistrată în România ca entitate esenţială sau importantă furnizează servicii în mai multe state membre sau furnizează servicii în unul sau mai multe state membre, iar reţeaua şi sistemele sale informatice sunt situate în unul sau mai multe alte state membre, DNSC cooperează cu celelalte autorităţi competente omoloage de la nivelul Uniunii Europene şi îşi oferă asistenţă reciprocă. (2) În situaţia alin. (1), DNSC poate solicita autorităţilor competente omoloage de la nivelul Uniunii Europene să exercite atribuţii de supraveghere şi control şi, după caz, DNSC poate aplica amenzi pentru neregulile constatate de către acestea. (3) Atunci când o entitate furnizează servicii în mai multe state membre, printre care şi România, sau furnizează servicii în unul sau mai multe state membre, iar reţeaua şi sistemele sale informatice sunt situate în unul sau mai multe alte state membre, printre care şi România, DNSC cooperează cu celelalte autorităţi competente omoloage de la nivelul Uniunii Europene şi îşi oferă asistenţă reciprocă. (4) În situaţia alin. (3), DNSC poate exercita atribuţii de supraveghere şi control la solicitarea expresă a autorităţilor competente omoloage de la nivelul Uniunii Europene. La primirea unei astfel de solicitări, DNSC poate acorda asistenţă reciprocă celeilalte autorităţi proporţional cu resursele sale, astfel încât măsurile adoptate să poată fi puse în aplicare într-un mod eficace, eficient şi consecvent. (5) DNSC refuză solicitarea menţionată la alin. (4), atunci când: a) se stabileşte că nu are competenţa de a furniza asistenţa solicitată; b) asistenţa solicitată excedă competenţelor DNSC conform prevederilor legale; c) solicitarea priveşte informaţii sau implică activităţi care, dacă ar fi divulgate sau desfăşurate, ar fi contrare intereselor României, respectiv în domeniul apărării, ordinii publice şi securităţii naţionale. (6) Înainte de a refuza solicitarea menţionată la alin. (4), DNSC consultă, după caz, celelalte autorităţi competente în cauză, precum şi, la cererea unuia dintre statele membre în cauză, Comisia Europeană şi ENISA. (7) Aplicarea prevederilor referitoare la asistenţa reciprocă se realizează cu respectarea prevederilor Legii nr. 58/2023. CAP. VII Supraveghere, verificare şi control SECŢIUNEA 1 Entităţi esenţiale şi entităţi importante ART. 46 (1) În scopul asigurării respectării dispoziţiilor prezentei ordonanţe de urgenţă, precum şi a actelor normative subsecvente de către entităţi, DNSC poate: a) derula activităţi de supraveghere, verificare şi control efectuate de persoane desemnate în acest sens prin decizie a directorului DNSC; b) dispune efectuarea de audituri de securitate ad-hoc, realizate de un auditor de securitate cibernetică atestat; c) solicita informaţii necesare pentru a evalua măsurile de gestionare a riscurilor în materie de securitate cibernetică adoptate de entitatea în cauză, inclusiv politicile de securitate cibernetică documentate, precum şi respectarea obligaţiei de a transmite informaţii către DNSC în temeiul art. 18; d) solicita acces la date, la documente şi la orice informaţii necesare pentru îndeplinirea sarcinilor lor de supraveghere; e) solicita date, documente şi orice informaţii care atestă punerea în aplicare a politicilor în materie de securitate cibernetică, cum ar fi rezultatele auditurilor de securitate cibernetică efectuate de un auditor atestat şi mijloacele de probă care stau la baza acestora. (2) Activitatea de control se realizează în baza planului de control anual aprobat prin decizie a directorului DNSC, după avizarea acestuia de către adjunctul directorului DNSC care coordonează activitatea de reglementare şi control, sau în următoarele cazuri, fără a fi limitate la acestea: a) un incident semnificativ; b) indicii temeinice cu privire la încălcarea dispoziţiilor prezentei ordonanţe de urgenţă de către o entitate. (3) Activitatea de supraveghere şi control se realizează de către DNSC inclusiv la solicitarea motivată a CNCPIC pentru entităţile identificate critice conform dispoziţiilor legale privind rezilienţa entităţilor critice. (4) În cazul entităţilor importante, supravegherea conform alin. (1) lit. a) se realizează doar pentru punerea în aplicare a art. 48 alin. (2) lit. b)-g). (5) În vederea punerii în aplicare a alin. (1) lit. a) cu privire la entităţile esenţiale şi entităţile importante, DNSC poate efectua scanări de securitate cibernetică neintruzive şi proactive, bazate pe criterii obiective, nediscriminatorii, echitabile şi transparente pentru evaluarea riscurilor, cu notificarea prealabilă a entităţii în cauză şi, după caz, în cooperare cu aceasta. (6) În vederea punerii în aplicare a alin. (2), DNSC poate solicita accesul la date, echipamente hardware şi software, precum şi informaţii de la personalul entităţilor în vederea îndeplinirii sarcinilor de supraveghere şi control. (7) Cu ocazia desfăşurării auditului de securitate cibernetică în condiţiile prevăzute la art. 11 alin. (5) sau, după caz, alin. (6), se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unor reţele şi sisteme informatice, în vederea identificării disfuncţionalităţilor şi vulnerabilităţilor şi recomandării măsurilor de remediere a acestora. (8) În termen de cel mult 5 zile de la finalizarea oricărui audit de securitate cibernetică, entitatea auditată transmite către DNSC şi, după caz, autorităţii competente sectorial rezultatele acestuia. (9) Costurile generate de auditul de securitate cibernetică, inclusiv cel ad-hoc, sunt suportate de către entitatea auditată. ART. 47 (1) În aplicarea dispoziţiilor privind solicitările prevăzute la art. 46 alin. (1) lit. c)-e), DNSC va preciza scopul şi informaţiile solicitate, precum şi termenul în care entitatea trebuie să se conformeze, ţinând cont de urgenţa solicitării. (2) Constatările ca urmare a îndeplinirii activităţilor de supraveghere, verificare şi control prevăzute la art. 46 alin. (1) sunt consemnate de personalul de control desemnat în nota de constatare. (3) În cazul în care prin nota de constatare prevăzută la alin. (2) sunt reţinute fapte care ar putea constitui una dintre contravenţiile prevăzute la art. 60, nota de constatare se comunică entităţii în cauză pentru a transmite un punct de vedere cu privire la deficienţele constatate, solicitându-se, dacă este cazul, un plan de măsuri pentru remedierea acestora. (4) Punctul de vedere prevăzut la alin. (3) va fi comunicat în termen de 3 zile de la primirea notei de constatare transmise de către DNSC, cu excepţia cazului în care entitatea notificată solicită prelungirea termenului în vederea obţinerii unor acte doveditoare în susţinerea punctului de vedere menţionat, caz în care termenul nu poate depăşi 10 zile. (5) În cel mult 15 zile lucrătoare de la data primirii notei de constatare conform alin. (3) sau transmiterii punctului de vedere conform alin. (3), după caz, entităţile sunt obligate să întocmească şi să transmită către DNSC planul de măsuri pentru remedierea tuturor deficienţelor constatate şi termenele asumate pentru implementarea acestora. (6) Termenele prevăzute la alin. (5) trebuie să fie justificate prin prisma circumstanţierii măsurii prin care se remediază deficienţa. (7) Nota de constatare prevăzută la alin. (2), punctul de vedere prevăzut la alin. (3), precum şi planul de măsuri prevăzut la alin. (5), atunci când acestea au fost furnizate, stau la baza deciziei directorului DNSC prin care se constată contravenţia şi se dispune sancţiunea corespunzătoare. (8) Normele de aplicare şi metodologia de prioritizare pe bază de risc a activităţilor de supraveghere, verificare şi control sunt emise prin ordin al directorului DNSC. ART. 48 (1) În vederea îndeplinirii atribuţiilor care îi revin, precum şi pentru asigurarea respectării dispoziţiilor prezentei ordonanţe de urgenţă de către entităţi, DNSC aplică următoarele sancţiuni: a) avertisment; b) amendă contravenţională. (2) DNSC poate dispune, după caz, următoarele: a) adoptarea unor măsuri atunci când acestea sunt necesare pentru a preveni sau remedia un incident, precum şi termene- limită pentru punerea în aplicare a acestor măsuri, inclusiv a unui audit ad-hoc; b) remedierea deficienţelor identificate în aplicarea lit. a); c) încetarea conduitei entităţilor prin care încalcă dispoziţiile prezentei ordonanţe de urgenţă; d) punerea în aplicare a recomandărilor formulate ca urmare a unui audit de securitate; e) desemnarea unei persoane din cadrul personalului de control cu sarcini bine definite pe o perioadă de timp determinată, responsabilă cu supravegherea respectării de către entitatea esenţială în cauză a dispoziţiilor art. 11-14; f) respectarea măsurilor de gestionare a riscurilor în materie de securitate cibernetică prevăzute la art. 11-14 şi a obligaţiilor de raportare prevăzute la art. 15, într-o anumită modalitate şi într-un interval de timp; g) ca încălcările dispoziţiilor prezentei ordonanţe de urgenţă să fie făcute publice de către entitatea responsabilă. (3) Atunci când, în urma aplicării dispoziţiilor art. 46 alin. (1) lit. b), auditul ad-hoc relevă încălcarea prevederilor prezentei ordonanţe de urgenţă, aceasta este sancţionabilă conform alin. (1) lit. a). (4) DNSC poate dispune entităţilor să informeze, într-un termen anume determinat, persoanele cărora le prestează un serviciu sau cu care desfăşoară activităţi, dacă acestea au fost sau pot fi afectate de o ameninţare cibernetică semnificativă, cu privire la următoarele: a) caracterul ameninţării; b) măsurile de protecţie sau de remediere pe care persoanele afectate le pot adopta în vederea prevenirii producerii incidentului semnificativ sau în vederea remedierii acestuia. (5) Măsurile prevăzute la alin. (1) şi (2) se dispun prin decizie a directorului DNSC şi se comunică entităţii în cauză în cel mult 60 de zile de la emiterea deciziei. ART. 49 (1) Atunci când măsurile prevăzute la art. 48 nu sunt suficiente pentru a determina respectarea de către entităţile esenţiale a solicitărilor de remediere a deficienţelor într-un termen rezonabil, prin decizie a directorului DNSC, se poate dispune: a) sesizarea autorităţilor, instituţiilor sau entităţilor competente sectorial în vederea suspendării temporare a certificării sau a autorizării emise pentru entitatea în cauză, pentru o parte sau pentru toate serviciile relevante furnizate sau pentru activităţile relevante desfăşurate de entitatea respectivă; b) sesizarea autorităţilor, instituţiilor sau entităţilor competente pentru a impune interdicţia temporară de a exercita funcţia de conducere la nivel de director