LEGE

LEGE nr. 124 din 7 iulie 2025 pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil

Emitent: Parlamentul
Publicat: Monitorul Oficial nr. 638 din 07 iulie 2025
Data publicării: 07.07.2025
Vigoare: 10 iulie 2025

Parlamentul României adoptă prezenta lege.ARTICOL UNICSe aprobă Ordonanța de urgență a Guvernului nr. 155 din 30 decembrie 2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil, publicată în Monitorul Oficial al României, Partea I, nr. 1332 din 31 decembrie 2024, cu următoarele modificări și completări:1. La articolul 2, alineatul (5) se modifică și va avea următorul cuprins:(5) Prezenta ordonanță de urgență se aplică fără a aduce atingere prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, cu modificările și completările ulterioare, ale Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), ale Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), cu modificările ulterioare, ale Legii nr. 286/2009 privind Codul penal, cu modificările și completările ulterioare, și dispozițiilor legale privind reziliența entităților critice.2. La articolul 3, după alineatul (2) se introduc două noi alineate, alineatele (3) și (4), cu următorul cuprins:(3) În activitățile de înregistrare, de supraveghere și control, cât și de primire și gestionare a raportărilor de incidente, precum și în procesele interne, DNSC protejează interesele de securitate și comerciale ale entităților, astfel cum acestea sunt definite de dispozițiile art. 4 lit. f), precum și confidențialitatea informațiilor furnizate de către acestea.(4) Informațiile prelucrate în sensul îndeplinirii obligațiilor de la alin. (3) nu fac parte din categoria informațiilor de interes public așa cum acestea sunt reglementate în Legea nr. 544/2001 privind liberul acces la informațiile de interes public, cu modificările și completările ulterioare.3. La articolul 4, litera v) se modifică și va avea următorul cuprins:v) platformă de servicii de socializare în rețea înseamnă o platformă care permite utilizatorilor finali să se conecteze, să partajeze, să descopere și să comunice între ei pe mai multe dispozitive, inclusiv prin conversații online, postări, materiale video și recomandări;4. La articolul 14, alineatele (2) și (3) se modifică și vor avea următorul cuprins:(2) Membrii organelor de conducere ale entităților esențiale și ale entităților importante urmează cursuri de formare profesională acreditate în vederea asigurării unui nivel suficient de cunoștințe și competențe pentru a identifica riscurile și a evalua practicile de gestionare a riscurilor de securitate cibernetică, precum și impactul acestora asupra serviciilor furnizate de entitate. Entitățile esențiale și importante asigură, în mod regulat, formarea profesională întregului personal în vederea asigurării unui nivel suficient de cunoștințe și competențe.(3) Organele de conducere ale entităților esențiale și ale entităților importante stabilesc mijloacele permanente de contact, asigură alocarea resurselor necesare pentru punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică și desemnează, în termen de 30 de zile de la data comunicării deciziei directorului DNSC pentru identificarea și înscrierea în registru, responsabilii cu securitatea rețelelor și sistemelor informatice care au rolul de a implementa și supraveghea măsurile de gestionare a riscurilor de securitate cibernetică la nivelul entității.5. La articolul 15, partea introductivă a alineatului (6) se modifică și va avea următorul cuprins:(6) Un incident este considerat semnificativ sau impactul unui incident este considerat semnificativ dacă este îndeplinită cel puțin una dintre condițiile de mai jos:6. La articolul 18, litera g) a alineatului (3) și alineatul (10) se modifică și vor avea următorul cuprins:g) statele membre în care prestează servicii care se încadrează în anexa nr. 1 sau anexa nr. 2, după caz;
........................................(10) Punctul unic de contact național transmite în legătură cu furnizorii de servicii DNS registrele de nume TLD, entitățile care furnizează servicii de înregistrare a numelor de domenii, furnizorii de servicii de cloud computing, operatorii de rețele de livrare de conținut, furnizorii de servicii de centre de date, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate și furnizorii de servicii digitale, informațiile prevăzute la alin. (3) către ENISA, după primirea acestora, cu excepția informațiilor cuprinse în alin. (3) lit. i) și j) până cel târziu la 17 ianuarie 2025 și ori de câte ori intervin modificări în legătură cu acestea. Punctul unic de contact revizuiește informațiile