Qeveria shqiptare ka nxjerrë për konsultim një projektligj që sjell ndryshime në ligjin nr. 25/2024 “Për sigurinë kibernetike”, duke parashikuar masa më të ashpra për mbrojtjen e infrastrukturave digjitale dhe gjoba administrative deri në 10 milionë lekë për shkeljet më të rënda. Në relacionin shoqërues thuhet se synimi i këtyre ndryshimeve është forcimi i kuadrit ligjor dhe institucional në këtë fushë, rritja e mbrojtjes për infrastrukturat kritike dhe të rëndësishme të informacionit, si edhe përmirësimi i koordinimit mes institucioneve përgjegjëse.
Ndryshimet e propozuara zgjerojnë edhe rolin e Autoritetit Kombëtar për Sigurinë Kibernetike (AKSK), duke i dhënë kompetenca shtesë në prokurimet e përqendruara për trajnimet në fushën e sigurisë kibernetike dhe në autorizimin e organeve të vlerësimit të konformitetit. Po ashtu, projektligji synon të forcojë sistemin e certifikimit të sigurisë kibernetike, në përputhje me skemat kombëtare dhe ato europiane të certifikimit.
Të lidhura
None found
Një nga elementët e rinj të këtij projektligji është krijimi i bazës ligjore që u lejon operatorëve të infrastrukturave kritike dhe të rëndësishme të informacionit të bëjnë vetëdeklarimin e masave të sigurisë kibernetike. Sipas relacionit, ky mekanizëm do të përdoret si një instrument paraprak për monitorimin dhe vlerësimin e përputhshmërisë së operatorëve me kërkesat ligjore.
Projektligji parashikon gjithashtu detyrimin për të deklaruar mënyrën e hostimit dhe administrimit të sistemeve, rrjeteve dhe infrastrukturave të informacionit. Në këtë kuadër përfshihen edhe të dhëna për vendndodhjen e infrastrukturës, si dhe informacion mbi përdorimin e shërbimeve cloud apo të virtualizimit.
Një tjetër kërkesë e re lidhet me zbatimin e masave për bllokimin, filtrimin, kufizimin, detektimin ose neutralizimin e treguesve të komprometimit (IOC), treguesve të sulmeve (IOA) dhe vulnerabiliteteve të identifikuara nga AKSK, me qëllim rritjen e mbrojtjes përballë kërcënimeve kibernetike.
Për mosrespektimin e këtyre detyrimeve, projektligji parashikon ndëshkime të forta financiare. Moszbatimi i masave për bllokimin ose neutralizimin e treguesve të sulmeve mund të ndëshkohet me gjobë nga 4 deri në 10 milionë lekë. Ndërkohë, mosdorëzimi brenda afatit i vetëdeklarimit të masave të sigurisë kibernetike parashikohet të dënohet me gjobë prej 5 milionë lekësh.
Një pjesë e ndryshimeve lidhet edhe me përmirësimin e organizimit dhe funksionimit të CSIRT-eve sektoriale, strukturave që merren me menaxhimin e incidenteve të sigurisë kibernetike. Qëllimi është forcimi i koordinimit mes nivelit sektorial dhe atij kombëtar.
Projektligji sjell edhe një risi në planin institucional me ngritjen e Grupit Ndërinstitucional të Inteligjencës Kibernetike pranë AKSK-së. Në këtë grup do të përfshihen përfaqësues të Autoritetit, Ministrisë për Evropën dhe Punët e Jashtme, Ministrisë së Brendshme, Shërbimit Informativ të Shtetit, Shtabit të Përgjithshëm të Forcave të Armatosura dhe Agjencisë së Inteligjencës dhe Sigurisë së Mbrojtjes. Detyra e tij do të jetë shkëmbimi i informacionit për kërcënimet kibernetike dhe vlerësimi i ndikimit të tyre në sigurinë kombëtare, ekonomi dhe shërbimet publike.
Sipas relacionit, zbatimi i këtij projektligji do të ketë edhe kosto për buxhetin e shtetit, të lidhura kryesisht me personelin e specializuar dhe funksionimin e strukturave të reja. Për funksionimin e plotë të CSIRT-eve sektoriale, efekti financiar vlerësohet në 350–450 milionë lekë në vit, ndërsa për fazën fillestare gjatë vitit 2026 parashikohet një kosto prej 120–150 milionë lekësh. Këto shpenzime do të mbulohen nga buxhetet ekzistuese të institucioneve përgjegjëse.
Sipas qeverisë, këto ndryshime pritet të rrisin nivelin e mbrojtjes së infrastrukturave kritike, të përmirësojnë aftësitë parandaluese dhe reaguese ndaj sulmeve kibernetike, si dhe të forcojnë bashkëpunimin ndërinstitucional dhe shkëmbimin e informacionit në fushën e sigurisë kibernetike.
