Legea nr. 294/2024 privind rezilienţa entităţilor critice, precum şi pentru modificarea unor acte normative

În M. Of. nr. 1189 din data de 29 noiembrie 2024 s-a publicat Legea nr. 294/2024 privind rezilienţa entităţilor critice, precum şi pentru modificarea unor acte normative.

Vă prezentăm, în continuare, principalele prevederi ale Legii.

Structură:

CAPITOLUL I: Dispoziţii generale

CAPITOLUL II: Cadrul naţional privind identificarea entităţilor critice

CAPITOLUL III: Rezilienţa entităţilor critice

CAPITOLUL IV: Entităţi critice de importanţă europeană deosebită

CAPITOLUL V: Cooperare şi raportare

CAPITOLUL VI: Supravegherea şi asigurarea respectării legislaţiei

CAPITOLUL VII: Dispoziţii tranzitorii şi finale

Art. 1: Obiect de reglementare

(1) Prezenta lege stabileşte cadrul legal privind identificarea entităţilor critice, sprijinirea acestora în vederea consolidării rezilienţei, precum şi îmbunătăţirea cooperării transfrontaliere între autorităţile competente în vederea asigurării furnizării serviciilor esenţiale pe piaţa internă a Uniunii Europene, denumită în continuare piaţa internă.

(2) Coordonarea activităţilor desfăşurate de autorităţile competente desemnate conform art. 26 alin. (2) lit. b) pentru identificarea entităţilor critice revine, în condiţiile prezentei legi, Centrului Naţional de Coordonare a Protecţiei Infrastructurilor Critice, structură fără personalitate juridică, din cadrul Ministerului Afacerilor Interne, denumit în continuare CNCPIC.

(3) CNCPIC iniţiază norme privind identificarea entităţilor critice de importanţă europeană deosebită, denumite în continuare ECIED, identificate în baza cerinţelor prevăzute la art. 17, şi privind evaluarea de către misiunile de consiliere a măsurilor pe care ECIED le-au pus în aplicare pentru a-şi îndeplini obligaţiile care le revin în temeiul cap. III, respectiv proceduri comune de cooperare şi raportare în ceea ce priveşte aplicarea prevederilor prezentei legi, precum şi măsuri menite să asigure un nivel ridicat al rezilienţei entităţilor critice pentru a asigura furnizarea serviciilor esenţiale şi pentru a îmbunătăţi funcţionarea pieţei interne.

(4) Autorităţilor competente sectoriale, denumite în continuare ACS, le revine responsabilitatea să asigure furnizarea neîngrădită pe piaţa internă a serviciilor esenţiale pentru menţinerea siguranţei sau securităţii populaţiei şi funcţionarea instituţiilor statului şi să sprijine entităţile critice care desfăşoară activităţi în domeniul lor de reglementare pentru a-şi îndeplini obligaţiile care le revin, sens în care:

a) stabilesc pentru entităţile critice obligaţii menite să le sporească rezilienţa şi capacitatea de a furniza pe piaţa internă serviciile menţionate la alin. (1);

b) stabilesc norme privind supravegherea entităţilor critice şi asigurarea respectării legii.

(5) Normele, procedurile şi măsurile prevăzute la alin. (3) se aprobă prin hotărâre a Guvernului, la propunerea Ministerului Afacerilor Interne, prin CNCPIC.

(6) Obligaţiile prevăzute la alin. (4) lit. a) şi normele prevăzute la alin. (4) lit. b) se aprobă prin ordine ale conducătorilor ACS.

(…)

Art. 7: Efect perturbator semnificativ

(1) CNCPIC, pe baza datelor furnizate de ACS, determină importanţa unui efect perturbator, astfel cum se menţionează la art. 6 alin. (2) lit. c), aplicând următoarele criterii:

a) numărul de utilizatori care se bazează pe serviciul esenţial furnizat de entitatea în cauză;

b) gradul de dependenţă al altor sectoare şi subsectoare prevăzute în anexă de serviciul esenţial respectiv;

c) efectele pe care le-ar putea avea incidentele, ca intensitate şi durată, asupra activităţilor economice şi societale, a mediului, a siguranţei şi securităţii publice sau a sănătăţii populaţiei;

d) cota de piaţă a entităţii pe piaţa serviciului esenţial sau a serviciilor esenţiale respective;

e) zona geografică ce ar putea fi afectată de un incident, inclusiv eventualele efecte transfrontaliere, ţinând seama de vulnerabilitatea asociată cu gradul de izolare al anumitor tipuri de zone geografice, cum ar fi regiunile insulare, regiunile îndepărtate sau zonele montane;

f) importanţa entităţii pentru menţinerea unui nivel suficient al serviciului esenţial, ţinând cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului esenţial respectiv.

