În contextul creșterii amenințărilor cibernetice, precum și conform cerințelor asumate prin Planul Național de redresare și reziliență (PNRR), Componenta 7 (Transformare digitală) – Reforma 3 (Asigurarea securității cibernetice a entităților publice și private care dețin infrastructuri cu valențe critice), România a stabilit cadrul juridic pentru desfășurarea activităților din domeniul securității cibernetice prin adoptarea Legii nr. 58/2023 privind securitatea și apărarea cibernetică a României.
Legea stabilește cadrul juridic și instituțional privind organizarea și desfășurarea activităților din domeniile securitate și apărare cibernetică, mecanismele de cooperare și responsabilitățile instituțiilor cu atribuții în domeniile menționate. Securitatea și apărarea cibernetică se realizează prin adoptarea și implementarea de politici și măsuri în scopul cunoașterii, prevenirii și contracarării vulnerabilităților, riscurilor și amenințărilor în spațiul cibernetic.
Obiectivele legii sunt următoarele:
a) asigurarea rezilienței și protecției rețelelor și sistemelor informatice ce susțin funcțiile de apărare, securitate națională, ordine publică și guvernare;
b) desemnarea autorităților competente și stabilirea cadrului legal de dezvoltare a capabilităților necesare îndeplinirii responsabilităților acestora în domeniile securității și apărării cibernetice;
c) menținerea sau restabilirea climatului de securitate cibernetică la nivel național, prin cooperarea între autoritățile competente și asigurarea coordonării unitare de către Consiliul Operativ de Securitate Cibernetică, a persoanelor juridice responsabile de securitatea cibernetică proprie și asigurarea unei reacții rapide și eficiente la amenințările provenite din spațiul cibernetic;
d) stabilirea și separarea responsabilităților și/sau atribuțiilor funcționale între furnizorii de rețele, sisteme și servicii informatice, autoritățile de aplicare a legii, structurile din cadrul instituțiilor cu atribuții în domeniul securității și apărării cibernetice, astfel încât să se asigure un nivel ridicat de securitate cibernetică la nivel național;
e) dezvoltarea și consolidarea unei culturi de securitate cibernetică la nivel național, prin conștientizarea vulnerabilităților, riscurilor și amenințărilor, respectiv formarea unei conduite proactive și preventive.
Conform prevederilor articolului 3, alin.1, legea se aplică:
a) rețelelor și sistemelor informatice deținute, organizate, administrate, utilizate sau aflate în competența autorităților și instituțiilor publice din domeniul apărării, ordinii publice, securității naționale, justiției, situațiilor de urgenta, Oficiului Registrului National al Informațiilor Secrete de Stat;
b) rețelelor și sistemelor informatice deținute de persoanele fizice și juridice de drept privat și utilizate în vederea furnizării de servicii de comunicații electronice către autoritățile și instituțiile administrației publice centrale și locale;
c) rețelelor și sistemelor informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale, altele decât cele prevăzute la lit. a), precum și de persoane fizice și juridice care furnizează servicii publice ori de interes public, altele decât cele de la lit. b).
Așadar, legea se aplică tuturor autorităților și instituțiilor administrației publice centrale și locale care dețin, organizează, administrează și utilizează rețele și sisteme informatice, precum și persoanelor fizice și juridice care dețin, organizează, administrează și utilizează rețele și sisteme informatice și care furnizează servicii publice ori de interes public, deci atât furnizorilor de servicii publice din sectorul public, cât și persoanelor fizice și juridice de drept privat care furnizează servicii de interes public.
Entităților prevăzute la articolul 3 alin. (1) lit. b) și c) li se impune obligația de a notifica incidentele de securitate cibernetică, în termen de 48 de ore de la constatarea incidentului. Notificarea trebuie realizată prin intermediul Platformei naționale pentru raportarea incidentelor de securitate cibernetică (PNRISC). Această platformă este dezvoltată și administrată de Directoratul Naţional de Securitate Cibernetică.
