Legea care infiinteaza Sistemul National de Securitate Cibernetica a trecut de Parlament. Este OBLIGATORIE raportarea breselor de securitate in 48 de ore

Parlamentul a adoptat legea securitatii si apararii cibernetice, care prevede infiintarea Sistemului National de Securitate Cibernetica in scopul organizarii si desfasurarii in mod unitar la nivel national a activitatilor specifice.

Proiectul de lege cuprinde cadrul juridic si institutional referitor la organizarea si desfasurarea activitatilor din domeniile securitate cibernetica si aparare cibernetica, a mecanismelor de cooperare si a responsabilitatilor institutiilor cu atributii in aceste domenii. Actul normativ stabileste actiunea autoritatilor si institutiilor publice cu responsabilitati si capabilitati specifice prevenirii si contracararii amenintarilor, vulnerabilitatilor si riscurilor cibernetice.

"Securitatea si apararea cibernetica se realizeaza prin adoptarea si implementarea de politici si masuri in scopul cunoasterii, prevenirii si contracararii vulnerabilitatilor, riscurilor si amenintarilor in spatiul cibernetic", prevede proiectul, potrivit Agerpres.

In scopul organizarii si desfasurarii in mod unitar la nivel national a activitatilor specifice securitatii cibernetice, se infiinteaza Sistemul National de Securitate Cibernetica (SNSC) drept cadru general de cooperare care reuneste autoritatile cu responsabilitati si capabilitati in domeniile de aplicare a legii, in vederea coordonarii actiunilor la nivel national pentru asigurarea securitatii cibernetice.
 

a) retelele si sistemele informatice detinute, organizate, administrate, utilizate sau aflate in competenta autoritatilor si institutiilor publice din domeniul apararii, ordinii publice, securitatii nationale, justitiei, situatiilor de urgenta, Oficiului Registrului National al Informatiilor Secrete de Stat;

b) retelele si sistemele informatice detinute de persoanele fizice si juridice de drept privat si utilizate in vederea furnizarii de servicii de comunicatii electronice catre autoritatile si institutiile administratiei publice centrale si locale;

c) retelele si sistemele informatice detinute, organizate, administrate sau utilizate de autoritati si institutii ale administratiei publice centrale si locale, altele decat cele prevazute anterior la lit. a), precum si de persoane fizice si juridice care desfasoara activitati cu scop lucrativ si nelucrativ de cercetare, dezvoltare, inovare si productie in domeniul tehnologia informatiei si a comunicatiilor sau furnizeaza servicii publice ori de interes public, altele decat cele de la lit. b).
 

Persoanele care au in responsabilitate aceste retele si sisteme informatice au obligatia de a notifica incidentele de securitate cibernetica prin intermediul Platformei Nationale pentru Raportarea Incidentelor de Securitate Cibernetica (PNRISC), de indata, dar nu mai tarziu de 48 de ore de la constatarea incidentului. Daca incidentele de securitate cibernetica nu pot fi comunicate complet in acest termen, acestea se transmit in cel mult 5 zile calendaristice de la notificarea initiala, informatiile putand fi completate si ulterior cu cele care reies din investigatiile realizate pe baza evenimentului.

Conform proiectului, "furnizorii de servicii tehnice de securitate cibernetica au obligatia de a pune la dispozitia autoritatilor (...), la cererea motivata a acestora, in termen de maximum 48 de ore de la data primirii solicitarii, date si informatii privind incidente, respectiv in maximum 5 zile de la data primirii solicitarii, amenintari, riscuri sau vulnerabilitati a caror manifestare poate afecta o retea sau un sistem informatic, precum si interconectarea acestora cu tertii si cu utilizatorii finali".

Actul normativ stabileste sanctiuni in cazul nerespectarii de catre aceste persoane a obligatiei de notificare a incidentelor de securitate cibernetica, prin intermediul PNRISC, in termenul prevazut, a obligatiei de comunicare completa a incidentelor de securitate cibernetica, precum si pentru nerespectarea de catre furnizorii de servicii de securitate cibernetica a obligatiei de a pune la dispozitia autoritatilor date si informatii privind incidente, amenintari, riscuri sau vulnerabilitati a caror manifestare poate afecta o retea sau sistem informatic al detinatorului sau al unor terti, in termenul stabilit.
 

Sunt prevazute amenzi de la 5.000 lei la 50.000 lei, iar in cazul savarsirii unei noi contraventii in termen de sase luni limita maxima este de 200.000 lei.

Pentru operatorii economici cu o cifra de afaceri neta de peste 1.000.000 lei sanctiunea va fi cu amenda in cuantum de pana la 1% din cifra de afaceri neta, iar, in cazul savarsirii unei noi contraventii, in termen de sase luni limita maxima a amenzii este de 3% din cifra de afaceri neta, potrivit unui amendament admis la comisiile de specialitate din Senat.