Legea Securității Cibernetice (proiect)

February 11, 2016

 Warning: Proiect de legeaflat în dezbatere publică

CAPITOLUL I – DISPOZIŢII GENERALE

 

Art. 1 - (1) Legea stabileşte cadrul juridic privind organizarea şi desfăşurarea activităţilor din domeniul securităţii cibernetice a României şi asigurarea protejării drepturilor şi libertăţilor fundamentale ale cetăţenilor în spaţiul cibernetic.

(2) Securitatea cibernetică este componentă a securităţii naţionale a României şi se realizează prin adoptarea şi implementarea de politici şi măsuri de securitate la nivelul deţinătorilor de infrastructuri cibernetice în scopul cunoaşterii, prevenirii şi contracarării riscurilor şi ameninţărilor în spaţiul cibernetic.

 Art. 2 - Prezenta lege se aplică:

a)     autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare aduce atingere securităţii naţionale sau prejudicii grave statului român ori cetăţenilor acestuia;

b)     persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal;

c)     furnizorilor de reţele publice de comunicaţii electronice şi furnizorilor de servicii de comunicaţii electronice destinate publicului;

d)     furnizorilor de servicii de găzduire internet;

e)     furnizorilor de servicii de securitate cibernetică.

 Art. 3 - În sensul prezentei legi, termenii şi expresiile de mai jos au următoarea semnificaţie:

a)  ameninţare cibernetică – circumstanţă sau eveniment care constituie un pericol potenţial la adresa securităţii cibernetice;

b)  alertă cibernetică – semnalare referitoare la un posibil incident de securitate cibernetică;

c)  apărare cibernetică – acţiuni desfăşurate în spaţiul cibernetic în scopul protejării, monitorizării, analizării, detectării, contracarării agresiunilor şi asigurării răspunsului oportun împotriva ameninţărilor asupra infrastructurilor cibernetice destinate apărării naţionale;

d)  atac cibernetic – acţiune ostilă desfăşurată în spaţiul cibernetic de natură să afecteze securitatea cibernetică;

e)  audit de securitate cibernetică – activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unei infrastructuri cibernetice, în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora;

f)   Catalog ICIN – registru de evidenţă a infrastructurilor cibernetice de interes naţional;

g)  cerinţe minime de securitate cibernetică – condiţii de natură organizatorică, tehnică sau procedurală,destinate implementării politicilor de securitate;

h)  date de jurnalizare – date generate în mod automat de componente software şi hardware care descriu istoricul acţiunilor ce au loc la nivelul acestora;

i)   date tehnice – descriere generală a infrastructurii cibernetice, rolul şi funcţionalităţile asigurate de aceasta, arhitectura, tipuri şi număr de utilizatori, fluxuri informaţionale susţinute, descrierea capacităţii de stocare/prelucrare, fişiere de jurnalizare a evenimentelor ce au loc în sistemele de securitate software şi hardware, sistemele de operare şi aplicaţiile software;

j)   deţinători de infrastructuri cibernetice – persoane juridice de drept public sau privat care au calitatea de proprietari, administratori sau operatori de infrastructuri cibernetice;

k)  furnizori de servicii de găzduire internet – orice persoană juridică ce desfăşoară activităţi pe teritoriul României, care pune la dispoziţie infrastructuri cibernetice, fizice sau virtuale, pentru derularea de activităţi şi servicii ale societăţii informaţionale;

l)   furnizor de servicii de securitate cibernetică – orice persoană juridică ce realizează, în vederea protejării infrastructurilor cibernetice, cel puţin una dintre următoarele activităţi: implementare de politici, proceduri şi măsuri, auditare, evaluare, testare a măsurilor implementate, management al incidentelor de securitate;

m)           incident de securitate cibernetică – eveniment survenit în spaţiul cibernetic ale cărui consecinţe afectează securitatea cibernetică;

n)  infrastructuri cibernetice – infrastructuri de tehnologia informaţiei, constând în sisteme informatice, aplicaţii aferente, reţele de comunicaţii electronice;

o) infrastructuri cibernetice de interes naţional – infrastructuri cibernetice deţinute de persoane juridice de drept privat, care susţin servicii publice sau de interes public ori servicii ale societăţii informaţionale, sau infrastructuri cibernetice deţinute de autorităţi şi instituţii publice, a căror afectare aduce atingere securităţii naţionale, sau prejudicii grave statului român ori cetăţenilor acestuia;

p)  politici de securitate cibernetică – principii şi reguli generale necesar a fi îndeplinite pentru asigurarea securităţii infrastructurilor cibernetice;

q)  managementul incidentului de securitate cibernetică – ansamblul proceselor ce prevăd detectarea, raportarea, analiza şi răspunsul la incidentul de securitate cibernetică;

r)   risc de securitate în spaţiul cibernetic – probabilitatea ca o ameninţare să se materializeze, exploatând o vulnerabilitate specifică infrastructurii cibernetice;

s)  securitate cibernetică – stare de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, precum şi rezilienţa şi stabilitatea resurselor şi serviciilor publice sau private din spaţiul cibernetic;

t)   Sistem de Control Industrial – infrastructuri şi sisteme informatice de comandă şi control utilizate pentru a automatiza procesele industriale;

u)  spațiul cibernetic – mediul virtual generat de infrastructurile cibernetice, incluzând conținutul informațional,  procesat, stocat sau transmis, precum și acțiunile derulate de utilizatori în acesta;

v)  vulnerabilitate în spaţiul cibernetic – slăbiciune în proiectarea şi implementarea infrastructurilor cibernetice sau a măsurilor de securitate aferente, care poate fi exploatată de către o ameninţare.