executiv sau de reprezentant legal în entitatea în cauză. (2) Suspendarea şi interdicţia temporară impuse în temeiul alin. (1) se aplică până când DNSC notifică autorităţile, instituţiile sau entităţile competente conform alin. (1) încetarea cauzei pentru care acestea au fost dispuse. (3) Măsurile prevăzute la alin. (1) nu se aplică entităţilor din administraţia publică care intră în domeniul de aplicare al prezentei ordonanţe de urgenţă. ART. 50 (1) Stabilirea măsurilor prevăzute la art. 48 şi 49 se face cu evaluarea a cel puţin: a) durata faptei; b) existenţa unei abateri anterioare; c) prejudiciile materiale sau nonmateriale cauzate prin faptă; d) măsurile adoptate de entitate în vederea prevenirii sau remedierii efectelor faptei; e) conduita entităţii în raport cu mecanismele de certificare la care a aderat sau codurile de conduită asumate; f) conduita persoanelor responsabile în raport cu autorităţile competente. (2) Următoarele fapte constituie încălcări grave: a) încălcări repetate; b) neîndeplinirea obligaţiei de notificare sau de remediere a incidentelor semnificative; c) neîndeplinirea obligaţiei de remediere a deficienţelor constatate de către autorităţile competente; d) obstrucţionarea auditurilor sau a activităţii de monitorizare dispuse de DNSC în urma constatărilor; e) furnizarea de informaţii false sau vădit denaturate în ceea ce priveşte măsurile de gestionare a riscurilor în materie de securitate cibernetică prevăzute la art. 11-14 sau obligaţiile de raportare prevăzute la art. 15; f) îngrădirea accesului personalului desemnat în acest sens de către DNSC în spaţiile supuse controlului, cât şi asupra datelor şi informaţiilor necesare controlului; g) nerespectarea dispoziţiilor DNSC emise în temeiul art. 48 alin. (2). (3) Organele de conducere ale entităţii răspund pentru permiterea accesului personalului, desemnat în acest sens de către DNSC, în spaţiile supuse controlului, cât şi asupra datelor şi informaţiilor necesare controlului. (4) Adunarea generală a acţionarilor nu este organ de conducere a entităţilor esenţiale şi importante în înţelesul prezentei ordonanţe de urgenţă. ART. 51 (1) DNSC sau, după caz, autoritatea competentă sectorial informează CNCPIC atunci când îşi exercită competenţele de supraveghere şi control asupra unei entităţi esenţiale identificate drept entitate critică în conformitate cu dispoziţiile legale privind rezilienţa entităţilor critice. (2) CNCPIC poate solicita DNSC să îşi exercite competenţele de supraveghere şi control asupra unei entităţi esenţiale identificate drept entitate critică în conformitate cu dispoziţiile legale privind rezilienţa entităţilor critice. ART. 52 DNSC poate propune împuternicirea prin hotărâre de Guvern a altor autorităţi competente sectorial în domeniul securităţii cibernetice pentru domeniul de competenţă corespunzător în vederea îndeplinirii atribuţiilor prevăzute la art. 46-51 şi art. 60-63. SECŢIUNEA a 2-a CSIRT-uri, auditori şi furnizori de servicii de formare pentru securitate cibernetică ART. 53 (1) DNSC supraveghează, verifică şi controlează activitatea CSIRT-urilor proprii ale entităţilor esenţiale şi entităţilor importante sau CSIRT-urilor sectoriale, a furnizorilor de servicii specifice CSIRT, precum şi a auditorilor de securitate cibernetică, atunci când acestea prestează servicii de specialitate entităţilor esenţiale şi entităţilor importante. (2) DNSC, în exercitarea atribuţiilor de supraveghere, verificare şi control, în cazul neîndeplinirii obligaţiilor de către CSIRT-urile proprii ale entităţilor esenţiale şi entităţilor importante sau CSIRT-urile sectoriale, furnizorii de servicii specifice CSIRT, precum şi auditorii de securitate cibernetică, desfăşoară activităţi de control cu scopul verificării îndeplinirii obligaţiilor, cerinţelor şi responsabilităţilor prevăzute la art. 31-33, emite dispoziţii cu caracter obligatoriu în vederea conformării şi remedierii deficienţelor constatate şi stabileşte termene în vederea conformării acestora, instituie măsuri de supraveghere şi aplică sancţiuni. ART. 54 (1) DNSC supraveghează, verifică şi controlează activitatea furnizorilor de servicii de formare pentru securitate cibernetică pentru auditori şi CSIRT-uri. (2) DNSC, în exercitarea atribuţiilor de supraveghere, verificare şi control, în cazul neîndeplinirii obligaţiilor de către furnizorii de servicii de formare pentru securitate cibernetică pentru auditori şi CSIRT-uri, desfăşoară activităţi de control cu scopul verificării îndeplinirii prevederilor ordinului de la alin. (3), emite dispoziţii cu caracter obligatoriu în vederea conformării şi remedierii deficienţelor constatate şi stabileşte termene în vederea conformării acestora, instituie măsuri de supraveghere şi aplică sancţiuni. (3) DNSC elaborează regulamentul privind autorizarea, verificarea şi revocarea furnizorilor de servicii de formare pentru securitate cibernetică pentru auditori şi CSIRT-uri şi stabileşte condiţiile de valabilitate pentru autorizaţiile acordate acestora prin ordin al directorului DNSC. ART. 55 (1) În cazul în care, în urma verificărilor, se constată abateri grave, DNSC poate dispune suspendarea atestatului auditorilor de securitate cibernetică sau autorizaţiei CSIRT-urilor pentru o perioadă determinată de timp, în vederea remedierii, sau, după caz, retragerea acestora. (2) Anual, până la data de 31 martie, auditorii de securitate cibernetică transmit DNSC, în format electronic, o situaţie a auditurilor de securitate desfăşurate în anul calendaristic precedent, respectiv numărul, beneficiarii, perioadele, neregulile grave constatate şi vulnerabilităţile constatate. ART. 56 (1) DNSC exercită supravegherea, verificarea şi controlul respectării prevederilor prezentei ordonanţe de urgenţă în ceea ce priveşte obligaţiile ce revin ca urmare a activităţilor de autorizare şi atestare a acestora pentru CSIRT-urile proprii ale entităţilor esenţiale şi entităţilor importante sau CSIRT-urile sectoriale, furnizorii de servicii specifice CSIRT, precum şi auditorii de securitate cibernetică. (2) Normele de aplicare a dispoziţiilor privind supravegherea, verificarea şi controlul pentru CSIRT-urile proprii ale entităţilor esenţiale şi entităţilor importante sau CSIRT-urile sectoriale, furnizorii de servicii specifice CSIRT, precum şi auditorii de securitate cibernetică se aprobă prin ordin al directorului DNSC. (3) Autorizarea, suspendarea şi retragerea autorizării, precum şi reautorizarea furnizorilor de servicii de formare pentru securitate cibernetică pentru auditori şi CSIRT-uri se dispune prin decizie a directorului DNSC. (4) Autorizaţia de furnizor de servicii de formare pentru securitate cibernetică pentru auditori şi CSIRT-uri este emisă de DNSC pe baza criteriilor de evaluare, cu valabilitate limitată de patru ani. CAP. VIII Auditul de securitate cibernetică ART. 57 (1) Auditul de securitate cibernetică poate fi: a) periodic, care se desfăşoară cu regularitate, conform ordinului de la art. 11 alin. (5) sau, după caz, alin. (6); b) ad-hoc, în baza deciziei directorului DNSC conform alin. (2). (2) Auditul de securitate cibernetică ad-hoc are caracter excepţional şi reprezintă acea activitate de auditare efectuată de un auditor atestat conform dispoziţiilor prezentei ordonanţe de urgenţă, cu privire la o entitate esenţială sau o entitate importantă, la solicitarea motivată a DNSC, ca urmare a: a) unui incident semnificativ; b) unei schimbări cu impact semnificativ la nivelul reţelelor şi sistemelor informatice, dar nu mai târziu de 180 de zile de la apariţia acesteia; c) indiciilor temeinice cu privire la încălcarea dispoziţiilor prezentei ordonanţe de urgenţă de către o entitate esenţială. (3) Atunci când se dispune un audit ad-hoc, DNSC comunică entităţii atât motivele, cât şi obiectivele auditului. (4) Entitatea auditată are dreptul de a selecta auditorul. (5) Schimbarea cu impact semnificativ la nivelul reţelelor şi sistemelor informatice prevăzută la alin. (2) lit. b) este generată prin: a) introducerea unei noi reţele sau unui nou sistem informatic implicat în furnizarea serviciului; b) introducerea unei noi tehnologii pentru furnizarea serviciului; c) schimbarea modului de operare a serviciului; d) schimbarea calităţii entităţii, din entitate importantă în entitate esenţială. (6) Indiciile temeinice prevăzute la alin. (2) lit. c) pot rezulta ca urmare a desfăşurării măsurii de control efectuate de către personal din cadrul DNSC, a informaţiilor primite de la autorităţile prevăzute la art. 10 din Legea nr. 58/2023, CNCPIC, autorităţile competente sectorial prevăzute la art. 37, precum şi de la alte entităţi conform art. 25 din Legea nr. 58/2023 sau ca urmare a analizelor privind incidentele raportate prin platforma de raportare a incidentelor. (7) Cu ocazia desfăşurării auditului de securitate cibernetică periodic se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unor reţele şi sisteme informatice, în vederea identificării disfuncţionalităţilor şi vulnerabilităţilor şi recomandării măsurilor de remediere a acestora. (8) În cel mult 15 zile lucrătoare de la data primirii raportului de audit, entităţile sunt obligate să întocmească şi să transmită către DNSC şi, după caz, autorităţii competente sectorial, în baza recomandărilor emise de către auditor, planul de măsuri pentru remedierea tuturor deficienţelor constatate şi termenele asumate pentru implementarea acestora. (9) Entităţile sunt obligate să implementeze planul de măsuri prevăzut la alin. (8) în termenul asumat. (10) Entitatea în cauză notifică DNSC şi, după caz, autoritatea competentă sectorial cu privire la implementarea tuturor măsurilor prevăzute la alin. (8) şi pune la dispoziţie acte doveditoare în acest sens, în cel mult cinci zile de la împlinirea termenului asumat. (11) Termenele prevăzute la alin. (9) trebuie să fie justificate prin prisma circumstanţierii măsurii prin care se remediază deficienţa. ART. 58 (1) Auditul de securitate cibernetică se realizează de către auditorii de securitate cibernetică ce deţin atestat valabil eliberat de către DNSC, cu excepţia auditului de securitate cibernetică realizat la nivelul instituţiilor cu responsabilităţi în domeniul apărării, ordinii publice şi securităţii naţionale, precum şi pentru serviciile puse la dispoziţie de către acestea. (2) În acest sens, DNSC: a) menţine evidenţa auditorilor de securitate cibernetică; b) elaborează regulamentul privind atestarea şi verificarea auditorilor de securitate cibernetică şi stabileşte condiţiile de valabilitate pentru atestatele acordate