Like Us
Follow UsDupă multe controverse, legea securității și apărării cibernetice a fost promulgată la finalul lunii martie, ca răspuns la amenințările de securitate cibernetică tot mai frecvente. Introducerea unei legi pentru cybersecurity este o preocupare mai veche a autorităților din domeniu, primele versiuni fiind puse în dezbatere încă de prin 2015.
Conjunctura actuală, atât din punct de vedere cybercrime cât și armonizarea cu legislația europeană, a făcut posibilă conturarea unui pachet legislativ. Textul legii poate fi accesat aici. Deși legea, conform Art 3 vizează cu precădere securitatea rețelelor care furnizează servicii publice sau de interes public, acoperirea este mult mai largă.
Prin articolul 2, legea definește ”furnizor de servicii de securitate cibernetică” drept orice persoană fizică și/sau juridică care realizează, în vederea protejării rețelelor și sistemelor informatice, cel puțin una dintre următoarele activități: implementare de politici, proceduri și măsuri, consultanță, formare, informare, cercetare-dezvoltare, inovare, auditare, evaluare, testare a măsurilor implementate, management al riscurilor și incidentelor de Securitate.
Totodată prin articolul 23, legea introduce unele obligații pentru aceste companii private: ”Furnizorii de servicii de securitate cibernetică au obligația de a pune la dispoziția autorităților prevăzute la art. 10, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date și informații privind incidente, amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta o rețea sau sistem informatic a deținătorului sau a unor terți.”
În mod evident, criminalitatea cibernetică este unul dintre cele mai nocive fenomene socio-economice ale lumii contemporane. O piraterie modernă pe care autoritățile nu reușesc să o stopeze. Costul anual al criminalității cibernetice asupra economiei globale în 2020 atingea 5,5 trilioane de euro, dublu față de 2015. Pentru a limita efectele criminalității cibernetice, Europa dezvoltă atât o infrastructură operațională (ENISA; European Cybersecurity Competence Centre) cât și un cadru legislativ (The Cybersecurity Act): Romania nu face excepție și se aliniează treptat acestui demers, legea securității și apărării cibernetice fiind un pas în această direcție.
Ce arie de acoperire are legea securității și apărării cibernetice
Legea vizează următoarele sectoare:
- reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă
- reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale
- reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale
Ce prevede legea securității și apărării cibernetice
În principal, legea creează cadrul pentru derularea activităților de securitate şi apărare cibernetică, mecanismele de cooperare ale instituțiilor abilitate dar vizează și asigurarea rezilienţei şi protecţiei reţelelor şi sistemelor informatice ce susţin diverse servicii publice sau infrastructuri de interes național. De asemenea, stabilește responsabilităţi și atribuţii funcţionale pentru multiple entități publice și private și își propune crearea unei culturi de securitate cibernetică la nivel naţional.
Important pentru mediul privat, potrivit legii, furnizorii de servicii tehnice de securitate cibernetică si care deservesc entitățile menționate în lege au obligaţia de a notifica incidentele de securitate cibernetică de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului. Dacă incidentele de securitate nu pot fi comunicate complet în termenul prevăzut, acestea se transmit în cel mult 5 zile calendaristice de la notificarea iniţială, informaţiile putând fi completate şi ulterior cu cele care reies din investigaţiile realizate pe baza evenimentului. Amenințările, riscurile sau vulnerabilitățile vor fi anunțate în termen de 5 zile calendaristice.
Legea securității și apărării cibernetice prevede că notificările vor fi realizate fără încălcarea normelor în materie de confidenţialitate, secret profesional şi protecţia informaţiilor clasificate. Notificarea se realizează în Platforma națională pentru raportarea incidentelor de securitate cibernetică (PNRISC), gestionată de Directoratul Național de Securitate Cibernetică (DNSC).
Aceleași termene sunt valabile și în cazul în care oricare dintre cele 11 autorități declarate competente în domeniu (DNSC, MCID, ANCOM, MApN, MAI, MAE, ORNISS, SRI, SIE, STS și SPP) „cer motivat” date și informații privind incidente, amenințări, riscuri sau vulnerabilități de securitate cibernetică. În acest caz, furnizorii au obligația de a colabora și de a le pune la dispoziție orice informație/document necesare pentru evitarea/înlăturarea atacurilor cibernetice.
Riscuri și amenzi
În ceea ce îi privește pe operatori economici cu cifră de afaceri netă de peste 1.000.000 lei, cuantumul amenzilor este de 1-3% din cifra de afaceri netă, pe când pentru cei cu cifră de afaceri sub 1.000.000, legea prevede amenzi între 5.000 lei și 50.000 lei. În plus, „în cazul săvârşirii unei noi contravenţii în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 200.000 lei”. Pentru persoanele fizice autorizate, întreprinderile individuale şi întreprinderile familiale, cifrei de afaceri îi corespunde totalitatea veniturilor realizate de respectivii operatori economici în exerciţiul financiar anterior sancţionării. Pentru persoanele juridice nou-înfiinţate şi pentru persoanele juridice care nu au înregistrat cifră de afaceri în exerciţiul financiar anterior sancţionării, amenda se stabileşte în cuantum de minimum unu şi maximum 25 de salarii minime brute pe economie.
Cadrul general de cooperare
Noua lege prevede și înființarea Sistemului Național de Securitate Cibernetică (SNSC), un cadru general de cooperare al autorităților/instituțiilor publice cu responsabilități și capabilități în domeniu, coordonat strategic de Consiliul Suprem de Apărare a Țării (CSAT) și unitar, la nivel operațional, de Consiliul Operativ de Securitate Cibernetică (COSC). SNSC va asigura organizarea unitară a activităților specifice securității cibernetice pentru infrastructurile cibernetice naționale, asigurând inclusiv managementul consecințelor. Funcțiile SNSC sunt în principal de „informare, monitorizare, diseminare, analizare, avertizare, coordonare, decizie, reacţie, refacere şi conştientizare”. SNSC poate adopta „măsuri proactive şi reactive”, printre care se numără și colectarea de date şi informaţii referitoare la ameninţări.
Nu ignorați legea securității și apărării cibernetice, Directoratul Național de Securitate Cibernetică arată că în 2021 au avut loc în România cu 31% mai multe atacuri cibernetice față de anul anterior, tendință confirmată și pe plan european (37,7%). În ciuda caracterului ei controversat, legea securității și apărării cibernetice din România va avea efecte pe termen lung prin responsabilități pe care le introduce pentru organizațiile publice, dar și pentru furnizorii de servicii IT.
