Firmele care au baze de date ar putea fi obligate să ia măsuri de securitate cibernetică şi să notifice incidentele

Noul Proiect de lege privind Securitatea cibernetică a României a fost lansat recent în dezbatere publică de către Ministerul Comunicaţiilor şi pentru Societatea Informaţională. Acest lucru vine la aproximativ un an după ce Legea securităţii cibernetice adoptată de Parlament a fost declarată neconstituţională.

Documentul vizează, în principal, toate persoanele juridice care au baze de date, care oferă servicii publice/de interes public sau care oferă servicii ale societăţii informaţionale. Mai exact, prevederile propuse se vor aplica în special:

• autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare aduce atingere securităţii naţionale sau prejudicii grave statului român ori cetăţenilor acestuia;
• persoanelor juridice deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal;
• furnizorilor de reţele publice de comunicaţii electronice şi furnizorilor de servicii de comunicaţii electronice destinate publicului.

Practic, în categoria deţinătorilor de infrastructuri cibernetice vor intra toate persoanele juridice care au calitatea de proprietari, administratori sau operatori de astfel de infrastructuri.

Pe deasupra, proiectul de lege stabileşte că, în funcţie de importanţă, anumite infrastructuri cibernetice vor fi considerate a fi de interes naţional şi deţinătorii acestora vor avea obligaţii suplimentare de securitate. Mai precis, infrastructurile cibernetice de interes naţional (ICIN) vor fi cele care se încadrează în cel puţin una dintre următoarele categorii:

• infrastructuri cibernetice destinate susţinerii actului de guvernare;
• infrastructuri cibernetice destinate susţinerii administraţiei publice;
• infrastructuri cibernetice destinate susţinerii serviciilor publice;
• infrastructuri cibernetice prin intermediul cărora se asigură accesul cetăţenilor şi mediului de afaceri la servicii publice;
• infrastructuri cibernetice destinate susţinerii funcţiilor de apărare, ordine publică, justiţie şi securitate naţională;
• infrastructuri cibernetice destinate tranzacţiilor economice şi financiar-bancare;
• infrastructuri cibernetice de tip Sistem de Control Industrial;
• infrastructuri cibernetice care asigură supraveghere, sesizare, avertizare şi alertă;
• infrastructuri cibernetice care asigură servicii de securitate cibernetică;
• infrastructuri cibernetice care asigură componenta naţională destinată cooperării în cadrul NATO, UE sau al organizaţiilor la care România este parte;
• infrastructuri cibernetice pentru navigaţie, radiolocaţie şi identificare;
• infrastructuri cibernetice care susţin transmisia sau retransmisia serviciilor de programe de televiziune sau radiodifuziune;
• infrastructuri cibernetice utilizate de către furnizorii de servicii poştale.

Obligaţiile de securitate cibernetică pe care le vor avea firmele

Conform propunerii legislative, toţi deţinătorii de infrastructuri cibernetice vor trebui să adopte măsuri organizatorice şi tehnice pentru:

• evaluarea infrastructurilor deţinute în vederea susţinerii demersurilor de întocmire a Catalogului ICIN;
• elaborarea şi implementarea de politici şi planuri de securitate cibernetică, cu respectarea cerinţelor minime de securitate;
• managementul incidentelor de securitate cibernetică;
• prevenirea accesului neautorizat la infrastructurile cibernetice;
• garantarea diseminării datelor deţinute la nivelul infrastructurilor cibernetice exclusiv persoanelor autorizate să cunoască conţinutul acestora.

În mod suplimentar faţă de măsurile enumerate, deţinătorii ICIN vor trebui să implementeze un sistem de management al riscului, să elaboreze planuri de acţiune pe niveluri de alertă cibernetică şi să auditeze nivelul de securitate cibernetică a infrastructurilor cibernetice de interes naţional.

Referitor la obligaţiile pe care le vor avea deţinătorii de infrastruturi cibernetice, acestea vor fi:

• să asigure implementarea cerinţelor minime de securitate cibernetică;
• să notifice imediat autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;
• să se asigure că datele şi/sau informaţiile referitoare la configurarea şi protecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le cunoască;
• să nu permită accesul la datele de conţinut din infrastructurile cibernetice deţinute sau aflate în competenţă, în lipsa unei înştiinţări scrise din partea autorităţilor abilitate, privind existenţa unei autorizaţii emise de judecător, în condiţiile legii;
• să gestioneze incidentele de securitate cibernetică;
• să nu afecteze, prin acţiunile proprii, securitatea altor infrastructuri cibernetice.

În plus faţă de aceste obligaţii, deţinătorii ICIN vor trebui:

• să efectueze auditări de securitate cibernetică (anual sau când este necesar);
• să constituie structuri sau să desemneze persoane responsabile privind coordonarea activităţilor de securitate cibernetică;
• să transmită autorităţilor competente o copie după rapoartele de audit de securitate cibernetică şi date privind evoluţiile în domeniul securităţii cibernetice la nivelul infrastructurilor cibernetice deţinute (trimestrial şi ori de câte ori li se solicită);
• să elaboreze şi să transmită autorităţii competente planuri de acţiune corespunzătoare fiecărui nivel de alertă cibernetică, ce trebuie aplicate la instituirea unui nivel de alertă cibernetică;
• să transmită autorităţilor competente date referitoare la rezultatele măsurilor de contracarare a incidentelor de securitate cibernetică aplicate.

