Proiectul de Lege privind securitatea și apărarea cibernetică a intrat în linie dreaptă, urmând să fie promulgat de către președintele Klaus Iohannis. Evoluția actului normativ nu a fost însă nici rapidă și nici lină.
Despre Legea Securității cibernetice se discută, în diverse forme, de aproape 10 ani, iar lista opozanților a fost lungă și consistentă. Numai în ultimele luni acestora li s-au alături peste 50 de deputați, instituția Avocatului Poporului și mai multe organizații nonguvernamentale.
La finalul lunii februarie, Curtea Constituțională a României (CCR) a respins însă contestațiile depuse. Prin urmare, după ani de modificări si contestații, România va avea o Lege a Securității cibernetice. Despre care criticii susțin că extinde prea mult atribuțiile Serviciului Român de Informații, că limitează dreptul liberei exprimări, că militarizează Internetul, că alocă drepturi excesive Ministerului Apărării Naționale, că instaurează delațiunea digitală, că…
Înainte de a trece la acuze însă, să vedem însă de când datează și ce prevede, în mare, actul normativ care a stârnit atâtea polemici de-a lungul timpului.
Scurtă cronologie a Legii Securității cibernetice
Despre prima versiune a unui astfel de act normativ a început să se vorbească intens din 2014, la un an după ce Strategia de Securitate Cibernetică a României fusese publicată în Monitorul Oficial.
Pe 19 decembrie 2014, Legea securității cibernetice a fost votată în unanimitate de Senat, după ce fusese adoptată rapid și fără obiecții majore de Camera Deputaților. La finalul anului, deputații liberali au sesizat însă CCR cu privire la neconstituționalitatea actului normativ, iar un an mai târziu Curtea a anunțat că legea este neconstituțională în ansamblul ei.
În 2016, proiectul normativ a fost reluat și postat pe site-ul defunctului Minister al Comunicațiilor și pentru Societatea Informațională. Dar a fost contestat din nou de mai mult organizații nonguvermantale.
Timp de trei ani nu se mai știe nimic despre Legea securității informatice. Poate și pentru că în 2016 Parlamentul European a adoptat Regulamentul General privind Protecția Datelor Personale (GDPR), care a fost adoptat la nivelul statelor membre în mai 2018.
Tot în 2016, experții europeni au elaborat și prima versiune a Directivei NIS – Directiva UE 1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune. Directiva NIS 1 a fost transpusă în legislația națională prin Legea nr. 362/2018, dar Normele de aplicare ale actului normativ au apărut abia în 2020.
Între timp, eforturile UE în domeniul asigurării unui cadru comunitar în domeniul securității informatice s-au intensificat. Pandemia a alimentat creșterea interesului pentru securitate, inclusiv cea cibernetică. Iar prin asumarea Planului Național de Redresare și Reziliență, România s-a angajat și la îndeplinirea Reformei 3, Componenta 7 – Transformare digitală: „Asigurarea securității cibernetice a entităților publice și private care dețin infrastructuri cu valențe critice”.
Războiul din Ucraina a amplificat și mai mult îngrijorările Bruxelles-ului în ceea ce privește securitatea cibernetică. Drept urmare, Parlamentul și Comisia Europeană au adoptat în regim de urgență noua directivă NIS 2, care extinde aria de acoperire și cerințele de securitate ale primei versiuni, dar și Digital Operational Resilience Act (DORA), care reglementează cerințele de reziliență operațională digitală în sectorul financiar bancar.
Și astfel ajungem în zilele noastre, când Ministerul Cercetării, Inovării și Digitalizării (MCID) a publicat proiectul de Lege a securității și apărării cibernetice care împrumută numeroase elemente din reglementările europene în vigoare.
Parlamentul a adoptat rapid noua Lege a Securității cibernetice, Sursa foto: rfi.ro
Care sunt principalele prevederi ale legii
Conform definiției generice dată de MCID: „Legea securității și apărării cibernetice este o lege civilă construită în jurul ideii de efort colectiv, cooperare și colaborare loială între autorități, pe de-o parte, și între autorități și mediu privat, pe de altă parte, în scopul prevenirii și combaterii riscurilor, precum și al limitării impactului negativ al incidentelor cibernetice”.
În principiu, actul normativ coordonat, elaborat și publicat de MCID – care este autoritatea de stat în domeniul securității cibernetice și coordonator al reformelor în domeniul Transformare digitală din PNRR -, urmărește crearea cadrului juridic și instituțional privind organizarea și desfășurarea activităților din domeniile securitate și apărare cibernetică, a mecanismelor de cooperare și stabilitate a responsabilităților instituțiilor cu atribuții în domeniile menționate.
Potrivit explicațiilor MCID, Legea securității și apărării cibernetice se bazează pe două mecanisme majore de notificare a incidentelor de securitate cibernetică.
