În ședinta de miercuri, 31 ianuarie 2024, Guvernul României a adoptat consolidarea Legii 58/2023, inițiată de Ministerul Cercetării, Inovării și Digitalizării (MCID). Mai precis, Guvernul a aprobat Hotărârea pentru aprobarea Normelor metodologice privind solicitarea și comunicarea datelor și informațiilor prevăzute la art. 25 alin. (1) din Legea nr. 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative.

„O legislație consolidată în domeniul securității cibernetice este un imperativ pentru sistemele digitale ale instituțiilor publice. Avem nevoie de un cadru legislativ clar, cu termene scurte, care să fundamenteze o acțiune rapidă și eficientă a instituțiilor abilitate. Acest lucru a fost evident și în situația recentă a atacului informatic care a vizat sistemul informatic al Camerei Deputaților. Actualizarea normativă adoptată azi de Guvernul României prevede că furnizorii de servicii tehnice de securitate cibernetică vor avea termene rapide să răspundă la cererile ce vizează date și informații privind incidente de securitate cibernetică, amenințări, riscuri sau vulnerabilități. Prevederile vizează asigurarea rezilienței și protecției rețelelor și sistemelor informatice ce susțin funcțiile de apărare, securitate națională, ordine publică și guvernare”, a precizat ministrul Digitalizării, Bogdan Ivan.

Combaterea efectelor atacurilor cibernetice se realizează prin comunicarea rapidă a următoarelor elemente:

1. date ce pot ajuta la identificarea vectorului de amenințare sau atac cibernetic;
2. scopul și/sau motivația vectorului de amenințare sau atac cibernetic;
3. date care pot ajuta la contextualizarea și descrierea incidentului vizat de vectorul de amenințare sau atac;
4. tehnici, tactici și proceduri utilizate pentru activitățile nelegitime;
5. indicatori tehnici ai activităților nelegitime derulate de vectori de amenințare sau atac cibernetic sau celor aferente derulării incidentului, identificați în rețelele și sistemele informatice;
6. date și informații ce pot ajuta în evaluarea și cuantificarea impactului incidentului vizat sau potențialul impact al riscului;
7. soluții hardware și software ce pot fi afectate;
8. vulnerabilități identificate, date și informații cu privire la categorii de victime și entități vizate sau potențial afectate.

MCID va interveni pentru consolidarea legislației în vigoare ori de câte ori avansurile tehnologice ar putea vulnerabiliza sistemele informatice ale instituțiilor față de atacurile cibernetice.