Legea privind securitatea cibernetica a Romaniei. Vezi ce spune!

Scris de Coriolan Onescu | Publicat in 21.12.2014 13:01 | Publicat in NATIONAL | Tipareste pagina

Senatul a adoptat, in calitate de Camera decizionala, proiectul de lege privind securitatea cibernetica a Romaniei, care prevede constituirea Sistemului Naţional de Securitate Cibernetica (SNSC), acesta reunind autoritaţile şi instituţiile publice cu responsabilitaţi şi capacitaţi in domeniu.
Legea are caracter organic şi a fost adoptata tacit de Camera Deputaţilor.

Potrivit proiectului de lege, autoritaţile şi instituţiile publice din SNSC colaboreaza cu deţinatorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociaţiile profesionale şi organizaţiile neguvernamentale.
Activitatea SNSC va fi coordonata, la nivel strategic, de catre Consiliul Suprem de Aparare a Ţarii (CSAT), iar coordonarea unitara a activitaţilor Sistemului se va realiza de catre Consiliul Operativ de Securitate Cibernetica (COSC), acesta din urma fiind constituit din reprezentanţi ai Ministerului Apararii Naţionale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informaţionala, Serviciului Roman de Informaţii, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Paza, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, precum şi Secretarul Consiliului Suprem de Aparare a Ţarii.

De asemenea, la nivel naţional se constituie Sistemul Naţional de Alerta Cibernetica (SNAC), reprezentand "un ansamblu organizat de masuri tehnice şi proceduri şi principalul mijloc al SNSC destinat prevenirii şi contracararii activitaţilor de natura sa afecteze securitatea cibernetica".
Se are in vedere, totodata, şi constituirea Catalogului ICIN de catre Ministerul pentru Societatea Informaţionala, in colaborare cu Autoritatea Naţionala pentru Administrare şi Reglementare in Comunicaţii (ANCOM) şi cu consultarea COSC, la propunerea Centrului Naţional de Securitate Cibernetica (CNSC) din cadrul SRI sau, dupa caz, a Centrului Naţional de Raspuns la Incidente de Securitate Cibernetica (CERT-RO).
Totodata, actul normativ iniţiat de Guvernul Romaniei reglementeaza şi obligaţiile ce revin persoanelor juridice de drept public sau privat in scopul protejarii infrastructurilor cibernetice, iar nerespectarea acestor obligaţii poate fi sancţionata, dupa caz, cu 500 lei pana la 10.000 lei.

LEGEA SECURITAŢII CIBERNETICE A ROMÂNIEI

CAPITOLUL I – DISPOZITII  GENERALE

Art. 1 -  Prezenta lege stabileste cadrul general de reglementare a activitatilor in domeniul securitatii cibernetice şi obligatiile ce revin persoanelor juridice de drept public sau privat in scopul protejarii infrastructurilor cibernetice.
Art. 2 -  Dispozitiile prezentei legi se aplica persoanelor juridice de drept public sau privat, care au calitatea de proprietari, administratori, operatori sau utilizatori de infrastructuri cibernetice, denumite in continuare detinatori de infrastructuri cibernetice.
    