(2) După identificarea entităţilor critice în temeiul art. 6 alin. (1), CNCPIC transmite Comisiei Europene, în maximum două zile de la data publicării deciziei prim-ministrului prevăzute la art. 6 alin. (3), următoarele informaţii:

a) o listă a serviciilor esenţiale identificate atunci când există servicii esenţiale suplimentare faţă de cele care figurează în lista serviciilor esenţiale menţionată la art. 5 alin. (1);

b) numărul de entităţi critice identificate pentru fiecare sector şi subsector prevăzut în anexă şi pentru fiecare serviciu esenţial;

c) orice praguri aplicate pentru a specifica unul sau mai multe dintre criteriile de la alin. (1).

(3) CNCPIC transmite Comisiei Europene informaţiile prevăzute la alin. (2) ulterior informării iniţiale, ori de câte ori este necesar şi cel puţin o dată la fiecare 4 ani.

(4) CNCPIC poate utiliza orientările, fără caracter obligatoriu, adoptate de Comisia Europeană pentru a facilita aplicarea criteriilor menţionate la alin. (1).

(5) Criteriile prevăzute la alin. (1) şi pragurile prevăzute la alin. (2) lit. c) se stabilesc prin decizie a prim-ministrului.

(…)

Art. 12: Evaluarea riscurilor efectuată de entităţile critice

(1) Entităţile critice efectuează o evaluare a riscurilor proprie în termen de 9 luni de la primirea notificării menţionate la art. 6 alin. (3) ultima teză şi, ulterior, ori de câte ori este necesar, dar cel puţin o dată la fiecare 4 ani, pe baza evaluării riscurilor efectuate de CNCPIC conform art. 5 şi a altor surse relevante de informaţii, în vederea evaluării tuturor riscurilor care ar putea perturba furnizarea serviciilor lor esenţiale.

(2) Evaluarea riscurilor efectuată de entitatea critică conform alin. (1) ţine seama de toate riscurile naturale şi de cele provocate de om care ar putea provoca producerea unui incident, inclusiv cele intersectoriale sau transfrontaliere, accidentele, dezastrele naturale, situaţiile de urgenţă din domeniul sănătăţii publice şi ameninţările hibride, precum şi alte ameninţări, inclusiv infracţiunile de terorism prevăzute de Legea nr. 535/2004, cu modificările şi completările ulterioare.

(3) Evaluarea riscurilor efectuată de entitatea critică, potrivit prezentei legi, ţine seama de gradul de dependenţă al altor sectoare prevăzute în anexă faţă de serviciul esenţial furnizat şi de gradul de dependenţă al entităţii critice faţă de serviciile esenţiale furnizate de alte entităţi în sectoarele respective, inclusiv în statele membre şi ţările terţe învecinate.

(4) Entitatea critică poate utiliza evaluări ale riscurilor şi documente relevante pentru acestea, specifice responsabilităţilor sectorului de activitate, pentru a îndeplini cerinţele prevăzute la prezentul articol.

(5) În exercitarea atribuţiilor conform prevederilor prezentei legi, CNCPIC şi ACS examinează şi constată, în baza unor proceduri de verificare a conformităţii elaborate în cadrul grupului de lucru înfiinţat conform prevederilor menţionate la art. 9 alin. (4), că o evaluare existentă a riscurilor efectuată de o entitate critică care abordează riscurile şi gradul de dependenţă menţionate la alin. (2) şi (3) este conformă, integral sau parţial, cu respectarea obligaţiilor prevăzute în prezentul articol.

Art. 13: Măsuri de rezilienţă luate de entităţile critice

(1) Entităţile critice iau măsuri tehnice, de securitate şi organizatorice adecvate şi proporţionale pentru a-şi asigura rezilienţa, pe baza informaţiilor relevante furnizate în evaluarea riscurilor efectuată de CNCPIC, precum şi a rezultatelor evaluării riscurilor efectuate de entitatea critică, inclusiv măsuri necesare pentru:

a) a preveni apariţia incidentelor, luând în considerare în mod corespunzător măsuri de reducere a riscului de dezastre şi de adaptare la schimbările climatice;

b) a asigura o protecţie fizică adecvată a spaţiilor şi a infrastructurii critice, luând în considerare în mod corespunzător implementarea tuturor măsurilor de asigurare a securităţii fizice;

c) a răspunde, a rezista la consecinţele incidentelor şi a le atenua, luând în considerare în mod corespunzător implementarea unor proceduri şi protocoale de gestionare a riscurilor şi a crizelor şi a unor proceduri de alertă;

d) a se redresa în urma incidentelor, luând în considerare, în mod corespunzător, măsuri de asigurare a continuităţii activităţii şi identificarea unor lanţuri de aprovizionare alternative, pentru a relua furnizarea serviciului esenţial;