prevăzute în mod regulat și cel puțin o dată la doi ani. O dată la doi ani, punctul unic de contact notifică Comisiei Europene și Grupului de cooperare numărul entităților esențiale și importante identificate pentru fiecare sector și subsector, conform anexelor nr. 1 și 2, iar Comisiei Europene îi notifică numărul entităților esențiale și importante identificate în temeiul dispozițiilor art. 9, sectorul și subsectorul din care fac parte conform anexelor nr. 1 și 2, tipul serviciului pe care îl furnizează, precum și temeiul juridic în baza căruia acestea au fost identificate și, la cererea Comisiei Europene, punctul unic de contact poate transmite denumirile acestora.7. La articolul 20, alineatul (4) se modifică și va avea următorul cuprins:(4) Acordurile privind schimbul de informații în materie de securitate cibernetică cuprind și informații cu privire la elemente operaționale, inclusiv utilizarea platformelor TIC dedicate și a instrumentelor de automatizare, conținutul și condițiile acordurilor privind schimbul de informații și se notifică DNSC, de îndată, atât încheierea, cât și retragerea din cadrul acestora.8. La articolul 23 alineatul (1), litera b) se modifică și va avea următorul cuprins:b) un cadru de guvernanță pentru realizarea obiectivelor și priorităților menționate la lit. a), inclusiv politicile publice prevăzute la alin. (2);9. La articolul 36, alineatul (4) se modifică și va avea următorul cuprins:(4) Producătorii și furnizorii de produse sau servicii TIC, care sunt entități esențiale sau importante, au obligațiile de a transmite către DNSC toate informațiile cu privire la vulnerabilitățile pe care le identifică, precum și cu privire la vulnerabilitățile care le sunt semnalate de către terți și care le afectează propriile produse sau servicii și de a remedia respectivele vulnerabilități într-un termen stabilit de comun acord cu DNSC.10. La articolul 36, după alineatul (7) se introduce un nou alineat, alineatul (8), cu următorul cuprins:(8) DNSC notifică Comisiei Europene, fără întârzieri nejustificate, atât calitatea pe care o îndeplinește conform dispozițiilor alin. (1), cât și sarcinile ce îi revin în exercitarea acestei calități, precum și orice modificări ulterioare ale calității sale ori ale sarcinilor îndeplinite.11. La articolul 37, partea introductivă a alineatului (3) se modifică și va avea următorul cuprins:(3) DNSC cooperează, colaborează și face schimb periodic de informații cu Banca Națională a României, denumită în continuare BNR, și Autoritatea de Supraveghere Financiară, denumită în continuare ASF, pentru evaluarea și gestionarea riscurilor cibernetice, identificarea vulnerabilităților și implementarea măsurilor de protecție adecvate entităților esențiale și entităților importante din domeniul bancar și al infrastructurilor pieței financiare, astfel:12. La articolul 37 alineatul (9), după litera e) se introduce o nouă literă, litera f), cu următorul cuprins:f) fac schimb de informații relevante în mod periodic, inclusiv în ceea ce privește incidentele și amenințările cibernetice relevante.13. La articolul 47, alineatul (5) se modifică și va avea următorul cuprins:(5) În cel mult 15 zile lucrătoare de la data primirii notei de constatare conform alin. (3) sau transmiterii punctului de vedere conform alin. (3), după caz, entitățile sunt obligate să întocmească și să transmită către DNSC planul de măsuri pentru remedierea tuturor deficiențelor constatate și termenele asumate pentru implementarea acestora. Entitățile sunt obligate să implementeze planul de măsuri în termenul asumat, să notifice DNSC cu privire la implementarea tuturor măsurilor prevăzute în cadrul planului și să pună la dispoziție acte doveditoare în acest sens, în cel mult cinci zile de la împlinirea termenului asumat.14. La articolul 50, alineatele (2) și (4) se modifică și vor avea următorul cuprins:(2) Următoarele fapte constituie încălcări grave:a) încălcări repetate;b) obstrucționarea auditurilor, a activității de monitorizare dispuse de DNSC în urma constatărilor sau a activității de control desfășurate de către DNSC ori de către autoritatea competentă sectorial;c) furnizarea de informații false sau vădit denaturate în ceea ce privește măsurile de gestionare a riscurilor în materie de securitate cibernetică prevăzute la art. 11-14 sau obligațiile de raportare prevăzute la art. 15;d) îngrădirea accesului personalului desemnat în acest sens de către DNSC în spațiile supuse controlului, precum și asupra datelor și informațiilor necesare controlului;e) nerespectarea dispozițiilor DNSC emise în temeiul art. 48 alin. (2).
