Concret, persoanele juridice care au în responsabilitate rețele sisteme informatice prevăzute de lege au obligația de a notifica incidentele de securitate cibernetică de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului. Dacă incidentele de securitate cibernetică nu pot fi comunicate complet în acest termen, acestea se transmit în cel mult 5 zile calendaristice de la notificarea iniţială, informaţiile putând fi completate şi ulterior cu cele care reies din investigaţiile realizate pe baza evenimentului.
Conform noii legi, Serviciul Român de Informații este autoritate competentă la nivel național în domeniul cyber intelligence, precum și pentru cunoașterea, analizarea, prevenirea și contracararea incidentelor și atacurilor cibernetice care reprezintă amenințări, riscuri și vulnerabilități la adresa securității naționale a României.
De asemenea, potrivit legii, „furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor (…), la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, respectiv în maximum 5 zile de la data primirii solicitării privind ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali”.
Actul normativ stabileşte sancţiuni în cazul nerespectării de către aceste persoane a obligaţiei de notificare a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul prevăzut, a obligaţiei de comunicare completă a incidentelor de securitate cibernetică, precum şi pentru nerespectarea de către furnizorii de servicii de securitate cibernetică a obligaţiei de a pune la dispoziţia autorităţilor date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau sistem informatic al deţinătorului sau al unor terţi, în termenul stabilit.
Sunt prevăzute amenzi de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de şase luni limita maximă este de 200.000 lei.
Pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei sancţiunea va fi cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar în cazul săvârşirii unei noi contravenţii în termen de şase luni limita maximă a amenzii este de 3% din cifra de afaceri netă, potrivit legii.
Avocatul Poporului, parlamentari USR şi din partidul Forţa Dreptei au sesizat CCR în legătură cu acest act normativ, însă Curtea a respins ca neîntemeiate sesizările de neconstituţionalitate.
Actul normativ se aplică în domeniul securităţii cibernetice pentru:
a) reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat;
b) reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale;
c) reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute anterior la lit. a), precum şi de persoane fizice şi juridice care desfăşoară activităţi cu scop lucrativ şi nelucrativ de cercetare, dezvoltare, inovare şi producţie în domeniul tehnologia informaţiei şi a comunicaţiilor sau furnizează servicii publice ori de interes public, altele decât cele de la lit. b).