ÎCCJ, Secția de contencios administrativ și fiscal, Decizia nr. 836/2024
ÎCCJ, Secția de contencios administrativ și fiscal, Decizia nr. 836/2024 (Înalta Curte de Casație și Justiție, 2024)
Ședința publică din data de 14 februarie 2024
Asupra recursului de față;
Din examinarea lucrărilor din dosar, constată următoarele:
I. Circumstanțele cauzei
Obiectul cererii de chemare în judecată
Prin cererea de chemare în judecată înregistrată pe rolul Curții de Apel București, secția a IX-a contencios administrativ și fiscal la data de 15 noiembrie 2022, reclamanta Direcția de Sănătate Publică Argeș, în contradictoriu cu pârâtul Directoratul Național de Securitate Cibernetică, a solicitat instanței să dispună anularea și suspendarea executării actului administrativ - Decizia Directorului DNSC nr. 7017/II/A din 14 martie 2022, comunicată DSP Argeș prin poștă electronică pe data de 28 martie 2022 și înregistrată sub nr. x/28.03.2022, cu consecința radierii DSP Argeș din Registrul Operatorilor de Servicii Esențiale (ROSE).
Hotărârea instanței de fond
Prin sentința civilă nr. 991 din 31 mai 2023, Curtea de Apel București, secția a IX-a contencios administrativ și fiscal a dispus următoarele:
- a respins ca nefondată excepția tardivității procedurii administrative prealabile și, în consecință, a respins ca nefondată și excepția inadmisibilității acțiunii;
- a respins ca nefondată cererea de anulare și de suspendare a executării deciziei nr. 7017/II/A/14.03.2022, formulată de reclamanta Direcția de Sănătate Publică Argeș, în contradictoriu cu pârâtul Directoratul Național de Securitate Cibernetică.
Calea de atac exercitată în cauză
Împotriva sentinței civile nr. 991 din 31 mai 2023, pronunțată de Curtea de Apel București, secția a IX-a contencios administrativ și fiscal, a declarat recurs reclamanta Direcția de Sănătate Publică Argeș, întemeiat pe prevederile art. 488 alin. (1) pct. 8 C. proc. civ., solicitând admiterea recursului, casarea sentinței recurate și, în rejudecare, admiterea cererii de chemare în judecată.
Recurenta-reclamantă a învederat, în esență, că instanța de fond a inclus DSP Argeș printre entitățiile ce au calitatea de operator de servicii esențiale (acronim "OSE") fără a observa prevederile art. 3 lit. h) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Astfel, eroarea instanței provine din aceea că nu a făcut o analiză atentă a definiției unui OSE, definiție dată de art. 3 lit. h) din Legea nr. 362/2018 și nu a ținut cont că pentru a fi OSE nu este necesar doar ca entitatea să furnizeze servicii care îndeplinesc condițiile prevăzute la art. 6 alin. (1), ci mai trebuie să fie și de tipul celor din anexa legii. De fapt, ordinea de analiză este inversă, contrar celor reținute de instanța de fond, și anume că întâi se are în vedere tipul de entitate și apoi să furnizeze servicii esențiale.
Concluzia instanței de fond în sensul că "Prin urmare, reclamanta pornește de la o premiză greșită, anume aceea că încadrarea sa în categoria operatorilor s-ar raporta în mod exclusiv la anexa Legii nr. 362/2018, iar nu la anexa H.G. nr. 963/2020" este eronată câtă vreme în definiția OSE, dată de art. 3 lit. h) din Legea nr. 362/2018, legiuitorul a optat să dea prioritate tipului de entitate, prin raportare la anexa legii și abia ulterior serviciului prestat. Deși cele două acte normative se pot aplica în completare, acest lucru se face numai atunci când operatorul este de tipul celor din anexa legii cât și dacă prestează servicii esențiale. Astfel că, nicio entitate nu poate fi considerată OSE, cu consecința obligației a se înscrie ROSE, dacă nu se regăsește printre cele enumerate în anexa Legii nr. 362/2018, chiar dacă s-ar putea admite că furnizează servicii esențiale de tipul celor identificate și condificate de H.G. nr. 963/2020.
Concluzia instanței de fond și anume "Cu toate acestea, anexa la Legea nr. 362/2018 nici nu excludea, dar nici nu includea în mod explicit DSP-urile", este eronată, întrucât actul normativ exclude în mod evident direcțiile de sănătate publică, prin aceea că reglementează în mod clar care sunt entitățile ce pot să fie OSE, prin înscrierea lor în anexa legii. Or, interpretând logic art. 3 lit. h) și anexa legii, se ajunge la concluzia că numai acele entități ce sunt "furnizori de servicii medicale, astfel cum sunt definiți în Hotărârea Guvernului nr. 304/2014 pentru aprobarea Normelor metodologice privind asistența medicală transfrontalieră, cu modificările ulterioare", deci cu excluderea oricărei alte entități.