................................................(4) Adunarea generală a acționarilor și consiliul de administrație nu sunt organe de conducere a entităților esențiale și importante în sensul prezentei ordonanțe de urgență.15. La articolul 60 alineatul (1), literele n), bb) și cc) se modifică și vor avea următorul cuprins: n) neîndeplinirea de către entitățile esențiale și importante a obligației de notificare sau de remediere a incidentelor semnificative sau a obligației de remediere a deficiențelor constatate de către autoritățile competente cu respectarea termenelor și condițiilor indicate de către respectivele autorități;
.....................................................bb) nerespectarea de către producătorii și furnizorii de produse sau servicii TIC care sunt entități esențiale sau importante a obligației de a transmite informații conform art. 36 alin. (4), în termenul stabilit de comun acord;cc) nerespectarea de către producătorii și furnizorii de produse sau servicii TIC care sunt entități esențiale sau importante a obligației de a remedia vulnerabilitățile conform art. 36 alin. (4);16. La articolul 60 alineatul (1), după litera oo) se introduc două noi litere, literele pp) și qq), cu următorul cuprins:pp) nerespectarea de către entitățile esențiale și importante a obligației de implementare conform art. 47 alin. (5), în termenul asumat; qq) nerespectarea de către entitățile esențiale și importante a obligației de notificare și punere la dispoziție a actelor doveditoare conform art. 47 alin. (5), în termenul indicat.17. La articolul 60, alineatul (2) se modifică și va avea următorul cuprins:(2) Prin derogare de la dispozițiile art. 8 alin. (2) lit. a) din Ordonanța Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, contravențiile prevăzute la alin. (1) se sancționează după cum urmează:a) pentru entitățile importante, amendă de la 5.000 lei la cel mult 7.000.000 euro în echivalentul în lei sau cel mult 1,4% din cifra de afaceri anuală la nivel mondial, luându-se în considerare valoarea cea mai mare dintre acestea, pentru contravențiile prevăzute la alin. (1) lit. a)-d), f)-m), dd), jj) și mm);b) pentru entitățile esențiale, amendă de la 10.000 lei la cel mult 10.000.000 euro în echivalentul în lei sau cel mult 2% din cifra de afaceri anuală la nivel mondial, luându-se în considerare valoarea cea mai mare dintre acestea, pentru contravențiile prevăzute la alin. (1) lit. a)-m), dd), jj) și mm);c) pentru entitățile importante, amendă de la 1.000 lei la 300.000 lei, pentru contravențiile prevăzute la alin. (1) lit. n)-t), ee), ff), kk), ll) și nn)-qq);d) pentru entitățile esențiale, amendă de la 1.500 lei la 500.000 lei, în cazul alin. (1) lit. n)-t), ee), ff), kk), ll) și nn)-qq);e) amendă de la 1.000 lei la 100.000 lei, pentru contravențiile prevăzute la alin. (1) lit. u)-z), aa)-cc) și gg)-ii).18. La articolul 60, după alineatul (2) se introduce un nou alineat, alineatul (2^1), cu următorul cuprins:(2^1) Prin derogare de la dispozițiile art. 8 alin. (2) lit. a) din Ordonanța Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, încălcările grave prevăzute la art. 50 alin. (2) constituie contravenții și se sancționează cu amendă de la 3.000 lei la 600.000 lei.19. La articolul 60, alineatele (3) și (4) se modifică și vor avea următorul cuprins:(3) Cifra de afaceri anuală la nivel mondial prevăzută la alin. (2) lit. a) și b) este cea înregistrată de către entitatea importantă sau esențială în ultimul exercițiu financiar.