Legea prevede că obligația de notificare a incidentelor revine:
– rețelelor și sistemelor informatice deținute, organizate, administrate, utilizate sau aflate în competența autorităților și instituțiilor publice din domeniul apărării, ordinii publice, securității naționale, justiției, situațiilor de urgență, Oficiului Registrului Național al Informațiilor Secrete de Stat.
– rețelelor și sistemelor informatice deținute de persoanele fizice și juridice de drept privat și utilizate în vederea furnizării de servicii de comunicații electronice către autoritățile și instituțiile administrației publice centrale și locale.
– rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale (altele decât cele prevăzute la lit. a), precum și de persoane fizice și juridice care furnizează servicii publice ori de interes public (altele decât cele de la lit. b).
Primul mecanism impune notificarea voluntară de către entitățile private sau publice care s-au confruntat cu un eveniment se securitate cibernetică a autorităților abilitate în acest sens, prin intermediul Platformei Naționale pentru Raportarea Incidentelor de Securitate Cibernetică, (PNRISC). Platforma este gestionată de Directoratul Național de Securitate Cibernetică (DNSC), autoritate civilă constituită conform prevederilor Legii nr. 362/2018 și a OUG nr. 104/2021. Legea prevede că entiățile afectate de un eveniment de securitate informatică trebuie să le semnaleze în PNRISC în primele 48 de ore de la apariția incidentului sau în 5 zile de la notificarea inițială, pentru situațiile în care nu pot fi furnizate deodată toate informațiile despre incident. Potrivit MCID, scopul acestei măsuri este de a identifica complet și corect incidentele, atacurile și amenințările nu parcurgerea unei operațiuni administrative formale. Obiectivul final urmărit prin lege este ca autoritățile responsabile de securitatea cibernetică să poată acorda sprijin, la cerere, proprietarilor, administratorilor, posesorilor și/sau utilizatorilor de rețele și sisteme informatice cu măsuri de remediere.
Cel de al doilea mecanism prevede că notificarea se poate face și la cererea mai multor autorități ale statului. Iar acestea, conform Articolului 10 din lege, sunt: DNSC, MCID, ANCOM, MApN, MAI, MAE, ORNISS, SRI, SIE, STS și SPP. Potrivit ministerului, toate instituțiile enumerate sunt autorități responsabile de securitatea cibernetică și pot solicita date primare despre incidente, amenințări, riscuri sau vulnerabilități (așa cum sunt definite aceste noțiuni de lege). Și în acest caz, există două termene de notificare, unul de 48 de ore de la solicitare, în care se entitățile interogate trebuie să furnizeze doar informații despre existența incidentului, și un al doilea de 5 zile de la solicitare, în care se notifică amenințări, riscuri, vulnerabilități sau atacuri care necesită timp de procesare și analizare.
MCID a publicat proiectul de lege spre consultare publică la începutul lunii decembrie. Și au început să apară contestațiile…
Ce susțin contestatarii actului normativ
Potrivit APADOR-CH, un opozant constant al tuturor versiunilor de lege, actualul act normativ are o mulțime de hibe: „instituie amenzi mai mari decât cele de circulație, pentru o simplă virusare a unui laptop, și ani de închisoare pentru opinii contrare cu cele oficiale, exprimate în mediul online”. Totodată, „militarizează Internetul civil” și acordă drepturi excesive MApN.
Organizația nominalizată acuză, de asemenea, faptul că legea conține termeni și prevederi neclare și că amenzile prevăzute sunt excesiv de mari. Conform sursei citate, nu este clar nici cine sunt destinatarii legii, nici ce sunt incidentele de securitate vizate care intră sub incidența legii, nici prin ce diferă „notificarea” de „comunicarea completă” prevăzută de lege.
Un alt opozant vocal la adresa Legii securității cibernetice a fost și Asociația pentru Tehnologie și Internet (ApTI). Conform președintelui ApTI, Bogdan Manolea, legea obligă și transformă orice furnizor de serviciu public sau de interes public în informator al celor 11 instituții menționate anterior ca autorități cu responsabilități în domeniul securității cibernetice.
„Este cea mai mare extindere a atribuțiilor legale (vorbim de legi, nu de extinderi prin protocoale sau decizii nepublice ale CSAT) a SRI de la Revoluția din 89 încoace. De facto o cam făceau oricum, că CyberInt e înființat de ani buni. Au trebuit însă să treacă 8 ani de la ultima tentativă (decizia CCR 17/1995) pentru ca legea scrisa de servicii (că nu mai e niciun secret!), să fie adoptată fără vreo dezbatere serioasă în societate și să le dea și cadrul legislativ în care să funcționeze”, a scris Bogdan Manolea pe contul său de LinkedIn.
Cum au răspuns ministerele implicate
MCID a reacționat prompt la critici și a publicat un drept la replică, în care a venit cu o serie de precizări utile și necesare.