e) a asigura gestionarea adecvată a securităţii în ceea ce priveşte angajaţii, luând în considerare, în mod corespunzător, măsuri precum determinarea categoriilor de personal care exercită funcţii critice, stabilirea drepturilor de acces la spaţii, la infrastructura critică şi la informaţiile sensibile, stabilirea de proceduri de verificare a antecedentelor în conformitate cu art. 14, desemnarea unor categorii de persoane care trebuie să facă obiectul unor astfel de verificări ale antecedentelor, precum şi stabilirea unor cerinţe de formare şi calificări adecvate;

f) a conştientiza personalul implicat cu privire la punerea în aplicare a măsurilor menţionate la lit. a)-e), luând în considerare, în mod corespunzător, asigurarea participării la cursuri de formare, diseminarea de materiale informative şi participarea la exerciţii de testare.

(2) În sensul alin. (1) lit. e), entităţile critice iau în considerare, atunci când determină categoriile de personal care exercită funcţii critice, nu numai propriii angajaţi, ci şi personalul prestatorilor externi de servicii.

(3) Entităţile critice sunt obligate să instituie şi să pună în aplicare un plan de rezilienţă sau un document sau documente echivalente, care descriu măsurile luate în temeiul alin. (1). Atunci când entităţile critice au elaborat documente sau au luat măsuri în temeiul obligaţiilor stabilite în alte acte normative incidente domeniului propriu de responsabilitate, care sunt relevante pentru măsurile menţionate la alin. (1), acestea pot utiliza documentele şi măsurile respective pentru a îndeplini cerinţele prevăzute în prezentul articol.

(4) Atunci când îşi exercită funcţiile de supraveghere, CNCPIC şi ACS, în baza unei proceduri de verificare a conformităţii elaborate în cadrul grupului de lucru înfiinţat conform prevederilor menţionate la art. 9 alin. (4), pot declara măsurile existente de consolidare a rezilienţei luate de o entitate critică, care abordează în mod adecvat şi proporţional măsurile tehnice, de securitate şi organizatorice menţionate la alin. (1), ca fiind conforme, integral sau parţial, cu respectarea obligaţiilor prevăzute la prezentul articol.

(5) Fiecare entitate critică desemnează un ofiţer de legătură sau un echivalent al acestuia ca punct de contact în relaţia cu CNCPIC şi ACS.

(6) CNCPIC pune la dispoziţia ACS şi entităţilor critice, prin canalele oficiale de comunicare, orientările fără caracter obligatoriu adoptate de Comisia Europeană pentru a detalia măsurile tehnice, de securitate şi organizatorice în vederea îndeplinirii responsabilităţilor stabilite la alin. (1).

Art. 14: Verificările antecedentelor

(1) O entitate critică poate să depună, în condiţiile respectării prevederilor art. 2 alin. (7), în cazuri justificate în mod corespunzător şi ţinând seama de evaluarea riscurilor efectuată în condiţiile art. 5 alin. (1), cereri de verificare a antecedentelor persoanelor care:

a) îndeplinesc funcţii sensibile în cadrul entităţii critice sau în beneficiul acesteia, în special în ceea ce priveşte rezilienţa entităţii critice;

b) sunt autorizate să aibă acces direct sau de la distanţă în spaţiile acesteia, la informaţiile sale sau la sistemele sale de control, inclusiv în legătură cu securitatea entităţii critice;

c) sunt avute în vedere pentru a fi recrutate în posturi care intră sub incidenţa criteriilor prevăzute la lit. a) sau b).

(2) Cererile menţionate la alin. (1) sunt analizate la nivelul ACS în termen de 60 de zile şi prelucrate în conformitate cu prevederile Regulamentului (UE) 2016/679, ale Legii nr. 190/2018, cu modificările ulterioare, şi ale Legii nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date.

(3) Verificările prevăzute la alin. (1) se realizează prin schimbul de date personale între ACS şi entităţile critice din responsabilitatea acestora.

(4) Verificările antecedentelor sunt proporţionale şi strict limitate la ceea ce este necesar în vederea soluţionării cererilor menţionate la alin. (1). Acestea se efectuează exclusiv în scopul evaluării unui potenţial risc de securitate pentru entitatea critică în cauză, iar informaţiile obţinute vor fi valorificate doar pe perioada efectuării verificărilor de la alin. (5).

(5) Verificarea antecedentelor prevăzută la alin. (1) are în vedere cel puţin următoarele:

a) confirmarea identităţii persoanei care face obiectul verificării antecedentelor;

b) verificarea cazierului judiciar al persoanei vizate în ceea ce priveşte infracţiunile care ar fi relevante pentru o anumită funcţie.