Nu în ultimul rând, recurenta-reclamantă a susținut că dezlegarea problemei litigioase nu se poate face pe baza Directivei (UE) nr. 1148/2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune și nici a Directivei 2011/24/UE a Parlamentului European și a Consiliului, întrucât acestea nu fac parte din dreptul intern, nepunându-se deci problema precedenței aplicării lor indiferent de domeniu.
Apărările formulate în cauză
Intimatul-pârât Directoratul Național de Securitate Cibernetică a formulat întâmpinare, prin care a solicitat respingerea recursului, ca neîntemeiat și menținerea ca temeinică și legală a sentinței pronunțate de instanța de fond, reiterând, în esență, apărările susținute în fața primei instanțe.
II. Soluția instanței de recurs
Analizând actele și lucrările dosarului, precum și sentința recurată, în raport cu motivul de casare invocat, Înalta Curte constată că recursul declarat de reclamanta Direcția de Sănătate Publică Argeș este nefondat, pentru următoarele considerente:
Motivul de recurs prevăzut de art. 488 alin. (1) pct. 8 C. proc. civ., ce vizează aplicarea sau interpretarea greșită a normelor de drept material este nefondat, iar în acest sens, Înalta Curte are în vedere că, potrivit acestui motiv de recurs, casarea unor hotărâri se poate cere când hotărârea a fost dată cu încălcarea sau aplicarea greșită a normelor de drept material.
Prin intermediul acestui motiv de recurs poate fi invocată numai încălcarea sau aplicarea greșită a legii materiale, nu și a legii procesuale. Hotărârea a fost dată cu încălcarea sau aplicarea greșită a legii atunci când instanța a recurs la textele de lege aplicabile speței dar, fie le-a încălcat, în litera sau spiritul lor, adăugând sau omițând unele condiții pe care textele nu le prevăd, fie le-a aplicat greșit.
În cauza de față aceste motive nu sunt incidente, soluția primei instanțe fiind expresia interpretării și aplicării corecte a prevederilor legale în raport cu starea de fapt rezultată din probele administrate în procedura judiciară.
Astfel, prin Decizia Directorului Directoratului Național de Securitate Cibernetică (DNSC) nr. 7017/II/A din 14 martie 2022 s-a dispus înscrierea Direcției de Sănătate Publică Argeș (DSP Argeș) în Registrul operatorilor de servicii esențiale (ROSE) pentru sectorul/subsectorul sănătate/instituții de asistență medicală (inclusiv spitale și clinici private), temeiul de drept al înscrierii fiind art. 8 alin. (4) și art. 15 alin. (1) din Legea nr. 361/2018.
Criticile recurentei-reclamante privind greșita aplicare a dispozițiilor legale incidente în cauză, sunt nefondate.
Înalta Curte constată că problema de drept ce se cere a fi dezlegată în cauză este aceea dacă reclamanta este operator de servicii esențiale - pentru sectorul/subsectorul sănătate/instituții de asistență medicală și, în consecință, dacă aceasta trebuia înscrisă în registrul operatorilor de servicii esențiale.
În acest sens, contrar susținerilor recurentei-reclamante, trebuie avut în vedere întreg ansamblul legislativ național și comunitar, respectiv prevederile de drept ale Uniunii Europene, care, odată cu aderarea României la Uniunea Europeană, au prioritate de aplicare.
Astfel, Directiva (UE) 2016/1148 privind securitatea rețelelor și a sistemelor informatice propune un set amplu de măsuri în vederea creșterii nivelului de securitate al rețelelor și a sistemelor informatice (securitatea cibernetică), pentru a asigura servicii vitale pentru economia și societatea UE. Aceasta introduce obligația furnizorilor de servicii esențiale și a furnizorilor de servicii digitale de a lua măsurile de securitate corespunzătoare și de a notifica autoritățile naționale competente cu privire la incidente grave.
La art. 4 alin. (4), Directiva prevede că:
"operator de servicii esențiale" înseamnă o entitate publică sau privată de tipul menționat în anexa II care îndeplinește criteriile prevăzute la articolul 5 alin. (2).
