Secţiunea 2 - Autoritatea competentă la nivel naţional - Ordonanță de urgență 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil
M.Of. 1332
În vigoare Versiune de la: 10 Iulie 2025
SECŢIUNEA 2:Autoritatea competentă la nivel naţional
Art. 24
(1)DNSC este autoritatea competentă responsabilă cu securitatea cibernetică şi cu sarcinile de supraveghere şi asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică.
(2)DNSC îndeplineşte funcţia de echipă de răspuns la incidente de securitate cibernetică naţională, denumită în continuare CSIRT naţional, în temeiul dispoziţiilor Ordonanţei de urgenţă a Guvernului nr. 104/2021.
(3)În vederea îndeplinirii atribuţiilor ce îi revin în temeiul prevederilor prezentei ordonanţe de urgenţă, DNSC se asigură că deţine personal suficient şi competent şi că dispune de resurse adecvate pentru a-şi îndeplini în mod eficace şi eficient atribuţiile.
(4)Pentru aplicarea alin. (3), din bugetul DNSC se asigură, cu respectarea prevederilor legale, următoarele categorii de cheltuieli:
a)achiziţionarea de servicii de specialitate;
b)achiziţia de echipamente şi software, inclusiv software dezvoltat la comandă;
c)afilierea la reţele şi organizaţii internaţionale de profil şi participarea prin reprezentanţi la lucrările acestora, precum şi la alte evenimente de profil;
d)cursuri de formare şi perfecţionare, precum şi certificări ale personalului propriu;
e)editarea de publicaţii, ghiduri de specialitate, clipuri video de conştientizare;
f)organizarea de conferinţe, seminare şi alte evenimente de profil;
g)efectuarea de studii statistice şi activităţi de cercetare.
Art. 25
(1)DNSC, în exercitarea calităţii de autoritate competentă responsabilă cu securitatea cibernetică şi cu sarcinile de supraveghere şi asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică în temeiul prezentei ordonanţe de urgenţă, are următoarele atribuţii:
a)elaborează şi asigură punerea în aplicare a strategiei naţionale de securitate cibernetică alături de celelalte autorităţi competente;
b)elaborează norme şi cerinţe în domeniul de aplicare al prezentei ordonanţe de urgenţă;
c)elaborează şi actualizează ghiduri, recomandări şi bune practici în domeniul de aplicare al prezentei ordonanţe de urgenţă;
d)administrează şi gestionează resursele pentru punerea în aplicarea a prezentei ordonanţe de urgenţă;
e)participă, prin reprezentanţi, la formatele de cooperare la nivel european;
f)supraveghează, verifică şi controlează respectarea prevederilor prezentei ordonanţe de urgenţă;
g)primeşte sesizări cu privire la neîndeplinirea obligaţiilor de către entităţile esenţiale şi importante;
h)cooperează cu autorităţile competente din celelalte state membre ale Uniunii Europene şi oferă asistenţă acestora, prin schimbul de informaţii, transmiterea de solicitări şi sesizări, efectuarea controlului ori luarea de măsuri de supraveghere şi remediere a deficienţelor constatate, în cazul entităţilor care fac obiectul prezentei ordonanţe de urgenţă;
i)autorizează, revocă sau reînnoieşte autorizarea echipelor de răspuns la incidente de securitate cibernetică ce deservesc entităţile esenţiale şi importante;
j)eliberează, revocă sau reînnoieşte atestatele auditorilor de securitate cibernetică care pot efectua audit în cadrul reţelelor şi sistemelor informatice ce susţin servicii esenţiale ori servicii importante, în condiţiile prezentei ordonanţe de urgenţă;
k)autorizează, revocă sau reînnoieşte autorizarea furnizorilor de servicii de formare pentru securitate cibernetică pentru formarea auditorilor de securitate cibernetică şi a echipelor de răspuns la incidente de securitate cibernetică;
l)asigură ducerea la îndeplinire a obligaţiilor de raportare a incidentelor de către entităţile esenţiale şi importante în condiţiile prezentei ordonanţe de urgenţă;
m)încurajează utilizarea de către entităţile esenţiale şi importante a produselor TIC, serviciilor TIC şi proceselor TIC ce corespund cerinţelor de standardizare şi certificare în domeniul securităţii cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881 şi a serviciilor de încredere calificate, cu respectarea standardelor şi a specificaţiilor tehnice europene şi internaţionale relevante pentru securitatea reţelelor şi a sistemelor informatice;
n)reglementează şi gestionează procesul de divulgare coordonată a vulnerabilităţilor.
(2)DNSC este responsabil de gestionarea procesului de identificare a entităţilor esenţiale şi a entităţilor importante şi păstrează un registru al acestora conform art. 18.
(3)DNSC este responsabil de gestionarea procesului de identificare a furnizorilor de servicii DNS, registrelor de nume TLD, furnizorilor de servicii de cloud computing, furnizorilor de servicii de centre de date, furnizorilor de reţele de furnizare de conţinut, furnizorilor de servicii gestionate, furnizorilor de servicii de securitate gestionate, precum şi furnizorilor de pieţe online, de motoare de căutare online şi de platforme de servicii de socializare în reţea şi transmite către ENISA datele privind identificarea acestora până la data de 17 ianuarie 2025.
(4)DNSC identifică serviciile, sistemele şi produsele TIC care pot face obiectul evaluării de risc naţionale din perspectiva lanţului de aprovizionare pe care o elaborează şi o transmite către ENISA, rezultatele evaluării fiind transmise către entităţile esenţiale şi entităţile importante şi către autorităţile competente sectorial.
(5)DNSC păstrează evidenţa datelor prevăzute la alin. (3), le actualizează periodic şi transmite modificările către ENISA.
(6)DNSC realizează, ori de câte ori este nevoie şi cel puţin o dată pe an, o evaluare a securităţii cibernetice a spaţiului cibernetic naţional civil, evaluarea fiind transmisă şi autorităţilor competente sectorial.
Art. 26
(1)DNSC, în exercitarea atribuţiilor de supraveghere şi control, în cazul neîndeplinirii de către entităţile esenţiale şi entităţile importante a obligaţiilor ce le revin conform dispoziţiilor prezentei ordonanţe de urgenţă, verifică respectarea dispoziţiilor prezentei ordonanţe de urgenţă şi realizează controale, emite dispoziţii cu caracter obligatoriu pentru entităţile esenţiale şi entităţile importante în vederea conformării şi remedierii deficienţelor constatate şi stabileşte termene pentru aceasta, instituie măsuri de supraveghere pentru entităţile esenţiale şi pentru entităţile importante şi aplică sancţiuni.
(2)DNSC asigură evaluarea procesului de pregătire şi specializare a auditorilor în vederea atestării ca auditori de securitate cibernetică, a membrilor echipelor de răspuns la incidente de securitate cibernetică, a responsabililor de securitate cibernetică şi a furnizorilor de servicii de formare pentru securitate cibernetică.
Art. 27
(1)DNSC cooperează cu instituţiile din COSC şi poate solicita efectuarea de verificări ale riscurilor de securitate, inclusiv din perspectiva securităţii naţionale, cu privire la solicitantul de atestat de auditor, membrii echipelor de răspuns la incidente de securitate cibernetică şi furnizorilor de servicii specifice echipelor de răspuns la incidente de securitate cibernetică.
(2)În urma aplicării alin. (1), DNSC evaluează riscurile de securitate şi în funcţie de situaţie dispune continuarea sau întreruperea procedurii de evaluare şi atestare.