Art. 3 -  (1) Securitatea cibernetica este componenta a securitatii nationale a Romaniei si se realizeaza prin:
a) cunoasterea, prevenirea si contracararea amenintarilor si atacurilor, precum si prin diminuarea vulnerabilitatilor infrastructurilor cibernetice, in scopul gestionarii riscurilor la adresa securitatii acestora;
b) prevenirea si combaterea criminalitatii informatice;
c) apararea cibernetica.
    (2) Prevenirea criminalitatii informatice se realizeaza in conditiile Legii nr.161/2003 privind unele masuri pentru asigurarea transparentei in exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri, prevenirea si sanctionarea coruptiei, cu modificari si completari. Combaterea criminalitatii informatice se efectueaza de organele judiciare in conditiile legislatiei penale si procesual penale.
Art. 4 - Securitatea cibernetica vizeaza:
a) realizarea rezilientei infrastructurilor cibernetice;
b) cresterea capacitatii de reactie la incidentele cibernetice si diminuarea impactului acestora asupra resurselor si serviciilor infrastructurilor cibernetice;
c) asigurarea protectiei datelor gestionate prin intermediul infrastructurilor cibernetice;
d) asigurarea nivelului de incredere necesar pentru dezvoltarea societatii informationale si a mediului de afaceri in spatiul cibernetic;
e) realizarea accesului egal si nediscriminatoriu al persoanelor la informatii si servicii publice oferite prin intermediul infrastructurilor cibernetice;
f) guvernanta participativa, democratica si eficienta a spatiului cibernetic;
g) responsabilizarea detinatorilor de infrastructuri cibernetice pentru asigurarea securitatii cibernetice;
h) asigurarea climatului de exercitare neingradita a drepturilor si libertatilor fundamentale ale persoanelor in spatiul cibernetic.
Art. 5 - In sensul prezentei legi, termenii si expresiile utilizate au urmatorul inteles:
1. amenintare cibernetica - circumstanta sau eveniment care constituie un pericol potential la adresa securitatii cibernetice;
2. aparare cibernetica – actiuni desfasurate in scopul protejarii, monitorizarii, analizarii, detectarii, contracararii agresiunilor si asigurarii raspunsului oportun impotriva amenintarilor asupra infrastructurilor cibernetice destinate apararii nationale;
3. atac cibernetic - actiune ostila desfasurata in spatiul cibernetic de natura sa afecteze securitatea cibernetica;
4. audit de securitate cibernetica – evaluare sistematica, detaliata, masurabila si tehnica a modului in care politicile de securitate cibernetica sunt aplicate la nivelul infrastructurilor cibernetice, precum si emiterea de recomandari pentru minimizarea riscurilor identificate;
5. criminalitate informatica - totalitatea faptelor prevazute de legea penala sau de alte legi speciale care prezinta pericol social si sunt savarsite cu vinovatie, prin intermediul ori asupra infrastructurilor cibernetice;
6. incident cibernetic - eveniment survenit in spatiul cibernetic ale carui consecinte afecteaza securitatea cibernetica;
7. eveniment survenit in spatiul cibernetic – actiune desfasurata in spatiul cibernetic care are drept consecinta modificarea starii infrastructurilor cibernetice;
8. infrastructuri cibernetice - infrastructuri din domeniul tehnologiei informatiei si comunicatiilor, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice;
9. infrastructuri cibernetice de interes national (ICIN) - infrastructurile cibernetice care sustin servicii publice sau de interes public, ori servicii ale societatii informationale, a caror afectare poate aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia;
10. managementul identitatii - metode de validare a identitatii persoanelor cand acestea acceseaza anumite infrastructuri cibernetice;
11. managementul riscului - un proces complex, fcontinuu si flexibil de identificare, evaluare si contracarare a riscurilor la adresa securitatii cibernetice, bazat pe utilizarea unor tehnici si instrumente complexe, pentru prevenirea pierderilor de orice natura;
12. operatii in retele de calculatoare - procesul complex de planificare, coordonare, sincronizare, armonizare si desfasurare a actiunilor in spatiul cibernetic pentru protectia, controlul si utilizarea retelelor de calculatoare, in scopul obtinerii superioritatii informationale, concomitent cu neutralizarea capabilitatilor adversarului;
13. rezilienta infrastructurilor cibernetice - capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic si de a reveni la starea de normalitate;
14. risc de securitate in spatiul cibernetic - probabilitatea ca o amenintare sa se materializeze, exploatand o anumita vulnerabilitate specifica infrastructurilor cibernetice;
15. securitate cibernetica - starea de normalitate rezultata in urma aplicarii unui ansamblu de masuri proactive si reactive prin care se asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si nonrepudierea informatiilor in format electronic, a resurselor si serviciilor publice sau private, din spatiul cibernetic. Masurile proactive si reactive pot include politici, concepte, standarde si ghiduri de securitate, managementul riscului, activitati de instruire si constientizare, implementarea de solutii tehnice de protejare a infrastructurilor cibernetice, managementul identitatii, managementul consecintelor;
16. spatiu cibernetic - mediul virtual, generat de infrastructurile cibernetice, incluzand continutul informational procesat, stocat sau transmis, precum si actiunile derulate de utilizatori in acesta;
17. vulnerabilitate in spatiul cibernetic - slabiciune in proiectarea si implementarea infrastructurilor cibernetice sau a masurilor de securitate aferente care poate fi exploatata de catre o amenintare.

