Capitolul iii - Autorităţi competente şi responsabilităţi - Legea 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative
M.Of. 214
În vigoare Versiune de la: 15 Martie 2023
CAPITOLUL III:Autorităţi competente şi responsabilităţi
Art. 10
(1)Sunt autorităţi competente în sensul prezentei legi:
a)DNSC, pentru spaţiul cibernetic naţional civil, conform prevederilor prezentei legi şi ale Ordonanţei de urgenţă a Guvernului nr. 104/2021, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare;
b)MCID, pentru elaborarea şi iniţierea actelor normative şi politicilor publice naţionale în domeniul securităţii cibernetice, al transformării digitale, societăţii informaţionale, comunicaţiilor, cercetării, dezvoltării şi inovării;
c)ANCOM, pentru coordonarea activităţilor desfăşurate în vederea asigurării securităţii cibernetice a reţelelor şi sistemelor informatice proprii şi a celor prevăzute la art. 3 alin. (1) lit. b);
d)MApN, MAI, MAE, SRI, SIE, STS, SPP şi ORNISS, conform atribuţiilor prevăzute la art. 11-18.
(2)Autorităţile prevăzute la alin. (1) au următoarele obligaţii:
a)să adopte planuri de acţiune corespunzătoare fiecărui nivel de alertă cibernetică;
b)să acorde sprijin, în limita atribuţiilor, la solicitarea proprietarilor de reţele şi sisteme informatice aflate în domeniul lor de competenţă, activitate sau responsabilitate, pentru implementarea măsurilor corespunzătoare nivelurilor de alertă cibernetică;
c)să desfăşoare activităţi de informare şi comunicare publică, în limita atribuţiilor;
d)să organizeze sesiuni de formare şi instruire în domeniul securităţii cibernetice, în limita atribuţiilor;
e)să organizeze sau să participe la exerciţii naţionale de securitate cibernetică;
f)să comunice reciproc date de interes referitoare la securitatea cibernetică, inclusiv către celelalte autorităţi şi instituţii publice care deţin, organizează, administrează, utilizează sau au în competenţă reţele şi sisteme informatice.
(3)Autorităţile prevăzute la alin. (1) pot elabora strategii şi norme proprii, prin acte administrative ale conducătorilor autorităţilor, pentru reglementarea activităţilor de securitate cibernetică, la nivel instituţional.
Art. 11
MApN este autoritate competentă la nivel naţional în domeniul apărării cibernetice, iar în sensul prezentei legi are atribuţii în domeniul securităţii cibernetice pentru reţelele şi sistemele informatice care susţin capabilităţile militare de apărare.
Art. 12
MAI, prin structura specializată, este autoritate competentă la nivel naţional în domeniul securităţii cibernetice pentru cunoaşterea, prevenirea, identificarea şi contracararea ameninţărilor, vulnerabilităţilor şi riscurilor cibernetice la adresa sistemelor informatice, reţelelor de comunicaţii şi serviciilor electronice din domeniul de competenţă.
Art. 13
(1)MAE este autoritate competentă, la nivel naţional, în domeniul diplomaţiei cibernetice, pentru asigurarea componenţei diplomatice şi de relaţii internaţionale aferente securităţii cibernetice, şi îndeplineşte următoarele atribuţii:
a)asigură şi coordonează reprezentarea intereselor României în cadrul formatelor internaţionale de negociere şi dialog politic la care România este parte şi al căror obiect de activitate poate produce implicaţii în plan naţional şi internaţional din perspectiva regulilor, principiilor şi normelor de utilizare a tehnologiilor de informaţii şi telecomunicaţii şi a parametrilor conduitei responsabile a statelor în spaţiul cibernetic;
b)sprijină şi promovează colaborarea şi coordonarea strategică, precum şi dialogul României în domeniul securităţii şi apărării cibernetice cu principalii parteneri internaţionali, atât în plan bilateral, cât şi în cadrul formatelor internaţionale la care România este parte, precum şi cu privire la deciziile de politică cu implicaţii naţionale şi internaţionale privind spaţiul cibernetic;
c)promovează şi contribuie la înţelegerea, însuşirea şi aplicarea la nivel naţional şi internaţional a principiilor, regulilor şi normelor de comportament responsabil în spaţiul cibernetic agreate la nivelul ONU, aplicarea dreptului internaţional în materie şi utilizarea setului de instrumente de diplomaţie cibernetică de la nivel UE;
d)promovează interesele României în plan internaţional într-o manieră conformă cadrului naţional de valori democratice şi apartenenţei României la Alianţa Nord-Atlantică (NATO) şi Uniunea Europeană (UE), prin susţinerea şi protejarea caracterului global, deschis, liber, stabil şi sigur al spaţiului cibernetic, a aplicabilităţii depline a dreptului internaţional - inclusiv a dreptului internaţional umanitar şi a legislaţiei internaţionale privind drepturile omului - în acest spaţiu, precum şi a respectării depline a normelor de conduită responsabilă a statelor în spaţiul cibernetic agreate în sistemul ONU, în vederea menţinerii stabilităţii, prevenirii conflictelor şi atenuării ameninţărilor cibernetice.
