Senatul a adoptat, miercuri, în calitate de for decizional, proiectul de lege privind securitatea şi apărarea cibernetică a României. Acesta prevede înfiinţarea Sistemului Naţional de Securitate Cibernetică în scopul organizării şi desfăşurării în mod unitar la nivel naţional a activităţilor specifice.
De remarcat viteza cu care s-a adoptat această lege: Guvernul a aprobat proiectul în ședința din 8 decembrie, 12 zile mai târziu acesta parcurgând întreaga procedură de aprobare parlamentară a celor 2 camere.
(Descărcați AICI proiectul de lege)
Legea merge la promulgare, la președintele Iohannis.
Legea cuprinde cadrul juridic şi instituţional referitor la organizarea şi desfăşurarea activităţilor din domeniile securitate şi apărare cibernetică și mecanisme de cooperare în aceste domeniu.
Activitate coordonată de CSAT
Actul normativ stabileşte: În scopul organizării şi desfăşurării în mod unitar la nivel naţional a activităţilor specifice securităţii cibernetice, se înfiinţează Sistemul National de Securitate Cibernetică (SNSC) care reuneşte autorităţile cu responsabilităţi şi capabilităţi în domeniile de aplicare a legii, în vederea coordonării acţiunilor la nivel naţional pentru asigurarea securităţii cibernetice.
Activitatea SNSC va fi coordonată la nivel strategic de Consiliul Suprem de Apărare a Ţării.
Toate structurile de forță ”coordonează unitar” activitățile sistemului
Potrivit proiectului, ”coordonarea unitară a activităţilor SNSC” se realizează de către Consiliul Operativ de Securitate Cibernetică (COSC).
Acest consiliu este format din reprezentanţi ai Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informaţională, Serviciului Român de Informaţii, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, precum şi Secretarul Consiliului Suprem de Apărare a Ţării.
Conducerea COSC este asigurată de Consilierul Prezidenţial pentru apărare şi securitate naţională, în calitate de preşedinte şi de Consilierul Primului Ministru pe probleme de securitate naţională – în calitate de vicepreşedinte.
Toate rețelele statului și parte a rețelelor private sunt vizate de noua lege
Actul normativ se aplică în domeniul securităţii cibernetice pentru:
- reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat
- reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale
- reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute anterior, precum şi de persoane fizice şi juridice care desfăşoară activităţi cu scop lucrativ şi nelucrativ de cercetare, dezvoltare, inovare şi producţie în domeniul tehnologia informaţiei şi a comunicaţiilor sau furnizează servicii publice ori de interes public
Obligație de raportare imediată a incidentelor de securitate cibernetică
Persoanele care au în responsabilitate aceste reţele şi sisteme informatice au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC), de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului.
Dacă incidentele de securitate cibernetică nu pot fi comunicate complet în acest termen, acestea se transmit în cel mult 5 zile calendaristice de la notificarea iniţială, informaţiile putând fi completate şi ulterior cu cele care reies din investigaţiile realizate pe baza evenimentului.
Amenzile pentru nerespectarea obligației de raportare a incidentelor cibernetice
Actul normativ stabileşte sancţiuni în cazul nerespectării de către aceste persoane a obligaţiei de notificare a incidentelor de securitate cibernetică, precum şi pentru nerespectarea de către furnizorii de servicii de securitate cibernetică a obligaţiei de a pune la dispoziţia autorităţilor date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau sistem informatic al deţinătorului sau al unor terţi.
Sunt prevăzute amenzi de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de şase luni limita maximă este de 200.000 lei.
Pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei sancţiunea va fi cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de şase luni limita maximă a amenzii este de 3% din cifra de afaceri netă.
***