CAPITOLUL II – Sistemul National de Securitate Cibernetica
 
Art. 6 - (1) In vederea asigurarii cadrului general de cooperare pentru realizarea securitatii cibernetice se constituie Sistemul National de Securitate Cibernetica, denumit in continuare SNSC, care reuneste autoritatile si institutiile publice cu responsabilitati si capabilitati in domeniu.
    (2) Autoritatile si institutiile publice din SNSC colaboreaza cu detinatorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociaţiile profesionale şi organizaţiile neguvernamentale.
    (3) Activitatea SNSC este coordonata la nivel strategic de Consiliul Suprem de Aparare a Tarii, denumit in continuare CSAT.
Art. 7 - (1) SNSC indeplineste urmatoarele functii:
    a) functia de cunoastere, care furnizeaza suportul informational necesar elaborarii masurilor proactive si reactive, in vederea asigurarii securitatii cibernetice;
    b) functia de prevenire, care reprezinta principalul mijloc de asigurare a securitatii cibernetice, prin crearea si dezvoltarea capabilitatilor necesare analizei si prognozei evolutiei starii acesteia;
    c) functia de cooperare si coordonare, care asigura mecanismul unitar si eficient de relationare in cadrul SNSC;
    d) functia de contracarare, care asigura reactia eficienta la amenintarile sau atacurile cibernetice, prin identificarea si blocarea manifestarii acestora. Aceasta se realizeaza in scopul mentinerii sau restabilirii securitatii infrastructurilor cibernetice vizate, precum si pentru identificarea si sanctionarea autorilor, potrivit legii.
    (2) Functiile SNSC se realizeaza prin adoptarea de masuri proactive si reactive privind informarea, monitorizarea, diseminarea, analizarea, avertizarea, coordonarea, decizia, reactia, refacerea si constientizarea.
Art. 8 - (1) Coordonarea unitara a activitatilor SNSC se realizeaza de catre Consiliul Operativ de Securitate Cibernetica, denumit in continuare COSC.
    (2) COSC este format din reprezentanti ai Ministerului Apararii Nationale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informationala, Serviciului Roman de Informatii, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, precum şi Secretarul Consiliului Suprem de Aparare a Tarii.
    (3) Conducerea COSC este asigurata de Consilierul Prezidential pentru aparare si securitate nationala, in calitate de presedinte si de Consilierul Primului Ministru pe probleme de securitate nationala – in calitate de vicepresedinte.
    (4) COSC isi desfasoara activitatea in conformitate cu propriul Regulament de Organizare si Functionare, care se aproba prin hotarare a CSAT, la propunerea Consilierul Prezidential pentru aparare şi securitate nationala, in termen de 60 de zile de la intrarea in vigoare a prezentei legi.
    (5) La activitatile COSC pot participa, in calitate de invitati, reprezentanti ai altor institutii sau autoritati publice.
Art. 9 - (1) In exercitarea atributiilor sale, COSC analizeaza si evalueaza starea securitatii cibernetice, formuleaza si inainteaza CSAT propuneri privind:
a) masuri de armonizare a reactiei autoritatilor competente ale statului in situatii generate de amenintari si atacuri cibernetice, care necesita schimbarea nivelului de alerta cibernetica;
b) solicitarea de asistenta din partea altor state sau organizatii si organisme internationale;
c) modalitatea de raspuns la solicitarile de asistenta adresate Romaniei din partea altor state sau organizatii si organisme internationale;
d) planuri sau directii de actiune, in functie de concluziile rezultate si evolutia spatiului cibernetic;
e) directii de dezvoltare sau programe de investitii in domeniul securitatii cibernetice;
f) cerinte minime de securitate cibernetica si politici de securitate cibernetica pentru  autoritatile si institutiile publice prevazute la art.10 alin.(1) si (2).
    (2) COSC coopereaza pentru realizarea securitatii cibernetice cu organismele de coordonare sau conducere constituite, potrivit legii, la nivel national, pentru managementul situatiilor de urgenta, a actiunilor in situatii de criza in domeniul ordinii publice, pentru prevenirea si combaterea terorismului si pentru apararea nationala, asa cum sunt acestea prevazute de legislatia in domeniu.
Art. 10 - (1) Serviciul Roman de Informatii este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC, precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI funcţioneaza Centrul Naţional de Securitate Cibernetica (CNSC).
 (2) Ministerul Apararii Nationale, Ministerul Afacerilor Interne, Oficiul Registrului National al Informatiilor Secrete de Stat, Serviciul de Informatii Externe,  Serviciul de Telecomunicatii Speciale si Serviciul de Protectie si Paza sunt desemnate autoritati in domeniul securitaţii cibernetice pentru domeniile lor de activitate,  asigurand securitatea infrastructurilor cibernetice proprii sau aflate in responsabilitate potrivit legii si au obligatia sa constituie si sa operationalizeze structuri specializate de securitate cibernetica.
(3) CNSC coopereaza cu autoritatile si institutiile publice componente ale SNSC, precum si cu detinatorii de infrastructuri cibernetice.
(4) In caz de atac cibernetic care poate afecta securitatea cibernetica a Romaniei, CNSC este punct de contact pentru relationarea cu organismele similare din strainatate.
(5) CERT-RO reprezinta un punct national de contact cu structurile de tip CERT care functioneaza in cadrul institutiilor sau autoritatilor publice ori al altor persoane juridice de drept public sau privat, nationale ori internationale, cu respectarea competentelor ce revin celorlalte autoritati si institutii publice cu atributii in domeniu, potrivit legii.
Art. 11 - (1) CNSC are urmatoarele atributii principale:
a) actioneaza in scopul cunoasterii, prevenirii, protectiei, reactiei si managementului consecintelor amenintarilor si atacurilor cibernetice;
b) asigura schimbul de date si informatii intre autoritatile si institutiile publice
componente ale SNSC;
