Ministerul Cercetării, Inovării și Digitalizării a pus în consultare publică proiectul de Lege privind securitatea și apărarea cibernetică a României, parte a pachetului de Legi ale securității naționale. Printre principalele noutăți se numără înființarea Sistemului Național de Securitate Cibernetică (SNSC), ce va coordona acțiunile la nivel național pentru asigurarea securității cibernetice, și a unui organ consultativ (COSC) care va analiza și va evalua securitatea cibernetică.

„În lipsa acestei legi, statul român nu va dispune de pârghiile necesare diminuării vulnerabilităţilor de securitate cibernetică şi asigurării apărării cibernetice, în scopul reducerii riscurilor la adresa securității rețelelor și sistemelor informatice ale statului”, se arată în expunerea de motive a Legii privind securitatea și apărarea cibernetică a României, lansată în consultare publică pe 4 noiembrie.

Ministerul Digitalizării mai arată că proiectul de lege va permite „un răspuns coerent, ajustat, proporțional și efectiv, indiferent de situație, pornind de la un incident de securitate izolat, până la un atac cibernetic complex efectuat la nivelul unei instituții, sau asupra mai multor rețele și sisteme informatice aflate în responsabilitatea mai multor instituții”.

Ce prevede proiectul de Lege

Potrivit proiectului de Lege, asigurarea securității și apărării cibernetice va fi realizată după următoarele principii:

• „principiul personalității – responsabilitatea asigurării securității cibernetice și/sau apărării cibernetice a unui sistem, rețea și/sau serviciu informatic revine entității care le deține în proprietate, le organizează, administrează și/sau utilizează, după caz;
• principiul protecției depline – entitatea responsabilă de securitatea și/sau apărarea cibernetică a unui sistem, rețea și/sau serviciu informatic răspunde de managementul riscurilor asociate acestora și conexiunilor acestora cu alte sisteme, rețele și/sau servicii informatice terțe, precum și de implementarea măsurilor tehnice și organizaționale necesare protecției cibernetice;
• principiul minimizării efectelor – în cazul unui incident de securitate cibernetică entitatea responsabilă de securitatea și/sau apărarea cibernetică a sistemului, rețelei și/sau serviciului informatic în cauză ia măsuri de evitare a amplificării efectelor și de extindere a acestora la alte sisteme, rețele și/sau servicii informatice din responsabilitatea proprie sau din responsabilitatea altor entități;
• principiul colaborării, cooperării și coordonării – constă în realizarea, în mod conjugat de către entitățile responsabile, a tuturor activităților care să asigure securitatea și/sau apărarea sistemelor, rețelelor și serviciilor informatice care fac obiectul prezentei legi, precum și gestionarea incidentelor de securitate cibernetică, atenuarea efectelor și eliminarea situațiilor care au generat stările de alertă cibernetică instituite la nivel național”

Astfel, la nivel național, va fi înființat Sistemul Național de Securitate Cibernetică (SNSC), ce va reuni autorități și instituții publice cu responsabilități în domeniu și care va fi coordonat la nivel strategic de Consiliul Suprem de Apărare a Țării.

Totodată, activitatea CNSC va fi coordonată de COSC – „un organ consultativ, aflat sub autoritatea CSAT” și care va fi condus de consilierul prezidențial pe probleme de securitate națională.

Din COSC vor mai face parte: consilierul premierului pe probleme de securitate națională, Secretarul Consiliului Suprem de Apărare a Țării, precum și reprezentanți ai: Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului Cercetării, Inovării și Digitalizării, Serviciului Român de Informații, Serviciului de Informații Externe, Serviciului de Telecomunicații Speciale, Serviciului de Protecție și Pază, Oficiului Registrului Național al Informațiilor Secrete de Stat, Autorității Naționale pentru Administrare și Reglementare în Comunicații și ai Directoratului Național de Securitate Cibernetică.

Atribuțiile COSC vor fi următoarele:

• armonizarea reacției autorităților competente ale statului în situații generate de amenințări cibernetice, care necesită schimbarea nivelului de alertă cibernetică;
• instituirea sau modificarea nivelurilor de alertă cibernetică la nivel național;
•  solicitarea, în caz de necesitate, de asistență din partea altor state sau organizații și organisme internaționale;
•  modalitatea de răspuns la solicitările de asistență adresate României din partea altor state sau organizații și organisme internaționale, altele decât cele din domeniul apărării naționale;
•  planuri sau direcții de acțiune, în funcție de concluziile rezultate și evoluția climatului de securitate în spațiul cibernetic;
•  direcții de dezvoltare și investiții în domeniul securității cibernetice;
•  linii de mandat privind adoptarea oricăror documente la nivel internațional cu privire la securitatea cibernetică care au impact în plan național;
•  modalități de gestionare și răspuns la amenințări și atacuri cibernetice;

Ce autorități sunt competente pentru spațiul cibernetic

Directoratul Național de Securitate Cibernetică (DNSC) va fi autoritatea competentă pentru spațiul cibernetic național civil, Ministerul Digitalizării va fi responsabil de elaborarea actelor normative și politicilor publice naționale în domeniu, iar ANCOM va fi responsabilă de coordonarea activităților desfășurate în vederea asigurării securității cibernetice a rețelelor și sistemelor informatice proprii.

Totodată, pentru asigurarea securității cibernetice și pentru prevenirea și contracararea amenințărilor cibernetice vor fi abilitate și instituții precum: Ministerul Apărării, Ministerul de Interne, Oficiul Registrului Informațiilor Secrete de Stat, SRI, SIE, STS și SPP.

Serviciul Român de Informații va fi autoritatea competentă la nivel național în domeniul Cyber intelligence, precum și pentru „cunoașterea, analizarea, prevenirea și contracararea incidentelor și atacurilor cibernetice care reprezintă amenințări, riscuri și vulnerabilități la adresa securității naționale a României”, potrivit proiectului citat.

Totodată, furnizorii de servicii de securitate cibernetică vor fi obligați să pună la dispoziție autorităților „date și informații privind incidente, amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta o rețea sau sistem informatic a deținătorului sau a unor terți”.

Sursă foto: Inquam Photos / Octav Ganea

Share this...

Facebook

Twitter

Linkedin

Whatsapp