Art. 5 alin. (2) din Directivă prevede:
(2) Criteriile pentru identificarea furnizorilor de servicii esențiale menționați la articolul 4 punctul 4 sunt următoarele:
(a) o entitate furnizează un serviciu esențial pentru susținerea activităților societale și/sau economice de cea mai mare importanță;
(b) furnizarea serviciului respectiv depinde de rețea și de sistemele informatice; și
(c)un incident ar avea efecte perturbatoare semnificative asupra furnizării serviciului.
În anexa II, Directiva menționată prevede: Sectorul sănătății - Instituții de asistență medicală (inclusiv spitale și clinici private) - Furnizori de servicii medicale, astfel cum sunt definiți la articolul 3 litera (g) din Directiva 2011/24/UE a Parlamentului European și a Consiliului.
Referitor la Directiva 2011/24/UE, în acord cu jurisprudența Curții de Justiție a Uniunii Europene, așa cum corect a evidențiat instanța de fond, prestațiile medicale furnizate în schimbul unei remunerații sunt reprezentate de îngrijirile acordate atât în cadrul unui spital, cât și în afara unui astfel de cadru. Cu toate că jurisprudenta europeană vizează în mod specific procedura decontării transfrontaliere, totuși este avută în vedere sfera largă de aplicare a domeniului asistență medicală și atingerea scopului esențial, respectiv, cel de evaluare, menținere sau refacere a stării de sănătate a pacientului, fiind incluse aici toate tipurile de asistență medicală, nereducându-se nici la serviciile prestate în unitățile spitalicești (publice sau private) și nici la caracterul de serviciu contra-cost sau gratuit.
Totodată, așa cum rezultă din preambulul acesteia:
- În conformitate cu articolul 168 alin. (1) din Tratatul privind funcționarea Uniunii Europene (TFUE), la definirea și punerea în aplicare a tuturor politicilor și acțiunilor Uniunii se asigură un nivel ridicat de protecție a sănătății umane. Aceasta implică asigurarea unui nivel ridicat de protecție a sănătății umane și atunci când Uniunea adoptă acte în temeiul altor dispoziții ale tratatului (pct. 1);
- Sistemele de sănătate din Uniune reprezintă o componentă centrală a nivelurilor ridicate de protecție socială ale Uniunii și contribuie atât la coeziunea socială și la justiția socială, cât și la dezvoltarea durabilă. Acestea fac parte, de asemenea, din cadrul mai larg al serviciilor de interes general (pct. 3);
- Astfel cum a confirmat Curtea de Justiție a Uniunii Europene (denumită în continuare "Curtea de Justiție") în repetate rânduri, recunoscând în același timp natura lor specifică, toate tipurile de asistență medicală intră în domeniul de aplicare al TFUE (pct. 6);
- Prezenta directivă urmărește să stabilească norme care au ca scop să faciliteze accesul la o asistență medicală transfrontalieră sigură și de înaltă calitate în Uniune și să asigure mobilitatea pacienților în conformitate cu principiile stabilite de Curtea de Justiție, precum și să promoveze cooperarea între statele membre în domeniul asistenței medicale, respectând totodată pe deplin responsabilitățile statelor membre în ceea ce privește definirea prestațiilor de securitate socială în domeniul sănătății și în ceea ce privește organizarea și furnizarea de asistență medicală, de îngrijiri medicale și de prestații de securitate socială, în special în caz de boală (pct. 10);
- Curtea de Justiție a recunoscut că obiectivul asigurării unui serviciu medical și spitalicesc echilibrat și accesibil tuturor poate face, de asemenea, obiectul uneia dintre derogările, din motive de sănătate publică, prevăzute la articolul 52 din TFUE, în măsura în care contribuie la atingerea unui nivel ridicat de protecție a sănătății (pct. 12);
- Prezenta directivă ar trebui să nu se aplice serviciilor al căror scop principal îl constituie ajutorul acordat persoanelor care necesită asistență pentru îndeplinirea sarcinilor zilnice, de rutină. Mai precis, prezenta directivă ar trebui să nu se aplice acelor servicii de îngrijire pe termen lung considerate necesare pentru a permite persoanei care necesită îngrijire să-și continue existența în cel mai natural și autonom mod posibil. Astfel, prezenta directivă nu ar trebui să se aplice, de exemplu, serviciilor de îngrijire pe termen lung furnizate de către servicii de îngrijire la domiciliu, în unități specializate de asistență socială și în cămine ("case de îngrijire") (pct. 14).
În ceea ce privește Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, se reține că a intrat în vigoare în data de 12 ianuarie 2019 și este actul normativ de ordin primar care stabilește cadrul juridic și instituțional, măsurile și mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice și care transpune, la nivel național, Directiva 2016/1148 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.