c) analizeaza si integreaza date si informatii obtinute de autoritatile si institutiile publice componente ale SNSC, in scopul stabilirii, intreprinderii sau propunerii masurilor ce se impun pentru asigurarea securitatii cibernetice;
d) asigura colectarea si identificarea evenimentelor survenite in spatiul cibernetic;
e) genereaza avertizari pentru detinatorii de infrastructuri cibernetice si ICIN  cu privire la posibile incidente de securitate cibernetica si emite recomandari cu privire la modalitatea de actiune;
f) primeste notificarile facute de persoanele juridice de drept public care detin sau administreaza ICIN, potrivit art. 19 alin. (1) lit. g);
g) transmite autoritatilor si institutiilor publice competente din cadrul SNSC datele si informatiile necesare punerii in aplicare a masurilor specifice de actiune corespunzatoare fiecarui nivel de alerta cibernetica;
h) elaboreaza propuneri cu privire la nivelul de alerta cibernetica pe care le inainteaza COSC, in baza analizelor si evaluarilor efectuate cu privire la starea de securitate cibernetica la nivel national;
i) inainteaza propuneri catre COSC cu privire la declararea nivelurilor de alerta cibernetica;
j) in caz de atac cibernetic, asigura colectarea si evaluarea datelor si informatiilor cu privire la incident, propune masuri reactive de prima urgenta pentru asigurarea integritatii datelor si remedierea situatiei de fapt, informeaza potrivit legii, organele competente pentru investigare si cercetare, sau, dupa caz, sesizeaza organele de urmarire penala.
(2) Autoritatile si institutiile publice din componenta COSC deleaga un reprezentant in cadrul CNSC.
    (3) Cadrul general de organizare si functionare a CNSC se aproba prin hotarare a CSAT, la propunerea SRI, in termen de 60 de zile de la intrarea in vigoare a prezentei legi.
Art. 12 - Autoritaţile şi instituţiile publice prevazute la art. 10 alin. (1) si (2) asigura securitatea infrastructurilor cibernetice proprii sau aflate in responsabilitate potrivit legii si in acest sens exercita urmatoarele atributii generale:
a) elaboreaza si implementeaza politici de securitate si programe destinate managementului riscurilor de securitate cibernetica;
b) asigura managementul incidentelor de securitate cibernetica;
c) controleaza modul in care se asigura securitatea cibernetica;
d) elaboreaza si aproba cadrul specific de reglementare destinat asigurarii securitatii cibernetice, cu respectarea cerintelor stabilite la nivel national;  
e) contribuie conform competentelor legale la asigurarea securitatii cibernetice in cadrul SNSC;
f) coopereaza si schimba date si informatii referitoare la securitatea cibernetica cu CNSC si cu celelalte autoritati si institutii publice sau detinatori de infrastructuri cibernetice;
g) sesizeaza sau solicita convocarea COSC, potrivit propriilor competente si ori de cate ori se impune, inclusiv pentru ridicarea nivelului de alerta;
h) asigura colectarea si evaluarea datelor si informatiilor cu privire la incidente si atacuri cibernetice, ia masuri reactive de prima urgenta pentru asigurarea integritatii datelor si remedierea situatiei de fapt.
Art. 13 -  (1) In vederea realizarii coerentei activitatilor din cadrul SNSC, Ministerul pentru Societatea Informationala asigura legatura COSC cu autoritatile si institutiile publice care nu sunt reprezentate in cadrul acestuia, iar prin Centrul National de Raspuns la Incidente de Securitate, denumit in continuare CERT-RO, cu detinatorii de infrastructuri cibernetice, persoane juridice de drept privat.
    (2) In cazul persoanelor prevazute la art. 22 alin. (1), pentru realizarea dispoziţiilor alin. (1), Ministerul pentru Societatea Informationala va colabora cu Autoritatea Naţionala pentru Administrare şi Reglementare in Comunicaţii, denumita in continuare ANCOM.
Art. 14 -  In cadrul SNSC autoritatile si institutiile publice desfasoara, potrivit competentelor legale, activitati pentru  asigurarea securitatii cibernetice a Romaniei, inclusiv activitati de informare si comunicare publica, relatii publice si de cooperare internationala.
Art. 15 -  (1) La nivel national se constituie Sistemul National de Alerta Cibernetica denumit in continuare SNAC, reprezentand principalul mijloc al SNSC destinat prevenirii si contracararii activitatilor de natura sa afecteze securitatea cibernetica.
    (2) Organizarea SNAC, masurile specifice pe care autoritatile si institutiile publice competente le implementeaza pentru fiecare nivel de alerta, precum si procedura de instituire a nivelurilor de alerta şi cerinţele privind elaborarea planurilor de acţiune se aproba prin norme metodologice, la propunerea SRI, in termen de 60 de zile de la intrarea in vigoare a prezentei legi.
(3) In cadrul SNAC, starile de amenintare sunt identificate prin niveluri de alerta cibernetica. Acestea pot fi instituite pentru intreg teritoriul national, pentru o zona geografica delimitata, pentru un anumit domeniu de activitate sau pentru una sau mai multe persoane juridice de drept public sau privat.
(4) Instituirea nivelurilor de alerta cibernetica, precum si trecerea de la un nivel la altul se aproba de catre CSAT, la propunerea COSC.
(5) Pentru punerea in aplicare a masurilor specifice prevazute la alin. (2) personale juridice de drept public sau privat detinatori de ICIN elaboreaza planuri de actiune proprii, corespunzatoare fiecarui nivel de alerta cibernetica.
(6) La instituirea unui nivel de alerta cibernetica, personale juridice de drept public sau privat detinatori de ICIN au obligatia sa puna in aplicare masurile specifice prevazute prin planurile prevazute la alin.(5).  
(7) Detinatorii de infrastructuri cibernetice au obligatia sa sprijine autoritatile si institutiile publice competente pentru implementarea masurilor corespunzatoare fiecarui nivel de alerta cibernetica, potrivit solicitarilor acestora, adresate in conditiile art.17 alin.(1) lit.a).
(8) Persoanele juridice de drept public sau privat detinatori de ICIN au obligatia transmiterii cu celeritate a datelor privind starea de securitate cibernetica la nivelul acestora catre CNSC conform competentelor prevazute de lege.

