Secţiunea 2 - Principii şi definiţii - Ordonanță de urgență 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil
M.Of. 1332
În vigoare Versiune de la: 10 Iulie 2025
SECŢIUNEA 2:Principii şi definiţii
Art. 3 
(3)În activităţile de înregistrare, de supraveghere şi control, cât şi de primire şi gestionare a raportărilor de incidente, precum şi în procesele interne, DNSC protejează interesele de securitate şi comerciale ale entităţilor, astfel cum acestea sunt definite de dispoziţiile art. 4 lit. f), precum şi confidenţialitatea informaţiilor furnizate de către acestea.
(4)Informaţiile prelucrate în sensul îndeplinirii obligaţiilor de la alin. (3) nu fac parte din categoria informaţiilor de interes public aşa cum acestea sunt reglementate în Legea nr. 544/2001 privind liberul acces la informaţiile de interes public, cu modificările şi completările ulterioare.
(1)În aplicarea prezentei ordonanţe de urgenţă, sunt respectate următoarele principii:
a)principiul responsabilităţii şi conştientizării - constă în efortul continuu derulat de entităţile de drept public şi privat în conştientizarea rolului şi responsabilităţii individuale pentru atingerea unui nivel comun ridicat de securitate cibernetică la nivel naţional;
b)principiul proporţionalităţii - constă în asigurarea unui echilibru între riscurile la care reţelele şi sistemele informatice sunt supuse şi măsurile de securitate implementate;
c)principiul cooperării şi coordonării - constă în realizarea în timp oportun a schimbului de informaţii referitoare la riscurile de securitate la adresa reţelelor şi sistemelor informatice şi asigurarea într-o manieră sincronizată a reacţiei la producerea incidentelor;
d)principiul minimizării efectelor - în cazul unui incident se iau măsuri pentru a evita amplificarea sau extinderea efectelor la alte reţele şi sisteme informatice;
e)principiul satisfacerii interesului public - se urmăreşte satisfacerea interesului public înaintea celui individual sau de grup.
(2)În aplicarea prezentei ordonanţe de urgenţă, pot face obiectul schimbului de informaţii cu Comisia Europeană şi cu alte autorităţi informaţiile confidenţiale şi informaţiile privind secretul comercial. Schimbul de informaţii se limitează la informaţiile relevante, proporţional cu scopul urmărit. Schimbul de informaţii păstrează confidenţialitatea respectivelor informaţii şi protejează securitatea şi interesele comerciale ale entităţilor în cauză.
(3)În activităţile de înregistrare, de supraveghere şi control, cât şi de primire şi gestionare a raportărilor de incidente, precum şi în procesele interne, DNSC protejează interesele de securitate şi comerciale ale entităţilor, astfel cum acestea sunt definite de dispoziţiile art. 4 lit. f), precum şi confidenţialitatea informaţiilor furnizate de către acestea.(4)Informaţiile prelucrate în sensul îndeplinirii obligaţiilor de la alin. (3) nu fac parte din categoria informaţiilor de interes public aşa cum acestea sunt reglementate în Legea nr. 544/2001 privind liberul acces la informaţiile de interes public, cu modificările şi completările ulterioare.Art. 4 22.v) platformă de servicii de socializare în reţea înseamnă o platformă care permite utilizatorilor finali să se conecteze, să partajeze, să descopere şi să comunice între ei pe mai multe dispozitive, inclusiv prin conversaţii online, postări, materiale video şi recomandări;
În înţelesul prezentei ordonanţe de urgenţă, termenii şi expresiile de mai jos au următoarea semnificaţie:
1.a) ameninţare cibernetică înseamnă o ameninţare, astfel cum aceasta este definită la art. 2 lit. f) din Ordonanţa de urgenţă a Guvernului nr. 104/2021 privind Înfiinţarea Directoratului Naţional de Securitate Cibernetică, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare;
2.b) ameninţare cibernetică semnificativă înseamnă o ameninţare cibernetică despre care se poate presupune, pe baza caracteristicilor sale tehnice, că are potenţialul de a afecta grav reţeaua şi sistemele informatice ale unei entităţi sau utilizatorii serviciilor furnizate de entitate, cauzând prejudicii materiale sau morale considerabile;
3.c) audit de securitate cibernetică, astfel cum este definit la art. 2 lit. d) din Legea nr. 58/2023;
