» » » » » » LEGEA SECURITĂȚII CIBERNETICE A ROMÂNIEI (Proiect)

LEGEA SECURITĂȚII CIBERNETICE A ROMÂNIEI (Proiect)

Proiectul de lege adoptat de Guvern va permite operaționalizarea Sistemului Național de Securitate Cibernetică – SNSC, care va facilita adoptarea de măsuri proactive și reactive privind informarea, monitorizarea, diseminarea, analizarea, avertizarea, coordonarea, decizia, reacția, refacerea și conștientizarea.
De asemenea, actul normativ definește o terminologie unitară în domeniul securității cibernetice și a unui cadru armonizat de acțiune a autorităților și instituțiilor publice.

LEGEA SECURITĂȚII CIBERNETICE A ROMÂNIEI

 

 

PROIECT

 

 

CAPITOLULIDISPOZITII GENERALE

 

Art. 1 –   Prezenta lege stabileşte cadrul general de reglementare a activităţilor în domeniul securităţii cibernetice și obligaţiile ce revin persoanelor juridice de drept public sau privat în scopul protejării infrastructurilor cibernetice.

Art. 2 –   Dispoziţiile prezentei legi se aplică persoanelor juridice de drept public sau privat, care au calitatea de proprietari, administratori, operatori sau utilizatori de infrastructuri cibernetice, denumite în continuare deţinători de infrastructuri cibernetice.

          

Art. 3 –   (1) Securitatea cibernetică este componentă a securităţii naţionale a României şi se realizează prin:

a)   cunoaşterea, prevenirea şi contracararea ameninţărilor şi atacurilor, precum şi prin diminuarea vulnerabilităţilor infrastructurilor cibernetice, în scopul gestionării riscurilor la adresa securităţii acestora;

b)   prevenirea şi combaterea criminalităţii informatice;

c)   apărarea cibernetică.

              (2) Prevenirea criminalităţii informatice se realizează în condiţiile Legii nr.161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, cu modificări şi completări. Combaterea criminalităţii informatice se efectuează de organele judiciare în condiţiile legislaţiei penale şi procesual penale.

Art. 4 –  Securitatea cibernetică vizează:

a)   realizarea rezilienţei infrastructurilor cibernetice;

b)   creşterea capacităţii de reacţie la incidentele cibernetice şi diminuarea impactului acestora asupra resurselor şi serviciilor infrastructurilor cibernetice;

c)   asigurarea protecţiei datelor gestionate prin intermediul infrastructurilor cibernetice;

d)   asigurarea nivelului de încredere necesar pentru dezvoltarea societăţii informaţionale şi a mediului de afaceri în spaţiul cibernetic;

e)   realizarea accesului egal şi nediscriminatoriu al persoanelor la informaţii şi servicii publice oferite prin intermediul infrastructurilor cibernetice;

f)     guvernanţa participativă, democratică şi eficientă a spaţiului cibernetic;

g)   responsabilizarea deţinătorilor de infrastructuri cibernetice pentru asigurarea securităţii cibernetice;

h)   asigurarea climatului de exercitare neîngrădită a drepturilor şi libertăţilor fundamentale ale persoanelor în spaţiul cibernetic.

Art. 5 –  În sensul prezentei legi, termenii şi expresiile utilizate au următorul înţeles:

