Directoratul Național de Securitate Cibernetică (DNSC) va avea autoritatea de a efectua audituri cibernetice asupra anumitor firme care operează în România. Aceste audituri nu vor fi gratuite, costurile urmând a fi suportate de către firmele vizate.
Prezenta lege stabilește cadrul juridic și instituțional, măsurile și mecanismele necesare pentru asigurarea unui nivel comun ridicat de securitate cibernetică la nivel național.
Aceste reglementări sunt incluse într-un proiect de lege aflat în dezbatere publică.
DNSC este instituția națională responsabilă pentru reglementarea și supravegherea securității cibernetice în spațiul cibernetic civil din România.
Noua legislație se va aplica entităților înființate sau înregistrate pe teritoriul României, precum și celor a căror infrastructură este situată în România.
De asemenea, va viza furnizorii de rețele publice de comunicații electronice și pe cei care oferă servicii de comunicații electronice accesibile publicului.
Vor fi incluse și entitățile care furnizează servicii DNS, registrele de nume TLD, serviciile de înregistrare a numelor de domenii, furnizorii de servicii de cloud computing, centre de date, rețele de furnizare de conținut, servicii gestionate, servicii de securitate gestionate, precum și furnizorii de piețe online, motoare de căutare online și platforme de servicii de socializare, dar doar dacă sediul lor principal din Uniunea Europeană este situat în România.
DNSC va adopta măsuri pentru a aborda toate riscurile care pot afecta securitatea rețelelor și a sistemelor informatice, atât la nivel logic, cât și fizic, pentru a preveni incidentele cibernetice.
Auditurile sunt obligatorii
Firmele vizate vor trebui să se supună unui audit de securitate cibernetică periodic, în termen de un an de la identificare și ulterior o dată la trei ani de la ultimul audit efectuat.
DNSC va avea posibilitatea de a efectua scanări neintruzive și proactive de securitate cibernetică, utilizând criterii obiective, nediscriminatorii, echitabile și transparente de evaluare a riscurilor, cu notificarea prealabilă a entității implicate și, dacă este cazul, în cooperare cu aceasta.
De asemenea, pentru implementarea prevederilor legii, DNSC va putea solicita acces la date, echipamente hardware și software, precum și informații de la personalul entităților, pentru a-și îndeplini sarcinile de supraveghere și control.
Toate costurile asociate auditului de securitate periodic sau ad-hoc vor fi suportate de către entitatea supusă auditului.