Art. 4 - Principiile care stau la baza prezentei legi sunt:

a)   asigurarea protejării, în spaţiul cibernetic, a dreptului la viaţă intimă, familială şi privată al cetăţenilor, în special a datelor cu caracter personal gestionate de către deţinătorii de infrastructuri cibernetice;

b)   asigurarea securităţii cibernetice prin responsabilizarea deţinătorilor de infrastructuri cibernetice, astfel încât aceştia să evalueze capabilităţile proprii de securitate cibernetică şi nivelul la care se situează;

c)    creşterea capacităţii de reacţie la incidentele cibernetice şi diminuarea impactului acestora asupra resurselor şi serviciilor infrastructurilor cibernetice prin impunerea de cerinţe minime de securitate cibernetică şi asigurarea rezilienţei infrastructurilor cibernetice;

d)   asigurarea nivelului de încredere necesar pentru dezvoltarea societăţii informaţionale şi a mediului de afaceri în spaţiul cibernetic şi asigurarea accesului egal şi nediscriminatoriu al persoanelor la informaţii şi servicii publice oferite prin intermediul infrastructurilor cibernetice;

e)   asigurarea unei guvernanţe participative, democratice şi eficiente a spaţiului cibernetic prin cooperarea autorităţilor competente cu sectorul privat;

f)     cooperarea la nivel naţional, între instituţiile cu competenţe în materie şi internaţional, cu persoane juridice de drept public şi privat, implicate în asigurarea securităţii cibernetice.

CAPITOLUL II – SISTEMUL NAŢIONAL DE SECURITATE CIBERNETICĂ

 

Art. 5 - (1) La nivel național activitatea de realizare a securității cibernetice se organizează și se desfașoară în mod unitar, potrivit prezentei legi.

(2) În acest scop, cooperarea în domeniu se organizează ca Sistem Naţional de Securitate Cibernetică, la care participă  autorități și instituții publice cu atribuții și responsabilități potrivit dispozițiilor prezentei legi.

(3) În exercitarea comptetențelor, autoritățile și instituțiile publice cooperează cu sectorul privat şi cu mediul academic, asociaţiile profesionale şi organizaţiile neguvernamentale.

Art. 6 - (1) Coordonarea la nivel strategic a activităţilor destinate asigurării securității cibernetice desfășurate la nivelul Sistemului Naţional de Securitate Cibernetică se realizează de către Consiliul Suprem de Apărare a Ţării.

(2) Coordonarea activităţilor de realizare a securităţii cibernetice este asigurată, la nivel operaţional, în cadrul Sistemului Naţional de Securitate Cibernetică, de către Consiliul Operativ de Securitate Cibernetică.

(3)Coordonarea tehnică a activităţilor Consiliului Operativ de Securitate Cibernetică, este asigurată de Serviciul Român de Informaţii.

Art. 7 - (1) Consiliul Operativ de Securitate Cibernetică este format din consilierul prezidenţial pentru probleme de securitate naţională, consilierul Prim-Ministrului pe probleme de securitate naţională, Secretarul Consiliului Suprem de Apărare a Ţării, precum şi  reprezentanţi ai: Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului Comunicațiilor și pentru Societatea Informaţională, Serviciului Român de Informaţii, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază şi Oficiului Registrului Naţional al Informaţiilor Secrete de Stat.

(2) Atunci când lucrările din cadrul Consiliului Operativ de Securitate Cibernetică, privesc sau pot avea efecte asupra persoanelor prevăzute la art. 2 lit. c), la acestea participă şi reprezentantul Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii.

(3) Conducerea Consiliului Operativ de Securitate Cibernetică este asigurată de un preşedinte- consilierul prezidenţial pentru probleme de securitate naţională şi un vicepreşedinte – consilierul Prim-Ministrului pe probleme de securitate naţională.

(4) Consiliul Operativ de Securitate Cibernetică îşi desfăşoară activitatea pe baza unui Regulament de organizare şi funcţionare care se aprobă de către Consiliul Suprem de Apărare a Ţării.

(5) În cadrul lucrărilor Consiliului Operativ de Securitate Cibernetică pot prezenta puncte de vedere cu privire la problemele aflate pe agenda de lucru, reprezentanţi ai furnizorilor de servicii de securitate cibernetică, ai mediului academic, ai entităților de tip CERT private şi ai altor instituţii publice.

(6) În exercitarea atribuţiilor sale, Consiliul Operativ de Securitate Cibernetică analizează şi evaluează starea securităţii cibernetice, formulează şi înaintează Consiliului Suprem de Apărare a Ţării propuneri privind:

a)  măsuri de armonizare a reacţiei autorităţilor competente ale statului în situaţii generate de ameninţări şi atacuri cibernetice, care necesită schimbarea nivelului de alertă cibernetică;

b)  solicitarea, în caz de necesitate, de asistenţă din partea altor state sau organizaţii şi organisme internaţionale;

c)  modalitatea de răspuns la solicitările de asistenţă adresate României din partea altor state sau organizaţii şi organisme internaţionale;

d)  planuri sau direcţii de acţiune, în funcţie de concluziile rezultate şi evoluţia spaţiului cibernetic;

e)  direcţii de dezvoltare sau programe de investiţii în domeniul securităţii cibernetice.

 Art. 8 – Pentru realizarea securității cibernetice, Consiliul Operativ de Securitate Cibernetică cooperează cu organismele de coordonare sau de conducere constituite, la nivel naţional, pentru managementul situaţiilor de urgenţă, a acţiunilor in situaţii de criză în domeniul ordinii publice, pentru prevenirea şi combaterea terorismului şi pentru apărarea naţională.

Proiectul de lege integral poate fi consultat aici.

Leave a Reply