Proiectul, inițiat de deputații Cristina Prună și Eduard-Tatian Mititelu, redefinește cadrul legal astfel încât accesarea unui sistem informatic, interceptarea datelor sau transferul acestora să nu fie considerate infracțiuni atunci când sunt realizate în scopul cercetării de securitate și al notificării responsabililor de sistem asupra vulnerabilităților descoperite.

Măsura este prezentată de susținători ca un pas necesar pentru adaptarea legislației la realitățile actuale ale securității digitale, în care specialiștii în cybersecurity joacă un rol esențial în prevenirea atacurilor informatice. În același timp, legea urmărește să reducă riscul ca cercetătorii de securitate să fie descurajați sau sancționați pentru activități desfășurate cu scop preventiv.

Cristina Prună a subliniat diferența dintre acțiunile rău intenționate și cele orientate spre protejarea infrastructurilor digitale, argumentând necesitatea unei protecții legale pentru experții din domeniu: „În secolul XXI, securitatea națională nu mai înseamnă doar tancuri și avioane. Înseamnă servere, infrastructură digitală și oameni capabili să protejeze datele cetățenilor români. Iar acești oameni trebuie sprijiniți, nu tratați ca suspecți. Statul trebuie să înțeleagă diferența dintre infractor și cercetătorul de securitate, între atacator și tânărul care descoperă vulnerabilități pentru a preveni un dezastru. Dacă vrem să dezvoltăm o cultură reală de cyber defense, trebuie să oferim protecție legală celor care identifică vulnerabilități cu bunăcredință. Altfel, transmitem un mesaj absurd: că statul preferă să afle despre breșe de la hackeri ostili, nu de la proprii specialiști”.

Pe lângă modificările din Codul penal, actul normativ aduce schimbări și în legislația secundară, introducând obligația ca Directoratul Național de Securitate Cibernetică (DNSC) să colaboreze cu un comitet interinstituțional format din autoritățile cu atribuții în domeniul securității și apărării cibernetice. Scopul este îmbunătățirea schimbului de informații și coordonarea rapidă în cazul incidentelor informatice majore.

Deputatul Radu Mihaiu a explicat importanța acestei cooperări instituționale într-un context regional tensionat și marcat de riscuri digitale crescute: „Este binevenită înființarea acestui comitet consultativ pentru că nu este normal ca, dacă există un incident cibernetic la una dintre instituțiile majore, celelalte să nu știe. Nu este normal ca, fiind cu război la graniță și în plin război informațional, instituțiile care reglementează securitatea cibernetică să nu colaboreze între ele”.

Pentru ca noile prevederi să intre efectiv în vigoare, legea mai trebuie promulgată de președintele României.