  1. ameninţare cibernetică – circumstanţă sau eveniment care constituie un pericol potenţial la adresa securităţii cibernetice;
  2. apărare cibernetică – acţiuni desfăşurate în scopul protejării, monitorizării, analizării, detectării, contracarării agresiunilor şi asigurării răspunsului oportun împotriva ameninţărilor asupra infrastructurilor cibernetice destinate apărării naţionale;
  3. atac cibernetic – acţiune ostilă desfăşurată în spaţiul cibernetic de natură să afecteze securitatea cibernetică;
  4. audit de securitate cibernetică – evaluare sistematică, detaliată, măsurabilă şi tehnică a modului în care politicile de securitate cibernetică sunt aplicate la nivelul infrastructurilor cibernetice, precum şi emiterea de recomandări pentru minimizarea riscurilor identificate;
  5. criminalitate informatică – totalitatea faptelor prevăzute de legea penală sau de alte legi speciale care prezintă pericol social şi sunt săvârşite cu vinovăţie, prin intermediul ori asupra infrastructurilor cibernetice;
  6. incident cibernetic – eveniment survenit în spaţiul cibernetic ale cărui consecinţe afectează securitatea cibernetică;
  7. eveniment survenit în spaţiul cibernetic – acţiune desfăşurată în spaţiul cibernetic care are drept consecinţă modificarea stării infrastructurilor cibernetice;
  8. infrastructuri cibernetice – infrastructuri din domeniul tehnologiei informaţiei şi comunicaţiilor, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice;
  9. infrastructuri cibernetice de interes naţional (ICIN) – infrastructurile cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare poate aduce atingere securităţii naţionale, sau prejudicii grave statului român ori cetăţenilor acestuia;
  10. managementul identităţii – metode de validare a identităţii persoanelor când acestea accesează anumite infrastructuri cibernetice;
  11. managementul riscului – un proces complex, fcontinuu şi flexibil de identificare, evaluare şi contracarare a riscurilor la adresa securităţii cibernetice, bazat pe utilizarea unor tehnici şi instrumente complexe, pentru prevenirea pierderilor de orice natură;
  12. operaţii în reţele de calculatoare – procesul complex de planificare, coordonare, sincronizare, armonizare şi desfăşurare a acţiunilor în spaţiul cibernetic pentru protecţia, controlul şi utilizarea reţelelor de calculatoare, în scopul obţinerii superiorităţii informaţionale, concomitent cu neutralizarea capabilităţilor adversarului;
  13. rezilienţa infrastructurilor cibernetice – capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic şi de a reveni la starea de normalitate;
  14. risc de securitate în spaţiul cibernetic – probabilitatea ca o ameninţare să se materializeze, exploatând o anumită vulnerabilitate specifică infrastructurilor cibernetice;
  15. securitate cibernetică – starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, a resurselor şi serviciilor publice sau private, din spaţiul cibernetic. Măsurile proactive şi reactive pot include politici, concepte, standarde şi ghiduri de securitate, managementul riscului, activităţi de instruire şi conştientizare, implementarea de soluţii tehnice de protejare a infrastructurilor cibernetice, managementul identităţii, managementul consecinţelor;
  16. spaţiu cibernetic – mediul virtual, generat de infrastructurile cibernetice, incluzând conţinutul informaţional procesat, stocat sau transmis, precum şi acţiunile derulate de utilizatori în acesta;
  17. vulnerabilitate în spaţiul cibernetic – slăbiciune în proiectarea şi implementarea infrastructurilor cibernetice sau a măsurilor de securitate aferente care poate fi exploatată de către o ameninţare.

 

 

CAPITOLUL II – Sistemul Naţional de Securitate Cibernetică

 

Art. 6 –  (1)În vederea asigurării cadrului general de cooperare pentru realizarea securităţii cibernetice se constituie Sistemul Naţional de Securitate Cibernetică, denumit în continuare SNSC, care reuneşte autorităţile şi instituţiile publice cu responsabilităţi şi capabilităţi în domeniu.

              (2) Autorităţile şi instituţiile publice din SNSC colaborează cu deţinătorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociațiile profesionale și organizațiile neguvernamentale.

              (3)Activitatea SNSC este coordonată la nivel strategic de Consiliul Suprem de Apărare a Ţării, denumit în continuare CSAT.

Art. 7 –(1) SNSC îndeplineşte următoarele funcţii:

              a) funcţia de cunoaştere, care furnizează suportul informaţional necesar elaborării măsurilor proactive şi reactive, în vederea asigurării securităţii cibernetice;

              b) funcţia de prevenire, care reprezintă principalul mijloc de asigurare a securităţii cibernetice, prin crearea şi dezvoltarea capabilităţilor necesare analizei şi prognozei evoluţiei stării acesteia;

              c) funcţia de cooperare şi coordonare, care asigură mecanismul unitar şi eficient de relaţionare în cadrul SNSC;

              d) funcţia de contracarare, care asigură reacţia eficientă la ameninţările sau atacurile cibernetice, prin identificarea şi blocarea manifestării acestora. Aceasta se realizează în scopul menţinerii sau restabilirii securităţii infrastructurilor cibernetice vizate, precum şi pentru identificarea şi sancţionarea autorilor, potrivit legii.

              (2) Funcţiile SNSC se realizează prin adoptarea de măsuri proactive şi reactive privind informarea, monitorizarea, diseminarea, analizarea, avertizarea, coordonarea, decizia, reacţia, refacerea şi conştientizarea.

Art. 8 –     (1) Coordonarea unitară a activităţilorSNSC se realizează de către Consiliul Operativ de Securitate Cibernetică, denumit în continuare COSC.

              (2) COSC este format din reprezentanţi ai Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informaţională, Serviciului Român de Informaţii, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, Oficiului Registrului Național al Informațiilor Secrete de Stat, precum și Secretarul Consiliului Suprem de Apărare a Ţării.

              (3) Conducerea COSC este asigurată de Consilierul Prezidenţial pentru apărare şi securitate naţională, în calitate de preşedinte şi de Consilierul Primului Ministru pe probleme de securitate naţională – în calitate de vicepreşedinte.

              (4) COSC îşi desfăşoară activitatea în conformitate cu propriul Regulament de Organizare şi Funcţionare, care se aprobă prin hotărâre a CSAT, la propunerea Consilierul Prezidenţial pentru apărare și securitate naţională, în termen de 60 de zile de la intrarea în vigoare a prezentei legi.

              (5) La activităţile COSC pot participa, în calitate de invitaţi, reprezentanţi ai altor instituţii sau autorităţi publice.

