Secţiunea 4 - Echipele de răspuns la incidente de securitate cibernetică - Ordonanță de urgență 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil
M.Of. 1332
În vigoare Versiune de la: 10 Iulie 2025
SECŢIUNEA 4:Echipele de răspuns la incidente de securitate cibernetică
Art. 30
(1)Entităţile esenţiale, entităţile importante şi autorităţile competente sectorial pot constitui echipe de răspuns la incidente de securitate cibernetică, denumite în continuare CSIRT, proprii sau sectoriale ori pot achiziţiona servicii de specialitate de la furnizori de servicii specifice CSIRT, autorizaţi de către DNSC.
(2)CSIRT-urile prevăzute la alin. (1) sunt autorizate de către DNSC în urma evaluării îndeplinirii condiţiilor specifice de autorizare a acestui tip de serviciu, conform alin. (3) şi art. 31-33.
(3)În vederea obţinerii autorizării, CSIRT-urile prevăzute la alin. (1) trebuie să probeze deţinerea unei infrastructuri de comunicare şi de informaţii adecvate, sigure şi reziliente care să permită schimbul de informaţii cu entităţile pe care acestea le deservesc şi cu alte părţi interesate relevante, precum şi existenţa resurselor adecvate pentru îndeplinirea efectivă a sarcinilor ce le revin.
(4)CSIRT-urile prevăzute la alin. (1) cooperează şi fac schimb de informaţii relevante cu comunităţile sectoriale sau transsectoriale formate din entităţi esenţiale şi entităţi importante, cât şi cu CSIRT-uri din state terţe, inclusiv pentru a le oferi asistenţă în materie de securitate cibernetică.
(5)CSIRT-urile prevăzute la alin. (1) participă la grupuri de cooperare naţionale şi internaţionale, evaluări inter pares, la Reţeaua CSIRT sau la alte formate asemănătoare la solicitarea CSIRT naţional.
(6)CSIRT-urile prevăzute la alin. (1) cooperează atât între ele, cât şi cu CSIRT naţional.
(7)DNSC poate delega una sau mai multe persoane atât din personalul propriu de control, cât şi de specialitate să îşi exercite temporar atribuţiile în cadrul unui CSIRT prevăzut la alin. (1).
Art. 31
(1)CSIRT-urile proprii, sectoriale sau furnizorii de servicii specifice CSIRT care deservesc entităţile esenţiale sau entităţile importante au următoarele obligaţii:
a)să fie autorizate de către DNSC;
b)să asigure compatibilitatea şi interoperabilitatea sistemelor, procedurilor şi metodelor utilizate cu cele ale CSIRT naţional;
c)să furnizeze cel puţin pachetul minim de servicii de tip CSIRT necesar asigurării la nivel naţional a unei protecţii unitare a entităţilor esenţiale şi a entităţilor importante, în condiţiile alin. (2);
d)să utilizeze în cadrul echipelor un număr corespunzător de persoane calificate;
e)să se interconecteze la serviciul de alertă, monitorizare şi cooperare al DNSC şi să asigure un răspuns prompt la alertele şi solicitările transmise de CSIRT naţional;
f)să dispună de personal adecvat pentru a asigura disponibilitatea permanentă a serviciilor lor;
g)să aloce anual bugetul necesar în vederea menţinerii unui nivel ridicat al capabilităţilor atât din punctul de vedere al resurselor umane, cât şi tehnice.
(2)Normele tehnice privind compatibilitatea şi interoperabilitatea prevăzute la alin. (1) lit. b), pachetul minim de servicii de tip CSIRT prevăzut la alin. (1) lit. c) şi criteriile de stabilire a numărului de persoane calificate prevăzute la alin. (1) lit. d) se aprobă prin ordin al directorului DNSC.
(3)DNSC elaborează tematicile pentru specializarea personalului din cadrul CSIRT-urilor în vederea autorizării conform art. 30 alin. (2), prin decizie a directorului DNSC.