4.d) autoritate competentă sectorial în domeniul securităţii cibernetice este acea instituţie publică care are fie rol de reglementare sau rol de supraveghere şi control, fie rol de reglementare, supraveghere şi control în domeniile corespunzătoare sectoarelor prevăzute în anexe şi care, potrivit competenţelor şi atribuţiilor stabilite prin actele normative de organizare şi funcţionare proprii, are atribuţii în domeniul securităţii cibernetice la nivelul entităţilor din cadrul sectoarelor prevăzute în anexele nr. 1 şi 2;
5.e) criză cibernetică, astfel cum este definită în art. 2 lit. k) din Ordonanţa de urgenţă a Guvernului nr. 104/2021;
6.f) entitate înseamnă o persoană fizică sau juridică constituită şi recunoscută ca atare în temeiul dreptului intern al locului său de stabilire, care poate, acţionând în nume propriu, să exercite drepturi şi să fie supusă unor obligaţii;
7.g) entitate a administraţiei publice înseamnă o autoritate sau instituţie din administraţia publică, potrivit prevederilor art. 5 lit. k), l), w) şi kk) din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare, precum şi o unitate administrativ-teritorială, un organism de drept public sau o asociaţie formată din una sau mai multe astfel de autorităţi sau instituţii din sectorul public sau din unul sau mai multe astfel de organisme de drept public;
8.h) entitate care furnizează servicii de înregistrare de nume de domenii înseamnă un operator de registru sau un agent care acţionează în numele operatorilor de registru, cum ar fi un furnizor sau un revânzător de servicii de protecţie a confidenţialităţii sau servicii de proxy;
9.i) furnizor de servicii DNS înseamnă o entitate care furnizează:
1.servicii de rezoluţie recursivă a numelor de domenii accesibile publicului pentru utilizatorii finali ai internetului;
2.servicii de rezoluţie a numelor de domenii cu autoritate destinate utilizării de către terţi, cu excepţia serverelor de nume rădăcină;
10.j) furnizor de servicii gestionate înseamnă o entitate care furnizează servicii legate de instalarea, gestionarea, funcţionarea sau întreţinerea produselor, reţelelor, infrastructurilor sau aplicaţiilor tehnologiei informaţiilor şi comunicaţiilor, denumită în continuare TIC, sau a altor reţele şi sisteme informatice, prin asistenţă sau administrare activă, fie la sediul clientului, fie de la distanţă;
11.k) furnizor de servicii de securitate gestionate înseamnă un furnizor de servicii gestionate care efectuează sau furnizează asistenţă pentru activităţi legate de gestionarea riscurilor în materie de securitate cibernetică;
12.l) gestionarea incidentului înseamnă toate acţiunile şi procedurile care vizează prevenirea, detectarea, analizarea şi limitarea unui incident sau vizează răspunsul la acesta şi redresarea în urma incidentului;
13.m) incident înseamnă un eveniment care compromite disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate, transmise sau prelucrate ori a serviciilor oferite de reţele şi sisteme informatice sau accesibile prin intermediul acestora;
14.n) incident de securitate cibernetică de mare amploare înseamnă un incident care provoacă perturbări care depăşesc capacităţile de răspuns ale unui singur stat membru al Uniunii Europene sau care are un impact semnificativ asupra a cel puţin două state membre ale Uniunii Europene;
15.o) incident evitat la limită înseamnă un eveniment care ar fi putut compromite disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate, transmise sau prelucrate ori a serviciilor oferite de reţele şi sisteme informatice sau accesibile prin intermediul acestora, dar care a fost împiedicat cu succes să se materializeze sau care nu s-a materializat;
16.p) internet exchange point înseamnă o facilitate a reţelei care permite interconectarea a mai mult de două reţele autonome independente, în special în scopul facilitării schimbului de trafic de internet, care furnizează interconectare doar pentru sisteme autonome şi care nu necesită trecerea printr-un al treilea sistem autonom a traficului de internet dintre orice pereche de sisteme autonome participante şi nici nu modifică sau interacţionează într-un alt mod cu acest trafic;
17.q) motor de căutare online înseamnă un motor de căutare online, astfel cum este definit la art. 2 pct. 5 din Regulamentul (UE) 2019/1.150 al Parlamentului European şi al Consiliului din 20 iunie 2019 de promovare a echităţii şi a transparenţei pentru întreprinderile utilizatoare de servicii de intermediere online;