Deţinătorii de infrastructuri cibernetice vor mai fi obligaţi şi să sprijine autorităţile în implementarea măsurilor corespunzătoare fiecărui nivel de alertă cibernetică. Totodată, deţinătorii ICIN vor trebui să elaboreze planuri de acţiune proprii pentru fiecare nivel de alertă cibernetică, care vor trebui puse în aplicare atunci când se instituie un nivel de alertă cibernetică. Iar în caz de modificare a nivelului de alertă, deţinătorii ICIN vor trebui să informeze imediat Centrul Naţional de Securitate Cibernetică în privinţa gradului de afectare a infrastructurii şi măsurile preconizate.

Amenzile, cuprinse între 500 şi 10.000 de lei

Dacă nu vor implementa cerinţele minime de securitate cibernetică sau dacă datele de configurare şi protecţie ale infrastructurilor cibernetice vor fi diseminate unor persoane neautorizate, deţinătorii vor risca să fie sancţionaţi cu amendă de la 500 la 5.000 de lei. Aceeaşi amendă se va putea aplica în situaţia în care deţinătorii nu vor notifica imediat autoritatea competentă cu privire la incidentele de securitate cibernetică pe care le identifică.

O amendă de la 1.000 la 10.000 de lei vor risca deţinătorii dacă în lipsa unei autorizaţii judecătoreşti vor permite accesul la datele infrastructurilor deţinute sau aflate în competenţă, dacă nu vor gestiona incidentele de securitate cibernetică sau dacă vor afecta securitatea altor infrastructuri cibernetice.

În fine, în cazul deţinătorilor ICIN, dacă nu vor adopta măsuri organizatorice şi tehnice pentru implementarea unui sistem de management al riscului, elaborarea de planuri de acţiune pe niveluri de alertă cibernetică şi auditarea nivelului de securitate cibernetică a infrastructurilor cibernetice de interes naţional, amenzile vor fi cuprinse între 1.000 şi 10.000 de lei. Aceeaşi sancţiune va fi valabilă şi dacă deţinătorii ICIN nu-şi vor respecta obligaţiile suplimentare de securitate ce le vor reveni în baza legii.

Autorităţile vor să protejeze datele personale ale cetăţenilor

Iniţiatorii proiectului spun că noua variantă a legii securităţii cibernetice are drept scop protejarea datelor cu caracter personal ale cetăţenilor, ce sunt gestionate de către deţinătorii infrastructurilor cibernetice. Totodată, accesul la datele acestor infrastructuri se va face numai în baza autorizării judecătoreşti.

"Prezentul act normativ contribuie la asigurarea protejării, în spaţiul cibernetic, a dreptului cetăţenilor la viaţă intimă, familială şi privată, în special a datelor cu caracter personal gestionate de către deţinătorii de infrastructuri cibernetice. De asemenea, prevede ca garanţie a respectării drepturilor şi libertăţilor persoanei faptul că accesul la datele de conţinut din infrastructurile cibernetice ale deţinătorilor prevăzuţi de lege se va realiza în baza unei autorizaţii emise de judecător, în condiţiile legii. (...) Actul normativ contribuie şi la creşterea capacităţii de reacţie la incidentele cibernetice, prin impunerea de cerinţe minime de securitate cibernetică şi prin stabilirea principiilor de acţiune pentru gestionarea incidentelor de securitate cibernetică", este explicat în expunerea de motive a iniţiativei legislative.

Într-o scrisoare deschisă adresată Ministerului Comunicaţiilor, Asociaţia pentru Tehnologie şi Internet a făcut mai multe propuneri pentru îmbunătăţirea proiectului de act normativ referitor la securitatea cibernetică. Aceştia consideră, în esenţă, că prevederile ar trebui să se aplice doar deţinătorilor de infrastructuri naţionale de interes public, nu tuturor persoanelor juridice, că raportarea incidentelor de securitate ar trebui să se facă unei singure autorităţi cu competenţe tehnice reale şi că sectorul privat ar trebui implicat în mod activ în domeniul securităţii cibernetice, nu să fie tratat ca un simplu raportor de incidente de securitate.

În 2014, Parlamentul a adoptat o Lege a securităţii cibernetice care dispunea că firmele care au calculatoare trebuiau să permită autorităţilor statului accesul la datele deţinute în baza unei simple solicitări motivate, fără a fi necesară autorizarea judecătorească. Actul normativ a fost contestat la Curtea Constituţională, care a găsit că acesta nu respectă Legea fundamentală, astfel că legea n-a mai putut intra în vigoare.

Atenţie! Proiectul de lege NU se aplică momentan. Pentru a intra în vigoare, acesta trebuie să fie aprobat de Guvern, adoptat de Parlament, promulgat prin decret prezidenţial şi publicat în Monitorul Oficial.