Capitolul i - Dispoziţii generale - Legea 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative
M.Of. 214
În vigoare Versiune de la: 15 Martie 2023
CAPITOLUL I:Dispoziţii generale
Art. 1
(1)Prezenta lege stabileşte cadrul juridic şi instituţional privind organizarea şi desfăşurarea activităţilor din domeniile securitate şi apărare cibernetică, mecanismele de cooperare şi responsabilităţile instituţiilor cu atribuţii în domeniile menţionate.
(2)Securitatea şi apărarea cibernetică se realizează prin adoptarea şi implementarea de politici şi măsuri în scopul cunoaşterii, prevenirii şi contracarării vulnerabilităţilor, riscurilor şi ameninţărilor în spaţiul cibernetic.
Art. 2
În sensul prezentei legi, termenii şi expresiile de mai jos au următoarea semnificaţie:
1.a) apărare cibernetică - totalitatea activităţilor, mijloacelor şi măsurilor utilizate pentru a contracara ameninţările cibernetice şi a atenua efectele acestora asupra sistemelor de comunicaţii şi tehnologia informaţiei, sistemelor de armament, reţelelor şi sistemelor informatice, care susţin capabilităţile militare de apărare;
2.b) ameninţare cibernetică - astfel cum este definită la art. 2 lit. f) din Ordonanţa de urgenţă a Guvernului nr. 104/2021 privind înfiinţarea Directoratului Naţional de Securitate Cibernetică, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare;
3.c) atac cibernetic - acţiune ostilă desfăşurată în spaţiul cibernetic de natură să afecteze securitatea cibernetică;
4.d) audit de securitate cibernetică - activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unor reţele şi sisteme informatice, în vederea identificării disfuncţionalităţilor şi vulnerabilităţilor şi furnizării unor soluţii de remediere a acestora;
5.e) Advanced Persistent Threat, denumită în continuare APT - astfel cum este definită în art. 2 lit. a) din Ordonanţa de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice;
6.f) centru operaţional de securitate - echipă de experţi în securitate cibernetică, ce are rolul de a monitoriza, analiza şi răspunde la incidentele de securitate cibernetică;
7.g) criză cibernetică - astfel cum este definită în art. 2 lit. k) din Ordonanţa de urgenţă a Guvernului nr. 104/2021, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare;
8.h) cyber intelligence - activităţi de culegere, procesare, prelucrare analitică şi valorificare a datelor şi informaţiilor privind acţiuni de natură a afecta interesele şi obiectivele naţionale de securitate pe linia tehnologiei informaţiei şi comunicaţiilor, precum şi identificarea, cunoaşterea, prevenirea şi contracararea oricăror acţiuni din spaţiul cibernetic care pot constitui riscuri, vulnerabilităţi şi/sau ameninţări la adresa securităţii şi apărării naţionale a României;
9.i) cyber counter-intelligence - totalitatea activităţilor, mijloacelor şi măsurilor ofensive şi defensive de identificare, descurajare, neutralizare şi protecţie împotriva activităţilor de informaţii privind acţiuni ostile de natură a afecta interesele şi obiectivele naţionale de securitate, desfăşurate în spaţiul cibernetic şi în domeniul apărării;
10.j) diplomaţie cibernetică - activitatea diplomatică prin intermediul căreia se realizează promovarea intereselor de politică externă şi de securitate ale României în cadrul formatelor bilaterale şi multilaterale de dialog şi negociere pe teme cu relevanţă pentru domeniul securităţii cibernetice la nivel naţional şi internaţional. Activitatea include promovarea unor obiective care derivă atât din necesitatea asigurării şi consolidării securităţii cibernetice naţionale, cât şi din priorităţile de politică externă ale României;
11.k) echipă de răspuns la incidente de securitate cibernetică - astfel cum este definită la art. 2 lit. a) din Ordonanţa de urgenţă a Guvernului nr. 104/2021, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare;
12.l) furnizor de servicii tehnice de securitate cibernetică - persoană fizică şi/sau juridică care realizează, în vederea protejării reţelelor şi sistemelor informatice, cel puţin una dintre următoarele activităţi: implementarea de măsuri de securitate cibernetică, evaluarea, monitorizarea şi testarea măsurilor implementate, precum şi managementul riscurilor, ameninţărilor, vulnerabilităţilor şi incidentelor de securitate cibernetică;