CAPITOLUL III – Asigurarea securitatii cibernetice

Art. 16 - Detinatorii de infrastructuri cibernetice au urmatoarele obligatii:
a) sa adopte si sa puna in aplicare politici de securitate cibernetica, cu respectarea cerintelor minime de securitate stabilite la nivel national de Ministerul pentru Societatea Informationala sau de catre alte autoritati publice competente potrivit legii;
b) sa identifice si sa implementeze masurile tehnice si organizatorice adecvate pentru a gestiona eficient riscurile de securitate in infrastructurile cibernetice proprii sau aflate in responsabilitate;
c) sa previna si sa reduca la minimum impactul incidentelor care afecteaza infrastructurile cibernetice proprii sau aflate in responsabilitate;
d) sa nu afecteze, prin actiunile proprii, securitatea altor infrastructuri cibernetice;
e) sa previna accesul neautorizat al persoanelor la resursele infrastructurilor cibernetice proprii sau aflate in responsabilitate;
f) sa se asigure ca datele si/sau informatiile referitoare la configurarea si protectia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate sa le cunoasca.
Art. 17 - (1) Pentru realizarea securitatii cibernetice, detinatorii de infrastructuri cibernetice au urmatoarele responsabilitati:
a) sa acorde sprijinul necesar, la solicitarea motivata a Serviciului Roman de Informatii, Ministerului Apararii Nationale, Ministerului Afacerilor Interne, Oficiului Registrului National al Informatiilor Secrete de Stat, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora si sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii;
b) sa informeze, de indata, autoritatile si institutiile publice prevazute la lit.a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege.
        (2) Detinatorii de infrastructuri cibernetice pot solicita asistenta de specialitate autoritatilor si institutiilor publice cu atributii in domeniul securitatii cibernetice, pentru asigurarea securitatii cibernetice in domeniul lor de activitate.

   Art. 18 -  Detinatorii de infrastructuri cibernetice, furnizori de servicii de internet au obligatia de a-si notifica, de indata, clienţii, persoane de drept public şi privat, in  situaţiile in care sistemele informatice utilizate de aceştia au fost implicate in incidente sau atacuri cibernetice şi de a dispune masurile necesare in vederea restabilirii condiţiilor normale de funcţionare.