Potrivit art. 8 al Legii nr. 362/2018, pentru înscrierea în ROSE, o entitate trebuie să îndeplinească, cumulativ, următoarele condiții:
- să îndeplinească condițiile și criteriile prevăzute la art. 6 din lege și
- să activeze într-unul sau mai multe dintre sectoarele sau subsectoarele de activitate prevăzute în anexa la lege,
- Legea nr. 362/2018 stabilind că aceste entități au obligația să notifice CERT-RO în vederea înscrierii în Registrul operatorilor de servicii esențiale.
Totodată, H.G. nr. 963/2020 vine în aplicarea Legii nr. 362/2018, astfel cum este menționat și în preambulul acesteia "în temeiul art. 108 din Constituția României, republicată, și al art. 20 lit. r) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, Guvernul României adoptă prezenta hotărâre". Așadar, H.G. nr. 963/2020 este un act normativ secundar, în vigoare și aplicabil recurentei-reclamante de la momentul autoevaluării, iar suplimentar Anexei Legii nr. 362/2018, Anexa H.G. nr. 963/2020 detaliază serviciile esențiale și categoriile acestora, tipul de activitate fiind furnizorii de servicii medicale definiți în H.G. nr. 304/2014.
Prin urmare, așa cum reiese și din analiza corectă a instanței de fond, Legea nr. 362/2018 enunță criteriile generale de stabilire a unui serviciu ca fiind considerat esențial, iar H.G. nr. 963/2020 clarifică sfera noțiunii de serviciu esențial, Anexa la Legea nr. 362/2018 având acest rol de detaliere.
Nu în ultimul rând, se are în vedere Ordinul Ministerului Comunicațiilor și Societății Informaționale (MCSI) nr. 599 din 21 iunie 2019 privind aprobarea Normelor metodologice de identificare a operatorilor de servicii esențiale și furnizorilor de servicii digitale, ce are ca obiect stabilirea procedurilor pe care le implică identificarea atât a operatorilor de servicii esențiale (OSE), cât și a furnizorilor de servicii digitale (FSD), pentru înscrierea în Registrul operatorilor de servicii esențiale, respectiv în Registrul de evidență a furnizorilor de servicii digitale. În acord cu prevederile art. 3 din Ordinul nr. 599/2019, "În vederea înscrierii în Registrul operatorilor de servicii esențiale, operatorii economici și celelalte entități care operează ori furnizează servicii în cadrul sectoarelor și subsectoarelor definite în anexa la Legea nr. 362/2018, cu modificările și completările ulterioare, ori furnizează servicii esențiale din lista prevăzută la art. 20 lit. r) din aceeași lege au obligația de se autoevalua cu privire la îndeplinirea criteriilor și încadrarea în valorile de prag prevăzute la art. 6 din lege."
Prin excepție, identificarea în vederea înscrierii în Registrul operatorilor de servicii esențiale se poate face și de către DNSC din oficiu în vederea îndeplinirii obligațiilor legale ce îi revin sau în urma unei sesizări privind sustragerea de la obligația de notificare și înscriere în Registrul operatorilor de servicii esențiale făcută de către orice persoană interesată, aducând la cunoștința entității vizate declanșarea procedurii de identificare și comunicând la final operatorului rezultatul acesteia, conform art. 8 alin. (1) din Legea nr. 362/2018, atât Ordinul MSCI nr. 599/2019, cât și Ordinul MCSI nr. 600/2019 privind aprobarea Normelor metodologice de organizare și funcționare a Registrului operatorilor de servicii esențiale, făcând parte din legislația secundară de transpunere a Directivei 2016/1148.
