Legea nr. 58/2023 privind securitatea cibernetică a României, precum şi pentru completarea unor acte normative

În M. Of. nr. 214 din data de 15 martie 2023 s-a publicat Legea nr. 58/2023 privind securitatea și apărarea cibernetică a României, precum și pentru modificarea și completarea unor acte normative.

Vă prezentăm, în cele ce urmează, cele mai importante dispoziții regăsite în respectivul act normativ.

Structură

CAPITOLUL I: Dispoziții generale

CAPITOLUL II: Sistemul național de securitate cibernetică

CAPITOLUL III: Autorități competente și responsabilități

CAPITOLUL IV: Managementul incidentelor și reziliența în spațiul cibernetic

SECȚIUNEA 1: Managementul incidentelor de securitate cibernetică

SECȚIUNEA 2: Reziliența în spațiul cibernetic

CAPITOLUL V: Sistemul Național de Alertă Cibernetică

CAPITOLUL VI: Apărarea cibernetică

CAPITOLUL VII: Cercetare, dezvoltare și inovare în domeniul securității cibernetice

CAPITOLUL VIII: Cooperare în domeniul securității și apărării cibernetice

SECȚIUNEA 1: La nivel național

SECȚIUNEA 2: La nivel internațional

CAPITOLUL IX: Formarea profesională, educația, instruirea

CAPITOLUL X: Securitatea lanțului de aprovizionare

CAPITOLUL XI: Confidențialitatea și protecția securității datelor și informațiilor persoanelor fizice și juridice

CAPITOLUL XII: Contravenții și sancțiuni

CAPITOLUL XIII: Dispoziții privind completarea art. 3 din Legea nr. 51/1991 privind securitatea națională a României, republicată, cu modificările și completările ulterioare, precum și pentru modificarea Ordonanței de urgență a Guvernului nr. 1/1999 privind regimul stării de asediu și regimul stării de urgență, aprobată cu modificări și completări prin Legea nr. 453/2004, cu modificările și completările ulterioare

CAPITOLUL XIV: Dispoziții tranzitorii și finale

Art. 25

(1) Furnizorii de servicii tehnice de securitate cibernetică au obligația de a pune la dispoziția autorităților prevăzute la art. 10, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date și informații privind incidente, respectiv, în maximum 5 zile de la data primirii solicitării, cu privire la amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta o rețea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1), precum și interconectarea acestora cu terții și cu utilizatorii finali.

(2) Datele și informațiile prevăzute la alin. (1) nu vizează, prin scopul solicitării, date cu caracter personal și date de conținut.

(3) Datele și informațiile prevăzute la alin. (1) se transmit în scris, prin mijloace electronice sau prin orice altă modalitate stabilită de comun acord, în formatul și structura conforme raportării de incidente cibernetice în PNRISC, prevăzute la art. 22.

Art. 26

Pentru creșterea nivelului de reziliență cibernetică și realizarea descurajării în spațiul cibernetic la nivel național, DNSC și instituțiile din domeniile apărării, ordinii publice și securității naționale iau măsuri pentru:

a) realizarea unui cadru interinstituțional de securitate cibernetică care să permită instruirea comună, transferul de cunoștințe, schimbul de informații, sprijinul de specialitate și federalizarea de resurse și capabilități de securitate cibernetică;

b) îmbunătățirea și extinderea capabilităților de protecție și detecție automată a atacurilor, prin implementarea de instrumente de analiză inteligentă a amenințărilor și distribuirea oportună a indicatorilor și avertizărilor privind iminența unor atacuri cibernetice asupra rețelelor și sistemelor informatice naționale;

c) elaborarea de manuale cu tehnici, tactici și proceduri, precum și a planurilor de contingență și exersarea lor în cadrul exercițiilor de securitate cibernetică în scopul întăririi rezilienței în spațiul cibernetic;

d) constituirea de echipe de intervenție la incidente de securitate cibernetică de tip computer security incident response team, denumit în continuare CSIRT, echipe de protecție cibernetică și/sau alte forțe specializate în desfășurarea de acțiuni în spațiul cibernetic.

Art. 48

(1) Următoarele fapte constituie contravenții dacă nu au fost săvârșite în astfel de condiții încât să fie considerate infracțiuni potrivit legii:

a) nerespectarea de către persoanele prevăzute la art. 3 alin. (1) lit. b) și c) a obligației de notificare a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul prevăzut la art. 21 alin. (1);

b) nerespectarea de către persoanele prevăzute la art. 3 alin. (1) lit. b) și c) a obligației de comunicare completă a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul și condițiile prevăzute la art. 21 alin. (2) și art. 22;

c) nerespectarea de către furnizorii de servicii de securitate cibernetică a obligației de a pune la dispoziția autorităților prevăzute la art. 10 date și informații privind incidente, amenințări, riscuri sau vulnerabilități a căror manifestare poate afecta o rețea sau sistem informatic al deținătorului sau al unor terți, în condițiile și la termenul prevăzut la art. 25 alin. (1).

(2) Prin derogare de la dispozițiile art. 8 alin. (2) lit. a) din Ordonanța Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, contravențiile prevăzute la alin. (1) se sancționează astfel:

a) cu amendă de la 5.000 lei la 50.000 lei, iar în cazul săvârșirii unei noi contravenții în termen de 6 luni, de la data săvârșirii primei contravenții, limita maximă a amenzii este de 200.000 lei;

b) pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar, în cazul săvârșirii unei noi contravenții, în termen de 6 luni, de la data săvârșirii primei contravenții, limita maximă a amenzii este de 3% din cifra de afaceri netă.