(4) În vederea individualizării sancțiunii prevăzute la alin. (2) se iau în considerare criteriile prevăzute la art. 50 alin. (1). În cazurile prevăzute la art. 50 alin. (2) lit. a), cuantumul limitelor prevăzute la alin. (2^1) se majorează cu jumătate.20. La articolul 61, alineatul (2) se modifică și va avea următorul cuprins:(2) Constatarea contravențiilor prevăzute la art. 60 alin. (1) lit. a)-n), ee), ff), jj)-qq) se realizează de către DNSC sau de către personalul de control al autorităților competente sectorial conform art. 37 alin. (1), pentru entitățile esențiale sau importante, după caz, care își desfășoară activitatea în domeniul de competență al acestor autorități, aplicarea sancțiunii realizându-se, în cazul autorităților competente sectorial, prin decizie a conducerii acestora, cu aplicarea în mod corespunzător a alin. (3)-(8). Constatarea contravențiilor prevăzute la art. 60 alin. (1) lit. o)-dd), gg)-ii) și alin. (2^1) se realizează de către DNSC, aplicarea sancțiunii realizându-se prin decizie a directorului DNSC.21. La articolul 67, alineatul (12) se modifică și va avea următorul cuprins:(12) Detașarea funcționarilor publici cu statut special - polițiști se realizează în condițiile Legii nr. 360/2002 privind Statutul polițistului, cu modificările și completările ulterioare. În mod excepțional, perioada detașării poate fi prelungită pentru motive obiective ce impun prezența funcționarului public cu statut special - polițist în cadrul autorităților prevăzute la alin. (1), cu acordul său scris, din șase în șase luni, dar nu mai târziu de data de 31 decembrie 2027.22. La anexa nr. 1, sectorul 5 - Sectorul sănătății și sectorul 8 - Infrastructură digitală se modifică și vor avea următorul cuprins:

1	2	3
5. Sectorul sănătății		- Furnizorii de servicii medicale, astfel cum sunt definiți de art. 347 lit. c) din Legea nr. 95/2006 privind reforma în domeniul sănătății, republicată, cu modificările și completările ulterioare
		- Laboratoarele de referință ale UE, astfel cum sunt definite la art. 15 din Regulamentul (UE) 2022/2.371 al Parlamentului European și al Consiliului din 23 noiembrie 2022 privind amenințările transfrontaliere grave pentru sănătate și de abrogare a Deciziei nr. 1.082/2013/UE
		- Entitățile care desfășoară activități de cercetare și dezvoltare a medicamentelor în sensul definiției de la art. 699 pct. 1 din Legea nr. 95/2006, republicată, cu modificările și completările ulterioare - Entitățile care fabrică produse farmaceutice de bază și preparate farmaceutice menționate în secțiunea C diviziunea 21 din NACE Rev. 2 - Entitățile care fabrică dispozitive medicale considerate a fi esențiale în contextul unei urgențe de sănătate publică (lista dispozitivelor esențiale pentru urgența de sănătate publică) în sensul art. 22 din Regulamentul (UE) 2022/123 al Parlamentului European și al Consiliului din 25 ianuarie 2022 privind consolidarea rolului Agenției Europene pentru Medicamente în ceea ce privește pregătirea pentru situații de criză în domeniul medicamentelor și al dispozitivelor medicale și gestionarea acestora - Entitățile titulare ale unei autorizații de distribuție a medicamentelor menționate la art. 803 din Legea nr. 95/2006, republicată, cu modificările și completările ulterioare - Întreprinderile care desfășoară oricare dintre activitățile economice menționate în diviziunea 4646 - Comerț cu ridicata al produselor farmaceutice și medicale și 4773 - Comerț cu amănuntul al produselor farmaceutice, în magazine specializate din CAEN Rev. 3
…
8. Infrastructură digitală		- Furnizorii de IXP (internet exchange point)
		- Furnizorii de servicii DNS, cu excepția operatorilor de servere pentru nume primare
		- Registrele de nume TLD
		- Furnizorii de servicii de cloud computing
		- Furnizorii de servicii de centre de date
		- Furnizorii de rețele de furnizare de conținut
		- Prestatorii de servicii de încredere
		- Furnizorii de rețele publice de comunicații electronice
		- Furnizorii de servicii de comunicații electronice destinate publicului

23. La anexa nr. 2, denumirea sectorului 4 - „4. Producția, prelucrarea și distribuția de alimente“ se modifică și va avea următorul cuprins:4. Producția, prelucrarea și/sau distribuția de alimente
Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 și ale art. 76 alin. (2) din Constituția României, republicată.

p. PREȘEDINTELE CAMEREI DEPUTAȚILOR,
VASILE-DANIEL SUCIU
PREȘEDINTELE SENATULUI
ILIE-GAVRIL BOLOJAN
București, 7 iulie 2025.
Nr. 124.
------