Proiectul de lege privind securitatea și apărarea cibernetică a României a fost aprobat miercuri de Senat. Acesta prevede înființarea Sistemului Național de Securitate Cibernetică, care va coordona și va îndeplini anumite atribuții la nivel național.
Potrivit Agerpres, au fost 81 de voturi “pentru”, 29 “împotrivă” și 3 abțineri.
Proiectul de lege adoptat de Camera Deputaților trasează cadrul instituțional și juridic pentru organizarea și desfășurarea acțiunilor în domeniul securității și apărării cibernetice, precum și modalitățile de colaborare și atribuțiile entităților cu atribuții în aceste domenii.
În vederea evitării și combaterii amenințărilor, vulnerabilităților și pericolelor cibernetice, actul normativ stabilește comportamentul autorităților și instituțiilor publice cu anumite obligații și capacități.
Propunerea prevede că “Securitatea și apărarea cibernetică trebuie realizate prin adoptarea și implementarea de politici și proceduri de analiză, prevenire și contracarare a amenințărilor, riscurilor și vulnerabilităților în spațiul cibernetic”.
Sistemul național de securitate cibernetică (NSCS) a fost creat ca un cadru general de cooperare, cu scopul de a organiza și de a desfășura în mod coordonat activități specifice de securitate cibernetică la nivel național. Acesta reunește autoritățile cu responsabilități și capacități în domeniile de aplicare a legii pentru a coordona acțiunile la nivel național în vederea asigurării securității cibernetice.
În domeniul securității cibernetice, legea se aplică pentru:
(a) rețelelor și sistemelor informatice utilizate sau controlate de autoritățile și instituțiile publice din domeniile apărării, ordinii publice, securității naționale, justiției, situațiilor de urgență și Oficiului Registrului Național al Informațiilor Secrete de Stat;
b) rețelelor și sistemelor informatice controlate de persoane fizice și juridice de drept privat și utilizate pentru a furniza servicii de comunicații electronice instituțiilor și autorităților la nivel federal, de stat și local;
c) rețelele și sistemele informatice deținute, organizate, gestionate sau utilizate de autorități și instituții ale administrației publice centrale și locale, altele decât cele menționate la litera (a) de mai sus, precum și de persoane fizice și juridice angajate în activități de cercetare, dezvoltare, inovare și producție în domeniul tehnologiei informației și comunicațiilor, cu sau fără scop lucrativ, sau care oferă servicii publice sau de interes public, altele decât cele menționate la litera (b).
Platforma națională de raportare a incidentelor de securitate cibernetică (National Cybersecurity Incident Reporting Platform – NCRIP) este locul în care cei care controlează astfel de rețele și sisteme informatice sunt obligați să raporteze problemele de securitate cibernetică de îndată ce acestea sunt constatate, dar nu mai târziu de 48 de ore mai târziu.
Incidentele de securitate cibernetică trebuie să fie raportate în totalitate în acest interval de timp, dar dacă acest lucru nu este posibil, ele trebuie transmise în termen de cel mult cinci zile de la notificarea inițială. Materialul poate fi apoi actualizat cu detalii din investigația evenimentului.
Proiectul prevede că “furnizorii de servicii tehnice de securitate cibernetică pun la dispoziția autorităților (…), la cererea justificată a acestora, în termen de 48 de ore de la data primirii cererii, date și informații privind incidentele, respectiv în termen de 5 zile de la data primirii cererii, amenințările, riscurile sau vulnerabilitățile a căror apariție poate afecta o rețea sau un sistem informatic, precum și interconectarea acestora cu terții și utilizatorii finali”.
Actul normativ stabilește sancțiuni pentru omisiunea de a notifica integral incidentele de securitate cibernetică în termenul prevăzut, de a notifica incidentele de securitate cibernetică prin intermediul PNRISC în termenul prevăzut, precum și pentru omisiunea furnizorilor de servicii de securitate cibernetică de a pune la dispoziția autorităților date și informații privind incidentele, amenințările, riscurile sau vulnerabilitățile în termenul prevăzut
În cazul unei recidive în termen de șase luni, amenda maximă este de 200.000 de lei, cu amenzi cuprinse între 5.000 și 50.000 de lei.
Potrivit unui amendament aprobat de comisiile de specialitate ale Senatului, operatorii economici cu o cifră de afaceri netă mai mare de 1.000.000 de lei vor putea fi sancționați cu amenzi de până la 1% din cifra de afaceri netă, cu amendă maximă în termen de șase luni în cazul unei noi infracțiuni.