(2)MAE colaborează cu autorităţile membre COSC, în principal, în vederea:
a)asigurării componenţei diplomatice a securităţii cibernetice;
b)promovării unitare a intereselor României şi a unui mesaj coerent în acţiunea externă a României;
c)participării în ecosistemul securităţii cibernetice la nivel internaţional;
d)asigurării răspunsului unitar şi prompt în abordarea de politică externă a evoluţiilor şi situaţiilor nou-apărute din domeniul securităţii cibernetice care pot produce consecinţe pentru securitatea şi apărarea cibernetică.
Art. 14
(1)SRI este autoritate competentă la nivel naţional în domeniul cyber intelligence, precum şi pentru cunoaşterea, analizarea, prevenirea şi contracararea incidentelor şi atacurilor cibernetice care reprezintă ameninţări, riscuri şi vulnerabilităţi la adresa securităţii naţionale a României.
(2)Prevenirea şi combaterea ameninţărilor de tip APT la adresa reţelelor şi sistemelor informatice din domeniul de competenţă, activitate sau responsabilitate, după caz, ale instituţiilor şi autorităţilor prevăzute la art. 10 alin. (1) se realizează astfel:
a)de către MApN în limita competenţelor prevăzute la art. 11;
b)de către MAI în limita competenţelor prevăzute la art. 12;
c)de către SIE în limita competenţelor prevăzute la art. 15;
d)de către STS în limita competenţelor prevăzute la art. 16;
e)de către SPP în limita competenţelor prevăzute la art. 17;
f)de către SRI, în toate celelalte cazuri.
(3)În situaţia existenţei unor ameninţări cibernetice la adresa reţelelor şi sistemelor informatice prevăzute la art. 3 alin. (1) lit. b) şi c), care ar aduce atingere securităţii naţionale, SRI informează ANCOM şi DNSC, în condiţiile legii.
Art. 15
SIE este autoritate competentă pentru cunoaşterea, analizarea, prevenirea şi contracararea incidentelor şi atacurilor cibernetice care reprezintă ameninţări, riscuri şi vulnerabilităţi cibernetice la adresa reţelelor şi sistemelor informatice din responsabilitate.
Art. 16
STS este autoritate competentă în domeniul securităţii cibernetice pentru infrastructurile, reţelele, sistemele, serviciile proprii şi spectrul de frecvenţe radio proprii, precum şi pentru cele reglementate prin legi speciale.
Art. 17
SPP este autoritate competentă în domeniul securităţii cibernetice pentru infrastructurile, reţelele, sistemele şi serviciile proprii, coordonează măsurile de securitate cibernetică pentru demnitarii cărora le asigură protecţie şi acţionează, independent sau în cooperare cu celelalte structuri din domeniile apărării, ordinii publice şi securităţii naţionale, pentru implementarea acestora.
Art. 18
ORNISS coordonează activităţile desfăşurate în vederea asigurării securităţii cibernetice a reţelelor şi sistemelor informatice care stochează, procesează sau transmit informaţii clasificate, conform atribuţiilor prevăzute în Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările şi completările ulterioare.
Art. 19
(1)Autorităţile prevăzute la art. 10 constituie şi operaţionalizează structuri specializate în realizarea de audit de securitate cibernetică şi structuri specializate de securitate cibernetică pentru gestionarea ameninţărilor cibernetice la adresa reţelelor şi sistemelor informatice din responsabilitate.
(2)Structurile prevăzute la alin. (1) se înfiinţează, se organizează şi funcţionează prin act administrativ al conducătorului autorităţilor prevăzute la art. 10.