Art. 9 –     (1) În exercitarea atribuţiilor sale, COSC analizează şi evaluează starea securităţii cibernetice, formulează şi înaintează CSAŢ propuneri privind:

a)        măsuri de armonizare a reacţiei autorităţilor competente ale statului în situaţii generate de ameninţări şi atacuri cibernetice, care necesită schimbarea nivelului de alertă cibernetică;

b)        solicitarea de asistenţă din partea altor state sau organizaţii şi organisme internaţionale;

c)         modalitatea de răspuns la solicitările de asistenţă adresate României din partea altor state sau organizaţii şi organisme internaţionale;

d)        planuri sau direcţii de acţiune, în funcţie de concluziile rezultate şi evoluţia spaţiului cibernetic;

e)        direcţii de dezvoltare sau programe de investiţii în domeniul securităţii cibernetice;

f)cerinţe minime de securitate cibernetică şi politici de securitate cibernetică pentru  autorităţile şi instituţiile publice prevăzute la art.10 alin.(1) şi (2).

            (2) COSC cooperează pentru realizarea securităţii cibernetice cu organismele de coordonare sau conducere constituite, potrivit legii, la nivel naţional, pentru managementul situaţiilor de urgenţă, a acţiunilor in situatii de criză în domeniul ordinii publice,pentru prevenirea şi combaterea terorismului şi pentru apărarea naţională, aşa cum sunt acestea prevăzute de legislaţia în domeniu.

Art. 10 –(1) Serviciul Român de Informaţii este desemnat autoritate naţională în domeniul securităţii cibernetice, calitate în care asigură coordonarea tehnică a COSC, precum şi organizarea şi executarea activităţilor care privesc securitatea cibernetică a României. În acest scop, în structura SRI funcționează Centrul Național de Securitate Cibernetică (CNSC).

 (2) Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, Serviciul de Informaţii Externe,  Serviciul de Telecomunicaţii Speciale şi Serviciul de Protecţie şi Pază sunt desemnate autorităţi în domeniul securității cibernetice pentru domeniile lor de activitate,  asigurând securitatea infrastructurilor cibernetice proprii sau aflate în responsabilitate potrivit legii şi au obligaţia să constituie şi să operaţionalizeze structuri specializate de securitate cibernetică.

(3) CNSC cooperează cu autorităţile şi instituţiile publice componente ale SNSC, precum şi cu deţinătorii de infrastructuri cibernetice.

(4) În caz de atac cibernetic care poate afecta securitatea cibernetică a României, CNSC este punctde contact pentru relaţionarea cu organismele similare din străinătate.

(5) CERT-RO reprezintă un punct naţional de contact cu structurile de tip CERT care funcţionează în cadrul instituţiilor sau autorităţilor publice ori al altor persoane juridice de drept public sau privat, naţionale ori internaţionale, cu respectarea competenţelor ce revin celorlalte autorităţi şi instituţii publice cu atribuţii în domeniu, potrivit legii.

Art. 11 –(1) CNSC are următoarele atribuţii principale:

a)   acţionează în scopul cunoaşterii, prevenirii, protecţiei, reacţiei şi managementului consecinţelor ameninţărilor şi atacurilor cibernetice;

b)   asigură schimbul de date şi informaţii între autorităţile şi instituţiile publice

componente ale SNSC;

c)   analizează şi integrează date şi informaţii obţinute de autorităţile şi instituţiile publice componente ale SNSC, în scopul stabilirii, întreprinderii sau propunerii măsurilor ce se impun pentru asigurarea securităţii cibernetice;

d)   asigură colectarea şi identificarea evenimentelor survenite în spaţiul cibernetic;

e)   generează avertizări pentru deţinătorii de infrastructuri cibernetice şi ICIN  cu privire la posibile incidente de securitate cibernetică şi emite recomandări cu privire la modalitatea de acţiune;

f)     primeşte notificările făcute de persoanele juridice de drept public care deţin sau administrează ICIN, potrivit art. 19 alin. (1) lit. g);

g)   transmite autorităţilor şi instituţiilor publice competente din cadrul SNSC datele şi informaţiile necesare punerii în aplicare a măsurilor specifice de acţiune corespunzătoare fiecărui nivel de alertă cibernetică;

h)   elaborează propuneri cu privire la nivelul de alertă cibernetică pe care le înaintează COSC, în baza analizelor şi evaluărilor efectuate cu privire la starea de securitate cibernetică la nivel naţional;

i)     înaintează propuneri către COSC cu privire la declararea nivelurilor de alertă cibernetică;

j)      în caz de atac cibernetic, asigură colectarea şi evaluarea datelor şi informaţiilor cu privire la incident, propune măsuri reactive de primă urgenţă pentru asigurarea integrităţii datelor şi remedierea situaţiei de fapt, informează potrivit legii, organele competente pentru investigare şi cercetare, sau, după caz, sesizează organele de urmărire penală.