Art. 32
(1)CSIRT-urile trebuie să îndeplinească următoarele cerinţe:
a)să asigure o disponibilitate ridicată a canalelor de comunicare proprii, evitând punctele unice de defecţiune, dispunând de mai multe mijloace pentru a fi conectate şi pentru a contacta alte entităţi în orice moment;
b)să specifice canalele de comunicare prevăzute la lit. a) şi să le aducă la cunoştinţă bazei de utilizatori şi parteneri de cooperare;
c)să menţină sediile şi sistemele informatice de suport în amplasamente securizate;
d)să dispună de un sistem adecvat de gestionare şi rutare a cererilor;
e)să asigure confidenţialitatea şi credibilitatea operaţiunilor lor;
f)să dispună de personal adecvat pentru a asigura disponibilitatea permanentă a serviciilor lor;
g)să fie echipate cu sisteme redundante şi spaţiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor, chiar şi după un incident;
h)să protejeze datele confidenţiale şi sensibile ale beneficiarilor serviciilor lor de accesul neautorizat, sustragerea, alterarea sau distrugerea lor, prin măsuri tehnice şi procedurale suficiente, adecvate şi proporţionale.
(2)CSIRT-urile pot acorda prioritate unor cereri de sprijin în temeiul unei abordări bazate pe riscuri.
(3)CSIRT-urile stabilesc relaţii de cooperare cu părţile interesate relevante în vederea îndeplinirii atribuţiilor acestora.
(4)Pentru a facilita cooperarea prevăzută la alin. (3), CSIRT-urile promovează adoptarea şi utilizarea unor practici, sisteme de clasificare şi taxonomii comune sau standardizate în legătură cu:
a)procedurile de gestionare a incidentelor;
b)gestionarea crizelor;
c)divulgarea coordonată a vulnerabilităţilor, în temeiul art. 36.
(5)Pachetul minim de servicii de tip CSIRT trebuie să acopere cel puţin funcţiile şi controalele sau elementele aferente funcţiilor, de prioritate medie şi înaltă, aşa cum sunt definite de standardele şi cadrele sau platformele recunoscute la nivel internaţional în domeniul răspunsului la incidente şi al managementului riscului de securitate cibernetică, ce vor fi precizate şi actualizate periodic prin ordin al directorului DNSC.
Art. 33
(1)CSIRT-urile au următoarele responsabilităţi:
a)monitorizarea şi analiza ameninţărilor cibernetice, a vulnerabilităţilor şi a incidentelor la nivel naţional şi, la cerere, acordarea de asistenţă entităţilor esenţiale şi entităţilor importante implicate cu privire la monitorizarea în timp real sau în timp aproape real a reţelei lor şi a sistemelor lor informatice în conformitate cu necesităţile acestora;
b)asigurarea unor mecanisme de avertizare timpurii, alerte, anunţuri şi diseminare de informaţii către entităţile esenţiale şi entităţile importante, precum şi către autorităţile competente şi alte părţi interesate relevante cu privire la ameninţări cibernetice, vulnerabilităţi şi incidente în timp aproape real;
c)răspunsul la incidente şi acordarea de asistenţă entităţilor esenţiale şi entităţilor importante implicate, după caz;
d)colectarea şi analiza datelor şi furnizarea de analize dinamice de risc şi de incident şi conştientizarea situaţiei în materie de securitate cibernetică;
e)furnizarea, la cererea unei entităţi esenţiale sau a unei entităţi importante, a unei scanări de securitate a reţelelor şi sistemelor informatice ale entităţii implicate pentru a detecta vulnerabilităţile cu un impact potenţial semnificativ;
f)participarea la implementarea unor instrumente securizate de schimb de informaţii, în conformitate cu art. 20.
(2)Scanările prevăzute la alin. (1) lit. e) sunt neintruzive şi se efectuează pentru a detecta reţelele şi sistemele informatice vulnerabile sau configurate în mod nesigur şi nu aduc niciun efect negativ funcţionalităţii serviciilor entităţilor în cauză.
Art. 34
(1)CSIRT-urile care deservesc entităţi esenţiale sau entităţi importante se autorizează de către DNSC.
(2)În acest sens, DNSC are următoarele atribuţii generale:
a)elaborează şi adoptă, prin ordin al directorului DNSC, regulamentul privind autorizarea şi verificarea CSIRT-urilor care deservesc entităţile esenţiale şi entităţile importante şi stabileşte condiţiile de valabilitate pentru autorizaţiile acordate, precum şi tematicile pentru formarea personalului CSIRT-urilor;
b)acordă, prelungeşte, suspendă sau retrage, prin decizie a directorului DNSC, autorizarea pentru CSIRT-uri;
c)acordă, prelungeşte, suspendă sau retrage, prin decizie a directorului DNSC, autorizarea furnizorilor de servicii de formare pentru activităţile specifice CSIRT;
d)verifică, în urma sesizărilor sau din oficiu, îndeplinirea de către CSIRT-urile autorizate a obligaţiilor ce le revin.