acestora prin ordin al directorului DNSC; c) acordă, prelungeşte, suspendă sau retrage atestatul auditorilor de securitate cibernetică, conform regulamentului prevăzut la lit. b); d) verifică, în urma sesizărilor sau din oficiu, îndeplinirea de către auditorii atestaţi a obligaţiilor legale ce le revin; e) elaborează tematicile pentru specializarea auditorilor în vederea atestării prevăzute la lit. c), prin decizie a directorului DNSC. (3) Nu pot realiza audit de securitate cibernetică: a) auditorii atestaţi care asigură în mod curent servicii de securitate cibernetică ori servicii de tip CSIRT entităţilor esenţiale sau entităţilor importante în cauză ori sunt angajaţi ai acestora; b) auditorul care are un contract de prestări servicii pentru reţeaua sau sistemul supus auditului aflat în desfăşurare la momentul la care se efectuează auditul sau într-un termen mai mic de un an; c) auditorul care a mai efectuat 3 audituri consecutive la aceeaşi entitate esenţială sau entitate importantă. (4) Activitatea de audit se efectuează potrivit standardelor şi specificaţiilor europene şi internaţionale aplicabile în domeniu. (5) Tematicile de audit vor ţine seama de normele tehnice în vigoare privind securitatea reţelelor şi sistemelor informatice ale entităţilor esenţiale şi entităţilor importante, elaborate în temeiul prezentei ordonanţe de urgenţă. (6) Atestatele au o valabilitate de 3 ani. (7) Lista standardelor şi specificaţiilor europene şi internaţionale prevăzute la dispoziţiile alin. (4) se elaborează şi se aprobă prin decizie a directorului DNSC, care se actualizează ori de câte ori este necesar. (8) În desfăşurarea unei activităţi de audit de securitate, auditorul de securitate cibernetică trebuie: a) să dea dovadă de integritate profesională, acţionând cu onestitate şi corectitudine în toate angajamentele profesionale, oferind evaluări adevărate şi precise; b) să respecte codurile etice emise de către DNSC şi Corpul Auditorilor de Sisteme Informatice din România, să dea dovadă şi să menţină transparenţa în comunicări; c) să nu fie în conflict de interese care ar putea afecta independenţa sa fie că sunt de natură financiară, personală sau profesională pentru a putea lua decizii în mod independent şi fără vreo influenţă din partea entităţii auditate sau a altor părţi interesate; d) să protejeze confidenţialitatea informaţiilor obţinute în timpul procesului de audit, sens în care trebuie să se asigure că accesul la informaţii sensibile este restricţionat doar la personalul autorizat şi că aceste informaţii sunt stocate în siguranţă, în acord cu reglementările relevante care guvernează practicile de audit, inclusiv cele specifice securităţii cibernetice. ART. 59 (1) În vederea atribuirii şi retragerii atestatului de auditor de securitate cibernetică, precum şi pentru organizarea şi coordonarea activităţii de audit de securitate cibernetică se înfiinţează Corpul Auditorilor de Sisteme Informatice din România prin hotărâre de Guvern elaborată de către DNSC, în termen de doi ani de la intrarea în vigoare a prezentei ordonanţe de urgenţă. (2) Corpul Auditorilor de Sisteme Informatice din România se organizează şi va funcţiona ca organizaţie profesională de utilitate publică fără scop lucrativ, cu personalitate juridică, în coordonarea DNSC. (3) Corpul Auditorilor de Sisteme Informatice din România are ca obiect principal de activitate reglementarea standardelor, cât şi a Codului de etică pentru practica profesională a auditului de securitate cibernetică şi monitorizarea continuă a activităţilor de audit de sisteme informatice în România. (4) Structura organizatorică a Corpului Auditorilor de Sisteme Informatice din România se aprobă prin ordin al directorului DNSC. (5) DNSC coordonează activitatea de elaborare a regulamentelor de organizare şi funcţionare şi de ordine interioară. (6) Corpul Auditorilor de Sisteme Informatice din România poate avea în structură subunităţi cu sau fără personalitate juridică, departamente, secţii şi poate dobândi calitatea de asociat sau de acţionar fondator în cadrul altor societăţi comerciale ori structuri organizatorice necesare realizării obiectului său de activitate. CAP. IX Sancţiuni ART. 60 (1) Următoarele fapte constituie contravenţii dacă nu au fost săvârşite în astfel de condiţii încât să fie considerate infracţiuni potrivit legii: a) nerespectarea de către entităţile esenţiale şi importante a obligaţiei privind luarea unor măsuri tehnice, operaţionale şi organizatorice prevăzute la art. 11 alin. (1) în condiţiile şi cu respectarea cerinţelor impuse; b) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de a se supune unui audit de securitate cibernetică în condiţiile stabilite conform art. 11 alin. (5) sau, după caz, alin. (6) şi în termenul indicat; c) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de a transmite datele solicitate conform art. 11 alin. (7) în termenul şi în condiţiile stabilite în cerere; d) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de a transmite datele solicitate conform art. 11 alin. (9) în termenul şi în condiţiile stabilite în cerere; e) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de a realiza şi transmite anual autoevaluarea nivelului de maturitate conform art. 12 alin. (4); f) nerespectarea de către entităţile esenţiale a obligaţiei de a întocmi şi transmite planul de măsuri pentru remedierea deficienţelor conform art. 12 alin. (5), în termen de 30 de zile de la realizarea autoevaluării; g) nerespectarea de către membrii organelor de conducere ale entităţilor esenţiale şi importante a obligaţiei de supraveghere a punerii în aplicare a măsurilor de gestionare a riscurilor conform art. 14 alin. (1); h) nerespectarea de către membrii organelor de conducere ale entităţilor esenţiale şi importante a obligaţiei de a urma cursuri de formare profesională în domeniul securităţii cibernetice conform cu art. 14 alin. (2); i) nerespectarea de către membrii organelor de conducere ale entităţilor esenţiale şi importante a obligaţiei de stabilire a mijloacelor permanente de contact conform art. 14 alin. (3); j) nerespectarea de către membrii organelor de conducere ale entităţilor esenţiale şi importante a obligaţiei de alocare a resurselor conform art. 14 alin. (3); k) nerespectarea de către membrii organelor de conducere ale entităţilor esenţiale şi importante a obligaţiei de desemnare a responsabililor cu securitatea reţelelor şi sistemelor informatice conform art. 14 alin. (3); l) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de raportare în temeiul art. 15 alin. (1) cu respectarea termenelor şi condiţiilor stabilite conform art. 15; m) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de notificare a destinatarilor serviciilor cu respectarea termenelor şi condiţiilor stabilite conform art. 15 alin. (1); n) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de raportare a informaţiilor cu respectarea termenelor şi condiţiilor stabilite conform art. 15 alin. (3); o) nerespectarea de către entităţile din sectoarele prevăzute în anexele nr. 1 şi 2 a obligaţiei de notificare conform art. 18 alin. (2) în termenul indicat; p) nerespectarea de către entităţile din sectoarele prevăzute în anexele nr. 1 şi 2 a obligaţiei de furnizare a informaţiilor conform art. 18 alin. (3) în termenul indicat; q) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de transmitere a evaluării nivelului de risc conform art. 18 alin. (6) în termenul indicat; r) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de autoevaluare a nivelului de maturitate conform art. 18 alin. (7) în termenul indicat; s) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de comunicare a modificărilor conform art. 18 alin. (8) în termenele indicate; t) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de notificare conform art. 18 alin. (13) în termenul indicat; u) nerespectarea de către registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii a obligaţiei de a colecta date conform art. 19 alin. (1); v) nerespectarea de către registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii a obligaţiei de a stabili politici şi proceduri conform art. 19 alin. (3); w) nerespectarea de către registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii a obligaţiei de a pune la dispoziţia publicului date conform art. 19 alin. (4); x) nerespectarea de către registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii a obligaţiei de a oferi acces la date conform art. 19 alin. (8); y) nerespectarea de către registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii a obligaţiei de a pune la dispoziţia publicului politicile şi procedurile privind divulgarea datelor conform art. 19 alin. (9); z) nerespectarea de către registrele de nume TLD şi entităţile care furnizează servicii de înregistrare a numelor de domenii a obligaţiei de a răspunde la cererile de acces conform art. 19 alin. (9); aa) derularea de activităţi specifice echipelor CSIRT, de către entităţi care nu deţin autorizaţia conform art. 34; bb) nerespectarea de către producătorii şi furnizorii de produse sau servicii TIC a obligaţiei de a transmite informaţii conform art. 36 alin. (4); cc) nerespectarea de către producătorii şi furnizorii de produse sau servicii TIC a obligaţiei de a remedia vulnerabilităţile conform art. 36 alin. (4) în termenul stabilit de comun acord; dd) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de instituire de procese de management al vulnerabilităţilor conform art. 36 alin. (7); ee) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de transmitere a rezultatelor auditului conform art. 46 alin. (8), în termenul indicat; ff) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de informare atunci când aceasta a fost dispusă de către DNSC conform art. 48 alin. (4), în termenul indicat; gg) nerespectarea de către CSIRT-urile proprii ale entităţilor esenţiale şi entităţilor importante, CSIRT-urile sectoriale, furnizorii de servicii specifice CSIRT şi auditorii de securitate cibernetică a dispoziţiilor emise de către DNSC conform art. 53 alin. (2), în termenele indicate; hh) nerespectarea de către furnizorii de servicii de formare pentru securitate cibernetică pentru auditori şi CSIRT-uri a dispoziţiilor emise de către DNSC conform art. 54 alin. (2), în termenele indicate; ii) nerespectarea de către auditorii de securitate cibernetică a obligaţiei de transmitere de informaţii conform art. 55 alin. (2), în termen de 30 de zile de la împlinirea termenului acordat; jj) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de întocmire