Detinatorii de infrastructuri cibernetice, furnizori de servicii de internet, au obligatia de a-si notifica, de indata, clientii, persoane de drept public si privat, in situatiile in care sistemele informatice utilizate de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare, potrivit proiectului Legii securitatii cibernetice a Romaniei, discutat miercuri in sedinta de Guvern. Nerespectarea acestei obligatii constituie contraventie si se va pedepsi cu amenda de la 500 la 5000 de lei. Cheltuielile firmelor private legate de executarea dispozitiilor acestei legi vor fi deductibile fiscal in conditiile si cuantumul stabilit de Ministerul Finantelor Publice.

UPDATE Proiectul de lege a fost aprobat de Guvern si urmeaza sa fie transmis Parlamentului.

Proiectul Legii securitatii cibernetice a Romaniei este dezbatut in sedinta Guvernului de miercuri, 30 aprilie. Proiectul a fost scos in dezbatere publica, miercuri, 30 aprilie, pe site-ul Ministerului pentru Societatea Informationala (MSI).

Ce inseamna infrastructuri cibernetice si infrastructuri cibernetice de interes national (ICIN)

  • infrastructuri cibernetice - infrastructuri din domeniul tehnologiei informatiei si comunicatiilor, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice;
  • infrastructuri cibernetice de interes national (ICIN) - infrastructurile cibernetice care sustin servicii publice sau de interes public, ori servicii ale societatii informationale, a caror afectare poate aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia;

Conform proiectului de lege, este considerata contraventie "nerespectarea obligatiei de notificare a clientilor de catre detinatorii de infrastructuri cibernetice, furnizori de servicii de internet, prevazuta la art. 18" (art. 28 litera j - vezi documentul atasat).

Iata ce spune art.18:

  • Art. 18 -  Detinatorii de infrastructuri cibernetice, furnizori de servicii de internet, au obligatia de a-si notifica, de indata, clientii, persoane de drept public si privat, in  situatiile in care sistemele informatice utilizate de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare.

Ce fapte sunt considerate contraventii si ce amenzi se vor aplica

Contraventiile sunt definite la art. 28, iar amenzile care ar urma sa fie aplicate sunt definite la art. 29. Redam mai jos cele doua articole:

"Art.28 - (1) Constituie contraventii urmatoarele fapte:

a) nerespectarea de catre detinatorii de infrastructuri cibernetice a obligatiei privind adoptarea si punerea in aplicare a politicii de securitate cibernetica care sa respecte cerintele minime de securitate stabilite potrivit prezentei legi, prevazute la art. 16 lit. a);

b) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN a obligatiei de notificare cu privire la modificarile de regim juridic, respectiv de configuratie a ICIN, prevazute la art.19 alin.(7);

c) incalcarea de catre detinatorii de sau cei care au in responsabilitate ICIN obligatiilor prevazute la art. 20 alin. (1), lit. c)-e) privind efectuarea de auditari de securitate cibernetica, constituirea de structuri sau desemnarea de persoane responsabile cu prevenirea, identificarea si reactia la incidente cibernetice, respectiv implementarea de solutii pentru gestionarea evenimentelor din spatiul cibernetic si generarea de alerte cu privire la acestea;

d) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN a obligatiei privind aplicarea politicilor de securitate, potrivit art.20 ali.(1) lit.f);

e) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN a obligatiei de notificare impuse potrivit art. 20 alin. (1), lit. h);

f) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN a cerintelor minime de securitate cibernetica, a modalitatii de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea prevazuta la art. 20 alin. (1), lit. i);

g) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN care au transmis notificarea in conditiile prevazute la art. 20 alin. (2) a obligatiilor de aplicare a planurilor de securitate sau de actiune, respectiv de a permite autoritatilor competente sa intervina, precum si a obligatiei de a retine si asigura integritatea datelor referitoare la incidentele cibernetice, prevazute la art. 21 alin. (2) lit. c) si lit. d);

h) incalcarea de catre detinatorii de sau cei care au in responsabilitate ICIN a obligatiei de a mentine permanent legatura cu autoritatile competente potrivit legii, stabilite de prevederile art. 21 alin. (2) lit. b);

i) nerespectarea de catre furnizorii de retele publice sau servicii de comunicatii electronice destinate publicului, detinatori de sau care au in administrare infrastructuri cibernetice a cerintelor minime stabilite de ANCOM, a modalitatii de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea, in temeiul art. 23 alin. (3) lit.a) si c) precum si refuzul de a se supune notificarii potrivit art.23 alin.(3) lit.c).

j) nerespectarea obligatiei de notificare a clientilor de catre detinatorii de infrastructuri cibernetice, furnizori de servicii de internet, prevazuta la art. 18.