    Art.19 -  (1) La nivel national se constituie Catalogul ICIN, care se aproba in termen de 90 de zile de la intrarea in vigoare a prezentei legi, prin hotarare a Guvernului .
    (2) Catalogul ICIN se intocmeste de catre Ministerul pentru Societatea Informationala, cu consultarea COSC, la propunerea CNSC sau dupa caz, a CERT-RO, potrivit competentelor legale.
    (3) Identificarea ICIN se realizeaza pe baza criteriilor de selectie cuprinse in metodologia elaborata de Serviciul Roman de Informatii si Ministerul pentru Societatea Informationala si aprobata, in termen de 90 de zile de la intrarea in vigoare a prezentei legi, prin hotarare de Guvern.
    (4) La elaborarea catalogului ICIN, Ministerul pentru Societatea Informationala va colabora si cu ANCOM, in situatia persoanelor juridice de drept privat care deţin calitatea de furnizori de reţele publice sau servicii de comunicaţii electronice destinate publicului.
        (5) Se excepteaza de la prevederile alin. (1) ICIN care stocheaza, proceseaza sau transmit informatii clasificate, detinute, administrate sau utilizate de persoanele juridice de drept public sau privat, care se centralizeaza la nivelul Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, denumit in continuare ORNISS.
    (6) ICIN prevazute la alin. (5), se comunica CNSC, cu exceptia celor constituite la nivelul Autoritatilor Desemnate de Securitate, care detin Structuri Interne INFOSEC acreditate potrivit prevederilor legale in vigoare.
    (7) Persoanele juridice de drept public si privat detinatoare de sau care au in responsabilitate ICIN trebuie sa notifice CNSC si CERT RO, in termen de 48 de ore, cu privire la orice modificare intervenita in regimul juridic al ICIN, respectiv in configuratia acesteia.
    Art.20 - (1)    Persoanele juridice de drept public sau privat care detin sau au in responsabilitate ICIN au urmatoarele obligatii:
a) sa stabileasca si sa aplice masuri pentru asigurarea rezilientei infrastructurilor cibernetice proprii sau aflate in responsabilitate;
b) sa intocmeasca planul de securitate al ICIN, precum si planuri de acţiune proprii corespunzatoare fiecarui nivel de alerta cibernetica;
c) sa efectueze periodic si/sau sa permita efectuarea unor auditari de securitate cibernetica, la solicitarea motivata a autoritatilor competente potrivit prezentei legi;
d) sa constituie structuri sau sa desemneze persoane responsabile cu prevenirea, identificarea si reactia la incidentele cibernetice;
e) sa implementeze solutii pentru gestionarea permanenta a evenimentelor din spatiul cibernetic care pot afecta securitatea infrastructurii cibernetice si sa genereze alerte cu privire la acestea;
f) sa aplice politicile de securitate prevazute prin cerintele minime stabilite conform dispozitiilor prezentei legi;
g) sa previna si sa minimizeze, dupa caz, impactul incidentelor cibernetice asupra utilizatorilor sau beneficiarilor ICIN si, dupa caz, sa ii informeze cu privire la acestea;
h) sa notifice imediat, dupa caz, CNSC, CERT-RO, ANCOM sau autoritatile desemnate, in conditiile legii, in domeniul securitaţii cibernetice cu privire la riscurile si incidentele cibernetice care, prin efectul lor, pot aduce prejudicii de orice natura utilizatorilor sau beneficiarilor serviciilor lor;
i)  sa respecte modalitatea de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea, stabilite potrivit alin.(2) al prezentului articol.
    (2) In vederea indeplinirii obligatiilor prevazute la alin. (1), lit. a), f) si g), Ministerul pentru Societatea Informationala, ANCOM sau autoritatile desemnate, in conditiile legii, in domeniul securitaţii cibernetice, stabilesc cerintele minime de securitate cibernetica, modalitatea de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea, care se aproba prin ordine sau decizii emise in termen de 90 de zile de la intrarea in vigoare a prezentei legi, de conducatorii autoritaţilor sau instituţiilor publice respective, publicate in Monitorul Oficial al Romaniei, Partea I.
    Art.21 - (1) In functie de tipul si natura riscurilor si incidentelor cibernetice, autoritatile competente sa receptioneze notificarea prevazuta la art. 20 alin. (1)        lit. h), actioneaza potrivit competentelor stabilite prin lege.
    (2) Detinatorii  de ICIN, care au transmis notificari conform art. 20 alin. (1) lit. h), au urmatoarele obligatii:
a) sa aplice planurile prevazute la art. 20 alin. (1) lit. b);
b) sa menţina legatura permanent cu autoritatile competente, potrivit legii, informand despre evoluţia incidentului şi modul in care acesta este gestionat;
c) sa permita autoritatilor competente, potrivit legii, sa intervina pentru identificarea si analizarea cauzelor incidentelor cibernetice, respectiv pentru inlaturarea sau reducerea efectelor incidentelor cibernetice;
d) sa retina si sa asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data notificarii, cu respectarea principiului confidentialitatii si sa le puna la dispozitia autoritatilor competente, in conditiile legii.
(3) Obligatiile prevazute la alin. (2), se aplica tuturor detinatorilor de infrastructuri cibernetice implicate in incidentul notificat.
(4) Dispozitiile prezentului articol nu se aplica in cazul institutiilor si autoritatilor publice prevazute la art. 10 alin.(1) si (2).
    Art.22 - CERT-RO informeaza CNSC cu privire la notificarile primite si la situatiile in care a intervenit.
    Art.23 - (1) Securitatea infrastructurilor cibernetice detinute sau administrate de furnizorii de retele publice de comunicatii electronice sau de servicii de comunicatii electronice destinate publicului se realizeaza in conditiile Ordonantei de urgenta a Guvernului nr. 111/2011 privind comunicatiile electronice, aprobata, cu modificari si completari, prin Legea nr. 140/2012, precum si in conformitate cu dispozitiile prezentei legi.
(2) Pentru indeplinirea obiectivelor prezentei legi, ANCOM poate institui obligatii in sarcina furnizorilor de retele publice sau servicii de comunicatii electronice destinate publicului.
(3) In vederea realizarii scopului prezentei legi, ANCOM ii revin urmatoarele atributii:
a) emite, in termen de 90 de zile de la intrarea in vigoare a prezentei legi, cerinţele minime prevazute la art. 20 alin. (2) aplicabile furnizorilor de retele publice sau servicii de comunicatii electronice destinate publicului si verifica respectarea acestora;
b) verifica respectarea de catre furnizorii de retele publice sau servicii de comunicatii electronice destinate publicului care detin si/sau administreaza ICIN a dispozitiilor art. 20 alin.(1), lit. a)- g);
c) stabileste modalitatea de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea, prevazute la art. 20 alin. (2), aplicabile furnizorilor de retele publice sau servicii de comunicatii electronice destinate publicului care detin si/sau administreaza ICIN si controleaza respectarea acestora;
d) exercita controlul respectarii dispozitiilor art. 20 de catre furnizorii de retele publice sau servicii de comunicatii electronice destinate publicului care detin si/sau administreaza ICIN.
(4) In cazul furnizorilor de retele publice sau servicii de comunicatii electronice destinate publicului care detin si/sau administreaza ICIN, notificarea prevazuta la art. 20 alin. (1) lit. h) se transmite catre ANCOM.
(5) ANCOM va transmite CNSC, conform unor proceduri convenite de comun acord, in cel mult 24 de ore, informatiile relevante privind atacurile, amenintarile si incidentele, care prin efectul lor, pot compromite sau aduce atingere securitatii nationale si apararii tarii sau care afecteaza serviciile de interes public ori serviciile societatii informationale determinand producerea unor prejudicii grave statului roman ori cetatenilor acestuia.
(6) In implementarea prevederilor prezentei legi, ANCOM isi constituie structura specializata de securitate cibernetica.