şi transmitere a planului de măsuri conform art. 57 alin. (8), în termenul indicat; kk) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de implementare conform art. 57 alin. (9), în termenul asumat; ll) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de notificare şi punere la dispoziţie a actelor doveditoare conform art. 57 alin. (10), în termenul indicat; mm) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de a respecta modalităţile de implementare a dispoziţiilor art. 11 alin. (2), (4), (8) şi (10), art. 13, art. 15 alin. (1), (3), (5)-(10) şi art. 16 stabilite prin ordine comune emise în conformitate cu prevederile art. 37; nn) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de a transmite DNSC sau, după caz, autorităţii competente sectorial, informaţiile solicitate potrivit art. 46 alin. (1) lit. c)-e); oo) nerespectarea de către entităţile esenţiale şi importante a obligaţiei de a întocmi şi transmite DNSC sau, după caz, autorităţii competente sectorial, planul de măsuri pentru remedierea tuturor deficienţelor constatate şi termenele asumate pentru implementarea acestora, conform art. 47 alin. (5). (2) Prin derogare de la dispoziţiile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, contravenţiile prevăzute la alin. 1 se sancţionează după cum urmează: a) pentru entităţile importante, amendă de la 5.000 lei la cel mult 7.000.000 euro în echivalentul în lei sau cel mult 1,4% din cifra de afaceri netă, luându-se în considerare valoarea cea mai mare dintre acestea, pentru contravenţiile prevăzute la alin. (1) lit. a)-d), f)-m), dd), jj) şi mm); b) pentru entităţile esenţiale, amendă de la 10.000 lei la cel mult 10.000.000 euro în echivalentul în lei sau cel mult 2% din cifra de afaceri netă, luându-se în considerare valoarea cea mai mare dintre acestea, pentru contravenţiile prevăzute la alin. (1) lit. a)-m), dd), jj) şi mm); c) pentru entităţile importante, amendă de la 1.000 lei la 300.000 lei pentru contravenţiile prevăzute la alin. (1) lit. n)-t), ee)-ff), kk)-ll) şi nn)-oo); d) pentru entităţile esenţiale, amendă de la 1.500 lei la 500.000 lei, în cazul alin. (1) lit. n)-t), ee)-ff), kk)-ll) şi nn)-oo); e) amendă de la 1.000 lei la 100.000 lei, pentru contravenţiile prevăzute la alin. (1) lit. u)-z), aa)-cc) şi gg)-ii). (3) Cifra de afaceri netă prevăzută la alin. (2) lit. a) şi b) este cea înregistrată de către entitatea importantă sau esenţială în ultimul exerciţiu financiar. (4) În vederea individualizării sancţiunii prevăzute la alin. (2), se iau în considerare criteriile prevăzute la art. 50 alin. (1), iar atunci când sunt aplicabile dispoziţiile art. 50 alin. (2), cuantumul amenzii poate fi stabilit până la dublul limitelor prevăzute la alin. (2). (5) Pentru persoanele juridice nou-înfiinţate şi pentru persoanele juridice care nu au înregistrat cifra de afaceri în exerciţiul financiar anterior sancţionării, amenda prevăzută la alin. (2) se stabileşte în cuantum de minimum unu şi maximum 50 de salarii minime brute pe economie. (6) În măsura în care prezenta ordonanţă de urgenţă nu prevede altfel, contravenţiilor prevăzute la alin. (1) li se aplică dispoziţiile Ordonanţei Guvernului nr. 2/2001. (7) Prin derogare de la prevederile art. 16 alin. (1), art. 28 alin. (1) şi art. 29 din Ordonanţa Guvernului nr. 2/2001, în cazul sancţiunilor aplicate pentru săvârşirea contravenţiilor prevăzute la alin. (1), contravenientul poate achita, în termen de cel mult 15 zile de la data înmânării sau comunicării actului de constatare a contravenţiei şi de aplicare a sancţiunii, jumătate din cuantumul amenzii aplicate, agentul constatator făcând menţiune despre această posibilitate în procesul-verbal, menţiune care se reia şi în decizia prin care se aplică sancţiunea. ART. 61 (1) Constatarea contravenţiilor prevăzute la art. 60 alin. (1) se realizează conform dispoziţiilor art. 46-50. (2) Constatarea contravenţiilor prevăzute la art. 60 alin. (1) lit. a)-n), ee), ff), jj)-oo) se realizează de către DNSC sau de către personalul de control al autorităţilor competente sectorial conform art. 37 alin. (1), pentru entităţile esenţiale sau importante, după caz, care îşi desfăşoară activitatea în domeniul de competenţă al acestor autorităţi, aplicarea sancţiunii realizându-se, în cazul autorităţilor competente sectorial, prin decizie a conducerii acestora, cu aplicarea în mod corespunzător a alin. (3)-(8). Constatarea contravenţiilor prevăzute la art. 60 alin. (1) lit. o)-dd), gg)-ii) se realizează de către DNSC, aplicarea sancţiunii realizându-se prin decizie a directorului DNSC. (3) Decizia directorului DNSC de constatare a contravenţiei şi de aplicare a sancţiunii cuprinde următoarele: a) datele de identificare ale contravenientului; b) data săvârşirii faptei; c) descrierea faptei contravenţionale şi a împrejurărilor care au fost avute în vedere la individualizarea sancţiunii; d) indicarea temeiului legal potrivit căruia se stabileşte şi se sancţionează contravenţia; e) sancţiunea aplicată; f) termenul şi modalitatea de plată a amenzii, în cazul aplicării sancţiunii amenzii; g) termenul de exercitare a căii de atac şi instanţa de judecată competentă. (4) Prin derogare de la prevederile art. 13 din Ordonanţa Guvernului nr. 2/2001, aplicarea sancţiunii stabilite în temeiul prezentei ordonanţe de urgenţă se prescrie în termen de trei ani de la data săvârşirii faptei. În cazul încălcărilor care durează în timp sau al celor constând în săvârşirea, în baza aceleiaşi rezoluţii, la intervale diferite de timp, a mai multor acţiuni sau inacţiuni, care prezintă, fiecare în parte, conţinutul aceleiaşi contravenţii, prescripţia începe să curgă de la data constatării sau de la data încetării ultimului act ori fapt săvârşit, dacă acest moment intervine anterior constatării. (5) Contravenientului i se comunică şi înştiinţarea de plată, care conţine menţiunea privind obligativitatea achitării amenzii în termen de 30 de zile de la data comunicării actului. (6) Decizia de constatare a contravenţiei şi de aplicare a sancţiunii prevăzută la alin. (2), neatacată în termenul prevăzut la alin. (8), precum şi hotărârea judecătorească definitivă prin care s-a soluţionat acţiunea în contencios administrativ constituie titlu executoriu, fără vreo altă formalitate. Acţiunea în contencios administrativ în condiţiile prevăzute la alin. (8) suspendă executarea numai în ceea ce priveşte achitarea amenzii, până la pronunţarea de către instanţa de judecată a unei hotărâri definitive. (7) Sumele provenite din amenzile aplicate în conformitate cu dispoziţiile prezentului articol se fac venit integral la bugetul de stat. Executarea se realizează în conformitate cu dispoziţiile legale privind executarea silită a creanţelor fiscale. În vederea punerii în executare a sancţiunii, DNSC şi autorităţile competente sectorial prevăzute la art. 37, comunică, din oficiu, organelor de specialitate ale Agenţiei Naţionale de Administrare Fiscală decizia de constatare a contravenţiei şi de aplicare a sancţiunii prevăzută la alin. (2) sau (3), neatacată în termenul prevăzut la alin. (8), după expirarea termenului prevăzut în înştiinţarea de plată sau după rămânerea definitivă a hotărârii judecătoreşti prin care s-a soluţionat acţiunea în contencios administrativ. (8) Prin derogare de la dispoziţiile art. 7 din Legea contenciosului administrativ nr. 554/2004, cu modificările şi completările ulterioare, şi de la dispoziţiile art. 32 alin. (1) din Ordonanţa Guvernului nr. 2/2001, actele administrative, deciziile şi deciziile de constatare a contravenţiei şi de aplicare a sancţiunii adoptate potrivit dispoziţiilor prezentei ordonanţe de urgenţă pot fi atacate în contencios administrativ la Curtea de Apel Bucureşti, fără parcurgerea procedurii prealabile, în termen de 30 de zile de la comunicarea acestora. ART. 62 (1) DNSC informează, fără întârzieri nejustificate, ANSPDCP atunci când, în exercitarea competenţelor sale de supraveghere şi control conform dispoziţiilor prezentei ordonanţe de urgenţă, constată aspecte specifice politicilor sau incidentelor de securitate cibernetică care pot avea impact în planul protecţiei datelor cu caracter personal. (2) DNSC nu aplică dispoziţiile art. 48 alin. (1) pentru fapte cu impact în domeniul protecţiei datelor cu caracter personal cu privire la care s-a efectuat sau se efectuează o investigaţie de către ANSPDCP. (3) Prelucrările de date cu caracter personal ce intră sub incidenţa prezentei ordonanţe de urgenţă se efectuează cu respectarea reglementărilor legale privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal. (4) Raportările realizate în temeiul prezentei ordonanţe de urgenţă nu afectează obligaţiile operatorilor de date cu caracter personal stabilite potrivit art. 33 şi 34 din Regulamentul (UE) 2016/679. (5) Atunci când autoritatea de supraveghere competentă în temeiul Regulamentului (UE) 2016/679 este stabilită într-un alt stat membru, DNSC informează ANSPDCP cu privire la potenţiala încălcare a securităţii datelor conform alin. (1). ART. 63 DNSC informează instituţiile cu atribuţii de coordonare a activităţii şi control în domeniul protecţiei informaţiilor clasificate astfel cum sunt acestea stabilite prin Legea nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare, şi actele normative subsecvente dacă se constată că incidentele de securitate cibernetică pot avea impact în planul protecţiei datelor şi informaţiilor secrete de stat sau secrete de serviciu. CAP. X Dispoziţii tranzitorii şi finale ART. 64 (1) Măsurile adoptate sau impuse de ANCOM în temeiul dispoziţiilor din capitolul IV din Ordonanţa de urgenţă a Guvernului nr. 111/2011, prin Decizia nr. 70/2024 a preşedintelui ANCOM privind securitatea reţelelor publice de comunicaţii electronice şi a serviciilor de comunicaţii electronice destinate publicului, rămân în vigoare până la revizuirea acestora. (2) Dispoziţiile prezentei ordonanţe de urgenţă se aplică tuturor actelor şi faptelor încheiate sau, după caz, produse ori săvârşite după intrarea sa în vigoare, precum şi situaţiilor juridice născute după intrarea sa în vigoare. (3) Actele subsecvente adoptate în temeiul prezentei ordonanţe de urgenţă produc efecte juridice în măsura în care nu contravin reglementărilor legale în vigoare. (4) Prevederile art. 60 şi 61 intră în vigoare la 30 de zile de la data publicării prezentei ordonanţe de urgenţă în Monitorul Oficial al României, Partea I. ART. 65 (1) Prin ordin al directorului DNSC, care se publică în Monitorul Oficial al României, Partea I, se aprobă: a) Criteriile şi pragurile