(6) Atunci când efectuează verificarea antecedentelor, pentru a obţine informaţii din cazierele judiciare păstrate în alte state membre, ACS solicită sprijin Inspectoratului General al Poliţiei Române, prin Direcţia cazier judiciar, statistică şi evidenţe operative, care va face verificări utilizând Sistemul european de informaţii cu privire la cazierele judiciare (ECRIS), în conformitate cu procedurile prevăzute în Decizia-cadru 2009/315/JAI a Consiliului din 26 februarie 2009 privind organizarea şi conţinutul schimbului de informaţii extrase din cazierele judiciare între statele membre şi, dacă este relevant şi aplicabil, în Regulamentul (UE) 2019/816 al Parlamentului European şi al Consiliului din 17 aprilie 2019 de stabilire a unui sistem centralizat pentru determinarea statelor membre care deţin informaţii privind condamnările resortisanţilor ţărilor terţe şi ale apatrizilor (ECRIS-TCN), destinat să completeze sistemul european de informaţii cu privire la cazierele judiciare, şi de modificare a Regulamentului (UE) 2018/1.726.

(7) Inspectoratul General al Poliţiei Române, prin Direcţia cazier judiciar, statistică şi evidenţe operative, răspunde cererii de informaţii prevăzute la alin. (6), cu respectarea termenului prevăzut la art. 20 alin. (5) din Legea nr. 290/2004 privind cazierul judiciar, republicată, cu modificările şi completările ulterioare.

(8) Prin derogare de la dispoziţiile art. 25 alin. (3) din Legea nr. 290/2004, republicată, cu modificările şi completările ulterioare, atunci când autorităţile dintr-un alt stat membru solicită informaţii din cazierul judiciar al României în scopul verificărilor prevăzute la alin. (1), Inspectoratul General al Poliţiei Române, prin Direcţia cazier judiciar, statistică şi evidenţe operative, răspunde acestor cereri de informaţii în termen de 10 zile lucrătoare de la data primirii cererii, prin intermediul Sistemului european de informaţii cu privire la cazierele judiciare (ECRIS).

(…)

Art. 22: Contravenţii

Constituie contravenţii următoarele fapte săvârşite de către ACS şi entităţile critice:

a) neîndeplinirea de către ACS a obligaţiei prevăzute la art. 5 alin. (7);

b) neîndeplinirea de către ACS a obligaţiei prevăzute la art. 6 alin. (2);

c) neîndeplinirea de către ACS a obligaţiei de a furniza CNCPIC date pentru revizuirea şi, după caz, actualizarea listei entităţilor critice prevăzută la art. 6 alin. (7);

d)neîndeplinirea de către entităţile critice a obligaţiei de a efectua o evaluare a riscurilor prevăzută la art. 12 alin. (1);

e) neîndeplinirea de către entităţile critice a obligaţiei de a lua măsuri tehnice, de securitate şi organizatorice pentru a-şi asigura rezilienţa prevăzută la art. 13 alin. (1);

f) neîndeplinirea de către entităţile critice a obligaţiei prevăzute la art. 13 alin. (3);

g) neîndeplinirea de către entităţile critice a obligaţiei de a desemna un ofiţer de legătură sau un echivalent al acestuia prevăzută la art. 13 alin. (5);

h) neîndeplinirea de către entităţile critice a obligaţiei de a notifica incidentele prevăzute la art. 15 alin. (1);

i) neîndeplinirea de către entităţile critice a obligaţiei prevăzute la art. 17 alin. (2);

j) neîndeplinirea de către entităţile critice a obligaţiei stabilite de Comisia Europeană în notificarea prevăzută la art. 17 alin. (4);

k) neîndeplinirea de către entităţile critice a obligaţiei de a ţine seama în mod corespunzător de avizul menţionat la art. 18 alin. (7);

l) neîndeplinirea de către entităţile critice a obligaţiei prevăzute la art. 18 alin. (9).

Art. 23: Sancţiuni

(1) Contravenţiile prevăzute la art. 22 se sancţionează după cum urmează:

a) cu amendă de la 5.000 lei la 10.000 lei, contravenţiile prevăzute la lit. a)-c) şi lit. i)-l);

b) cu amendă de la 10.000 lei la 30.000 lei contravenţiile prevăzute la lit. d)-h).

(2) Constatarea contravenţiilor şi aplicarea sancţiunilor prevăzute în prezenta lege se fac de către personalul împuternicit din cadrul CNCPIC şi de către personalul împuternicit din cadrul ACS pentru entităţile critice din responsabilitate.

(3) Împuternicirea prevăzută la alin. (2) se realizează prin ordin al ministrului afacerilor interne, respectiv prin ordine ale conducătorilor ACS, după caz.

(4) Contravenţiilor prevăzute la art. 22 le sunt aplicabile dispoziţiile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.