Guvernul vrea să introducă amenzi pentru necomunicarea incidentelor de securitate și chiar să majoreze limitele maxime ale amenzilor legale care pot fi aplicate în astfel de cazuri, potrivit controversatului proiect de lege privind securitatea și apărarea cibernetică, aflat joi pe agenda Palatului Victoria.

CyberInt_SRIFoto: SRI

Informația pe scurt:

  • Se introduc amenzi pentru necomunicarea incidentelor de securitate, iar limitele maxime ale amenzilor vor fi majorate în astfel de cazuri
  • Atacurile cibernetice și campanii de propagandă sau dezinformare care afectează ordinea constituțională vor fi considerate amenințări la securitatea națională
  • Instituirea stării de asediu sau de urgență se va face și pentru rațiuni de securitate și apărare cibernetică

Proiectul de lege privind securitatea și apărarea cibernetică, despre care Asociația pentru Tehnologie și Internet (APTI) a avertizat că ar transforma furnizorii de servicii de securitate cibernetică în delatori profesioniști și ar permite acces sporit și discreționar către SRI ori MApN la problemele de securitate și la datele persoanelor private se află pe agenda de joi a Executivului.

Limitele maxime ale amenzilor vor fi majorate pentru necomunicarea incidentelor de securitate

Spre deosebire de versiunea anterioră, noul proiect vine cu o serie de noutăți, printre care introducerea de amenzi și chiar majorarea limitelor maxime ale amenzilor legale pentru necomunicarea incidentelor de securitate, prin derogare de la Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor.

  • „Soluția majorării limitelor maxime ale amenzilor pentru necomunicarea informațiilor privind incidentele cibernetice este justificată de amplitudinea fenomenului atacurilor și amenințărilor cibernetice care gravitează asupra României, atât în contextul transformării digitale a țării cât și a conflictelor de tip hibrid și convențional de la granițele statului.
  • De aceea, este nevoie de o strânsă cooperare între toți furnizorii de servicii de securitate cibernetică, pe de-o parte, și autoritățile publice cu atribuții în domeniul securității cibernetice, pe de altă parte, pentru a asigura un nivel ridicat și constant de securitate cibernetică la nivel național.”, se arată în nota de fundamentare.

Proiectul de lege instituie obligația notificării incidentelor de securitate cibernetică prin intermediul unei platforme naționale pentru raportarea incidentelor de securitate cibernetică, denumită PNRISC, de îndată dar nu mai târziu de 48 de ore de la constatarea incidentului.

Dacă incidentele de securitate cibernetică nu pot fi comunicate complet în termenul menționat anterior, acestea se transmit în cel mult 5 zile calendaristice de la notificarea inițială, informațiile putând fi completate și ulterior cu cele care reies din investigațiile realizate pe baza evenimentului.

Aceste obligații de notificare se vor aplica în cazurile prevăzute la Art. 3 (1):

  • b) rețelele și sistemele informatice deținute de persoanele fizice și juridice de drept privat și utilizate în vederea furnizării de servicii de comunicații electronice către autoritățile și instituțiile administrației publice centrale și locale.
  • c) rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale, altele decât cele prevăzute la lit. a), precum și de persoane fizice și juridice care desfășoară activități cu scop lucrativ și nelucrativ, de cercetare, dezvoltare, inovare și producție în domeniul tehnologia informației și a comunicațiilor, sau furnizează servicii publice ori de interes public, altele decât cele de la lit. b).

Alte obligații de notificare sunt impuse și furnizorilor de servicii tehnice de securitate cibernetică la articolul 25, astfel:

  • „Furnizorii de servicii tehnice de securitate cibernetică au obligația de a pune la dispoziția autorităților prevăzute la art. 10 (n.a. SRI, SIE, STS, SPP, MApN, MAI etc.), la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date și informații privind incidente, amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta o rețea sau un sistem informatic dintre cele prevăzute la art. 3 alin. 1, precum și interconectarea acestora cu terții și cu utilizatorii finali.
  • (2) Datele și informațiile prevăzute la alin. (1) nu vizează, prin scopul solicitării, date cu caracter personal și date de conținut. (..)”