de determinare a gradului de perturbare a unui serviciu şi metodologia de evaluare a nivelului de risc al entităţilor, în temeiul art. 10 alin. (2), în termen de 20 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; b) Măsurile de gestionare a riscurilor, în temeiul art. 12 alin. (1), în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; c) Normele metodologice privind raportarea incidentelor, în temeiul art. 15 alin. (17), în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; d) Cerinţele privind procesul de notificare în vederea înregistrării şi metoda de transmitere a informaţiilor, în temeiul art. 18 alin. (9), în termen de 15 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; e) Planul de management al crizelor de securitate cibernetică la nivel naţional pe timp de pace, în temeiul art. 28 alin. (2), în termen de 180 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; f) Normele tehnice privind compatibilitatea şi interoperabilitatea sistemelor, procedurilor şi metodelor utilizate de către CSIRT-uri şi criteriile de stabilire a numărului de persoane calificate, în temeiul art. 31 alin. (2), în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; g) Pachetul minim de servicii de tip CSIRT, în temeiul art. 32 alin. (5), în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; h) Regulamentul privind autorizarea şi verificarea CSIRT-urilor, condiţiile de valabilitate pentru autorizaţiile acordate şi tematicile pentru formarea personalului CSIRT-urilor, în temeiul art. 34 alin. (2) lit. a), în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; i) Normele de aplicare şi metodologia de prioritizare pe bază de risc a activităţilor de supraveghere, verificare şi control, în temeiul art. 47 alin. (8), în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; j) Regulamentul privind autorizarea, verificarea şi revocarea furnizorilor de servicii de formare pentru securitate cibernetică pentru auditori şi CSIRT-uri şi condiţiile de valabilitate pentru autorizaţiile acordate acestora, în temeiul art. 54 alin. (3), în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; k) Normele de aplicare a dispoziţiilor privind supravegherea, verificarea şi controlul pentru CSIRT-uri, furnizorii de servicii specifice CSIRT, precum şi pentru auditorii de securitate cibernetică, în temeiul art. 56 alin. (2), în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; l) Regulamentul privind atestarea şi verificarea auditorilor de securitate cibernetică şi condiţiile de valabilitate pentru atestatele acordate, în temeiul art. 58 alin. (2) lit. b), în termen de 120 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă. (2) Prin decizie a directorului DNSC, care se publică în Monitorul Oficial al României, Partea I, se aprobă: a) tematicile pentru specializarea auditorilor în vederea atestării, în temeiul art. 58 alin. (2) lit. e), în termen de 180 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă; b) tematicile pentru specializarea personalului din cadrul CSIRT-urilor în vederea autorizării, în temeiul art. 31 alin. (3), în termen de 180 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă. ART. 66 (1) La data intrării în vigoare a prezentei ordonanţe de urgenţă se abrogă: a) Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, publicată în Monitorul Oficial al României, Partea I, nr. 21 din 9 ianuarie 2019, cu excepţia măsurilor adoptate sau impuse în temeiul dispoziţiilor din capitolele IV şi V, care rămân în vigoare până la revizuirea acestora, conform art. 65; b) art. 4 alin. (1) pct. 54^1 şi 54^2, precum şi capitolul IV: Securitatea reţelelor şi serviciilor de comunicaţii electronice din Ordonanţa de urgenţă a Guvernului nr. 111/2011; c) Legea nr. 146/2014 privind autorizarea plăţii cotizaţiilor la Forumul Internaţional al Echipelor de Răspuns la Incidente de Securitate Cibernetică (Forum of Incident Response and Security Teams - FIRST) şi la Forumul TF/CSIRT Trusted Introducer (TI) din cadrul Asociaţiei Transeuropene a Reţelelor din Domeniul Cercetării şi al Educaţiei (Transeuropean Research and Education Network Association - TERENA) în scopul menţinerii participării Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică CERT-RO la aceste două organisme neguvernamentale, cu modificările şi completările ulterioare. (2) Trimiterile făcute prin alte acte normative la Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice se consideră a fi făcute la prezenta ordonanţă de urgenţă. ART. 67 (1) Până la data de 31 decembrie 2027, în vederea obţinerii unui nivel adecvat de personal calificat, pentru posturile care conform fişei postului contribuie la îndeplinirea atribuţiilor prevăzute de prezenta ordonanţă de urgenţă, DNSC, AACR, ANCOM şi alte autorităţi cu competenţe la nivel sectorial nu aplică prevederile: a) art. VII din Ordonanţa de urgenţă a Guvernului nr. 115/2023 privind unele măsuri fiscal-bugetare în domeniul cheltuielilor publice, pentru consolidare fiscală, combaterea evaziunii fiscale, pentru modificarea şi completarea unor acte normative, precum şi pentru prorogarea unor termene, cu modificările şi completările ulterioare, precum şi prevederile actelor normative cu caracter general care vizează restricţii privind ocuparea prin concurs sau examen a posturilor vacante sau temporar vacante din sectorul bugetar; b) art. XVII alin. (7) sau, după caz, art. XXXII din Legea nr. 296/2023 privind unele măsuri fiscal-bugetare pentru asigurarea sustenabilităţii financiare a României pe termen lung, cu modificările şi completările ulterioare. (2) Prin derogare de la prevederile art. III din Ordonanţa de urgenţă a Guvernului nr. 1/2020 privind unele măsuri fiscal-bugetare şi pentru modificarea şi completarea unor acte normative, cu modificările şi completările ulterioare, până la data de 31 decembrie 2027, în vederea obţinerii unui nivel adecvat de personal calificat, pentru posturile care conform fişei postului contribuie la îndeplinirea atribuţiilor prevăzute de prezenta ordonanţă de urgenţă, ocuparea prin detaşare a posturilor vacante sau temporar vacante în cadrul ANCOM şi al altor autorităţi cu competenţe la nivel sectorial se va realiza exclusiv în condiţiile Legii nr. 53/2003 - Codul muncii, republicată, cu modificările şi completările ulterioare. (3) În vederea obţinerii unui nivel adecvat de personal calificat, până la data de 31 decembrie 2027, ocuparea prin concurs a posturilor vacante şi temporar vacante prevăzute la alin. (1)-(2) se realizează exclusiv în condiţiile Legii nr. 53/2003, republicată, cu modificările şi completările ulterioare, ale Ordonanţei de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare, după caz, şi ale actelor normative specifice fiecărei autorităţi în parte. (4) Prin derogare de la art. 47 alin. (2) din Legea nr. 53/2003, republicată, cu modificările şi completările ulterioare, în cazul personalului care nu este salarizat în temeiul Legii nr. 153/2017 privind salarizarea personalului plătit din fonduri publice, drepturile cuvenite salariatului detaşat nu pot depăşi nivelul drepturilor de care poate beneficia personalul autorităţii sau instituţiei publice în care acesta se detaşează. În cazul în care drepturile salariale de la angajatorul care a dispus detaşarea sunt mai favorabile, salariatul poate refuza detaşarea. (5) În aplicarea, după caz, a prevederilor alin. (2), prin derogare de la prevederile art. 505 alin. (2) din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare, ocuparea prin detaşare a posturilor contractuale vacante sau temporar vacante se poate realiza inclusiv cu personal având statut de funcţionar public sau de funcţionar public cu statut special. Detaşarea se realizează cu înştiinţarea prealabilă a Agenţiei Naţionale a Funcţionarilor Publici conform prevederilor art. 505 alin. (6) şi (7) din Ordonanţa de urgenţă a Guvernului nr. 57/2019, cu modificările şi completările ulterioare. (6) Detaşarea prevăzută la alin. (5) se dispune pe durată determinată, în condiţiile prevăzute la art. 46 alin. (1) şi (2) din Legea nr. 53/2003, republicată, cu modificările şi completările ulterioare, numai cu acordul scris al funcţionarului public sau al funcţionarului public cu statut special ce urmează să fie detaşat, cu respectarea prevederilor art. 505 alin. (8) din Ordonanţa de urgenţă a Guvernului nr. 57/2019, cu modificările şi completările ulterioare, cu cel puţin 10 zile înainte de dispunerea măsurii. (7) Prin derogare de la prevederile art. 505 alin. (3) şi (5) din Ordonanţa de urgenţă a Guvernului nr. 57/2019, cu modificările şi completările ulterioare, detaşarea în condiţiile alin. (5) se poate dispune de pe o funcţie publică de execuţie sau de conducere pe o funcţie contractuală de execuţie sau de conducere, dacă funcţionarul public sau funcţionarul public cu statut special îndeplineşte condiţiile de ocupare prevăzute în fişa postului funcţiei contractuale pe care este detaşat. (8) Pe durata detaşării în condiţiile alin. (5), funcţionarul public sau funcţionarul public cu statut special beneficiază de drepturile salariale mai favorabile, respectiv fie de drepturile corespunzătoare funcţiei publice de pe care a fost detaşat, fie ale funcţiei contractuale pe care a fost detaşat. (9) Perioada pentru care s-a dispus detaşarea în condiţiile prezentului articol se consideră vechime în funcţia publică, respectiv în funcţia publică cu statut special, după caz, precum şi vechime în specialitatea studiilor. (10) Pentru funcţionarii publici de execuţie, perioada de detaşare în condiţiile prezentului articol se consideră vechime în gradul profesional al funcţiei publice din care se detaşează şi se ia în calcul la promovare. (11) Detaşarea funcţionarilor publici şi funcţionarilor publici cu statut special, în condiţiile prezentului articol, nu reprezintă, prin derogare de la prevederile art. 94 alin. (2) lit. a) din Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, cu modificările şi completările ulterioare, o situaţie de incompatibilitate. (12) Detaşarea funcţionarilor publici cu statut special - poliţişti se realizează în condiţiile Legii nr. 360/2002 privind Statutul poliţistului, cu modificările şi completările ulterioare. Detaşarea poate fi dispusă, cu acordul scris al funcţionarului public cu statut special - poliţist, pe o perioadă de cel mult un an. În mod excepţional, perioada detaşării poate fi prelungită pentru motive obiective ce impun prezenţa funcţionarului public cu statut special - poliţist în cadrul autorităţilor prevăzute la alin. (1), cu acordul său scris, din şase în şase luni, dar