Legea va stabili cadrul general de reglementare a activităților în domeniul securității cibernetice, cu asigurarea protejării drepturilor și libertăților fundamentale ale cetățenilor în spațiul cibernetic.
Legea își propune să atingă următoarele obiective: crearea unei terminologii unitare în domeniul securității cibernetice; responsabilizarea deținătorilor de infrastructuri cibernetice; creșterea capabilității de reacție la incidente cibernetice și diminuarea impactului acestora; asigurarea unui cadru de cooperare la nivel național între instituțiile cu competențe în domeniu și mediul privat; stabilirea infrastructurilor cibernetice de interes național (ICIN).
Sub incidența acestei legi intră persoanele juridice care fac parte din categoriile autorităților și instituțiilor publice, deținătorii de infrastructuri cibernetice de interes național, deținătorii de infrastructuri cibernetice care prelucrează date cu caracter personal, furnizorii de rețele publice și servicii de comunicații electronice, furnizorii de servicii de găzduire internet și furnizorii de servicii de securitate cibernetică.
Astfel, se creează cadrul normativ pentru implementarea unui Sistem Național de Alertă Cibernetică, cu rolul de a preveni și contracara riscurile și amenințările la adresa securității cibernetice. Deținătorii de infrastructuri cibernetice au obligația de a implementa o serie de măsuri organizatorice și tehnice pentru consolidarea securității acestora, în conformitate cu cerințele minime formulate de autoritățile competente. De asemenea, aceștia au obligația de a notifica autoritățile competente cu privire la incidentele de securitate cibernetică și de a le asigura sprijinul pentru contracararea atacurilor cibernetice.
Deținătorii de infrastructuri cibernetice pot solicita sprijinul autorităților competente pentru realizarea auditurilor de securitate cibernetică și pentru gestionarea incidentelor de securitate cibernetică.
Autoritățile competente au obligații pe linia adoptării planurilor de securitate cibernetică, colectării notificărilor cu privire la incidentele de securitate cibernetică și coordonarea managementului acestora și notificarea deținătorilor de infrastructuri cibernetice cu privire la incidente, vulnerabilități și atacuri cibernetice care pot afecta infrastructurile deținute de acestea.
În cadrul investigării incidentelor de securitate cibernetică datele de conținut necesare pentru realizarea activităților specifice vor fi accesate numai în condițiile existenței unei autorizații emise de un judecător. De asemenea, în situația în care sunt identificate fapte care pot indica săvârșirea unor infracțiuni informatice, acestea vor face obiectul sesizării organelor de urmărire penală.
Autoritățile competente desfășoară activități de control asupra aplicării prevederilor legii, nerespectarea prevederilor legale atrăgând răspunderea contravențională a deținătorilor infrastructurilor cibernetice, fiind sancționată cu amenzi între 500 și 10.000 lei.
Coordonarea activităților de realizare a securității cibernetice este asigurată la nivel strategic de către Consiliul Suprem de Apărare a Țării, iar la nivel operațional de Consiliul Operativ de Securitate Cibernetică.
Prin lege, sunt stabilite o serie de autorități cu rol de asigurare a securității cibernetice pentru infrastructurile cibernetice aflate în domeniul lor de activitate și responsabilitate (MAI, MApN, ORNISS, ANARC, MCSI, STS, SPP, SRI și SIE).