13.m) igienă cibernetică - măsuri de rutină aplicate cu regularitate de către persoanele fizice şi juridice, care au rolul de a reduce expunerea acestora la riscurile pe care le presupun ameninţările cibernetice, conform Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului din 17 aprilie 2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013, denumit în continuare Regulamentul privind securitatea cibernetică;
14.n) incident de securitate cibernetică - eveniment survenit în spaţiul cibernetic care perturbă funcţionarea uneia sau mai multor reţele şi sisteme informatice şi ale cărui consecinţe sunt de natură a afecta securitatea cibernetică;
15.o) lanţ de aprovizionare - circuitul de la producător până la beneficiarul final, inclusiv proiectarea, dezvoltarea, producţia, integrarea, implementarea, configurarea, utilizarea şi casarea de produse şi servicii software sau hardware, respectiv reţele şi sisteme informatice;
16.p) managementul incidentelor de securitate cibernetică - ansamblul proceselor ce prevăd detectarea, calificarea, raportarea, analiza şi răspunsul la incidentele de securitate cibernetică;
17.q) managementul riscurilor de securitate cibernetică - strategia organizaţională şi programatică ce presupune activităţi de evaluare şi gestionare a riscurilor de securitate cibernetică;
18.r) managementul riscurilor de securitate cibernetică specifice lanţului de aprovizionare - strategia organizaţională şi programatică ce presupune activităţi de evaluare şi gestionare a riscurilor în cadrul proceselor din întreg ciclul de viaţă al bunului sau serviciului software sau hardware, respectiv al sistemului sau reţelei informatice, de la producător până la beneficiarul final, inclusiv proiectarea, dezvoltarea, producţia, integrarea, implementarea, configurarea, utilizarea şi casarea de produse şi servicii software sau hardware, respectiv reţele şi sisteme informatice;
19.s) politici de securitate cibernetică - principii şi reguli generale necesar a fi aplicate pentru asigurarea securităţii reţelelor şi sistemelor informatice;
20.t) produs de securitate cibernetică - astfel cum este definit la art. 2 lit. l) din Ordonanţa de urgenţă a Guvernului nr. 104/2021, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare;
21.u) reţele şi sisteme informatice - astfel cum sunt definite la art. 3 lit. l) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare;
22.v) reţele şi sisteme informatice specifice apărării naţionale - reţelele şi sistemele informatice aparţinând Ministerului Apărării Naţionale, reţelele şi sistemele informatice naţionale care susţin activităţile militare ale Organizaţiei Tratatului Atlanticului de Nord, denumită în continuare NATO, şi Uniunii Europene, denumită în continuare UE, precum şi reţelele şi sistemele informatice de interes pentru apărarea naţională date în responsabilitatea sau puse la dispoziţia Ministerului Apărării Naţionale în caz de agresiune armată, la instituirea stării de asediu, declararea stării de mobilizare sau a stării de război;
23.w) rezilienţa în spaţiul cibernetic - capacitatea unei reţele sau a unui sistem informatic de a rezista unui incident sau atac cibernetic şi de a reveni la starea de normalitate de dinaintea incidentului sau atacului cibernetic;
24.x) risc de securitate cibernetică - astfel cum este definit la art. 2 lit. r) din Ordonanţa de urgenţă a Guvernului nr. 89/2022;
25.y) securitate cibernetică - stare de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic ale resurselor şi serviciilor publice sau private din spaţiul cibernetic;
26.z) spaţiu cibernetic - mediul virtual generat de reţelele şi sistemele informatice, incluzând conţinutul informaţional procesat, stocat sau transmis, precum şi acţiunile derulate de utilizatori în acesta;
27.aa) vulnerabilitate de securitate cibernetică - slăbiciune în proiectarea, implementarea, dezvoltarea, configurarea şi mentenanţa reţelelor şi sistemelor informatice sau a măsurilor de securitate aferente, care poate fi exploatată de către o ameninţare.