(2) Autorităţile şi instituţiile publice din componenţa COSC deleagă un reprezentant în cadrul CNSC.

          (3) Cadrul general de organizare şi funcţionare a CNSC se aprobă prin hotărâre a CSAŢ, la propunerea SRI, în termen de 60 de zile de la intrarea în vigoare a prezentei legi.

Art. 12 –       Autoritățile și instituțiile publice prevăzute la art. 10 alin. (1) şi (2) asigură securitatea infrastructurilor cibernetice proprii sau aflate în responsabilitate potrivit legii şi în acest sens exercită următoarele atribuţii generale:

a)   elaborează şi implementează politici de securitate şi programe destinate managementului riscurilor de securitate cibernetică;

b)   asigură managementul incidentelor de securitate cibernetică;

c)   controlează modul în care se asigură securitatea cibernetică;

d)   elaborează şi aprobă cadrul specific de reglementare destinat asigurării securităţii cibernetice, cu respectarea cerinţelor stabilite la nivel naţional; 

e)   contribuie conform competenţelor legale la asigurarea securităţii cibernetice în cadrul SNSC;

f)cooperează şi schimbă date şi informaţii referitoare la securitatea cibernetică cu CNSC şi cu celelalte autorităţi şi instituţii publice sau deţinători de infrastructuri cibernetice;

g)   sesizează sau solicită convocarea COSC, potrivit propriilor competenţe şi ori de câte ori se impune, inclusiv pentru ridicarea nivelului de alertă;

h)   asigură colectarea şi evaluarea datelor şi informaţiilor cu privire la incidente şi atacuri cibernetice, ia măsuri reactive de primă urgenţă pentru asigurarea integrităţii datelor şi remedierea situaţiei de fapt.

Art. 13 –   (1) În vederea realizării coerenţei activităţilor din cadrul SNSC, Ministerul pentru Societatea Informaţională asigură legătura COSC cu autorităţile şi instituţiile publice care nu sunt reprezentate în cadrul acestuia, iar prin Centrul Naţional de Răspuns la Incidente de Securitate, denumit în continuareCERT-RO, cu deţinătorii de infrastructuri cibernetice, persoane juridice de drept privat.

              (2) În cazul persoanelor prevăzute la art. 22 alin. (1), pentru realizarea dispozițiilor alin. (1), Ministerul pentru Societatea Informaţională va colabora cu Autoritatea Națională pentru Administrare și Reglementare în Comunicații, denumită în continuare ANCOM.

Art. 14 –   În cadrul SNSC autorităţile şi instituţiile publice desfăşoară, potrivit competenţelor legale, activităţi pentru  asigurarea securităţii cibernetice a României, inclusiv activităţi de informare şi comunicare publică, relaţii publice şi de cooperare internaţională.

Art. 15 –        (1)La nivel naţional se constituie Sistemul Naţional de Alertă Cibernetică denumit în continuare SNAC, reprezentând principalul mijloc al SNSC destinat prevenirii şi contracarării activităţilor de natură să afecteze securitatea cibernetică.

            (2) Organizarea SNAC, măsurile specifice pe care autorităţile şi instituţiile publice competente le implementează pentru fiecare nivel de alertă, precum şi procedura de instituire a nivelurilor de alertă și cerințele privind elaborarea planurilor de acțiune se aprobă prin norme metodologice, la propunerea SRI, în termen de 60 de zile de la intrarea în vigoare a prezentei legi.

(3) În cadrul SNAC, stările de ameninţare sunt identificate prin niveluri de alertă cibernetică. Acestea pot fi instituite pentru întreg teritoriul naţional, pentru o zonă geografică delimitată, pentru un anumit domeniu de activitate sau pentru una sau mai multe persoane juridice de drept public sau privat.

(4) Instituirea nivelurilor de alertă cibernetică, precum şi trecerea de la un nivel la altul se aprobă de către CSAŢ, la propunerea COSC.

(5) Pentru punerea în aplicare a măsurilor specifice prevăzute la alin. (2) personale juridice de drept public sau privat deţinători de ICIN elaborează planuri de acţiune proprii, corespunzătoare fiecărui nivel de alertă cibernetică.

(6) La instituirea unui nivel de alertă cibernetică, personale juridice de drept public sau privat deţinători de ICIN au obligaţia să pună în aplicare măsurile specifice prevăzute prin planurile prevăzute la alin.(5). 

(7) Deţinătorii de infrastructuri cibernetice au obligaţia să sprijine autorităţile şi instituţiile publice competente pentru implementarea măsurilor corespunzătoare fiecărui nivel de alertă cibernetică, potrivit solicitărilor acestora, adresate în condiţiile art.17 alin.(1) lit.a).

(8) Persoanele juridicede drept public sau privat deţinători de ICIN au obligaţia transmiterii cu celeritate a datelor privind starea de securitate cibernetică la nivelul acestora către CNSC conform competenţelor prevăzute de lege.