CAPITOLUL IV  – Apararea cibernetica

    Art.24 - (1)  Apararea cibernetica cuprinde ansamblul de masuri si activitati adoptate si desfasurate de autoritatile competente pentru protejarea infrastructurilor cibernetice destinate apararii nationale si a infrastructurilor cibernetice nationale care sunt critice pentru misiunile NATO si UE.
(2) Infrastructurile cibernetice destinate apararii nationale si masurile privind apararea cibernetica a acestora se stabilesc in termen de 60 de zile de la intrarea in vigoare a prezentei legi şi se actualizeaza periodic prin hotarare a CSAT.
    Art.25 - (1) Activitatile prevazute la art.24 alin.(1) se planifica si se desfasoara de autoritatile competente in stransa legatura cu activitatile privind apararea nationala si planificarea apararii, conform legii si potrivit obligatiilor asumate de Romania la nivel international.
 (2) Autoritatile si institutiile publice au obligatia de a identifica si implementa, in conditiile legii, masuri de aparare cibernetica si raspund de executarea acestora, fiecare in domeniul sau de activitate.
    Art.26 - (1) Ministerul Apararii Nationale impreuna cu celelalte autoritati si institutii publice din Sistemul National de Aparare, Ordine Publica si Securitate Nationala asigura, din timp de pace,  integrarea intr-o conceptie unitara a activitatilor privind apararea cibernetica desfasurate de fortele armate participante la actiunile de aparare a tarii in caz de agresiune armata, la instituirea starii de asediu, declararea starii de mobilizare sau a starii de razboi.
(2) Conducerea actiunilor de aparare cibernetica in caz de agresiune armata, la instituirea starii de asediu, declararea starii de mobilizare sau a starii de razboi se realizeaza de catre Centrul national militar de comanda in cooperare cu COSC.    