nu mai târziu de data de 31 decembrie 2027. (13) În situaţia în care, pentru obţinerea unui nivel adecvat de personal calificat, este necesară înfiinţarea de noi posturi care conform fişei postului contribuie la îndeplinirea atribuţiilor în domeniul securităţii cibernetice, AACR şi alte autorităţi cu competenţe la nivel sectorial, după caz, pot programa în bugetul de venituri şi cheltuieli al anului 2025 creşterea cheltuielilor de natură salarială ca urmare a creşterii numărului de personal faţă de cel realizat în anul 2024, în conformitate cu prevederile legale în vigoare. ART. 68 Anexele nr. 1 „Sectoare cu o importanţă critică ridicată“ şi nr. 2 „Alte sectoare de importanţă critică“ fac parte integrantă din prezenta lege. Prezenta ordonanţă de urgenţă transpune Directiva (UE) 2022/2555 a Parlamentului European şi a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 şi a Directivei (UE) 2018/1972 şi de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (Text cu relevanţă pentru SEE), publicată în Jurnalul Oficial al Uniunii Europene (JOUE) nr. L333/80 din 27 decembrie 2022. PRIM-MINISTRU ION-MARCEL CIOLACU Contrasemnează: Viceprim-ministru, Marian Neacşu Viceprim-ministru, ministrul finanţelor, Tánczos Barna Viceprim-ministru, ministrul afacerilor interne, Marian-Cătălin Predoiu p. Directorul Directoratului Naţional de Securitate Cibernetică, Gabriel Cătălin Dinu p. Secretarul general al Guvernului, Mihnea-Claudiu Drumea p. Ministrul muncii, familiei, tineretului şi solidarităţii sociale, Francisc Oscar Gal, secretar de stat Ministrul transporturilor şi infrastructurii, Sorin-Mihai Grindeanu Ministrul educaţiei şi cercetării, Daniel-Ovidiu David Ministrul apărării naţionale, Angel Tîlvăr Ministrul mediului, apelor şi pădurilor, Mircea Fechet Ministrul economiei, digitalizării, antreprenoriatului şi turismului, Bogdan-Gruia Ivan Ministrul sănătăţii, Alexandru Rafila Ministrul dezvoltării, lucrărilor publice şi administraţiei, Cseke Attila-Zoltan Ministrul afacerilor externe, Emilian-Horaţiu Hurezeanu Ministrul energiei, Sebastian-Ioan Burduja Bucureşti, 30 decembrie 2024. Nr. 155. ANEXA 1 Sectoare cu o importanţă critică ridicată
┌──────────────────────┬───────────────┬──────────────────┐
│Sectorul │Subsectorul │Tipul de entitate │
├──────────────────────┼───────────────┼──────────────────┤
│1 │2 │3 │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Întreprinderile │
│ │ │din domeniul │
│ │ │energiei │
│ │ │electrice, astfel │
│ │ │cum sunt definite │
│ │ │ca „operatori │
│ │ │economici“ la art.│
│ │ │3 pct. 73 din │
│ │ │Legea energiei │
│ │ │electrice şi a │
│ │ │gazelor naturale │
│ │ │nr. 123/2012 care │
│ │ │îndeplinesc │
│ │ │funcţia de │
│ │ │„furnizare de │
│ │ │energie │
│ │ │electrică“, astfel│
│ │ │cum este definită │
│ │ │la art. 3 pct. 46 │
│ │ │din Legea energiei│
│ │ │electrice şi a │
│ │ │gazelor naturale │
│ │ │nr. 123/2012, cu │
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare │
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │distribuţie, │
│ │ │astfel cum sunt │
│ │ │definiţi la art. 3│
│ │ │pct. 70 din Legea │
│ │ │nr. 123/2012 │
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │transport şi de │
│ │ │sistem, astfel cum│
│ │ │sunt definiţi la │
│ │ │art. 3 pct. 71 din│
│ │ │Legea nr. 123/2012│
│ │ ├──────────────────┤
│ │ │- Producătorii, │
│ │ │astfel cum sunt │
│ │ │definiţi ca │
│ │ │„producători de │
│ │ │energie electrică“│
│ │ │la art. 3 pct. 92 │
│ │ │din Legea nr. 123/│
│ │ │2012 │
│ │ ├──────────────────┤
│ │ │- Operatorii │
│ │ │desemnaţi ai │
│ │ │pieţei de energie │
│ │ │electrică, astfel │
│ │ │cum sunt definiţi │
│ │ │la art. 3 pct. 68 │
│ │ │din Legea nr. 123/│
│ │ │2012 │
│ │ │- Participanţii la│
│ │ │piaţă, astfel cum │
│ │ │sunt definiţi la │
│ │ │art. 3 pct. 79 din│
│ │a) │Legea nr. 123/ │
│ │Electricitate │2012, care │
│ │ │furnizează │
│ │ │serviciile de │
│ │ │agregare, consum │
│ │ │dispecerizabil sau│
│ │ │stocare de │
│ │ │energie, astfel │
│ │ │cum sunt definite │
│ │ │la art. 3 pct. 6, │
│ │ │29, şi respectiv, │
│ │ │121 │
│ │ │- Operatorii unui │
│ │ │punct de │
│ │ │reîncărcare, │
│ │ │astfel cum este │
│ │ │definit la art. 3 │
│ │ │pct. 96 din Legea │
│ │ │nr. 123/2012, care│
│ │ │sunt responsabili │
│ │ │cu gestionarea şi │
│ │ │exploatarea unui │
│ │ │punct de │
│ │ │reîncărcare care │
│ │ │furnizează un │
│ │ │serviciu de │
│ │ │reîncărcare │
│ │ │clienţilor finali,│
│ │ │astfel cum sunt │
│ │ │definiţi la art. 3│
│ │ │pct. 20, inclusiv │
│ │ │în numele şi în │
│ │ │contul unui │
│ │ │furnizor de │
│ │ │servicii de │
│ │ │mobilitate, astfel│
│ │ │cum aceştia sunt │
│ │ │definiţi la art. 2│
│ │ │pct. 36 din │
│ │ │Regulamentul (UE) │
│ │ │2023/1.804 al │
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din 13│
│ │ │septembrie 2023 │
│ │ │privind instalarea│
│ │ │infrastructurii │
│ │ │pentru │
│ │ │combustibili │
│ │ │alternativi şi de │
│ │ │abrogare a │
│ │ │Directivei 2014/94│
│ │ │/UE │
│ │ │- Operatori │
│ │ │economici, │
│ │ │concesionarii şi │
│ │ │dezvoltatorul │
│ │ │centralei │
│1. Energie │ │electrice eoliene │
│ │ │offshore prevăzuţi│
│ │ │de Legea nr. 121/ │
│ │ │2024 privind │
│ │ │energia eoliană │
│ │ │offshore │
│ ├───────────────┼──────────────────┤
│ │ │- Operatorii de │
│ │ │încălzire │
│ │ │centralizată sau │
│ │ │răcire │
│ │ │centralizată, │
│ │ │astfel cum sunt │
│ │ │definiţi la art. 2│
│ │ │lit. t) din Legea │
│ │b) Încălzire │nr. 220/2008 │
│ │centralizată şi│(republicată) │
│ │răcire │pentru stabilirea │
│ │centralizată │sistemului de │
│ │ │promovare a │
│ │ │producerii │
│ │ │energiei din surse│
│ │ │regenerabile de │
│ │ │energie, cu │
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare │
│ ├───────────────┼──────────────────┤
│ │ │- Operatorii de │
│ │ │conducte de │
│ │ │transport al │
│ │ │petrolului, astfel│
│ │ │cum sunt definiţi │
│ │ │ca │
│ │ │„transportatori“ │
│ │ │la art. 2 pct. 42 │
│ │ │din Legea │
│ │ │petrolului nr. 238│
│ │ │/2004, cu │
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare │
│ │ │- Operatorii │
│ │ │instalaţiilor de │
│ │ │producţie, de │
│ │c) Petrol │rafinare şi de │
│ │ │tratare a │
│ │ │petrolului, de │
│ │ │depozitare şi de │
│ │ │transport │
│ │ │- Entităţile │
│ │ │centrale de │
│ │ │stocare, astfel │
│ │ │cum sunt definite │
│ │ │la art. 2 lit. m) │
│ │ │şi n) din Legea │
│ │ │nr. 85/2018 │
│ │ │privind │
│ │ │constituirea şi │
│ │ │menţinerea unor │
│ │ │rezerve minime de │
│ │ │ţiţei şi/sau │
│ │ │produse petroliere│
│ ├───────────────┼──────────────────┤
│ │ │- Întreprinderile │
│ │ │de furnizare, │
│ │ │astfel cum sunt │
│ │ │definite ca │
│ │ │„furnizori“ la │
│ │ │art. 100 pct. 44 │
│ │ │din Legea nr. 123/│
│ │ │2012 │
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │distribuţie, │
│ │ │astfel cum sunt │
│ │ │definiţi la art. │
│ │ │100 pct. 63 din │
│ │ │Legea nr. 123/2012│
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │transport şi de │
│ │ │sistem, astfel cum│
│ │ │sunt definiţi la │
│ │ │art. 100 pct. 65 │
│ │ │din Legea nr. 123/│
│ │ │2012 │
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │înmagazinare, │
│ │ │astfel cum sunt │
│ │ │definiţi la art. │
│ │d) Gaze │100 pct. 64 din │
│ │ │Legea nr. 123/2012│
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │sistem GNL, astfel│
│ │ │cum sunt definiţi │
│ │ │ca „operatori ai │
│ │ │terminalului GNL“ │
│ │ │la art. 100 pct. │
│ │ │60 din Legea nr. │
│ │ │123/2012 │
│ │ ├──────────────────┤
│ │ │- Întreprinderile │
│ │ │din sectorul │
│ │ │gazelor naturale, │
│ │ │astfel cum sunt │
│ │ │definite ca │
│ │ │„operatori │
│ │ │economici din │
│ │ │sectorul gazelor │
│ │ │naturale“ la art. │
│ │ │100 pct. 67 din │
│ │ │Legea nr. 123/2012│
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │instalaţie de │
│ │ │rafinare şi de │
│ │ │tratare a gazelor │
│ │ │naturale │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Operatorii de │
│ │e) Hidrogen │producţie, stocare│
│ │ │şi transport de │
│ │ │hidrogen │
│ ├───────────────┼──────────────────┤
│ │ │- Beneficiarii │
│ │ │prevăzuţi de │
│ │ │Ordonanţa de │
│ │ │urgenţă a │
│ │ │Guvernului nr. 60/│
│ │ │2022 privind │
│ │f) Beneficiarii│stabilirea │
│ │proiectelor │cadrului │
│ │finanţate din │instituţional şi │
│ │fonduri │financiar de │
│ │nerambursabile,│implementare şi │
│ │iar tipul de │gestionare a │
│ │entitate care │fondurilor alocate│
│ │va avea │României prin │
│ │următorul │Fondul pentru │
│ │conţinut │modernizare, │
│ │ │precum şi pentru │
│ │ │modificarea şi │
│ │ │completarea unor │
│ │ │acte normative, cu│
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Transportatorii │
│ │ │aerieni, astfel │
│ │ │cum sunt definiţi │
│ │ │la art. 3 pct. 51 │
│ │ │din Codul aerian │
│ │ │din 18 martie │
│ │ │2020, cu │
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare, │
│ │ │utilizaţi în scop │
│ │ │comercial │
│ │ ├──────────────────┤
│ │ │- Organele de │
│ │ │administrare a │
│ │ │aeroporturilor, │
│ │ │astfel cum sunt │
│ │ │definite ca │
│ │ │„administratori ai│
│ │ │aerodromului“ la │
│ │ │art. 3 pct. 6 din │
│ │ │Codul aerian din │
│ │ │18 martie 2020, cu│
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare, │
│ │ │aeroporturile, │
│ │ │astfel cum sunt │
│ │ │definite la art. 3│
│ │ │pct. 13, inclusiv │
│ │ │aeroporturile │
│ │ │principale │
│ │ │enumerate în │
│ │ │secţiunea 2 din │
│ │ │anexa II la │
│ │ │Regulamentul (UE) │
│ │ │nr. 1.315/2013 al │
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din 11│
│ │ │decembrie 2013 │
│ │ │privind │
│ │ │orientările │
│ │ │Uniunii pentru │
│ │ │dezvoltarea │
│ │ │reţelei │
│ │ │transeuropene de │
│ │ │transport şi de │
│ │ │abrogare a │
│ │ │Deciziei nr. 661/ │
│ │ │2010/UE, precum şi│
│ │ │entităţile care │
│ │ │operează │
│ │ │instalaţii │
│ │ │auxiliare în │
│ │ │cadrul │
│ │ │aeroporturilor │
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │control al │
│ │ │gestionării │
│ │ │traficului care │
│ │ │prestează servicii│
│ │ │de control al │
│ │ │traficului aerian │
│ │ │(ATC), astfel cum │
│ │ │sunt definite la │
│ │ │art. 2 pct. 1 din │
│ │ │Regulamentul (CE) │
│ │ │nr. 549/2004 al │
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din 10│
│ │ │martie 2004 de │
│ │ │stabilire a │
│ │ │cadrului pentru │
│ │ │crearea cerului │
│ │ │unic european │
│ │ │(regulament-cadru)│
│ │ ├──────────────────┤
│ │ │- Operatori │
│ │ │mentenanţă │
│ │ │aeronave │
│ │ ├──────────────────┤
│ │ │- Agenţi │
│ │ │aeronautici │
│ │ │civili, astfel cum│
│ │ │sunt definiţi ca │
│ │ │„agenţi │
│ │ │aeronautici“ la │