(3)Autorizările prevăzute la alin. (2) lit. b) au o valabilitate de trei ani.
Art. 35
(1)DNSC, în calitate de CSIRT naţional, poate asigura sprijin pentru gestionarea incidentelor:
a)entităţilor esenţiale şi entităţilor importante, la solicitarea acestora;
b)echipelor de răspuns la incidente de securitate cibernetică.
(2)CSIRT naţional îndeplineşte cerinţele prevăzute la art. 30 alin. (3) şi art. 32 alin. (1).
(3)CSIRT naţional poate stabili relaţii de cooperare cu CSIRT-uri din ţări terţe, inclusiv pentru a le oferi asistenţă reciprocă în materie de securitate cibernetică. În cadrul acestor relaţii de cooperare, se facilitează un schimb de informaţii eficace, eficient şi securizat cu respectivele CSIRT-uri, utilizând protocoalele relevante de schimb de informaţii.
(4)CSIRT naţional poate face schimb de informaţii relevante cu CSIRT-urile din ţări terţe, inclusiv de date cu caracter personal în conformitate cu legislaţia privind protecţia datelor.
Art. 36 
(4)Producătorii şi furnizorii de produse sau servicii TIC, care sunt entităţi esenţiale sau importante, au obligaţiile de a transmite către DNSC toate informaţiile cu privire la vulnerabilităţile pe care le identifică, precum şi cu privire la vulnerabilităţile care le sunt semnalate de către terţi şi care le afectează propriile produse sau servicii şi de a remedia respectivele vulnerabilităţi într-un termen stabilit de comun acord cu DNSC.
(8)DNSC notifică Comisiei Europene, fără întârzieri nejustificate, atât calitatea pe care o îndeplineşte conform dispoziţiilor alin. (1), cât şi sarcinile ce îi revin în exercitarea acestei calităţi, precum şi orice modificări ulterioare ale calităţii sale ori ale sarcinilor îndeplinite.
(1)DNSC, în calitate de CSIRT naţional, este responsabil de gestionarea procesului de divulgare coordonată a vulnerabilităţilor şi este desemnat drept coordonator care acţionează ca intermediar de încredere, facilitând, atunci când este necesar, interacţiunea dintre persoana fizică sau juridică care raportează o vulnerabilitate şi producătorul sau furnizorul de produse TIC sau servicii TIC potenţial vulnerabile, la cererea oricărei părţi.
(2)În îndeplinirea prevederilor alin. (1), DNSC:
a)asigură primirea, stocarea şi evaluarea raportărilor referitoare la orice vulnerabilitate a unui produs sau serviciu TIC, înaintate în condiţiile alin. (3);
b)asigură posibilitatea anonimatului persoanei care raportează o vulnerabilitate;
c)identifică şi contactează entităţile care produc, deţin sau administrează produse sau servicii TIC care fac obiectul raportării conform alin. (3), cărora le comunică vulnerabilităţile raportate;
d)facilitează, în măsura în care este necesar, atunci când acţionează drept intermediar de încredere, interacţiunea dintre persoana care raportează o vulnerabilitate şi producătorul, deţinătorul, administratorul sau furnizorul de produse sau servicii TIC potenţial vulnerabile, la cererea uneia dintre părţi şi cu acordul celeilalte părţi;
e)dispune măsuri adecvate, conform atribuţiilor sale legale, în legătură cu gestionarea vulnerabilităţilor raportate de către entităţile care produc, deţin, administrează sau furnizează produse sau servicii TIC care fac obiectul raportării conform alin. (3);
f)efectuează, după caz, verificări asupra vulnerabilităţilor în sistemele informatice, cu sprijinul producătorilor, deţinătorilor, administratorilor sau furnizorilor de produse sau servicii TIC potenţial vulnerabile;
g)negociază cu entităţile afectate calendarele de divulgare şi gestionare a vulnerabilităţilor care afectează mai multe entităţi;
h)atunci când o vulnerabilitate raportată ar putea avea un impact semnificativ transfrontalier, cooperează, după caz, cu CSIRT-urile desemnate din cadrul Reţelei CSIRT;
i)emite proceduri, norme tehnice şi ghiduri conţinând cerinţe minime şi recomandări pentru raportarea vulnerabilităţilor şi conduita raportorilor, gestionarea acestora de către entităţi şi îndeplinirea de către acestea a obligaţiilor conexe, programele private de divulgare a vulnerabilităţilor şi relaţiile dintre entităţi şi raportori;
j)poate asista persoanele care raportează o vulnerabilitate.