Neîndeplinirea acestor obligații de comunicare a informațiilor privind incidentele de securitate vor fi considerate contravenții și prin derogare de la dispoziţiile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, se vor sancţiona astfel:

  • a) cu amendă de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 200.000 lei;
  • b) pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, cu amendă în cuantum de până la 5% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 10% din cifra de afaceri netă.

Ce autorități vor putea accesa datele din platforma IT cu incidentele de securitate

Proiectul de lege prevede că Directoratul Național de Securitate Cibernetică (DNSC) dezvoltă și asigură managementul Platformei naționale pentru raportarea incidentelor de securitate cibernetică, denumită PNRISC.

  • „PNRISC se află în spațiul civil, sub control democratic, fiind gestionat de DNSC în calitate de autoritate națională civilă în domeniul securității cibernetice.”, se arată în nota de fundamentare.

Pe de altă parte, nu doar DNSC va avea acces la datele din această platformă IT, ci toate autoritățile prevăzute la art.10 din proiectul de lege, pentru îndeplinirea responsabilităților care le revin, conform legii.

Articolul 10 din proiectul de lege prevede care sunt autoritățile competente în sensul prezentei legi, astfel:

  • a) DNSC, pentru spațiul cibernetic național civil, conform prevederilor prezentei legi și ale Ordonanței de urgență nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică, aprobată, cu modificări și completări, prin Legea nr. 11/2022;
  • b) Ministerul Cercetării, Inovării și Digitalizării (MCID), pentru elaborarea și inițierea actelor normative și politicilor publice naționale în domeniul securității cibernetice, a transformării digitale, societății informaționale, comunicațiilor, cercetării, dezvoltării și inovării.
  • c) ANCOM, pentru coordonarea activităților desfășurate în vederea asigurării securității cibernetice a rețelelor și sistemelor informatice proprii și a celor prevăzute la art. 3 alin (1) lit. b);
  • d) MApN, MAI, MAE, ORNISS, SRI, SIE, STS și SPP, conform atribuțiilor de la art. 11-18.

Proiectul de lege mai prevede că ”procesarea informațiilor din PNRISC se realizează cu respectarea politicilor de confidențialitate și transparență stabilite și implementate de DNSC.”

Ce atribuții vor avea SRI, SIE, SPP, STS, MApN ori MAI

Proiectul definește și atribuțiile acestor autorități astfel:

1. MApN este autoritate competentă la nivel național în domeniul apărării cibernetice, iar în sensul prezentei legi are atribuții în domeniul securității cibernetice pentru rețelele și sistemele informatice care susțin capabilitățile militare de apărare.

2. MAI, prin structura specializată, este autoritatea competentă la nivel național în domeniul securității cibernetice pentru cunoașterea, prevenirea, identificarea și contracararea amenințărilor, vulnerabilităților și riscurilor la adresa sistemelor informatice, rețelelor de comunicații și serviciilor electronice din domeniul de competență.

3. MAE este autoritate competentă, la nivel național, în domeniul diplomației cibernetice, pentru asigurarea componentei diplomatice și de relații internaționale aferente securității cibernetice (..)

4. SRI este autoritate competentă la nivel național în domeniul cyber intelligence, precum și pentru cunoașterea, analizarea, prevenirea și contracararea incidentelor și atacurilor cibernetice care reprezintă amenințări, riscuri și vulnerabilități la adresa securității naționale a României.

Prevenirea și combaterea amenințărilor de tip APT la adresa rețelelor și sistemelor informatice din domeniul de competență, activitate sau responsabilitate, după caz, ale instituțiilor și autorităților prevăzute la art.10, se realizează, astfel:

  • a) de către MApN potrivit competențelor prevăzute la art.11;
  • b) de către MAI potrivit competențelor prevăzute la art.12;
  • c) de către SIE potrivit competențelor prevăzute la art.15;
  • d) de către STS potrivit competențelor prevăzute la art.16;
  • e) de către SPP potrivit competențelor prevăzute la art.17;
  • f) de către SRI, în toate celelalte cazuri.

În situația existenței unor amenințări cibernetice la adresa rețelelor și sistemelor informatice prevăzute la art. 3 alin. (1) lit. b) și lit. c), care ar aduce atingere securității naționale, SRI informează ANCOM și DNSC, în condițiile legii.

