Potrivit versiunii intermediare a proiectului de Lege a securității cibernetice, publicată, recent, de Ministerul Comunicațiilor și pentru Societatea Informațională, Consiliul Operativ de Securitate Cibernetică este format din consilierul prezidențial pentru probleme de securitate națională, consilierul prim-ministrului pe probleme de securitate națională, secretarul Consiliului Suprem de Apărare a Țării, precum și din reprezentanți ai Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului Comunicațiilor și pentru Societatea Informațională, Serviciului Român de Informații, Serviciului de Informații Externe, Serviciului de Telecomunicații Speciale, Serviciului de Protecție și Pază și Oficiului Registrului Național al Informațiilor Secrete de Stat.
Prezenta lege se va aplica: autorităților și instituțiilor publice, persoanelor juridice deținătoare de infrastructuri cibernetice care susțin servicii publice sau de interes public, ori servicii ale societății informaționale, a căror afectare aduce atingere securității naționale sau prejudicii grave statului român ori cetățenilor acestuia; persoanelor juridice, deținătoare de infrastructuri cibernetice care prelucrează date cu caracter personal; furnizorilor de rețele publice de comunicații electronice și furnizorilor de servicii de comunicații electronice destinate publicului; furnizorilor de servicii de găzduire internet; furnizorilor de servicii de securitate cibernetică.
Cerințele minime de securitate cibernetică și politicile de securitate cibernetică pentru infrastructurile cibernetice de interes național se stabilesc de Ministerul Comunicațiilor și pentru Societatea Informațională, cu sprijinul Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), Serviciului Român de Informații, prin Centrul Național de Securitate Cibernetică, Autorității Naționale pentru Administrare și Reglementare în Comunicații (ANCOM), Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Oficiului Registrului Național al Informațiilor Secrete de Stat, Serviciului de Informații Externe, Serviciului de Telecomunicații Speciale și Serviciului de Protecție și Pază.
Furnizorii de servicii de comunicații electronice destinate publicului au obligația de a-și informa utilizatorii și abonații imediat ce au fost sesizați de autoritatea competentă, dar nu mai târziu de 24 de ore din momentul în care au fost sesizați de autoritățile competente, cu privire la situațiile în care sistemele informatice utilizate de către aceștia au fost implicate în atacuri cibernetice și de a recomanda măsurile necesare în vederea restabilirii condițiilor normale de funcționare. Notificarea se realizează în scris, prin mijloace electronice sau prin orice altă modalitate stabilită prin contractul de furnizare de servicii.
De asemenea, furnizorii de servicii de găzduire internet care desfășoară activități pe teritoriul României au obligația să acorde sprijin autorităților competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a oricărui act de autorizare a restrângerii temporare a exercițiului drepturilor și libertăților persoanelor, emis de judecător.
Pe de altă parte, autoritățile competente au obligația de a stoca și a păstra pe un termen de 5 ani notificările primite cu privire la incidentele de securitate cibernetică și atacurile cibernetice.
Proiectul de act normativ relevă, totodată, că, în cazul nerespectării obligațiilor legale de către deținătorii de infrastructuri cibernetice, deținătorii de infrastructuri cibernetice de interes național, furnizorii de servicii de comunicații electronice destinate publicului, furnizorii de servicii de securitate cibernetică ce își desfășoară activitatea pe teritoriul României, vor exista și sancțiuni cuprinse între 1.000 și 20.000 de lei, în funcție de gravitatea faptelor.