Una dintre noutățile anului 2023 va fi Legea Securității Cibernetice, aprobată deja de Parlament și trimisă spre promulgare la Cotroceni. Legea Securității Cibernetice este în discuție încă din anul 2015, suferind mai multe dezbateri și modificări și definește cadrul juridic și instituțional ce face referire la organizarea și desfășurarea activităților din domeniile securitate cibernetică şi apărare cibernetică, a mecanismelor de cooperare şi a responsabilităţilor instituţiilor cu atribuţii în aceste domenii. Este o lege complexă și cu un impact ridicat asupra mediului de afaceri, iar prin corelare cu alte reglementări (Directiva NIS) va avea, pe termen lung, un impact similar Regulamentului General de Protecție a Datelor (GDPR).<
Legea Securității Cibernetice în versiunea aprobată de Parlament poate fi accesată aici.
De ce este necesară Legea Securității Cibernetice
Legea securității cibernetice este motivată, pe de o parte, prin prisma necesității alinierii la cadrul legislativ European, iar pe de alta prin creșterea constantă a riscurilor asociate digitalizării. În toamna anului 2022, Parlamentul European a mai adoptat două acte normative importante în domeniul securității cibernetice:
Aceasta impune statelor membre UE reguli mai riguroase în materie de securitate cibernetică pentru gestionarea riscurilor, raportarea și schimbul de informații. Cerințele vizează, printre altele, răspunsul la incidente, securitatea lanțului de aprovizionare, criptare și divulgarea vulnerabilităților.
Prin intermediul său vor fi armonizate și consolidate cerințele de reziliență operațională digitală pentru sectorul serviciilor financiare al UE. Sunt stabilite cerințe pentru protecția împotriva atacurilor, detecție, limitare, recuperare și recuperare în urma incidentelor legate de tehnologia informației și a comunicațiilor (TIC), cerințe care urmează să fie asociate cu capacități de raportare și de testare digitală. Noile norme DORA se vor aplica băncilor, furnizorilor de plăți, furnizorilor de monedă electronică, firmelor de investiții, furnizorilor de servicii de criptoactive, precum și furnizorilor terți de servicii TIC.
Pe de altă parte, securitatea cibernetică și protecția informațiilor au devenit cuvinte cheie în economia lumii post-pandemie. Digitalizarea accelerată, creșterea numărului de dispozitive conectate la internet și trecerea la regimul se lucru hibrid au condus la un tsunami de atacuri cibernetice, inclusiv în România.
De altfel, spuneam pe blog-ul Pras încă din 2021 că vom asista la o creștere a criminalității cibernetice.
Conform unui studiu realizat de Orange România, Bucureștiul să află pe primul loc în topul atacurilor cibernetice în 2022, urmat de Banat și Moldova. În ceea ce privește domeniile care au avut de suferit, industria farma a fost cea mai afectată (32% dintre atacuri), urmată de zona guvernamentală și serviciile publice (23% dintre incidente), energie (22%), retail (16%) și transporturi (7%).
Raportul ENISA (The European Union Agency for Cybersecurity), “Threat Landscape 2022” subliniază, de asemenea, creșteri semnificative ale acţiunilor de tip hacking şi cybercrime, în perioada iulie 2021-iulie 2022. Impactul a fost resimţiţi atât de persoanele fizice, cât, mai ales, de companiile private, instituţiile de stat şi firmele care furnizează diverse servicii către populaţie. Tot în cadrul acestui raport sunt menționate noile afaceri de tipul “hacker-as-a-service”, ce se află în trend ascendent.
În acest context, un cadru legal potrivit pentru protejarea acestor entități în fața atacurilor cibernetice pare tot mai justificat.
Care sunt prevederile generale ale legii?
Conform Art. 3, alin. (1), proiectul de lege reglementează: „rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de […] persoane fizice și juridice care desfășoară activități cu scop lucrativ și nelucrativ, de cercetare, dezvoltare, inovare și producție în domeniul tehnologia informației și a comunicațiilor, sau furnizează servicii publice ori de interes public”.
Entitățile anterior menționate au obligația de a notifica incidentele de securitate cibernetică prin intermediul PNRISC (Platforma Naţională pentru Raportarea Incidentelor de Securitate Cibernetică) în maxim 48 de ore de la constatarea incidentului. În cazul în care acestea nu pot fi comunicate complet în termenul prevăzut, trebuie să fie transmise în cel mult cinci zile calendaristice de la notificarea inițială, informațiile putând fi completate și ulterior cu cele ce reies din investigațiile realitate pe baza evenimentului.
Actul normativ impune sancţiuni în cazul nerespectării obligaţiei de notificare a incidentelor de securitate cibernetică. Sunt instituite amenzi de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de şase luni limita maximă este de 200.000 lei.
În cazul operatorilor economici cu o cifră de afaceri de peste 1 mil. lei sancţiunea va fi reprezentată de amendă în cuantum de până la 1% din cifra de afaceri netă. Dacă se săvârșește o nouă contravenție în termen de șase luni, limita maximă a amenzii poate ajunge la 3% din cifra de afaceri netă.
În plus, există și obligația de a pune la dispoziția autorităților date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau sistem informatic al deţinătorului sau al unor terţi, în termenul anterior menționat.
Ce este de făcut?
Legea Securității Cibernetice încă nu a fost promulgată, ba mai mult există o sesizare de neconstituționalitate din partea Avocatului Poporului. Chiar dacă este posibil să apară modificări, legea va deveni activă în curând și va impune multor organizații publice și private o reconsiderare a politicii de protecție cibernetică.
Prin corelare cu directivele NIS și Dora este limpede că reglementările din domeniul securității cibernetice devin din ce în ce mai complexe. Pentru a putea îndeplini toate obligațiile legale, organizațiile publice și private din România trebuie să se pregătească temeinic și cât mai de timpuriu. Este însă un domeniu complex care necesită investiții în tehnologie, dar mai ales competențe și expertiză.