 

CAPITOLUL III – Asigurarea securităţii cibernetice

 

Art. 16 –       Deţinătorii de infrastructuri cibernetice au următoarele obligaţii:

a)   să adopte şi să pună în aplicare politici de securitate cibernetică, cu respectarea cerinţelor minime de securitate stabilite la nivel naţionalde Ministerul pentru Societatea Informaţională sau de către alte autorităţi publice competente potrivit legii;

b)   să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate în infrastructurile cibernetice proprii sau aflate în responsabilitate;

c)   să prevină şi să reducă la minimum impactul incidentelor care afectează infrastructurile cibernetice proprii sau aflate în responsabilitate;

d)   să nu afecteze, prin acţiunile proprii, securitatea altor infrastructuri cibernetice;

e)   să prevină accesul neautorizat al persoanelor la resursele infrastructurilor cibernetice proprii sau aflate în responsabilitate;

f)să se asigure că datele şi/sau informaţiile referitoare la configurarea şiprotecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le cunoască.

Art. 17 –       (1) Pentru realizarea securităţii cibernetice, deţinătorii de infrastructuri cibernetice au următoarele responsabilităţi:

a)   să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării;

b)   să informeze, de îndată, autorităţile şi instituţiile publice prevăzute la lit.a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege.

              (2) Deţinătorii de infrastructuri cibernetice pot solicita asistenţă de specialitate autorităţilor şi instituţiilor publice cu atribuţii în domeniul securităţii cibernetice, pentru asigurarea securităţii cibernetice în domeniul lor de activitate.

 

   Art. 18 –  Deţinătorii de infrastructuri cibernetice, furnizori de servicii de internet au obligaţia de a-şi notifica, de îndată, clienții, persoane de drept public și privat, în  situațiile în care sistemele informatice utilizate de aceștia au fost implicate în incidente sau atacuri cibernetice și de a dispune măsurile necesare în vederea restabilirii condițiilor normale de funcționare.

 

              Art.19 –  (1)La nivel naţional se constituie Catalogul ICIN, care se aprobă în termen de 90 de zile de la intrarea în vigoare a prezentei legi, prin hotărâre a Guvernului .

              (2) Catalogul ICIN se întocmeşte de către Ministerul pentru Societatea Informaţională, cu consultarea COSC, la propunerea CNSC sau după caz, a CERT-RO, potrivit competenţelor legale.

              (3) Identificarea ICIN se realizează pe baza criteriilor de selecţie cuprinse în metodologia elaborată de Serviciul Român de Informaţii şi Ministerul pentru Societatea Informaţională şi aprobată, în termen de 90 de zile de la intrarea în vigoare a prezentei legi, prin hotărâre de Guvern.

            (4) La elaborarea catalogului ICIN, Ministerul pentru Societatea Informaţională va colabora şi cu ANCOM, în situaţia persoanelor juridice de drept privat care dețin calitatea de furnizori de rețele publice sau servicii de comunicații electronice destinate publicului.

                        (5) Se exceptează de la prevederile alin. (1) ICIN care stochează, procesează sau transmit informaţii clasificate, deţinute, administrate sau utilizate de persoanele juridice de drept public sau privat, care se centralizează la nivelul Oficiului Registrului Național al Informațiilor Secrete de Stat, denumit în continuare ORNISS.

            (6)ICIN prevăzute la alin. (5), se comunică CNSC, cu excepţia celor constituite la nivelul Autorităţilor Desemnate de Securitate, care deţin Structuri Interne INFOSEC acreditate potrivit prevederilor legale în vigoare.

            (7) Persoanele juridice de drept public şi privat deţinătoare de sau care au în responsabilitate ICIN trebuie să notifice CNSC şi CERT RO, în termen de 48 de ore, cu privire la orice modificare intervenită în regimul juridic al ICIN, respectiv în configuraţia acesteia.

              Art.20 – (1)   Persoanele juridice de drept public sau privat care deţin sau au în responsabilitate ICIN au următoarele obligaţii:

a)   să stabilească şi să aplice măsuri pentru asigurarea rezilienţei infrastructurilor cibernetice proprii sau aflate în responsabilitate;

b)   să întocmească planul de securitate al ICIN, precum şi planuri de acțiune proprii corespunzătoare fiecărui nivel de alertă cibernetică;

c)   să efectueze periodic şi/sau să permită efectuarea unor auditări de securitate cibernetică, la solicitarea motivată a autorităţilor competente potrivit prezentei legi;

d)   să constituie structuri sau să desemneze persoane responsabile cu prevenirea, identificarea şi reacţia la incidentele cibernetice;

e)   să implementeze soluţii pentru gestionarea permanentă a evenimentelor din spaţiul cibernetic care pot afecta securitatea infrastructurii cibernetice şi să genereze alerte cu privire la acestea;

f)să aplice politicile de securitate prevăzute prin cerinţele minime stabilite conform dispoziţiilor prezentei legi;

g)   să prevină şi să minimizeze, după caz, impactul incidentelor cibernetice asupra utilizatorilor sau beneficiarilor ICIN şi, după caz, să îi informeze cu privire la acestea;

h)   să notifice imediat, după caz, CNSC, CERT-RO, ANCOM sau autorităţile desemnate, în condiţiile legii, în domeniul securității cibernetice cu privire la riscurile şi incidentele cibernetice care, prin efectul lor, pot aduce prejudicii de orice natură utilizatorilor sau beneficiarilor serviciilor lor;

i) să respecte modalitatea de notificare, precum şi datele şi informaţiile care însoţesc în mod obligatoriu notificarea, stabilite potrivit alin.(2) al prezentului articol.