(3) Cifra de afaceri netă prevăzută la alin. (2) lit. b) este cea înregistrată de operatorul economic în ultimul exercițiu financiar.

(4) În vederea individualizării sancțiunii prevăzute la alin. (2), agentul de constatare și aplicare a contravenției ia în considerare gradul de pericol social concret al faptei și perioada de timp în care obligația legală a fost încălcată.

(5) Pentru persoanele fizice autorizate, întreprinderile individuale și întreprinderile familiale, cifrei de afaceri prevăzute la alin. (2) lit. b) îi corespunde totalitatea veniturilor realizate de respectivii operatori economici în exercițiul financiar anterior sancționării.

(6) Pentru persoanele juridice nou-înființate și pentru persoanele juridice care nu au înregistrat cifra de afaceri în exercițiul financiar anterior sancționării, amenda prevăzută la alin. (2) se stabilește în cuantum de minimum unu și maximum 25 de salarii minime brute pe economie.

(7) În măsura în care prezenta lege nu prevede altfel, contravențiilor prevăzute la alin. (1) li se aplică dispozițiile Ordonanței Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare.

Art. 49

(1) Constatarea contravențiilor prevăzute la art. 48 alin. (1) lit. a) și b) se realizează de către personalul de control din cadrul DNSC, iar aplicarea sancțiunii corespunzătoare se face prin decizia directorului DNSC.

(2) Constatarea contravențiilor prevăzute la art. 48 alin. (1) lit. c) se realizează de către personalul de control anume desemnat din cadrul autorităților prevăzute la art. 10, corespunzător autorității care a formulat cererea de punere la dispoziție a informațiilor și datelor, iar aplicarea sancțiunii corespunzătoare se face prin act administrativ al personalului de control anume desemnat și delegat de conducătorul autorității.

(3) Actele administrative prevăzute la alin. (1) și (2) trebuie să cuprindă următoarele elemente:

a) datele de identificare ale contravenientului;

b) data săvârșirii faptei;

c) descrierea faptei contravenționale și a împrejurărilor care au fost avute în vedere la individualizarea sancțiunii;

d) indicarea temeiului legal potrivit căruia se stabilește și se sancționează contravenția;

e) sancțiunea aplicată;

f) termenul și modalitatea de plată a amenzii;

g) termenul de exercitare a căii de atac și instanța de judecată competentă.

(4) Prin derogare de la prevederile art. 13 din Ordonanța Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, aplicarea sancțiunii prevăzute la art. 48 alin. (2) se prescrie în termen de un an de la data săvârșirii faptei. În cazul încălcărilor care durează în timp sau al celor constând în săvârșirea, în baza aceleiași rezoluții, la intervale diferite de timp, a mai multor acțiuni sau inacțiuni, care prezintă, fiecare în parte, conținutul aceleiași contravenții, prescripția începe să curgă de la data constatării sau de la data încetării ultimului act ori fapt săvârșit, dacă acest moment intervine anterior constatării.

(5) Prin derogare de la dispozițiile art. 25 alin. (2) din Ordonanța Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, actul administrativ prevăzut la alin. (1) sau (2) se comunică contravenientului în termen de 15 zile de la data emiterii acestuia.

(6) Odată cu actul administrativ prevăzut la alin. (1) sau (2), contravenientului i se comunică și înștiințarea de plată, care conține mențiunea privind obligativitatea achitării amenzii în termen de 30 de zile de la data comunicării actului.

(7) Actul administrativ prevăzut la alin. (1) sau (2), neatacat în termenul prevăzut la alin. (9), precum și hotărârea judecătorească definitivă prin care s-a soluționat acțiunea în contencios administrativ constituie titlu executoriu, fără vreo altă formalitate. Acțiunea în contencios administrativ în condițiile prevăzute la alin. (9) suspendă executarea numai în ceea ce privește achitarea amenzii, până la pronunțarea de către instanța de judecată a unei hotărâri definitive.

(8) Sumele provenite din amenzile aplicate în conformitate cu dispozițiile prezentului articol se fac venit integral la bugetul de stat. Executarea se realizează în conformitate cu dispozițiile legale privind executarea silită a creanțelor fiscale. În vederea punerii în executare a sancțiunii, DNSC și autoritățile prevăzute la art. 10 comunică din oficiu organelor de specialitate ale Agenției Naționale de Administrare Fiscală actul administrativ prevăzut la alin. (1) sau (2), neatacat în termenul prevăzut la alin. (9), după expirarea termenului prevăzut în înștiințarea de plată sau după rămânerea definitivă a hotărârii judecătorești prin care s-a soluționat acțiunea în contencios administrativ.

(9) Prin derogare de la dispozițiile art. 7 din Legea contenciosului administrativ nr. 554/2004, cu modificările și completările ulterioare, și de la dispozițiile art. 32 alin. (1) din Ordonanța Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, actele administrative și deciziile adoptate potrivit dispozițiilor prezentei legi pot fi atacate în contencios administrativ la Curtea de Apel București, fără parcurgerea procedurii prealabile, în termen de 30 de zile de la comunicarea acestora.

(10) Prin derogare de la dispozițiile art. 14 alin. (1) din Ordonanța Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, executarea sancțiunilor contravenționale aplicate se prescrie dacă actul administrativ prevăzut la alin. (1) sau (2) nu a fost comunicat contravenientului în termen de 15 zile de la data aplicării sancțiunii.

Art. 50

Art. 51