│ │ │art. 3 pct. 15 din│
│ │ │Codul aerian din │
│ │ │18 martie 2020, cu│
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare │
│ │ │- Organizaţiile │
│ │ │menţionate la art.│
│ │ │2 alin. (1) din │
│ │ │Regulamentul │
│ │ │delegat (UE) 2022/│
│ │ │1.645 al Comisiei │
│ │ │din 14 iulie 2022 │
│ │a) Transport │de stabilire a │
│ │aerian │normelor de │
│ │ │aplicare a │
│ │ │Regulamentului │
│ │ │(UE) 2018/1.139 al│
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului în │
│ │ │ceea ce priveşte │
│ │ │cerinţele │
│ │ │referitoare la │
│ │ │managementul │
│ │ │riscurilor în │
│ │ │materie de │
│ │ │securitate a │
│ │ │informaţiilor cu │
│ │ │impact potenţial │
│ │ │asupra siguranţei │
│ │ │aviaţiei impuse │
│ │ │organizaţiilor │
│ │ │care intră sub │
│ │ │incidenţa │
│ │ │Regulamentelor │
│ │ │(UE) nr. 748/2012 │
│ │ │şi (UE) nr. 139/ │
│ │ │2014 ale Comisiei │
│2. Transport │ │şi de modificare a│
│ │ │Regulamentelor │
│ │ │(UE) nr. 748/2012 │
│ │ │şi (UE) nr. 139/ │
│ │ │2014 ale Comisiei │
│ │ │- Organizaţiile │
│ │ │menţionate la art.│
│ │ │2 alin. (1) din │
│ │ │Regulamentul de │
│ │ │punere în aplicare│
│ │ │(UE) 2023/203 al │
│ │ │Comisiei din 27 │
│ │ │octombrie 2022 de │
│ │ │stabilire a │
│ │ │normelor de │
│ │ │aplicare a │
│ │ │Regulamentului │
│ │ │(UE) 2018/1.139 al│
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului în │
│ │ │ceea ce priveşte │
│ │ │cerinţele │
│ │ │referitoare la │
│ │ │managementul │
│ │ │riscurilor în │
│ │ │materie de │
│ │ │securitate a │
│ │ │informaţiilor cu │
│ │ │impact potenţial │
│ │ │asupra siguranţei │
│ │ │aviaţiei, impuse │
│ │ │organizaţiilor │
│ │ │care intră sub │
│ │ │incidenţa │
│ │ │Regulamentelor │
│ │ │(UE) nr. 1.321/ │
│ │ │2014, (UE) nr. 965│
│ │ │/2012, (UE) nr. │
│ │ │1.178/2011, (UE) │
│ │ │2015/340 ale │
│ │ │Comisiei şi a │
│ │ │Regulamentelor de │
│ │ │punere în aplicare│
│ │ │(UE) 2017/373 şi │
│ │ │(UE) 2021/664 ale │
│ │ │Comisiei, precum │
│ │ │şi autorităţilor │
│ │ │competente care │
│ │ │intră sub │
│ │ │incidenţa │
│ │ │Regulamentelor │
│ │ │(UE) nr. 748/2012,│
│ │ │(UE) nr. 1.321/ │
│ │ │2014, (UE) nr. 965│
│ │ │/2012, (UE) nr. │
│ │ │1.178/2011, (UE) │
│ │ │2015/340 şi (UE) │
│ │ │nr. 139/2014 ale │
│ │ │Comisiei şi a │
│ │ │Regulamentelor de │
│ │ │punere în aplicare│
│ │ │(UE) 2017/373 şi │
│ │ │(UE) 2021/664 ale │
│ │ │Comisiei, şi de │
│ │ │modificare a │
│ │ │Regulamentelor │
│ │ │(UE) nr. 1.178/ │
│ │ │2011, (UE) nr. 748│
│ │ │/2012, (UE) nr. │
│ │ │965/2012, (UE) nr.│
│ │ │139/2014, (UE) nr.│
│ │ │1.321/2014, (UE) │
│ │ │2015/340 ale │
│ │ │Comisiei şi a │
│ │ │Regulamentelor de │
│ │ │punere în aplicare│
│ │ │(UE) 2017/373 şi │
│ │ │(UE) 2021/664 ale │
│ │ │Comisiei │
│ ├───────────────┼──────────────────┤
│ │ │- Administratorii │
│ │ │infrastructurii, │
│ │ │astfel cum sunt │
│ │ │definiţi la art. 3│
│ │ │pct. 3 din Legea │
│ │ │nr. 202/2016 │
│ │ ├──────────────────┤
│ │ │- Întreprinderile │
│ │ │feroviare, astfel │
│ │b) Transport │cum sunt definite │
│ │feroviar │ca „operatori de │
│ │ │transport │
│ │ │feroviar“ la art. │
│ │ │3 pct. 18 din │
│ │ │Legea nr. 202/ │
│ │ │2016, inclusiv │
│ │ │operatorii unei │
│ │ │infrastructuri de │
│ │ │servicii, astfel │
│ │ │cum sunt definiţi │
│ │ │la art. 3 pct. 19 │
│ ├───────────────┼──────────────────┤
│ │ │- Companiile de │
│ │ │transport de │
│ │ │mărfuri şi │
│ │ │pasageri pe ape │
│ │ │interioare, │
│ │ │maritime şi de │
│ │ │coastă, astfel cum│
│ │ │sunt definite │
│ │ │pentru transportul│
│ │ │maritim în anexa I│
│ │ │la Regulamentul │
│ │ │(CE) nr. 725/2004 │
│ │c) Transport pe│al Parlamentului │
│ │apă │European şi al │
│ │ │Consiliului din 31│
│ │ │martie 2004 │
│ │ │privind │
│ │ │consolidarea │
│ │ │securităţii │
│ │ │navelor şi a │
│ │ │instalaţiilor │
│ │ │portuare, fără a │
│ │ │include navele │
│ │ │individuale │
│ │ │operate de │
│ │ │companiile │
│ │ │respective │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Organele de │
│ │ │gestionare a │
│ │ │porturilor, astfel│
│ │ │cum sunt definite │
│ │ │la art. 3 din │
│ │ │Ordinul │
│ │ │ministrului │
│ │ │transporturilor │
│ │ │nr. 290/2007 │
│ │ │pentru │
│ │ │introducerea │
│ │ │măsurilor de │
│ │ │întărire a │
│ │ │securităţii │
│ │ │portuare, inclusiv│
│ │ │instalaţiile │
│ │ │portuare ale │
│ │ │acestora, astfel │
│ │ │cum sunt definite │
│ │ │la articolul 2 │
│ │ │punctul 11 din │
│ │ │Regulamentul (CE) │
│ │ │nr. 725/2004, şi │
│ │ │entităţile care │
│ │ │realizează lucrări│
│ │ │şi operează │
│ │ │echipamente în │
│ │ │cadrul porturilor │
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │servicii de trafic│
│ │ │maritim (STM), │
│ │ │astfel cum sunt │
│ │ │definiţi la art. 3│
│ │ │lit. t) din │
│ │ │Hotărârea │
│ │ │Guvernului nr. │
│ │ │1.016/2010 pentru │
│ │ │stabilirea │
│ │ │Sistemului de │
│ │ │informare şi │
│ │ │monitorizare a │
│ │ │traficului navelor│
│ │ │maritime care │
│ │ │intră/ies în/din │
│ │ │apele naţionale │
│ │ │navigabile ale │
│ │ │României, cu │
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare │
│ ├───────────────┼──────────────────┤
│ │ │- Autorităţile │
│ │ │rutiere, astfel │
│ │ │cum sunt definite │
│ │ │la articolul 2 │
│ │ │punctul 12 din │
│ │ │Regulamentul │
│ │ │delegat (UE) 2015/│
│ │ │962 al Comisiei │
│ │ │din 18 decembrie │
│ │ │2014 de completare│
│ │ │a Directivei 2010/│
│ │ │40/UE a │
│ │ │Parlamentului │
│ │ │European şi a │
│ │ │Consiliului în │
│ │ │ceea ce priveşte │
│ │ │prestarea la │
│ │ │nivelul UE a unor │
│ │ │servicii de │
│ │ │informare în timp │
│ │ │real cu privire la│
│ │ │trafic │
│ │ │responsabile cu │
│ │ │controlul │
│ │ │gestionării │
│ │ │traficului, cu │
│ │ │excepţia │
│ │ │entităţilor │
│ │ │publice în cazul │
│ │ │cărora gestionarea│
│ │d) Transport │traficului sau │
│ │rutier │exploatarea │
│ │ │sistemelor de │
│ │ │transport │
│ │ │inteligente │
│ │ │reprezintă doar o │
│ │ │parte neesenţială │
│ │ │a activităţii lor │
│ │ │generale │
│ │ ├──────────────────┤
│ │ │- Operatorii de │
│ │ │sisteme de │
│ │ │transport │
│ │ │inteligente, │
│ │ │astfel cum sunt │
│ │ │definite la art. 4│
│ │ │lit. a) din │
│ │ │Ordonanţa │
│ │ │Guvernului nr. 7/ │
│ │ │2012 privind │
│ │ │implementarea │
│ │ │sistemelor de │
│ │ │transport │
│ │ │inteligente în │
│ │ │domeniul │
│ │ │transportului │
│ │ │rutier şi pentru │
│ │ │realizarea │
│ │ │interfeţelor cu │
│ │ │alte moduri de │
│ │ │transport, │
│ │ │aprobată prin │
│ │ │Legea nr. 221/2012│
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Instituţiile de │
│ │ │credit, astfel cum│
│ │ │sunt definite la │
│ │ │art. 4 pct. 1 din │
│ │ │Regulamentul (UE) │
│ │ │nr. 575/2013 al │
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din 26│
│3. Sectorul bancar │ │iunie 2013 privind│
│ │ │cerinţele │
│ │ │prudenţiale pentru│
│ │ │instituţiile de │
│ │ │credit şi │
│ │ │societăţile de │
│ │ │investiţii şi de │
│ │ │modificare a │
│ │ │Regulamentului │
│ │ │(UE) nr. 648/2012 │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Operatorii de │
│ │ │locuri de │
│ │ │tranzacţionare, │
│ │ │astfel cum sunt │
│ │ │definite la art. 3│
│ │ │alin. (1) pct. 40 │
│ │ │din Legea nr. 126/│
│ │ │2018 privind │
│ │ │pieţele de │
│ │ │instrumente │
│4. Infrastructuri ale │ │financiare, cu │
│pieţei financiare │ │modificările şi │
│ │ │completările │
│ │ │ulterioare │
│ │ ├──────────────────┤
│ │ │- Contrapărţile │
│ │ │centrale (CPC), │
│ │ │astfel cum sunt │
│ │ │definite la art. 3│
│ │ │alin. (1) pct. 16 │
│ │ │din Legea nr. 126/│
│ │ │2018 │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Furnizorii de │
│ │ │servicii medicale,│
│ │ │astfel cum sunt │
│ │ │definiţi de art. │
│ │ │347 lit. c) din │
│ │ │Legea nr. 95/2006 │
│ │ │(republicată) │
│ │ │privind reforma în│
│ │ │domeniul │
│ │ │sănătăţii, cu │
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare │
│ │ ├──────────────────┤
│ │ │- Laboratoarele de│
│ │ │referinţă ale UE, │
│ │ │astfel cum sunt │
│ │ │definite la art. │
│ │ │15 din │
│ │ │Regulamentul (UE) │
│ │ │2022/2.371 al │
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din 23│
│ │ │noiembrie 2022 │
│ │ │privind │
│ │ │ameninţările │
│ │ │transfrontaliere │
│ │ │grave pentru │
│ │ │sănătate şi de │
│ │ │abrogare a │
│ │ │Deciziei nr. 1.082│
│ │ │/2013/UE │
│ │ ├──────────────────┤
│ │ │- Entităţile care │
│ │ │desfăşoară │
│ │ │activităţi de │
│ │ │cercetare şi │
│ │ │dezvoltare a │
│ │ │medicamentelor - │
│ │ │Entităţile care │
│ │ │fabrică produse │
│5. Sectorul sănătăţii │ │farmaceutice de │
│ │ │bază şi preparate │
│ │ │farmaceutice │
│ │ │menţionate în │
│ │ │secţiunea C │
│ │ │diviziunea 21 din │
│ │ │NACE Rev. 2 │
│ │ │- Entităţile care │
│ │ │fabrică │
│ │ │dispozitive │
│ │ │medicale │
│ │ │considerate a fi │
│ │ │esenţiale în │
│ │ │contextul unei │
│ │ │urgenţe de │
│ │ │sănătate publică │
│ │ │(lista │
│ │ │dispozitivelor │
│ │ │esenţiale pentru │
│ │ │urgenţa de │
│ │ │sănătate publică) │
│ │ │în sensul │
│ │ │articolului 22 din│
│ │ │Regulamentul (UE) │
│ │ │2022/123 al │
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din 25│
│ │ │ianuarie 2022 │
│ │ │privind │
│ │ │consolidarea │
│ │ │rolului Agenţiei │
│ │ │Europene pentru │
│ │ │Medicamente în │
│ │ │ceea ce priveşte │
│ │ │pregătirea pentru │
│ │ │situaţii de criză │
│ │ │în domeniul │
│ │ │medicamentelor şi │
│ │ │al dispozitivelor │
│ │ │medicale şi │
│ │ │gestionarea │
│ │ │acestora │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Furnizorii şi │
│ │ │distribuitorii de │
│ │ │apă, astfel cum │
│ │ │sunt definiţi ca │
│ │ │„furnizori de apă“│
│ │ │la art. 2 lit. c) │
│ │ │din Ordonanţa │
│ │ │Guvernului nr. 7/ │
│ │ │2023 privind │
│ │ │calitatea apei │
│ │ │destinate │
│ │ │consumului uman, │
│ │ │cu modificările şi│
│ │ │completările │
│ │ │ulterioare, │
│ │ │destinată │
│ │ │consumului uman, │
│ │ │astfel cum aceasta│
│ │ │este definită la │
│ │ │art. 2 lit. a) din│
│ │ │aceeaşi ordonanţă,│
│ │ │mai puţin apa │
│ │ │folosită în orice │
│ │ │unitate de tip │
│6. Apă potabilă │ │alimentar pentru │
│ │ │producerea, │
│ │ │prelucrarea, │
│ │ │conservarea sau │
│ │ │comercializarea │
│ │ │produselor sau │
│ │ │substanţelor │
│ │ │destinate │
│ │ │consumului uman şi│
│ │ │excluzând │
│ │ │distribuitorii │
│ │ │pentru care │
│ │ │distribuţia de apă│
│ │ │destinată │
│ │ │consumului uman │
│ │ │reprezintă o parte│
│ │ │neesenţială din │
│ │ │activitatea lor │
│ │ │generală de │
│ │ │distribuţie a │
│ │ │altor produse de │
│ │ │bază şi bunuri │
│ │ │care nu sunt │
│ │ │considerate │
│ │ │servicii esenţiale│