Astfel, în ceea ce privește obligația de notificare a furnizorilor de servicii publice ori de interes public, ministerul a explicat că aceasta revine entităților care prin activitatea lor, satisfac o nevoie publică. Exemplele date includ: operatori de apă, canalizare, curent electric sau companii naționale precum Poșta Română sau Radiocom, care „desfășoară servicii esențiale pentru cetățeni și care, atacate cibernetic, ar crea disfuncționalități majore în bună funcționare a statului, a administrației publice și a serviciilor pentru cetățeni”. Definiția dată de MCID seamănă destul de mult cu cea utilizată de Directiva NIS 2 pentru furnizorii de servicii esențiale și/sau importante.
Un alt aspect important adus în discuție a fost cel al informațiilor care sunt transmise autorităților – „nu se transferă date de conținut, ci numai metadate care contribuie strict la identificarea incidentului și combaterea amenințării”. Acestea includ date precum: data și ora incidentului, tehnica de atac cibernetic folosită de atacator, tehnologiile utilizate de acesta, indicatorii tehnici de compromitere a infrastructurilor afectate, sursa raportării incidentului, incidente conexe etc.
O a treia precizare necesară făcută de MCID este că autoritățile nu au niciun drept de a accesa un sistem sau rețea informatică, ci doar de a solicita date pe baza unor cereri oficiale, formulate pe baza unor proceduri care urmează a fi stabilite de către DNSC.
Un alt minister vizat direct de către contestatari a fost MApN, care a publicat și el rapid un „drept la replică”. Conform sursei citate, Directiva NIS 1, transpusă deja în legislația națională prin Legea nr. 362/2018, stabilește pentru MApN atribuții „pentru securitatea rețelelor și a sistemelor informatice care asigură servicii esențiale în sprijinul activităților privind apărarea națională”. Pentru DNSC – cele de „asigurare a securităţii cibernetice a spaţiului cibernetic naţional civil”. Iar pentru MCID – cea de „autoritate de stat în domeniile cercetării dezvoltării experimentale şi tehnologice, inovării, comunicaţiilor şi digitalizării, securităţii cibernetice, serviciilor poştale, radiocomunicaţiilor”.
Astfel, potrivit argumentației MApN, „prin proiectul Legii securității și apărării cibernetice acestea (atribuțiile menționate anterior – n.r.) nu sunt modificate sau abrogate” și că „prin adoptarea proiectului legislativ propus nu există riscul militarizării spațiului cibernetic civil”.
Curtea Constituțională infirmă toate criticile
Conform comunicatului CCR emis la sfârșitul lunii februarie, Curtea a respins ca neîntemeiate obiecțiile de neconstituționalitate formulate de 57 de deputați din opoziție, precum și de Avocatul Poporului vizavi de Legea privind securitatea și apărarea cibernetică a României.
În sentința CCR se arată că:
– Sfera subiecților de drept este clarificată atât prin identificarea domeniului lor de activitate, cât și prin excluderea punctuală a unor persoane fizice și juridice de drept privat.
– Dispozițiile legii nu încalcă dreptul la viața intimă, familială și private și nici libertatea de exprimare.
– Sistemele de notificare reglementate prin lege nu presupun colectarea de date de conținut și nici extragerea unilaterală și fără autorizare de date și informații de pe un sistem informatic.
– Definițiile din legea criticată sunt clare, precise și previzibile, fiind în acord cu prevederile art.1 alin.(5) din Constituție.
– Prevederile Legii securității cibernetice nu afectează și nu restrâng drepturi și libertăți fundamentale.
Garant al imparțialității legii a fost și ministrul Sebastian Burduja, care la scurt după verdictul CCR a postat pe contul de LinkedIn că: „În calitate de ministru al Cercetării, Inovării și Digitalizării, minister care a inițiat acest proiect de lege în mandatul meu și a reușit în timp record îndeplinirea unui jalon PNRR extrem de greu, pot să garantez că Legea securității cibernetice este una exclusiv pentru cetățenii României, pentru apărarea drepturilor și libertăților noastre.”
Declarația survine la 9 ani după ce un grup deputați liberali a contestat la CCR prima versiune a Legii Securității cibernetice…
Ce va urma
Parcursul legal prevede promulgarea Legii securității informatice de către președintele Klaus Iohannis, iar apoi publicarea normelor de aplicare.
Dacă ne uităm însă la Legea nr. 362/2018, de aplicare a Directivei NIS 1 la nivel național, a cărei adoptare a fost făcută la termenul limită impus de UE statelor-membre, vom mai avea de așteptat. Și asta pentru că normele de aplicare au venit după aproape doi ani mai târziu.
Deci, dacă se respectă tiparul, Legea securității cibernetice ar putea începe să fie aplicată undeva prin 2025. Până atunci însă, va deveni obligatorie adopția la nivel național a Directivei NIS 2 și DORA. Așa că este foarte probabil ca, până atunci, ceea ce acum pare acum o reglementare excesivă să devină o cerință comună, care să nu mai suscite atâta opoziție.