18.r) organism de cercetare înseamnă o entitate al cărei obiectiv principal este de a desfăşura activităţi de cercetare aplicată sau de dezvoltare experimentală în vederea exploatării rezultatelor cercetării respective în scopuri comerciale, dar care nu include instituţiile de învăţământ;
19.s) organism de evaluare a conformităţii înseamnă organismul menţionat la art. 2 pct. 13 din Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei în ceea ce priveşte comercializarea produselor şi de abrogare a Regulamentului (CEE) nr. 339/93;
20.t) organism naţional de acreditare înseamnă organismul menţionat la art. 2 pct. 11 din Regulamentul (CE) nr. 765/2008;
21.u) piaţă online înseamnă un serviciu, astfel cum este definit la art. 2 lit. o) din Legea nr. 363/2007 privind combaterea practicilor incorecte ale comercianţilor în relaţia cu consumatorii şi armonizarea reglementărilor cu legislaţia europeană privind protecţia consumatorilor, cu modificările şi completările ulterioare;
22.v) platformă de servicii de socializare în reţea înseamnă o platformă care permite utilizatorilor finali să se conecteze, să partajeze, să descopere şi să comunice între ei pe mai multe dispozitive, inclusiv prin conversaţii online, postări, materiale video şi recomandări;23.w) politica de securitate a sistemelor şi reţelelor informatice înseamnă o politică care stabileşte măsurile de securitate pentru reţelele şi sistemele informatice care trebuie adoptate de o entitate esenţială sau importantă;
24.x) prestator de servicii de încredere înseamnă un prestator de servicii de încredere în sensul art. 3 pct. 19 din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE;
25.y) prestator de servicii de încredere calificat înseamnă un prestator de servicii de încredere calificat în sensul art. 3 pct. 20 din Regulamentul (UE) nr. 910/2014;
26.z) proces TIC înseamnă un proces TIC în sensul art. 2 pct. 14 din Regulamentul (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică);
27.aa) produs TIC înseamnă un produs TIC în sensul art. 2 pct. 12) din Regulamentul (UE) 2019/881;
28.bb) registru de nume TLD înseamnă o entitate căreia i-a fost delegat un anumit domeniu de prim nivel şi care răspunde de administrarea domeniului de prim nivel, inclusiv de înregistrarea numelor de domenii sub domeniul de prim nivel şi de operarea tehnică a domeniului de prim nivel, inclusiv exploatarea serverelor sale de nume, întreţinerea bazelor sale de date şi distribuirea fişierelor zonelor de domenii de prim nivel între serverele de nume, indiferent dacă este efectuată de entitatea însăşi sau externalizată, dar excluzând situaţiile în care numele de domenii de prim nivel sunt utilizate de un registru exclusiv pentru uz propriu;
29.cc) reprezentant înseamnă o persoană fizică sau juridică stabilită în Uniunea Europeană care este desemnată în mod expres să acţioneze în numele unui furnizor de servicii DNS, al unui registru de nume TLD, al unei entităţi care furnizează servicii de înregistrare a numelor de domenii, al unui furnizor de servicii de cloud computing, al unui furnizor de servicii de centre de date, un furnizor de reţele de difuzare de conţinut, un furnizor de servicii gestionate, un furnizor de servicii de securitate gestionate, un furnizor al unei pieţe online, furnizor al unui motor de căutare online sau un furnizor de platforme de servicii de socializare în reţea care nu este stabilit în Uniunea Europeană, care poate fi contactat de autoritatea competentă în domeniul securităţii cibernetice în legătură cu obligaţiile entităţii respective în temeiul dispoziţiilor prezentei ordonanţe de urgenţă;
30.dd) reţea de difuzare de conţinut înseamnă o reţea de servere distribuite geografic concepută pentru a asigura disponibilitatea ridicată, accesibilitatea sau furnizarea rapidă de conţinut şi servicii digitale utilizatorilor de internet în numele furnizorilor de conţinut şi servicii;
31.ee) reţea publică de comunicaţii electronice înseamnă o reţea publică de comunicaţii electronice în sensul art. 4 alin. (1) pct. 10 din Ordonanţa de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, aprobată cu modificări şi completări prin Legea nr. 140/2012, cu modificările şi completările ulterioare;
32.ff) reţea şi sistem informatic înseamnă:
1.reţea de comunicaţii electronice în sensul prevederilor art. 4 alin. (1) pct. 6 din Ordonanţa de urgenţă a Guvernului nr. 111/2011;
2.orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor digitale cu ajutorul unui program informatic; sau
3.datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevăzute la pct. 1 şi 2 în vederea funcţionării, utilizării, protejării şi întreţinerii lor;
33.gg) risc înseamnă potenţialul de pierderi sau de perturbări cauzate de un incident şi trebuie exprimat ca o combinaţie între amploarea unei astfel de pierderi sau perturbări şi probabilitatea producerii incidentului;
34.hh) securitate cibernetică înseamnă securitate cibernetică, astfel cum aceasta este definită la art. 2 lit. y) din Legea nr. 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative;
35.ii) securitatea reţelelor şi a sistemelor informatice înseamnă capacitatea reţelelor şi a sistemelor informatice de a rezista, la un anumit nivel de încredere, oricărui eveniment care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate, transmise sau prelucrate sau a serviciilor furnizate de aceste reţele şi sisteme informatice puse la dispoziţie;
36.jj) serviciu digital înseamnă un serviciu în sensul prevederilor art. 4 alin. (1) pct. 2 din Hotărârea Guvernului nr. 1.016/2004 privind măsurile pentru organizarea şi realizarea schimbului de informaţii în domeniul standardelor şi reglementărilor tehnice, precum şi al regulilor referitoare la serviciile societăţii informaţionale între România şi statele membre ale Uniunii Europene, precum şi Comisia Europeană, cu modificările şi completările ulterioare;
37.kk) serviciu de centre de date înseamnă un serviciu care cuprinde structuri sau grupuri de structuri dedicate găzduirii, interconectării şi exploatării centralizate a echipamentelor informatice şi de reţea care furnizează servicii de stocare, prelucrare şi transport de date, împreună cu toate instalaţiile şi infrastructurile de distribuţie a energiei electrice şi de control al mediului;
38.ll) serviciu de cloud computing înseamnă un serviciu digital care permite administrarea la cerere şi accesul larg de la distanţă la un set scalabil şi variabil de resurse informatice care pot fi partajate, inclusiv în cazul în care resursele respective sunt repartizate în diferite locaţii;
39.mm) serviciu de comunicaţii electronice înseamnă un serviciu de comunicaţii electronice în sensul art. 4 alin. (1) pct. 9 din Ordonanţa de urgenţă a Guvernului nr. 111/2011;
40.nn) serviciu de încredere înseamnă un serviciu de încredere în sensul art. 3 pct. 16 din Regulamentul (UE) nr. 910/2014;
41.oo) serviciu de încredere calificat înseamnă un serviciu de încredere calificat în sensul art. 3 pct. 17 din Regulamentul (UE) nr. 910/2014;
42.pp) serviciu TIC înseamnă un serviciu TIC în sensul art. 2, pct. 13) din Regulamentul (UE) 2019/881;
43.qq) sistem de nume de domenii sau DNS înseamnă un sistem de denumire ierarhic şi distribuit de atribuire de nume care permite identificarea serviciilor şi resurselor de internet, care permite dispozitivelor utilizatorilor finali să utilizeze servicii de rutare şi conectivitate a internetului pentru a accesa aceste servicii şi resurse;
44.rr) specificaţie tehnică înseamnă o specificaţie tehnică astfel cum este definită la art. 2 pct. 4 din Regulamentul (UE) nr. 1.025/2012 al Parlamentului European şi al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE şi 93/15/CEE ale Consiliului şi a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE şi 2009/105/CE ale Parlamentului European şi ale Consiliului şi de abrogare a Deciziei 87/95/CEE a Consiliului şi a Deciziei nr. 1.673/2006/CE a Parlamentului European şi a Consiliului;
45.ss) standard înseamnă un standard în sensul art. 2 pct. 1 din Regulamentul (UE) nr. 1.025/2012 al Parlamentului European şi al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE şi 93/15/CEE ale Consiliului şi a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE şi 2009/105/CE ale Parlamentului European şi ale Consiliului şi de abrogare a Deciziei 87/95/CEE a Consiliului şi a Deciziei nr. 1.673/2006/CE a Parlamentului European şi a Consiliului;
46.tt) vulnerabilitate înseamnă un punct slab, o susceptibilitate sau o deficienţă a unor produse TIC sau a unor servicii TIC care poate fi exploatată de o ameninţare cibernetică.