Art. 3
(1)În domeniul securităţii cibernetice, prezenta lege se aplică următoarelor:
a)reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat;
b)reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale;
c)reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute la lit. a), precum şi de persoane fizice şi juridice care furnizează servicii publice ori de interes public, altele decât cele de la lit. b).
(2)În domeniul apărării cibernetice, prezenta lege are ca obiect stabilirea cadrului general de reglementare pentru reţelele şi sistemele informatice specifice apărării naţionale.
Art. 4
Obiectivele prezentei legi sunt:
a)asigurarea rezilienţei şi protecţiei reţelelor şi sistemelor informatice ce susţin funcţiile de apărare, securitate naţională, ordine publică şi guvernare;
b)desemnarea autorităţilor competente şi stabilirea cadrului legal de dezvoltare a capabilităţilor necesare îndeplinirii responsabilităţilor acestora în domeniile securităţii şi apărării cibernetice;
c)menţinerea sau restabilirea climatului de securitate cibernetică la nivel naţional, prin cooperarea între autorităţile competente şi asigurarea coordonării unitare de către Consiliul Operativ de Securitate Cibernetică, denumit în continuare COSC, a persoanelor juridice responsabile de securitatea cibernetică proprie şi asigurarea unei reacţii rapide şi eficiente la ameninţările provenite din spaţiul cibernetic;
d)stabilirea şi separarea responsabilităţilor şi/sau atribuţiilor funcţionale între furnizorii de reţele, sisteme şi servicii informatice, autorităţile de aplicare a legii, structurile din cadrul instituţiilor cu atribuţii în domeniul securităţii şi apărării cibernetice, astfel încât să se asigure un nivel ridicat de securitate cibernetică la nivel naţional;
e)dezvoltarea şi consolidarea unei culturi de securitate cibernetică la nivel naţional, prin conştientizarea vulnerabilităţilor, riscurilor şi ameninţărilor, respectiv formarea unei conduite proactive şi preventive.
Art. 5
Asigurarea securităţii şi apărării cibernetice se realizează conform următoarelor principii:
a)principiul personalităţii - responsabilitatea asigurării securităţii cibernetice şi/sau apărării cibernetice a unui sistem, a unei reţele şi/sau a unui serviciu informatic revine persoanei fizice sau juridice care le deţine în proprietate, le organizează, administrează şi/sau utilizează, după caz;
b)principiul protecţiei depline - persoana fizică sau juridică responsabilă de securitatea şi/sau apărarea cibernetică a unui sistem, a unei reţele şi/sau a unui serviciu informatic răspunde de managementul riscurilor asociate acestora şi conexiunilor acestora cu alte sisteme, reţele şi/sau servicii informatice terţe, precum şi de implementarea măsurilor tehnice şi organizaţionale necesare protecţiei cibernetice;
c)principiul minimizării efectelor - în cazul unui incident de securitate cibernetică, persoana fizică sau juridică responsabilă de securitatea şi/sau apărarea cibernetică a sistemului, reţelei şi/sau a serviciului informatic în cauză ia măsuri de evitare a amplificării efectelor şi de extindere a acestora la alte sisteme, reţele şi/sau servicii informatice din responsabilitatea proprie sau din responsabilitatea altor persoane fizice sau juridice;
d)principiul colaborării, cooperării şi coordonării - constă în realizarea, în mod conjugat de către persoanele fizice sau juridice responsabile, a tuturor activităţilor care să asigure securitatea şi/sau apărarea sistemelor, reţelelor şi serviciilor informatice care fac obiectul prezentei legi, precum şi gestionarea incidentelor de securitate cibernetică, atenuarea efectelor şi eliminarea situaţiilor care au generat stările de alertă cibernetică instituite la nivel naţional.