Conform Legii, entitățile menționate la articolul 3 au următoarele obligații:
- Elaborarea de planuri proprii de acțiune pentru alertele de securitate cibernetică, conform metodologiei elaborate de DNSC.
- Asigurarea, pentru personalul propriu, formarea profesională, educația și instruirea în domeniul securității și apărării cibernetice prin cursuri, exerciții, conferințe, seminarii, precum și alte tipuri de activități. Autoritățile și instituțiile din domeniile apărării, ordinii publice și securității naționale pot organiza, la nivel instituțional sau interinstituțional, exerciții de securitate și apărare cibernetică. În acest sens, aceste autorități elaborează și adoptă un plan anual și multianual de exerciții de securitate și apărare cibernetică.
- Implementarea de procese de management al riscurilor de securitate cibernetică specifice lanțului de aprovizionare.
- Desemnarea de responsabili de securitate cibernetică pentru managementul furnizorilor terți.
- Organizarea de cursuri de instruire în domeniul managementului riscurilor de securitate cibernetică specifice lanțului de aprovizionare, respectiv introducerea de teme noi în cadrul cursurilor şi programelor de instruire existente.
- Dezvoltarea de capabilități avansate de testare și evaluare a riscurilor de securitate cibernetică în scopul identificării vulnerabilităților cibernetice ale echipamentelor, produselor software sau pieselor componente achiziționate sau dezvoltate la nivel instituțional.
În scopul organizării și desfășurării în mod unitar la nivel național a activităților specifice securității cibernetice, legea prevede înființarea Sistemului Naţional de Securitate Cibernetică, drept cadrul general de cooperare, în vederea coordonării acţiunilor la nivel naţional pentru așigurarea securităţii cibernetice. Șistemul Național de Securitate Cibernetică reunește următoarele autorități:
- DNSC (Directoratul Naţional de Securitate Cibernetică)
- MCID (Ministerului Cercetării, Inovării și Digitalizării)
- ANCOM (Autorităţea Naţională pentru Administrare şi Reglementare în Comunicaţii)
- MApN, MAI, MAE, SRI, ȘIE, STS, SPP și ORNISS
Aceste autorități constituie şi operaţionalizează structuri specializate în realizarea de audit de securitate cibernetică și structuri specializate de securitate cibernetică pentru gestionarea ameninţărilor cibernetice la adresa reţelelor şi șistemelor informatice din responsabilitate.
Conform legii, autoritățile menționate au următoarele obligații:
- să adopte planuri de acțiune corespunzătoare fiecărui nivel de alertă cibernetică;
- să acorde sprijin, în limita atribuțiilor, la solicitarea proprietarilor de rețele şi sisteme informatice aflate în domeniul lor de competență, activitate sau responsabilitate, pentru implementarea măsurilor corespunzătoare nivelurilor de alertă cibernetică;
- să desfăşoare activităţi de informare și comunicare publică, în limita atribuțiilor;
- să organizeze seșiuni de formare şi instruire în domeniul securității cibernetice, în limita atribuțiilor;
- să organizeze sau să participe la exerciții naționale de securitate cibernetică;
- să comunice reciproc date de interes referitoare la securitatea cibernetică, inclușiv către celelalte autorități și instituţii publice care dețin, organizează, administrează, utilizează sau au în competenţă reţele și șisteme informatice.
În concluzie, având în vedere faptul că atacurile și amenințările cibernetice pot paraliza complet instituțiile publice, infrastructurile critice și serviciile publice, a fost necesară adoptarea unei legi care să impună cadrul juridic și instituțional privind organizarea și desfășurarea activităților din domeniile de securitate și apărare cibernetică.
ℹ️ Articol susținut de OMEGA TRUST , partener în proiectul Wallachia eHUB(WEH) – o inițiativă dedicată transformării digitale sustenabile in administrație, economice și societate.
Vezi mai multe articole aici 👇