            (2) În vederea îndeplinirii obligaţiilor prevăzute la alin. (1), lit. a), f) şi g), Ministerul pentru Societatea Informaţională, ANCOM sau autorităţile desemnate, în condiţiile legii, în domeniul securității cibernetice, stabilesc cerinţele minime de securitate cibernetică, modalitatea de notificare, precum şi datele şi informaţiile care însoţesc în mod obligatoriu notificarea, care se aprobă prin ordine sau decizii emiseîn termen de 90 de zile de la intrarea în vigoare a prezentei legi, de conducătorii autorităților sau instituțiilor publice respective, publicate în Monitorul Oficial al României, Partea I.

              Art.21 – (1) În funcţie de tipul şi natura riscurilor şi incidentelor cibernetice, autorităţile competente să recepţioneze notificarea prevăzută la art. 20 alin. (1)        lit. h), acţionează potrivit competenţelor stabilite prin lege.

  (2) Deţinătorii  de ICIN, care au transmis notificări conform art. 20 alin. (1) lit. h), au următoarele obligaţii:

a)   să aplice planurile prevăzute la art. 20 alin. (1) lit. b);

b)   să mențină legătura permanent cu autorităţile competente, potrivit legii, informând despre evoluția incidentului și modul în care acesta este gestionat;

c)   să permită autorităţilor competente, potrivit legii, să intervină pentru identificarea şi analizarea cauzelor incidentelor cibernetice, respectiv pentru înlăturarea sau reducerea efectelor incidentelor cibernetice;

d)   să reţină şi să asigure integritatea datelor referitoare la incidentele ciberneticepentru o perioadă de 6 luni de la data notificării, cu respectarea principiului confidentialitatii şi să le pună la dispoziţia autorităţilor competente, în condiţiile legii.

(3) Obligaţiile prevăzute la alin. (2), se aplică tuturor deţinătorilor de infrastructuri cibernetice implicate în incidentul notificat.

(4) Dispoziţiile prezentului articol nu se aplică în cazul instituţiilor şi autorităţilor publice prevăzute la art. 10 alin.(1) şi (2).

              Art.22 – CERT-RO informează CNSC cu privire la notificarile primite şi la situaţiile în care a intervenit.

              Art.23 – (1) Securitatea infrastructurilor cibernetice deţinute sau administrate de furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului se realizează în condiţiile Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, aprobată, cu modificări şi completări, prin Legea nr. 140/2012, precum şi în conformitate cu dispoziţiile prezentei legi.

(2) Pentru îndeplinirea obiectivelor prezentei legi, ANCOM poate institui obligaţii în sarcina furnizorilor de reţele publice sau servicii de comunicaţii electronice destinate publicului.

(3) În vederea realizării scopului prezentei legi, ANCOM îi revin următoarele atribuţii:

a)   emite, în termen de 90 de zile de la intrarea în vigoare a prezentei legi, cerințele minime prevăzute la art. 20 alin. (2) aplicabile furnizorilor de reţele publice sau servicii de comunicaţii electronice destinate publicului şi verifică respectarea acestora;

b)   verifică respectarea de către furnizorii de reţele publice sau servicii de comunicaţii electronice destinate publicului care deţin şi/sau administrează ICIN a dispoziţiilor art. 20 alin.(1), lit. a)- g);

c)   stabileşte modalitatea de notificare, precum şi datele şi informaţiile care însoţesc în mod obligatoriu notificarea, prevăzute la art. 20 alin. (2), aplicabile furnizorilor de reţele publice sau servicii de comunicaţii electronice destinate publicului care deţin şi/sau administrează ICIN şi controlează respectarea acestora;

d)   exercită controlul respectării dispoziţiilor art. 20 de către furnizorii de reţele publice sau servicii de comunicaţii electronice destinate publicului care deţin şi/sau administrează ICIN.

(4) În cazul furnizorilor de reţele publice sau servicii de comunicaţii electronice destinate publicului care deţin şi/sau administrează ICIN, notificarea prevăzută la art. 20 alin. (1) lit. h) se transmite către ANCOM.

