România schimbă legea în securitatea cibernetică. Hackerii etici care raportează vulnerabilități vor fi protejați

România schimbă legea în securitatea cibernetică. Hackerii etici care raportează vulnerabilități vor fi protejați
Securitatea cibernetică a României / Foto: Profimedia

România are, începând de acum, un cadru legal dedicat specialiștilor în securitate cibernetică care descoperă și raportează vulnerabilități informatice cu bună-credință. Noua lege, deja promulgată, stabilește pentru prima dată o diferență clară între cercetarea în domeniul securității IT și atacurile informatice desfășurate în scop infracțional.

Actul normativ urmărește să ofere mai multă siguranță experților care testează sisteme informatice pentru a identifica probleme de securitate și să încurajeze raportarea responsabilă a vulnerabilităților, fără teama unor consecințe penale, atât timp cât sunt respectate condițiile prevăzute de lege.

Cercetătorii în securitate cibernetică primesc un cadru legal clar

Noua legislație prevede că anumite infracțiuni prevăzute în Codul penal, precum accesarea unui sistem informatic, interceptarea transmisiilor de date sau transferul unor date informatice, nu vor fi aplicabile atunci când aceste activități sunt desfășurate exclusiv în scopul identificării și raportării unor vulnerabilități și respectă regulile stabilite de lege.

Protecția juridică nu este însă generală. Ea se aplică doar persoanelor care acționează cu bună-credință, în cadrul unor activități de cercetare sau testare și urmează procedurile de raportare responsabilă a problemelor descoperite.

Scopul este de a elimina situațiile în care specialiștii în securitate cibernetică riscau să fie tratați la fel ca autorii unor atacuri informatice, chiar dacă intenția lor era de a contribui la securizarea sistemelor digitale.

Inițiatorii legii susțin că România dispune de numeroși tineri și profesioniști capabili să identifice vulnerabilități complexe înainte ca acestea să fie exploatate de infractori cibernetici, iar noul cadru legislativ ar trebui să încurajeze valorificarea acestor competențe în beneficiul instituțiilor publice, al companiilor și al cetățenilor.

Legea nu îi protejează pe autorii atacurilor informatice

Autoritățile subliniază însă că noua lege nu reprezintă o relaxare a legislației privind criminalitatea informatică și nu legalizează atacurile cibernetice.

Persoanele care folosesc vulnerabilitățile descoperite pentru a obține avantaje personale, fură sau divulgă date, compromit funcționarea unor sisteme informatice, întrerup servicii ori utilizează programe malware nu beneficiază de protecția oferită de noul act normativ și răspund în continuare potrivit legislației penale.

Legea nr. 123/2026 urmărește și îmbunătățirea colaborării dintre instituțiile statului implicate în securitatea cibernetică. În acest sens, Directoratul Național de Securitate Cibernetică (DNSC) va coopera cu un comitet format din reprezentanți ai autorităților relevante, pentru ca informațiile privind incidentele informatice să circule mai rapid, iar reacția instituțiilor să fie mai bine coordonată.

Adoptarea acestui cadru legal aliniază România la practicile utilizate în tot mai multe state care încurajează programele de tip responsible disclosure și colaborarea dintre autorități, companii și comunitatea de cercetători în securitate cibernetică. În contextul în care atacurile informatice devin tot mai sofisticate, specialiștii consideră că identificarea vulnerabilităților înainte ca acestea să fie exploatate reprezintă una dintre cele mai eficiente metode de prevenire a incidentelor majore.