În ceea ce privește activitatea recurentei-reclamante, se retine că, potrivit Regulamentului său de organizare și funcționare, aceasta are competențe și atribuții în următoarele domenii:
- are atribuții în domeniul asistenței medicale și a programelor de sănătate - lit. e) evaluează asistența medicală acordată gravidei, lăuzei și nou-născutului);
- dispune de un Biroul/Compartimentul control unități si servicii de sănătate;
- lit. j) recoltează și aplică elemente de securizare la probele recoltate în cadrul activității de inspecție, precum și contraprobele;
- are atribuții în domeniul activității Laboratorului de diagnostic și investigare în sănătate publică;
- D1 diagnostic microbiologic:
a) participă la efectuarea investigațiilor epidemiologice prin recoltarea și prelucrarea de probe bacteoriologice, virusologice, serologice, imunologice și parazitologice, pentru supravegherea și controlul bolilor transmisibile, în conformitate cu metodologiile legale în vigoare;
b) asigură diagnosticul etiologic pentru bolile infecțioase identificate în cadrul programului național de supraveghere epidemiologică dacă prestația nu poate fi asigurată prin unitatea de îngrijire a cazului sau este solicitat în acest sens;
c) asigură transmiterea probelor biologice la structurile regionale/naționale în vederea caracterizării circulației germenilor pe teritoriul național, în conformitate cu reglementările metodologice ale Institutului Național de Sănătate publică;
d) efectuează analize microbiologice la solicitarea serviciului de control în sănătate publică, cu aprobarea inspectorului șef al serviciului de control în sănătate publică;
h) efectuează analize microbiologice din probe de apă, aer, alimente și factori de mediu, prevăzute în programele naționale și locale de sănătate, la solicitarea serviciului de evaluare a factorilor de risc din mediu conform metodologiei reglementate;
j) efectuează analize microbiologice la cererea unor beneficiari, pentru care se percep taxe;
- D2 chimie sanitară și/sau toxicologie:
a) efectuează analize fizico-chimice și toxicologice din probe biologie, apă, aer, alimente și alți factori de mediu pentru evaluarea obiectivă a conformității produselor și a riscurilor de sănătate;
b) efectuează analize fizico-chimice și toxicologice la solicitarea serviciului de control în sănătate publică, cu aprobarea inspectorului șef al serviciului de control în sănătate publică;
c) efectuează analize fizico-chimice și toxicologice la cererea unor beneficiari, pentru care se percep taxe;
- are atribuții în domeniul supravegherii în sănătate publică, iar la secțiunea E. Laboratorul igiena radiațiilor lit. l) efectuează investigații medicale și epidemiologice, identifică și coordonează măsurile necesare pentru limitarea focarelor de boală transmisibilă în colectivități și C. civ.) efectuează, la cererea terților, consultanță sau prestații de specialitate în domeniul de competență;
- are atribuții în managementul produselor antiepidemice:
a) asigură depozitarea și distribuirea în teritoriul arondat a vaccinurilor și a celorlalte produse biologice și materiale necesare desfășurării activității de medicină preventivă;
b) asigură depozitarea și livrarea produselor DDD necesare intervenției în focarele de boli transmisibile;
c) asigură aprovizionarea laboratoarelor proprii și a altor unități sanitare cu medii de cultură, seruri de diagnostic, sticlărie, reactivi, kituri si alte materiale consumabile, în vederea realizării activităților cuprinse în programele de medicină preventivă;
d) asigură depozitarea și distribuirea în teritoriul arondat a produselor din componența rezervei antiepidemice în caz de calamitate sau alte situații de risc.
Așadar, contrar susținerilor recurentei-reclamante, conform atribuțiilor anterior menționate, aceasta prestează servicii esențiale, identificate în H.G. nr. 963/2020, respectiv servicii medicale de prevenție, diagnostic, tratament și/sau îngrijiri de sănătate - J11, depozitare și/sau distribuire de medicamente - J12, precum și laboratoare de analiză și diagnostic - J14.
În condițiile în care recurenta-reclamantă este instituție de asistență medicală în sensul Directivei 2011/24, în consecință, aceasta este operator de servicii esențiale prevăzut în anexa la H.G. nr. 963/2020, având obligația prevăzută de art. 8 al Legii nr. 362/2018, de înscriere în ROSE.
Prin urmare, Înalta Curte constată că sentința recurată este legală, fiind dată cu corecta interpretare și aplicare a normelor de drept incidente circumstanțelor de fapt reținute în cauză, motivele invocate de pârât prin cererea de recurs nefiind în măsură să conducă la reformarea acesteia.
Pentru considerentele expuse, nefiind identificat motivul de casare a sentinței prin prisma prevederilor art. 488 alin. (1) pct. 8 C. proc. civ., Înalta Curte, în temeiul dispozițiilor art. 20 alin. (3) din Legea contenciosului administrativ nr. 554/2004, coroborat cu art. 496 alin. (1) C. proc. civ., va respinge recursul declarat de recurenta-reclamantă Direcția de Sănătate Publică Argeș, ca nefondat.
PENTRU ACESTE MOTIVE
ÎN NUMELE LEGII
D E C I D E
Respinge recursul declarat de recurenta-reclamantă Direcția de Sănătate Publică Argeș împotriva sentinței civile nr. 991 din 31 mai 2023 a Curții de Apel București, secția a IX-a contencios administrativ și fiscal, ca nefondat.
Definitivă.
Pronunțată astăzi, 14 februarie 2024, prin punerea soluției la dispoziția părților prin mijlocirea grefei instanței.