(5) ANCOM va transmite CNSC, conform unor proceduri convenite de comun acord, în cel mult 24 de ore, informaţiile relevante privind atacurile, ameninţările şi incidentele, care prin efectul lor, pot compromite sau aduce atingere securităţii naţionale şi apărării ţării sau care afectează serviciile de interes public ori serviciile societăţii informaţionale determinând producerea unor prejudicii grave statului român ori cetăţenilor acestuia.

(6) În implementarea prevederilor prezentei legi, ANCOM îşi constituie structură specializată de securitate cibernetică.

 

 

CAPITOLUL IV  – Apărarea cibernetică

              Art.24 – (1)  Apărarea cibernetică cuprinde ansamblul de măsuri şi activităţi adoptate şi desfăşurate de autorităţile competente pentru protejarea infrastructurilor cibernetice destinate apărării naţionale şi a infrastructurilor cibernetice naţionale care sunt critice pentru misiunile NATO şi UE.

(2) Infrastructurile cibernetice destinate apărării naţionale şi măsurile privind apărarea cibernetică a acestora se stabilesc în termen de 60 de zile de la intrarea în vigoare a prezentei legi și se actualizează periodic prin hotărâre a CSAT.

              Art.25 – (1) Activităţile prevăzute la art.24 alin.(1) se planifică şi se desfăşoară de autorităţile competente în strânsă legătură cu activităţile privind apărarea naţională şi planificarea apărării, conform legii şi potrivit obligaţiilor asumate de România la nivel internaţional.

 (2) Autorităţile şi instituţiile publice au obligaţia de a identifica şi implementa, în condiţiile legii, măsuri de apărare cibernetică şi răspund de executarea acestora, fiecare în domeniul său de activitate.

              Art.26 – (1) Ministerul Apărării Naţionale împreună cu celelalte autorităţi şi instituţii publice din Sistemul Naţional de Apărare, Ordine Publică şi Securitate Naţională asigură, din timp de pace,  integrarea într-o concepţie unitară a activităţilor privind apărarea cibernetică desfăşurate de forţele armate participante la acţiunile de apărare a ţării în caz de agresiune armată, la instituirea stării de asediu, declararea stării de mobilizare sau a stării de război.

(2) Conducerea acţiunilor de apărare cibernetică în caz de agresiune armată, la instituirea stării de asediu, declararea stării de mobilizare sau a stării de război se realizează de către Centrul naţional militar de comandă în cooperare cu COSC.        

 

 

CAPITOLUL V – Regimul sancţionator şi dispoziţii procedurale

 

               Art.27 – (1)Monitorizarea şi controlul aplicării prevederilor prezentei legi se asigură, potrivit competenţelor stabilite prin lege, de către:

a)   Camera Deputaţilor şi Senat, Administraţia Prezidenţială, Guvern, CSAŢ, precum şi instituţiile şi autorităţile publice prevăzute la art. 10 alin. (1) şi (2), pentru infrastructurile cibernetice proprii sau aflate în responsabilitate;

b)   Serviciul Român de Informaţii pentru deţinătorii de ICIN persoane juridice de drept public;

c)   Ministerul pentru Societatea Informaţională, respectiv ANCOM, după caz, pentru deţinătorii de ICIN, persoane juridice de drept privat.

               (3)În vederea exercitării atribuţiilor prevăzute la alin.(1), conducătorii autorităților desemnează persoanele abilitate să desfășoare activități de control care, în baza și în limitele împuternicirii aprobate au dreptul:

a)   să solicite declaraţii sau orice documente necesare pentru efectuarea controlului;

b)   să facă inspecţii, inclusiv inopinate, la orice instalaţie, incintă sau infrastructură, destinate ICIN, cu respectarea prevederilor legale în vigoare;

c)   să primească, la cerere sau la faţa locului, informaţii sau justificări.

              Art.28 – (1) Constituie contravenţii următoarele fapte:

a)nerespectarea de către  deţinătorii de infrastructuri cibernetice a obligaţiei privind adoptarea şi punerea în aplicare a politicii de securitate cibernetică care să respecte cerințele minime de securitate stabilite potrivit prezentei legi, prevăzute la art. 16 lit. a);

b)nerespectarea de către deţinătorii de sau cei care au în responsabilitate ICIN a obligaţiei de notificare cu privire la modificările de regim juridic, respectiv de configuraţie a ICIN, prevăzute la art.19 alin.(7);

c)încălcarea de către deţinătorii de sau cei care au în responsabilitate ICIN obligaţiilor prevăzute la art. 20 alin. (1), lit. c)-e) privind efectuarea de auditări de securitate cibernetică, constituirea de structuri sau desemnarea de persoane responsabile cu prevenirea, identificarea şi reacţia la incidente cibernetice, respectiv implementarea de soluţii pentru gestionarea evenimentelor din spaţiul cibernetic şi generarea de alerte cu privire la acestea;

d)nerespectarea de către deţinătorii de sau cei care au în responsabilitate ICIN a obligaţiei privind aplicarea politicilor de securitate, potrivit art.20 ali.(1) lit.f);

