Preşedintele Klaus Iohannis a promulgat, astăzi, legea privind securitatea şi apărarea cibernetică a României precum şi pentru modificarea şi completarea unor acte normative, informează Administraţia Prezidenţială. Actul normativ prevede înfiinţarea Sistemului Naţional de Securitate Cibernetică în scopul organizării şi desfăşurării în mod unitar la nivel naţional a activităţilor specifice.
Actul normativ promulgat de către şeful statului are ca obiect de reglementare instituirea cadrului juridic şi instituţional referitor la organizarea şi desfăşurarea activităţilor din domeniile securitate cibernetică şi apărare cibernetică, a mecanismelor de cooperare şi a responsabilităţilor instituţiilor cu atribuţii în domeniile menţionate.
Obiective legii sunt: crearea de reţele şi sisteme informatice sigure şi reziliente, elaborarea şi adoptarea unui cadru normativ şi instituţional consolidat, consolidarea unui parteneriat public-privat, pragmatic, pe linia securităţii cibernetice, asigurarea rezilienţei prin abordare proactivă şi descurajare, transformarea României într-un actor relevant în arhitectura internaţională de cooperare în domeniul securităţii cibernetice.
Totodată, actul normativ stabileşte un cadru armonizat de acţiune a autorităţilor şi instituţiilor publice cu responsabilităţi şi capabilităţi specifice prevenirii şi contracarării ameninţărilor, vulnerabilităţilor şi riscurilor cibernetice, instituind, la nivel naţional, un cadru normativ care va permite crearea instrumentelor instituţionale şi a mecanismelor de acţiune integrată şi cooperare interinstituţională în domeniile securitate şi apărare cibernetică.
Astfel, prin intermediul arhitecturii de cooperare interinstituţională se asigură o coerenţă crescută în ceea ce priveşte răspunsul la incidente sau atacuri cibernetice, precum şi responsabilităţi clare şi predictibilitate în ceea ce priveşte tipul de acţiuni desfăşurate de fiecare instituţie din domeniile apărării, ordinii publice şi securităţii naţionale.
Actul normativ are aplicabilitate în domeniul securităţii cibernetice pentru:
„a) reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat;
b) reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale;
c) reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute anterior la lit. a), precum şi de persoane fizice şi juridice care desfăşoară activităţi cu scop lucrativ şi nelucrativ de cercetare, dezvoltare, inovare şi producţie în domeniul tehnologia informaţiei şi a comunicaţiilor sau furnizează servicii publice ori de interes public, altele decât cele de la lit. b)”, mai indică sursa citată.
Persoanele care au în responsabilitate aceste reţele şi sisteme informatice au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC), de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului. Dacă incidentele de securitate cibernetică nu pot fi comunicate complet în acest termen, acestea se transmit în cel mult 5 zile calendaristice de la notificarea iniţială, informaţiile putând fi completate şi ulterior cu cele care reies din investigaţiile realizate pe baza evenimentului.
Totodată, „furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, respectiv în maximum 5 zile de la data primirii solicitării, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali”.
Prin legea promulgată sunt stabilite şi sancţiuni în cazul nerespectării de către aceste persoane a obligaţiei de notificare a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul prevăzut, a obligaţiei de comunicare completă a incidentelor de securitate cibernetică, precum şi pentru nerespectarea de către furnizorii de servicii de securitate cibernetică a obligaţiei de a pune la dispoziţia autorităţilor date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau sistem informatic al deţinătorului sau al unor terţi, în termenul stabilit.
Astfel, sunt prevăzute amenzi de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de şase luni limita maximă este de 200.000 lei.
„Pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei sancţiunea va fi cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de şase luni limita maximă a amenzii este de 3% din cifra de afaceri netă”, mai indică sursa menţionată.
Legea a fost sesizată la Curtea Constituţională de către USR şi Forţa Dreptei, însă CCR a decis că e constituţională.
| Știri BVB