CAPITOLUL V – Regimul sanctionator si dispozitii procedurale

     Art.27 - (1) Monitorizarea si controlul aplicarii prevederilor prezentei legi se asigura, potrivit competentelor stabilite prin lege, de catre:
a) Camera Deputatilor si Senat, Administratia Prezidentiala, Guvern, CSAT, precum si institutiile si autoritatile publice prevazute la art. 10 alin. (1) si (2), pentru infrastructurile cibernetice proprii sau aflate in responsabilitate;
b) Serviciul Roman de Informatii pentru detinatorii de ICIN persoane juridice de drept public;
c) Ministerul pentru Societatea Informationala, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN, persoane juridice de drept privat.
     (3) In vederea exercitarii atributiilor prevazute la alin.(1), conducatorii autoritaţilor desemneaza persoanele abilitate sa desfaşoare activitaţi de control care, in baza şi in limitele imputernicirii aprobate au dreptul:
a) sa solicite declaratii sau orice documente necesare pentru efectuarea controlului;
b) sa faca inspectii, inclusiv inopinate, la orice instalatie, incinta sau infrastructura, destinate ICIN, cu respectarea prevederilor legale in vigoare;
c) sa primeasca, la cerere sau la fata locului, informatii sau justificari.
    Art.28 - (1) Constituie contraventii urmatoarele fapte:
a) nerespectarea de catre  detinatorii de infrastructuri cibernetice a obligatiei privind adoptarea si punerea in aplicare a politicii de securitate cibernetica care sa respecte cerinţele minime de securitate stabilite potrivit prezentei legi, prevazute la art. 16 lit. a);
b) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN a obligatiei de notificare cu privire la modificarile de regim juridic, respectiv de configuratie a ICIN, prevazute la art.19 alin.(7);
c) incalcarea de catre detinatorii de sau cei care au in responsabilitate ICIN obligatiilor prevazute la art. 20 alin. (1), lit. c)-e) privind efectuarea de auditari de securitate cibernetica, constituirea de structuri sau desemnarea de persoane responsabile cu prevenirea, identificarea si reactia la incidente cibernetice, respectiv implementarea de solutii pentru gestionarea evenimentelor din spatiul cibernetic si generarea de alerte cu privire la acestea;
d) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN a obligatiei privind aplicarea politicilor de securitate, potrivit art.20 ali.(1) lit.f);
e) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN a obligatiei de notificare impuse potrivit art. 20 alin. (1), lit. h);
f) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN a cerintelor minime de securitate cibernetica, a modalitatii de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea prevazuta la art. 20 alin. (1), lit. i);
g) nerespectarea de catre detinatorii de sau cei care au in responsabilitate ICIN care au transmis notificarea in conditiile prevazute la art. 20 alin. (2) a obligatiilor de aplicare a planurilor de securitate sau de actiune, respectiv de a permite autoritatilor competente sa intervina, precum si a obligatiei de a retine si asigura integritatea datelor referitoare la incidentele cibernetice, prevazute la art. 21 alin. (2) lit. c) si lit. d);
h) incalcarea de catre detinatorii de sau cei care au in responsabilitate ICIN a obligatiei de a mentine permanent legatura cu autoritatile competente potrivit legii, stabilite de prevederile art. 21 alin. (2) lit. b);
i) nerespectarea de catre furnizorii de retele publice sau servicii de comunicatii electronice destinate publicului, detinatori de sau care au in administrare infrastructuri cibernetice  a cerintelor minime stabilite de ANCOM, a modalitatii de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea,  in temeiul art. 23 alin. (3) lit.a) si c) precum si refuzul de a se supune notificarii potrivit art.23 alin.(3) lit.c).
j) nerespectarea obligatiei de notificare a clientilor de catre detinatorii de infrastructuri cibernetice, furnizori de servicii de internet, prevazuta la art. 18.

    Art.29 - (1) Contraventiile prevazute la art. 28 se sanctioneaza, astfel:
a) cu amenda de la 500 lei la 5.000, pentru savarsirea contraventiilor prevazute la art. 28 lit. a) si  h)- j);
b) cu amenda de la 1.000 la 10.000 lei, pentru savarsirea contraventiilor prevazute la art. 28 lit. b) – g).
(2) Sancţiunile prevazute la alin. (1) se aplica şi in cazul persoanelor juridice.
(3) Dispozitiile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile ulterioare se aplica in mod corespunzator.
    
    Art.30 - (1) Constatarea contraventiilor si aplicarea amenzilor se realizeaza, potrivit competentelor legale, de catre:
a) Ministerul pentru Societatea Informationala pentru contraventiile prevazute la art. 28 lit. a) – h);
b) ANCOM in situatia in care contraventiile prevazute la art. 28 lit. a) sunt savarsite de  persoanele juridice prevazute la art. 23 alin. (1), precum si pentru contraventiile prevazute la art. 28 lit. i) si j);
c) autoritatile si institutiile publice prevazute la art.27 alin.(1) lit. a) pentru contraventiile prevazute la art.28 lit.b) – h) ce vizeaza infrastructurile cibernetice proprii sau aflate in responsabilitate.
(2) In cazul art.27 alin.(1) lit.b) aplicarea amenzilor pentru contraventiile prevazute la art.28 lit.b) – h) se face, in conditiile legii, de catre Ministerul pentru Societatea Informationala.

CAPITOLUL VII– Dispozitii finale

    Art.31 - (1) La nivelul persoanelor juridice de drept public, fondurile necesare organizarii si desfasurarii activitatii in conditiile prezentei legi se asigura de la bugetul de stat, din venituri extrabugetare si din alte surse legal constituite, anual, potrivit legii.
    (2) Pentru buna desfasurare a activitatilor specifice pot fi utilizate si fonduri provenite din credite externe contractate sau garantate de stat si ale caror rambursare, dobanzi si alte costuri se asigura din fonduri publice, precum si din fonduri externe sau europene.
    (3) La nivelul persoanelor juridice de drept privat, cheltuielile legate de asigurarea punerii in executare a dispozitiilor prezentei legi sunt deductibile fiscal in conditiile si cuantumul stabilit de Ministerul Finantelor Publice, in conditiile Codului fiscal, aprobat prin Legea nr.571/2003, cu modificarile si completarile ulterioare.
    Art.32 - (1) Prezenta lege intra in vigoare la 30 de zile de la publicarea in Monitorul Oficial al Romaniei, Partea I.
     (2) In termen de 90 de zile de la data publicarii in Monitorul Oficial al Romaniei, Partea I, Guvernul aproba normele metodologice de aplicare a prezentei legi.

 
 

Tu ce parere ai ?


 

Ti-a placut articolul?

Daca informatia ti s-a parut interesanta, distribuie link-ul si prietenilor.