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Întreprinderile │
│ │ │care colectează, │
│ │ │evacuează sau │
│ │ │tratează ape uzate│
│ │ │urbane, ape uzate │
│ │ │menajere sau ape │
│ │ │uzate industriale,│
│ │ │astfel cum acestea│
│ │ │sunt definite la │
│ │ │art. 2 pct. 1-3 │
│ │ │din anexa nr. 1 - │
│ │ │Norme tehnice din │
│ │ │28 februarie 2002 │
│ │ │privind │
│ │ │colectarea, │
│ │ │epurarea şi │
│ │ │evacuarea apelor │
│ │ │uzate urbane, │
│ │ │NTPA-011 la │
│ │ │Hotărârea │
│ │ │Guvernului nr. 188│
│ │ │/2002 pentru │
│7. Ape uzate │ │aprobarea unor │
│ │ │norme privind │
│ │ │condiţiile de │
│ │ │descărcare în │
│ │ │mediul acvatic a │
│ │ │apelor uzate, cu │
│ │ │excepţia │
│ │ │întreprinderilor │
│ │ │pentru care │
│ │ │colectarea, │
│ │ │evacuarea sau │
│ │ │tratarea apelor │
│ │ │uzate urbane, a │
│ │ │apelor uzate │
│ │ │menajere sau a │
│ │ │apelor uzate │
│ │ │industriale │
│ │ │reprezintă o parte│
│ │ │neesenţială a │
│ │ │activităţii lor │
│ │ │generale, cu │
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Furnizorii de │
│ │ │IXP (internet │
│ │ │exchange point) │
│ │ ├──────────────────┤
│ │ │- Furnizorii de │
│ │ │servicii DNS, cu │
│ │ │excepţia │
│ │ │operatorilor de │
│ │ │servere pentru │
│ │ │nume primare │
│ │ ├──────────────────┤
│ │ │- Registrele de │
│ │ │nume TLD │
│ │ ├──────────────────┤
│ │ │- Furnizorii de │
│ │ │servicii de cloud │
│ │ │computing │
│ │ ├──────────────────┤
│ │ │- Furnizorii de │
│8. Infrastructură │ │servicii de centre│
│digitală │ │de date │
│ │ ├──────────────────┤
│ │ │- Furnizorii de │
│ │ │reţele de difuzare│
│ │ │de conţinut │
│ │ ├──────────────────┤
│ │ │- Prestatorii de │
│ │ │servicii de │
│ │ │încredere │
│ │ ├──────────────────┤
│ │ │- Furnizorii de │
│ │ │reţele publice de │
│ │ │comunicaţii │
│ │ │electronice │
│ │ ├──────────────────┤
│ │ │- Furnizorii de │
│ │ │servicii de │
│ │ │comunicaţii │
│ │ │electronice │
│ │ │destinate │
│ │ │publicului │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Furnizorii de │
│ │ │servicii │
│9. Gestionarea │ │gestionate │
│serviciilor TIC │ │- Furnizorii de │
│(business-to-business)│ │servicii de │
│ │ │securitate │
│ │ │gestionate │
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Entităţile │
│ │ │administraţiei │
│ │ │publice centrale, │
│ │ │cu excepţia │
│ │ │instituţiilor din │
│ │ │domeniul apărării,│
│ │ │ordinii publice şi│
│ │ │securităţii │
│ │ │naţionale, │
│ │ │Oficiului │
│ │ │Registrului │
│ │ │Naţional al │
│ │ │Informaţiilor │
│ │ │Secrete de Stat, │
│10. Administraţie │ │instituţiile de │
│publică │ │învăţământ │
│ │ │superior, domeniul│
│ │ │juridicar, │
│ │ │justiţie, inclusiv│
│ │ │Ministerul Public,│
│ │ │Parlamentul │
│ │ │României, │
│ │ │Secretariatul │
│ │ │General al │
│ │ │Guvernului, │
│ │ │Cancelaria │
│ │ │Prim-Ministrului, │
│ │ │Administraţia │
│ │ │Prezidenţială, │
│ │ │ASF, BNR şi ANCOM.│
├──────────────────────┼───────────────┼──────────────────┤
│ │ │- Operatorii de │
│ │ │infrastructură │
│ │ │terestră deţinută,│
│ │ │gestionată şi │
│ │ │operată de statul │
│ │ │român sau de │
│ │ │entităţi private │
│ │ │pe teritoriul │
│11. Spaţiu │ │României, care │
│ │ │sprijină │
│ │ │furnizarea de │
│ │ │servicii spaţiale,│
│ │ │cu excepţia │
│ │ │furnizorilor de │
│ │ │reţele publice de │
│ │ │comunicaţii │
│ │ │electronice │
└──────────────────────┴───────────────┴──────────────────┘
ANEXA 2 Alte sectoare de importanţă critică
┌───────────┬────────────────┬────────────────┐
│Sectorul │Subsectorul │Tipul de │
│ │ │entitate │
├───────────┼────────────────┼────────────────┤
│1 │2 │3 │
├───────────┼────────────────┼────────────────┤
│ │ │- Furnizorii de │
│ │ │servicii │
│ │ │poştale, astfel │
│ │ │cum sunt │
│ │ │definiţi la art.│
│ │ │2 pct. 2 din │
│ │ │Ordonanţa de │
│ │ │urgenţă a │
│1. Servicii│ │Guvernului nr. │
│poştale şi │ │13/2013 privind │
│de curierat│ │serviciile │
│ │ │poştale, cu │
│ │ │modificările şi │
│ │ │completările │
│ │ │ulterioare, prin│
│ │ │Legea nr. 187/ │
│ │ │2013, inclusiv │
│ │ │furnizori de │
│ │ │servicii de │
│ │ │curierat │
├───────────┼────────────────┼────────────────┤
│ │ │- │
│ │ │Întreprinderile │
│ │ │care efectuează │
│ │ │gestionarea │
│ │ │deşeurilor, │
│ │ │astfel cum │
│ │ │aceasta este │
│ │ │definită la pct.│
│ │ │19 din anexa nr.│
│ │ │1 la Ordonanţa │
│ │ │de urgenţă a │
│ │ │Guvernului nr. │
│ │ │92/2021 privind │
│2. │ │regimul │
│Gestionarea│ │deşeurilor, │
│deşeurilor │ │aprobată cu │
│ │ │modificări şi │
│ │ │completări prin │
│ │ │Legea nr. 17/ │
│ │ │2023, cu │
│ │ │excepţia │
│ │ │întreprinderilor│
│ │ │pentru care │
│ │ │gestionarea │
│ │ │deşeurilor nu │
│ │ │reprezintă │
│ │ │principala │
│ │ │activitate │
│ │ │economică │
├───────────┼────────────────┼────────────────┤
│ │ │- │
│ │ │Întreprinderile │
│ │ │care produc │
│ │ │substanţe şi │
│ │ │distribuie │
│ │ │substanţe sau │
│ │ │amestecuri, │
│ │ │astfel cum se │
│ │ │menţionează la │
│ │ │articolul 3 │
│ │ │punctele 9 şi 14│
│ │ │din Regulamentul│
│ │ │(CE) nr. 1.907/ │
│ │ │2006 al │
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din │
│ │ │18 decembrie │
│ │ │2006 privind │
│ │ │înregistrarea, │
│ │ │evaluarea, │
│ │ │autorizarea şi │
│ │ │restricţionarea │
│ │ │substanţelor │
│ │ │chimice (REACH),│
│ │ │de înfiinţare a │
│3. │ │Agenţiei │
│Fabricarea,│ │Europene pentru │
│producţia │ │Produse Chimice,│
│şi │ │de modificare a │
│distribuţia│ │Directivei 1999/│
│de │ │45/CE şi de │
│substanţe │ │abrogare a │
│chimice │ │Regulamentului │
│ │ │(CEE) nr. 793/93│
│ │ │al Consiliului │
│ │ │şi a │
│ │ │Regulamentului │
│ │ │(CE) nr. 1.488/ │
│ │ │94 al Comisiei, │
│ │ │precum şi a │
│ │ │Directivei 76/ │
│ │ │769/CEE a │
│ │ │Consiliului şi a│
│ │ │Directivelor 91/│
│ │ │155/CEE, 93/67/ │
│ │ │CEE, 93/105/CE │
│ │ │şi 2000/21/CE │
│ │ │ale Comisiei şi │
│ │ │întreprinderile │
│ │ │care produc │
│ │ │articole, astfel│
│ │ │cum sunt │
│ │ │definite la │
│ │ │articolul 3 │
│ │ │punctul 3 din │
│ │ │regulamentul │
│ │ │respectiv, din │
│ │ │substanţe sau │
│ │ │amestecuri │
├───────────┼────────────────┼────────────────┤
│ │ │- │
│ │ │Întreprinderile │
│ │ │cu profil │
│ │ │alimentar, aşa │
│ │ │cum sunt │
│ │ │definite la │
│ │ │articolul 3 │
│ │ │punctul (2) din │
│ │ │Regulamentul │
│ │ │(CE) nr. 178/ │
│ │ │2002 al │
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din │
│ │ │28 ianuarie 2002│
│ │ │de stabilire a │
│4. │ │principiilor şi │
│Producţia, │ │a cerinţelor │
│prelucrarea│ │generale ale │
│şi │ │legislaţiei │
│distribuţia│ │alimentare, de │
│de alimente│ │instituire a │
│ │ │Autorităţii │
│ │ │Europene pentru │
│ │ │Siguranţa │
│ │ │Alimentară şi de│
│ │ │stabilire a │
│ │ │procedurilor în │
│ │ │domeniul │
│ │ │siguranţei │
│ │ │produselor │
│ │ │alimentare, care│
│ │ │sunt implicate │
│ │ │în distribuţia │
│ │ │cu ridicata şi │
│ │ │în producţia şi │
│ │ │prelucrarea │
│ │ │industrială │
├───────────┼────────────────┼────────────────┤
│ │ │- Entităţile │
│ │ │care fabrică │
│ │ │dispozitive │
│ │ │medicale, astfel│
│ │ │cum sunt │
│ │ │definite la │
│ │ │articolul 2 │
│ │ │punctul 1 din │
│ │ │Regulamentul │
│ │ │(UE) 2017/745 al│
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din │
│ │ │5 aprilie 2017 │
│ │ │privind │
│ │ │dispozitivele │
│ │ │medicale, de │
│ │ │modificare a │
│ │ │Directivei 2001/│
│ │ │83/CE, a │
│ │ │Regulamentului │
│ │ │(CE) nr. 178/ │
│ │ │2002 şi a │
│ │ │Regulamentului │
│ │ │(CE) nr. 1.223/ │
│ │ │2009 şi de │
│ │ │abrogare a │
│ │ │Directivelor 90/│
│ │ │385/CEE şi 93/42│
│ │a) Fabricarea de│/CEE ale │
│ │dispozitive │Consiliului, şi │
│ │medicale şi de │entităţi care │
│ │dispozitive │fabrică │
│ │medicale pentru │dispozitive │
│ │diagnostic in │medicale pentru │
│ │vitro │diagnostic in │
│ │ │vitro, astfel │
│ │ │cum sunt │
│ │ │definite la │
│ │ │articolul 2 │
│ │ │punctul 2 din │
│ │ │Regulamentul │
│ │ │(UE) 2017/746 al│
│ │ │Parlamentului │
│ │ │European şi al │
│ │ │Consiliului din │
│ │ │5 aprilie 2017 │
│ │ │privind │
│ │ │dispozitivele │
│ │ │medicale pentru │
│ │ │diagnostic in │
│ │ │vitro şi de │
│ │ │abrogare a │
│ │ │Directivei 98/79│
│ │ │/CE şi a │
│ │ │Deciziei 2010/ │
│ │ │227/UE a │
│ │ │Comisiei, cu │
│ │ │excepţia │
│ │ │entităţilor care│
│ │ │fabrică │
│ │ │dispozitive │
│ │ │medicale │
│ │ │menţionate în │
│ │ │anexa I punctul │
│ │ │5 │
│ ├────────────────┼────────────────┤
│ │ │- │
│ │ │Întreprinderile │
│5. │b) Fabricarea │care desfăşoară │
│Fabricare │computerelor şi │oricare dintre │
│ │a produselor │activităţile │
│ │electronice şi │economice │
│ │optice │menţionate în │
│ │ │diviziunea 26 │
│ │ │din CAEN Rev. 2 │
│ ├────────────────┼────────────────┤
│ │ │- │
│ │ │Întreprinderile │
│ │ │care desfăşoară │
│ │ │oricare dintre │
│ │ │activităţile │
│ │ │economice │
│ │c) Fabricarea │menţionate în │
│ │echipamentelor │diviziunea 27 │
│ │electrice │din CAEN Rev. 3,│
│ │ │potrivit │
│ │ │Ordinului │
│ │ │preşedintelui │
│ │ │Institutului │
│ │ │Naţional de │
│ │ │Statistică │
│ ├────────────────┼────────────────┤
│ │ │- │
│ │ │Întreprinderile │
│ │ │care desfăşoară │
│ │ │oricare dintre │
│ │ │activităţile │
│ │d) Fabricarea │economice │
│ │altor maşini şi │menţionate în │
│ │echipamente │diviziunea 28 │
│ │n.c.a. │din CAEN Rev. 3,│
│ │ │potrivit │
│ │ │Ordinului │
│ │ │preşedintelui │
│ │ │Institutului │
│ │ │Naţional de │
│ │ │Statistică │
│ ├────────────────┼────────────────┤
│ │ │- │
│ │ │Întreprinderile │
│ │ │care desfăşoară │
│ │ │oricare dintre │
│ │ │activităţile │
│ │e) Fabricarea │economice │
│ │autovehiculelor,│menţionate în │
│ │remorcilor şi │diviziunea 29 │
│ │semiremorcilor │din CAEN Rev. 3,│
│ │ │potrivit │
│ │ │Ordinului │
│ │ │preşedintelui │
│ │ │Institutului │
│ │ │Naţional de │
│ │ │Statistică │
│ ├────────────────┼────────────────┤
│ │ │- │
│ │ │Întreprinderile │
│ │ │care desfăşoară │
│ │ │oricare dintre │
│ │ │activităţile │
│ │f) Fabricarea │economice │
│ │altor │menţionate în │
│ │echipamente de │diviziunea 30 │
│ │transport │din CAEN Rev. 3,│
│ │ │potrivit │
│ │ │Ordinului │
│ │ │preşedintelui │
│ │ │Institutului │
│ │ │Naţional de │
│ │ │Statistică │
├───────────┼────────────────┼────────────────┤
│ │ │- Furnizorii de │
│ │ │pieţe online │
│ │ ├────────────────┤
│ │ │- Furnizorii de │
│6. │ │motoare de │
│Furnizori │ │căutare online │
│digitali │ ├────────────────┤
│ │ │- Furnizorii de │
│ │ │platforme de │
│ │ │servicii de │
│ │ │socializare în │
│ │ │reţea │
├───────────┼────────────────┼────────────────┤
│7. │ │Organizaţiile de│
│Cercetare │ │cercetare │
└───────────┴────────────────┴────────────────┘
---- 