5. SIE este autoritate competentă pentru cunoașterea, analizarea, prevenirea și contracararea incidentelor și atacurilor cibernetice care reprezintă amenințări, riscuri și vulnerabilități la adresa rețelelor și sistemelor informatice din responsabilitate.

6. STS este autoritate competentă în domeniul securității cibernetice pentru infrastructurile, rețelele, sistemele, serviciile proprii și spectrul de frecvențe radio proprii, precum și pentru cele reglementate prin legi speciale.

7. SPP este autoritate competentă în domeniul securității cibernetice pentru infrastructurile, rețelele, sistemele și serviciile proprii, coordonează măsurile de securitate cibernetică pentru demnitarii cărora, conform legii, le asigură protecție și acționează, independent sau în cooperare cu celelalte structuri din domeniile apărării, ordinii publice și securității naționale, pentru implementarea acestora.

Atacurile cibernetice și campanii de propagandă sau dezinformare care afectează ordinea constituțională - amenințări la securitatea națională

Noul proiect de lege privind securitatea și apărarea cibernetică aduce completări și altor legi.

Astfel, prin proiectul de lege se completează art. 3 din Legea nr. 51/1991 privind securitatea națională a României cu următoarele tipuri de amenințări:

  • - acțiuni și inacțiuni de natură a afecta interesele și obiectivele naționale de securitate pe linia infrastructurilor de comunicații și tehnologia informației de interes național, respectiv amenințări sau atacuri cibernetice asupra infrastructurilor informatice și de comunicații de interes național;
  • - acțiuni, inacțiuni sau stări de fapt cu consecințe la nivel național, regional sau global care afectează reziliența statului român în raport cu riscurile și amenințările de tip hibrid;
  • - acțiuni derulate de către o entitate statală sau grupare ostilă, prin realizarea, în spațiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituțională.

În nota de fundamentare sunt furnizate următoarele detalii:

  • Acțiunile de propagandă și dezinformare vizate sunt doar cele care afectează ordinea constituțională, adică setul de principii fundamentale pe care este constituit statul român, regimul constituțional de drepturi și libertăți fundamentale, regimul constituțional al funcționării autorităților publice de rang constituțional protejarea garanțiilor prevăzute de Constituție.
  • Menționăm că aceste amenințări instituite au relevanță doar pentru activitatea de informații și contrainformații, activitate desfășurată doar de autoritățile competente potrivit art. 6 din Legea nr. 51/1991.
  • Prin prezentul proiect de lege nu se pot desfășura activități de natură a restrânge exercițiul unor drepturi și libertăți fundamentale și nici activități specifice culegerii de informații, precum nici activități de contrainformații.
  • Prezenta lege reglementează activitatea de cyberintelligence și counter cyber intelligence doar la nivel conceptual, urmând ca definițiile să se completeze corespunzător cu dreptul material prevăzut în Legea nr. 51/1991 și alte legi speciale din domeniul securității naționale.”.

Instituirea stării de asediu sau de urgență se va face și pentru rațiuni de securitate și apărare cibernetică

O altă completare adusă de proiectul de lege este la Ordonanţa de urgenţă a Guvernului nr. 1/1999 privind regimul stării de asediu şi regimul stării de urgenţă.

  • „Având în vedere că atacurile și amenințările cibernetice pot paraliza complet instituții publice, infrastructuri critice și servicii publice, este nevoie ca statul să poată institui situațiile excepționale, la nevoie, în acord cu limitele și condițiile impuse de Constituție.
  • Pentru a da această prerogativă autorităților competente, proiectul de lege prevede posibilitatea instituirii stării de asediu sau de urgență pentru rațiuni de securitate cibernetică și apărare cibernetică, prevederile prezentului proiect completându-se corespunzător cu Ordonanţa de urgenţă a Guvernului nr. 1/1999 privind regimul stării de asediu şi regimul stării de urgenţă”, se arată în nota de fundamentare.

Proiectul de lege nu modifică conținutul și regimul juridic al stării de urgență și de asediu reglementat de OUG nr. 1/1999, ci instituie doar cauzele de securitate cibernetică și apărare cibernetică drept rațiuni/ motive de instituire a acestor stări excepționale.

După ce va fi adoptat de Guvern, proiectul de lege va merge pentru dezbatere și adoptare în Parlament.