(3)Orice persoană fizică sau juridică poate raporta către DNSC vulnerabilităţi ale unor produse sau servicii TIC, cu respectarea prevederilor legale.
(4)Producătorii şi furnizorii de produse sau servicii TIC, care sunt entităţi esenţiale sau importante, au obligaţiile de a transmite către DNSC toate informaţiile cu privire la vulnerabilităţile pe care le identifică, precum şi cu privire la vulnerabilităţile care le sunt semnalate de către terţi şi care le afectează propriile produse sau servicii şi de a remedia respectivele vulnerabilităţi într-un termen stabilit de comun acord cu DNSC.(5)Persoana fizică sau juridică care raportează conform alin. (3) respectă cel puţin următoarele:
a)activitatea de cercetare pentru descoperirea de vulnerabilităţii raportate se efectuează cu bună-credinţă, exclusiv cu scopul de a contribui la îmbunătăţirea securităţii cibernetice şi cu respectarea prevederilor legale;
b)activitatea de cercetare se desfăşoară fără accesarea sau copierea neautorizată a conţinutului fişierelor din sistemele informatice care fac obiectul activităţii de cercetare;
c)în cadrul activităţii de cercetare nu sunt şterse sau modificate date din sistemele informatice care fac obiectul activităţii de cercetare;
d)activitatea de cercetare se desfăşoară fără încălcarea sau ocolirea unor bariere tehnice precum parole sau detalii de identificare, prin tehnici precum atacuri brute-force, prin phishing sau alte procedee de inginerie socială;
e)nu se cauzează nicio întrerupere sau deteriorare a produselor sau serviciilor TIC ale terţilor;
f)activitatea de cercetare nu se desfăşoară pentru a derula atacuri, nu produce prejudicii şi nu utilizează produse de tip malware sau tehnici de natură să afecteze disponibilitatea serviciilor TIC;
g)nu a dezvăluit public informaţii cu privire la vulnerabilitatea identificată, anterior sau ulterior momentului raportării, fără acordul DNSC.
(6)Raportarea de la alin. (3) se realizează în termen de cel mult 48 de ore de la identificarea vulnerabilităţii.
(7)Entităţile care fac obiectul prezentei ordonanţe de urgenţă au obligaţia de a institui la nivelul acestora procese de management al vulnerabilităţilor TIC aferente produselor şi serviciilor pe care le oferă şi care includ cel puţin următoarele măsuri:
a)asigură primirea raportărilor de vulnerabilităţi, analiza acestora în vederea confirmării sau infirmării validităţii celor semnalate, precum şi pentru remedierea vulnerabilităţilor confirmate, inclusiv soluţii temporare până la remediere pentru persoanele afectate;
b)cooperarea cu DNSC în procesele de management al vulnerabilităţilor şi de divulgare coordonată a vulnerabilităţilor;
c)stabilirea şi publicarea în cadrul detaliilor de contact tehnic în documente şi pe pagina de internet a modalităţilor de contact şi de comunicare privind vulnerabilităţile, precum şi a termenilor şi condiţiilor pentru raportarea de vulnerabilităţi;
d)asigurarea comunicării şi cooperării cu raportorii şi cu DNSC în procesul divulgare coordonată a vulnerabilităţilor, precum şi, după caz, cu utilizatorii produselor sau serviciilor potenţial vulnerabile.
(8)DNSC notifică Comisiei Europene, fără întârzieri nejustificate, atât calitatea pe care o îndeplineşte conform dispoziţiilor alin. (1), cât şi sarcinile ce îi revin în exercitarea acestei calităţi, precum şi orice modificări ulterioare ale calităţii sale ori ale sarcinilor îndeplinite.