Proiectul de lege nr 580/2014 privind securitatea cibernetică a României nu se adresează persoanelor fizice, utilizatoare de internet. Prevederile legii se aplică «persoanelor juridice de drept public sau privat, care au calitatea de proprietari, administratori, operatori sau utilizatori de infrastructuri cibernetice». Textul defineşte infrastructuri cibernetice drept «infrastructuri din domeniul tehnologiei, informaţiei şi comunicaţii, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice». Cu alte cuvinte, legea nu face obiectul reglementării activităţii posesorilor individuali de computere”, se arată în comunicat remis Mediafax.
Conform sursei citate, acest act normativ “asigură coordonatele generale legislative, necesare gestionării în mod coerent a acţiunilor privind securitatea cibernetică a ţării, care este o componentă importantă a securităţii naţionale.
“Articolul 17, care a generat un interes aparte şi interpretări eronate, se referă la responsabilităţile pe care le au deţinătorii de infrastructuri cibernetice, persoane juridice de drept public sau privat, pentru asigurarea nivelului de protecţie necesar împotriva atacurilor cibernetice. Aceşti deţinători de infrastructuri cibernetice operează cu baze de date complexe, unele de interes naţional, iar aceasta lege îi obliga, practic, să protejeze aceste informaţii şi să asigure sprijinul necesar la solicitarea motivată a structurilor care operează în domeniul securităţii cibernetice. Adoptarea proiectului de lege a fost motivată de necesitatea asigurării unui cadru legal în faţa ameninţărilor cibernetice, din ce în ce mai complexe şi mai dese, şi care pot afecta securitatea naţională, nicidecum împotriva limitării libertăţilor individuale şi a dreptului la liberă exprimare garantat de Constituţie”, se mai arată în comunicat.
Comisia de apărare aminteşte că la forumul industrial al NATO din noiembrie, din Croaţia, “s-a apreciat ca atacurile cibernetice au cutremurat industria americană, cu pierderi estimate la peste 300 de mld de dolari”.
“Mai mult decât atât, după atacul cibernetic devastator din Estonia, care a paralizat întreaga ţară, statele membre NATO au decis înfiinţarea unui Centru de Excelenţă aliat, dedicat apărării cibernetice. În acest context, România nu putea rămâne în afara unui cadru legislativ adecvat, care să permită Ministerului Comunicaţiilor intervenţia în caz de atac cibernetic, în cooperare cu celelalte structuri ale statului de drept”, menţionează sursa citată.
Senatul a adoptat, vineri, proiectul de lege privind securitatea cibernetică a României, care prevede constituirea Sistemului Naţional de Securitate Cibernetică, coordonarea unitară a activităţilor acestui Sistem fiind făcută de MAE, MAI, MApN, SRI, SIE, STS, SPP, ORNISS şi CSAT.
Raportul Comisiei de apărare din Senat, cu amendamente, a fost adoptat cu 95 de voturi ”pentru”, iar proiectul de lege a fost adoptat cu 92 de voturi ”pentru”.
Senatul este Cameră decizională, după ce legea a trecut tacit de Camera Deputaţilor, pe 17 septembrie.
Legea stabileşte cadrul general de reglementare în domeniul securităţii cibernetice şi obligaţiile ce revin persoanelor juridice de drept public sau privat în scopul protejării infrastructurilor cibernetice, inclusiv furnizorii de servicii de internet, şi prevede obligaţii privind asigurarea securităţii sistemelor lor şi notificarea clienţilor în situaţia unor incidente/atacuri cibernetice şi luarea de măsuri pentru a restabili condiţiile normale de funcţionare.
Coordonarea activităţilor SNSC se realizează de către Consiliul Operativ de Securitate Cibernetică (COSC), format din reprezentanţi ai Ministerelor de Externe, de Interne, Apărării, cel pentru Societatea Informaţională, SRI, SIE, STS, SPP, ORNISS precum şi secretarul CSAT.
Conducerea COCS este asigurată de consilierul prezidenţial pe apărare şi securitate natională, în calitate de preşedinte şi consilierul premierului pe probleme de securitate, ca vicepreşedinte.
SRI este desemnat autoritatea naţională în domeniul cibernetic şi asigură coordonarea tehnică a COSC. În acest sens, în structura SRI funcţionează Centrul Naţional de Securitate Cibernetică (CNSC).