Art.29 - (1) Contraventiile prevazute la art. 28 se sanctioneaza, astfel:

a) cu amenda de la 500 lei la 5.000, pentru savarsirea contraventiilor prevazute la art. 28 lit. a) si h)- j);

b) cu amenda de la 1.000 la 10.000 lei, pentru savarsirea contraventiilor prevazute la art. 28 lit. b) - g).

(2) Sanctiunile prevazute la alin. (1) se aplica si in cazul persoanelor juridice.

(3) Dispozitiile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile ulterioare se aplica in mod corespunzator".

  • Conducerea Consiliului Operativ de Securitate Cibernetica (COSC) va fi asigurata de Consilierul Prezidential pentru aparare si securitate nationala, in calitate de presedinte si de Consilierul Primului Ministru pe probleme de securitate nationala - in calitate de vicepresedinte. In prezent, cele doua functii sunt detinute de Iulian Fota si, respectiv, Sorin Encutescu.

In vederea asigurarii cadrului general de cooperare pentru realizarea securitatii cibernetice, proiectul de lege prevede ca se va constitui Sistemul National de Securitate Cibernetica (SNSC), care reuneste autoritatile si institutiile publice cu responsabilitati si capabilitati in domeniu.

Activitatea SNSC este coordonata la nivel strategic de Consiliul Suprem de Aparare a Tarii (CSAT), iar coordonarea unitara a activitatilor SNSC se realizeaza de catre Consiliul Operativ de Securitate Cibernetica (COSC).

COSC este format din reprezentanti ai Ministerului Apararii Nationale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informationala, Serviciului Roman de Informatii, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, Oficiului Registrului National al Informatiilor Secrete de Stat, precum si Secretarul Consiliului Suprem de Aparare a Tarii.

Conducerea COSC este asigurata de Consilierul Prezidential pentru aparare si securitate nationala, in calitate de presedinte si de Consilierul Primului Ministru pe probleme de securitate nationala - in calitate de vicepresedinte.

Consilierul Presedintiei pentru Securitate si Aparare este Iulian Fota, iar consilierul de stat pe probleme de Securitate al Prim-Ministrului este Sorin Encutescu.

  • Cine va suporta costurile aplicarii acestei Legi

"Art.31 - (1) La nivelul persoanelor juridice de drept public, fondurile necesare organizarii si desfasurarii activitatii in conditiile prezentei legi se asigura de la bugetul de stat, din venituri extrabugetare si din alte surse legal constituite, anual, potrivit legii.

(2) Pentru buna desfasurare a activitatilor specifice pot fi utilizate si fonduri provenite din credite externe contractate sau garantate de stat si ale caror rambursare, dobanzi si alte costuri se asigura din fonduri publice, precum si din fonduri externe sau europene.

(3) La nivelul persoanelor juridice de drept privat, cheltuielile legate de asigurarea punerii in executare a dispozitiilor prezentei legi sunt deductibile fiscal in conditiile si cuantumul stabilit de Ministerul Finantelor Publice, in conditiile Codului fiscal, aprobat prin Legea nr.571/2003, cu modificarile si completarile ulterioare".

  • Cand va intra in vigoare Legea securitatii cibernetice a Romaniei

In proiectul de lege se mentioneaza ca documentul va intra in vigoare la 30 de zile de la publicarea in Monitorul Oficial al Romaniei, Partea I. In termen de 90 de zile de la data publicarii in Monitorul Oficial al Romaniei, Partea I, Guvernul aproba normele metodologice de aplicare a prezentei legi.