Një incident kibernetik do të raportohet brenda 4 orëve në strukturat përkatëse, në të kundërt përgjegjësit do të ndëshkohen me gjoba, nga 200 mijë lekë deri në pezullim aktiviteti. Sulmi kibernetik që përfshiu Shqipërinë verën e viti 2022, ka nxitur qeverinë të hartoi një projektligj për sigurinë kibernetike i hedhur aktualisht për konsultim publik dhe në maj pritet t’i kaloj për diskutim kuvendit. Ai parashikon ngritjen e autoritetit kombëtar dhe hartimin e strategjisë kombëtare 5-vjeçare për mbrojtjen kibernetike.
Sipas draft ligjit, Autoriteti Kombëtar për Sigurinë Kibernetike do të ngrejë qendrën operacionale kombëtare të monitorimit të sigurisë kibernetike në nivel kombëtar – “SOC Kombëtar”. Dhe në raste të incidenteve kibernetike, do të ngrihen struktura për trajtimin e situatave emergjente dhe gjendjes së krizës kibernetike – “CERT”. Si edhe ngritjen e një ekipi të përgjigjes ndaj incidenteve të sigurisë kibernetike në nivel kombëtar dhe sektorial me emrat CSIRT kombëtarë dhe CSIRT- sektorial.
Sipas projektligjit, autoriteti do ketë zyrat në Tiranë. Do jetë në varësi të Kryeministrit dhe do të financohet nga buxheti i shtetit dhe burime të tjera të ligjshme. Drejtori i Përgjithshëm dhe nëpunësit, përveç pagës sipas kategorive të përcaktuara me vendim të Këshillit të Ministrave, përfitojnë një shtesë për natyrë të veçantë pune, në masën deri në 800 000 lekë në muaj. Drejtori i këtij autoriteti emërohet dhe lirohet nga detyra me vendim të Kryeministrit. Ai duhet të ketë arsimin master shkencorë në fushën e teknologjisë së informacionit, si dhe të paktën 10 vite eksperiencë në fushë.
Gjatë ushtrimit të veprimtarisë, autoriteti identifikon, monitoron dhe klasifikon infrastrukturat kritike të informacionit. Ai vepron si pikë qendrore kontakti në nivel kombëtar dhe ndërkombëtar. Autoriteti koordinon dhe bashkërendon punën me institucionet e tjera, si dhe përcakton e kontrollon implementimin e masave të sigurisë kibernetike, që duhet të aplikohen nga operatorët e infrastrukturave kritike të informacionit. Operatorët e infrastrukturave kritike janë subjektet private dhe publike, që ofrojnë shërbime përmes rrjetin në fushën energjisë. Në sektorët e ekonomisë, financës, infrastrukturës e tregut financiar. Në sektorët e infrastrukturës digjitale, telekomunikacionit dhe shërbimet digjitale, si dhe subjektet që ofrojnë shërbime në sektorin akademik. Këto operatorë do kenë dhe pikat e tyre të kontaktit.
Autoriteti përmes monitorimit të infrastrukturave kritike evidenton dhe parandalon veprimet keqdashëse. Krijon dhe administron regjistrin e dokumentimit të incidenteve të sigurisë kibernetike. Dhe raporton në mënyrë periodike incidentet kibernetike pranë Agjencisë Evropianë të mbrojtjes kibernetike (ENISA) dhe organizmave të tjera ndërkombëtare.
Lista e infrastrukturave kritike të informacionit, është konfidenciale si dhe përditësohet, të paktën një herë në dy vjet nga Autoriteti dhe miratohet me vendim të Këshillit të Ministrave.
Operatorët e infrastrukturës kritike të informacionit kanë detyrë parandalimin, zbulimin dhe menaxhimin e incidentit, si dhe minimizimin e efektit të incidentit.
Në rast të një incidenti kibernetikë apo kërcënimi të mundshëm, aplikohen masa parandaluese, të cilat kanë karakter rekomendues. Kundër masat, të cilat hartohen sipas natyrës së incidentit dhe masat mbrojtëse, të cilat hartohen nga autoriteti dhe zbatohen nga operatorët e infrastrukturës kritike.
Operatorët e infrastrukturave kritike të informacionit, raportojnë të gjitha llojet e incidenteve të sigurisë kibernetike pranë strukturave kombëtare dhe sektoriale brenda 4 orëve, nga koha e ndodhjes së incidentit. Rëndësia e incidentit e ndikimit vlerësohet në varësi të numrit të përdoruesve të prekur nga ndërprerja e shërbimit; kohëzgjatja e incidentit; shtrirja gjeografike në lidhje me zonën e prekur nga incidenti; shkalla e ndërprerjes së funksionimit të shërbimit dhe në fundin ndikimi ekonomik e shoqëror.
Sipas pr/ligjit, autoriteti informon publikun me transparencë për incidentet e ndodhura, duke ruajtur konfidencialitetin e të dhënave të incidentit. Nëse një incident kibernetikë i raportuar, prek një ose më shumë shtete të tjera, autoriteti informon shtetet e prekura.
Draft ligji parashikon që gjendja krizës kibernetike shpallet me vendim të Këshillit të Ministrave dhe njoftohet në media. Ajo shpallet për një periudhë kohore deri në 7 ditë. Periudha mund të zgjatet, në varësi të kompleksitetit të situatës kibernetike, por jo më shumë se 30 ditë.
Në rastet e emergjencave dhe krizës së sigurisë kibernetike, Autoriteti në ngre një strukturë ad-hoc, të quajtur “ekipi i përgjegjës për menaxhimin e emergjencës kibernetike – CERT”. Ky instrument përbëhet nga 10 ekspertë, të cilët thirren për hartimin e planit të masave të emergjencës, menaxhimin dhe zgjidhjen emergjencave dhe krizës kibernetike.
Risi e ligjit është certifikimi i sigurisë kibernetike në përputhje me skemat e miratuara të Bashkimit Evropian. Skema e certifikimit të sigurisë rishihet të paktën një herë në 5 vite. Autoriteti publikon në faqen e internetit skemat kombëtare të çertifikimit të sigurisë kibernetike.
Lidhur me kundravajtjet ligjoire, autoritet ka të drejtë të vendosi masa administrative, duke nisur nga masat korrigjuese, kur konstatohen mangësi në implementimin e masave të sigurisë, dhe duke vijuar me gjobë dhe pezullim sipas pasojave të sjella nga incidenti kibernetik.
Gjobat varijojnë nga 200 mijë- 400 mijë lekë: Kur sistemet operative nuk përditësohen; 400 mijë- 1 milionë lekë: Kur konstatohet neglizhencë dhe nga 1 milionë- 10 milionë: Kur sulmi kibernetik nuk raportohet. Në rast se shkeljet janë të përsëritura më shumë se tre herë, autoriteti mund të pezulloi aktivitetin deri në një afat të papërcaktuar.
(Kliko këtu për të parë projektligjin për Sigurinë Kibernetike)
(Kliko këtu për të parë relacionin pë Projektligjin për sigurinë kibernetike))