De asemenea, proiectul prevede că la nivel national se constituie Sistemul Naţional de Alertă Cibernetic, care reprezintă un ansamblu de măsuri şi proceduri destinat prevenirii şi contracarărilor atacurilor cibernetice.
Instituirea nivelurilor de alertă cibernetică precum şi trecerea de la un nivel la altul de alertă se stabileşte de către CSAT.
La articolul 17 al proiectului de lege se prevede că “(1) Pentru realizarea securităţii cibernetice, deţinătorii de infrastructuri cibernetice au următoarele responsabilităţi: “a) să acorde sprijinul necesar, la solicitarea motivată a SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării; b) să informeze, de îndată, autorităţile şi instituţiile publice prevăzute la lit. a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege. (2) Deţinătorii de infrastructuri cibernetice pot solicita asistenţă de specialitate autorităţilor şi instituţiilor publice cu atribuţii în domeniul securităţii cibernetice, pentru asigurarea securităţii cibernetice în domeniul lor de activitate”.
Conform articolului 18 din lege, deţinătorii de infrastructuri cibernetice, furnizorii de servicii de internet, au obligatia de a-şi notifica, de îndată, clienţii, persoane de drept public şi privat, în situaţiile în care sistemele informatice utilizate de aceştia au fost implicate in incidente sau atacuri cibernetice şi de a dispune măsurile necesare în vederea restabilirii condiţiilor normale de funcţionarem dar nu mai târziu de 24 de ore din momentul în care au fost sesizaţi de autorităţile competente.
Monitorizarea şi controlul aplicării legii se asigură de către Camera Deputaţilor şi Senat, Administraţia Prezidenţială, Guvern, CSAT precum şi instituţiile şi autorităţile publice prevăzute la articolul 10, şi anume Ministerelor de Externe, de Interne, Apărării, cel pentru Societatea Informaţională, SRI, SIE, STS, SPP, ORNISS.
Legea prevede că în vederea exercitării atribuţiilor, conducătorii autorităţilor desemnează persoane abilitate să desfăşoare activităţi de control, care, în baza şi limitele împuternicirii au dreptul de a solicita declaraţii sau orice documente necesare pentru efectuarea controlului, să facă inspecţii, inclusive inopinate, la orice instalaţie, incintă sau infrastructură, cu respectarea prevederilor legale în vigoare şi să primească, la cerere sau la faţa locului, informaţii sau justificări.
Contravenţiile includ amenzi de la 500 la 5.000 de lei, pentru nerespectarea de către deţinătorii de infrastructure cibernetice a obligaţiei privind punerea în aplicare a politicii de securitate cibernetică şi amenzi de la 1.000 la 10.000 de lei, pentru nerespectarea obligaţiei de a permite autorităţilor să intervină, precum şi a obligaţiei de a reţine şi asigura integritatea datelor referitoare la incidentele cibernetice.
Guvernul a adoptat, în aprilie, proiectul de lege privind securitatea cibernetică, ceea ce va permite operaţionalizarea Sistemului Naţional de Securitate Cibernetică.
Proiectul a fost prezentat în dezbatere publică de către Ministerul pentru Societate Informaţională.
“Proiectul de lege adoptat de Guvern va permite operaţionalizarea Sistemului Naţional de Securitate Cibernetică – SNSC, care va facilita adoptarea de măsuri proactive şi reactive privind informarea, monitorizarea, diseminarea, analizarea, avertizarea, coordonarea, decizia, reacţia, refacerea şi conştientizarea. De asemenea, actul normativ defineşte o terminologie unitară în domeniul securităţii cibernetice şi a unui cadru armonizat de acţiune a autorităţilor şi instituţiilor publice”, se arată în comunicat.
La începutul lunii aprilie, Consiliul Suprem de Apărare a Ţării a decis luarea unor măsuri care să permită contracararea ameninţărilor cibernetice la adresa României, în condiţiile în care în ultima perioadă acestea s-au diversificat.
“S-a apreciat că în ultima perioadă aceste ameninţări s-au diversificat, devenind o opţiune tot mai atractivă pentru actorii statali sau nonstatali întrucât nu implică resurse foarte mari. Membrii CSAT au decis luarea unor măsuri care să permită urgentarea adoptării cadrului normativ şi operaţionalizării Agendei Digitale 2020 ca parte integrantă a efortului european de dezvoltare a societăţii informaţionale şi implicit a acţiunilor subsecvente ce sunt dedicate securităţii cibernetice”, informa un comunicat al Administraţiei Prezidenţiale.