e)nerespectarea de către deţinătorii de sau cei care au în responsabilitate ICIN a obligaţiei de notificare impuse potrivit art. 20 alin. (1), lit. h);

f)   nerespectarea de către deţinătorii de sau cei care au în responsabilitate ICIN a cerinţelor minime de securitate cibernetică, a modalităţii de notificare, precum şi datele şi informaţiile care însoţesc în mod obligatoriu notificarea prevăzută la art. 20 alin. (1), lit. i);

g)nerespectarea de către deţinătorii de sau cei care au în responsabilitate ICIN care au transmis notificarea în condiţiile prevăzute la art. 20 alin. (2) a obligaţiilor de aplicare a planurilor de securitate sau de acţiune, respectiv de a permite autorităţilor competente să intervină, precum şi a obligaţiei de a reţine şi asigura integritatea datelor referitoare la incidentele cibernetice, prevăzute la art. 21 alin. (2) lit. c) şi lit. d);

h)încălcarea de către deţinătorii de sau cei care au în responsabilitate ICIN a obligaţiei de a menţine permanent legătura cu autorităţile competente potrivit legii, stabilite de prevederile art. 21 alin. (2) lit. b);

i)   nerespectarea de către furnizorii de reţele publice sau servicii de comunicaţii electronice destinate publicului, deţinători de sau care au în administrare infrastructuri cibernetice  a cerinţelor minime stabilite de ANCOM, a modalităţii de notificare, precum şi datele şi informaţiile care însoţesc în mod obligatoriu notificarea,  în temeiul art. 23 alin. (3) lit.a) şi c) precum şi refuzul de a se supune notificării potrivit art.23 alin.(3) lit.c).

j)    nerespectarea obligaţiei de notificare a clientilor de către deţinătorii de infrastructuri cibernetice, furnizori de servicii de internet, prevăzută la art. 18.

 

             

              Art.29 – (1)Contravenţiile prevăzute la art. 28 se sancţionează, astfel:

a)   cu amendă de la 500 lei la 5.000, pentru săvârşirea contravenţiilor prevăzute la art. 28 lit. a) şi  h)- j);

b)   cu amendă de la 1.000 la 10.000 lei, pentru săvârşirea contravenţiilor prevăzute la art. 28 lit. b) – g).

(2) Sancțiunile prevăzute la alin. (1) se aplică și în cazul persoanelor juridice.

(3) Dispozitiile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările ulterioare se aplică în mod corespunzător.

             

 

              Art.30 – (1) Constatarea contravenţiilor şi aplicarea amenzilor se realizează, potrivit competenţelor legale, de către:

a) Ministerul pentru Societatea Informaţională pentru contravenţiile prevăzute la art. 28 lit. a) – h);

b) ANCOM în situaţia în care contravenţiile prevăzute la art. 28 lit. a) sunt săvârşite de  persoanele juridice prevăzute la art. 23 alin. (1), precum şi pentru contravenţiile prevăzute la art. 28 lit. i) şi j);

c) autorităţile şi instituţiile publice prevăzute la art.27 alin.(1) lit. a) pentru contravenţiile prevăzute la art.28 lit.b) – h) ce vizeaza infrastructurile cibernetice proprii sau aflate în responsabilitate.

(2) În cazul art.27 alin.(1) lit.b) aplicarea amenzilor pentru contravenţiile prevăzute la art.28 lit.b) – h) se face, în condiţiile legii, de către Ministerul pentru Societatea Informaţională.

 

 

 

 

CAPITOLUL VII– Dispoziţii finale

 

              Art.31 – (1) La nivelul persoanelor juridice de drept public, fondurile necesare organizării şi desfăşurării activităţii în condiţiile prezentei legi se asigură de la bugetul de stat, din venituri extrabugetare şi din alte surse legal constituite, anual, potrivit legii.

              (2) Pentru buna desfăşurare a activităţilor specifice pot fi utilizate şi fonduri provenite din credite externe contractate sau garantate de stat şi ale căror rambursare, dobânzi şi alte costuri se asigură din fonduri publice, precum şi din fonduri externe sau europene.

              (3) La nivelul persoanelor juridice de drept privat, cheltuielile legate de asigurarea punerii în executare a dispoziţiilor prezentei legi sunt deductibile fiscal în condiţiile şi cuantumul stabilit de Ministerul Finanţelor Publice, în condiţiile Codului fiscal, aprobat prin Legea nr.571/2003, cu modificările şi completările ulterioare.

              Art.32 – (1) Prezenta lege intră în vigoare la 30 de zile de la publicarea în Monitorul Oficial al României, Partea I.

              (2) În termen de 90 de zile de la data publicării în Monitorul Oficial al României, Partea I, Guvernul aprobă normele metodologice de aplicare a prezentei legi.

(Proiectul de lege se găseşte în format .doc la http://www.mcsi.ro/CMSPages/GetFile.aspx?nodeguid=c6761539-dd1d-4d8e-937a-000bf709f63b)

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *