România are, pentru prima dată, un cadru legal dedicat celor care descoperă și raportează cu bună-credință vulnerabilități informatice. Legea nr. 123/2026, trasează o linie pe care comunitatea de securitate cibernetică o cerea de ani buni: cea dintre cercetarea legitimă și atacul informatic desfășurat în scop infracțional.
Ce schimbă concret legea
Pe scurt, noul act normativ prevede că anumite dispoziții din Codul penal (cele referitoare la accesul la un sistem informatic, la interceptarea transmisiilor de date informatice și la transferul de date informatice) nu se mai aplică atunci când activitățile sunt desfășurate cu bună-credință și urmăresc identificarea și raportarea unor vulnerabilități. Vorbim despre o exceptare condiționată, nu despre o dezincriminare generală. Protecția juridică funcționează doar pentru activitățile de cercetare și testare care respectă condițiile stricte din lege și regulile de raportare responsabilă.
Inițiatorii proiectului, printre care deputații Cristina Prună și Eduard Mititelu, au explicat că rostul legii este să îi separe pe cercetătorii de securitate de cei care lansează atacuri informatice pentru câștig ilicit. „Prin această lege, statul învață să facă diferența dintre un infractor cibernetic și un cercetător de securitate, dintre un atacator cu intenții necinstite și un tânăr care descoperă o vulnerabilitate pentru a preveni un incident grav” – Cristina Prună. Ea a subliniat că România are specialiști, unii foarte tineri, capabili să găsească slăbiciuni pe care instituții întregi ale statului nu le văd.
Legea nu se oprește însă la protecția cercetătorilor. Ea urmărește și o cooperare instituțională mai strânsă: Directoratul Național de Securitate Cibernetică (DNSC) urmează să lucreze cu un comitet format din reprezentanții autorităților relevante, astfel încât informațiile despre incidente să circule la timp, iar reacția statului să fie mai rapidă și mai bine coordonată. În fond, o vulnerabilitate raportată nu ajută cu nimic dacă informația rămâne blocată într-un circuit birocratic.
Ce nu face legea
La fel de importantă este delimitarea în sens invers. Legea nu legalizează atacurile informatice și nu acoperă în niciun fel persoanele care fură sau divulgă date, afectează funcționarea sistemelor, întrerup servicii, folosesc programe malițioase ori exploatează în interes propriu vulnerabilitățile pe care le găsesc. Buna-credință și raportarea responsabilă sunt condiții care trebuie îndeplinite împreună și care pot fi verificate, nu simple formule declarative. Un cercetător care depășește perimetrul autorizat, care păstrează datele obținute sau care condiționează raportarea de o recompensă iese din zona de protecție a legii.
Tocmai acest echilibru, cu protecție pentru cine respectă regulile și sancțiune pentru cine le încalcă, deosebește un cadru serios de divulgare coordonată a vulnerabilităților de un gest pur simbolic.
Salutăm adoptarea Legii 123/2026 și o vede ca pe un pas necesar pentru maturizarea ecosistemului de securitate cibernetică din România. Nu e o apreciere de principiu, formulată de la distanță. Ea vine din experiența directă a unora dintre membrii noștri, care au trecut de-a lungul timpului prin numeroase procese de divulgare coordonată a vulnerabilităților (Coordinated Vulnerability Disclosure, CVD). În aceste cazuri, deținătorii și operatorii sistemelor afectate veneau din domenii foarte diferite: servicii medicale, entertainment, pariuri și jocuri de noroc, comerț electronic și altele.
Tocmai această diversitate arată care este miza reală a legii. O vulnerabilitate într-un sistem medical poate expune date de sănătate și, în cazurile grave, poate afecta chiar continuitatea îngrijirii pacienților. Una într-o platformă de comerț electronic sau de pariuri online înseamnă date financiare, tranzacții și încrederea a sute de mii de oameni. Din experiență, fără un cadru legal clar, cercetătorul de bună-credință care semnala o astfel de problemă ajungea de multe ori într-o zonă gri: în loc de recunoștință, era întâmpinat cu suspiciune, iar uneori chiar cu amenințarea unor consecințe juridice. Iar rezultatul era ușor de anticipat: oamenii încetau să mai raporteze, adică tocmai opusul a ceea ce are nevoie securitatea colectivă.
Prin exceptarea condiționată pe care o introduce, Legea 123/2026 reduce exact acest risc și creează un limbaj comun între cercetător și organizația care deține sistemul. Pentru operatorii din sectoare sensibile, de la clinici până la platforme de plăți, legea deschide posibilitatea unui dialog în care semnalarea unei probleme nu mai e văzută ca un gest ostil, ci ca un ajutor pentru propria infrastructură.
Ce rămâne de urmărit
Ca orice reglementare nouă, legea își va arăta valoarea abia în aplicare. Câteva lucruri rămân de limpezit, prin practică și, poate, prin norme: cât de exact vor fi definite condițiile de „bună-credință” și perimetrul autorizat al testării, cum anume se va documenta raportarea responsabilă, cât de repede va funcționa fluxul de informații coordonat de DNSC și în ce măsură companiile private își vor adapta procedurile interne ca să primească și să trateze rapoartele de vulnerabilitate. Experiența din alte țări arată că un cadru legal este necesar, dar nu suficient. El trebuie însoțit de programe clare de divulgare din partea operatorilor și de o cultură a colaborării.
Credem că, dincolo de litera legii, adevărata reușită se va măsura în numărul de vulnerabilități raportate și reparate înainte de a fi exploatate, spre beneficiul instituțiilor, al companiilor și, până la urmă, al cetățenilor.
Legea 123/2026 nu rezolvă singură problemele de securitate cibernetică ale României. Dar recunoaște un lucru pe care specialiștii îl spun de multă vreme: cei care caută și raportează probleme ca să le repare nu sunt o amenințare, ci parte din soluție. Iar faptul că lucrul acesta e recunoscut acum prin lege este, pentru comunitatea noastră, un motiv real de bucurie.
