Legea securităţii cibernetice este constituțională. CCR a respins sesizările USR și Forța Dreptei / Se lărgesc atribuțiile SRI, mediul privat are obligații imense de raportări de securitate

date, securitate, securitate cibernetica Big data. Information concept. 3D render

Curtea Constituţională a respins, marți, sesizarea de neconstituţionalitate formulată de către USR şi a Foreţei Drepte asupra Legii securităţii cibernetice, au precizat surse ale instituţiei pentru News.ro. Amintim că specialiștii au identificat numeroase probleme ale acestei legi, printre care faptul că legea lărgește atribuțiile SRI, impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității. Inițial erau incluse și amenzi mari pentru privați, însă ulterior acestea au fost diminuate.

Proiectul merge la promulgare la președintele Klaus Iohannis, după care va intra în vigoare.

Pe 22 decembrie 2022, deputaţii USR şi Forţa Dreptei au sesizat Curtea Constituţională pe legea securităţii cibernetice, formaţiunile afirmând că legea a fost adoptată în viteză de coaliţia PSD-PNL-UDMR, fără o dezbatere reală în societatea civilă şi în Parlament, şi încalcă grav dreptul la viaţă privată al românilor.

Potrivit partidului, sesizarea de către victima unui incident de securitate cibernetică a Platformei Naționale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC) pare a fi benefică, deoarece respectiva platformă este special destinată rezolvării unor astfel de incidente. Dar, din cauza definirii neclare în lege a noțiunii de incident de securitate cibernetică, se poate ajunge la situația în care pentru o simplă virusare sau pentru o aparentă virusare (o nefuncționare normală) a unui laptop, orice persoană care are o activitate ce poate fi considerată – de către cine? – ca fiind de interes public să fie obligată să sesizeze PNRISC și, implicit, să pună laptopul la dispoziția specialiștilor PNRISC, cu toate datele și informațiile cu caracter personal conținute de acel dispozitiv, arăta USR.

„Aceasta este o intruziune importantă în viața privată a persoanei, iar deținătorul laptopului nu poate opta dacă sesizează sau nu PNRISC, existând obligația legală strictă, sancționată sever cu amendă contravențională, de a se adresa PNRISC și, implicit, de a pune la dispoziția unor terți o multitudine de date și informații privind viața privată”, arăta comunicatul.

Totodată, articolul din lege care obligă furnizorii de servicii tehnice de securitate cibernetică să pună la dispoziția autorităților date și informații privind incidente, respectiv amenințări, riscuri sau vulnerabilități reia o propunere dintr-un act normativ declarat deja neconstituțional. Concret, creează o obligație de delațiune unei categorii de profesioniști care, în mod normal, ar avea obligații de confidențialitate stricte față de proprii clienți. În plus, obligația vine fără existența unui mandat judecătoresc, fără autorizare expresă, mai arăta partidul.

De asemenea, legea nu este corelată cu obligațiile asumate de România în momentul aderării la Uniunea Europeană și cu prevederile Tratatului privind funcționarea Uniunii Europene. Practic, avem de-a face cu o extindere a Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice de la câteva sectoare critice și aproximativ 700 de firme și autorități mici și mari la probabil câteva sute de mii de persoane juridice, aspect considerat excesiv de către legislația UE, arăta USR.

Nu în ultimul rând, USR susținea că legea PSD-PNL-UDMR încalcă prevederile Constituției referitoare la principiul securității juridice, previzibilității și clarității normelor, în condițiile în care subiecții legii și obligațiile impuse lor sunt vagi și neclare.

Lege adoptată: Se lărgesc atribuțiile SRI, mediul privat încă are obligații imense de raportări de securitate

Senatul a adoptat, în decembrie, în calitate de for decizional, proiectul de lege privind securitatea şi apărarea cibernetică a României, el fiind adoptat anterior și de către Camera Deputaților. Comisiile din Senat au adus modificări la o formă inițială a legii considerată problematică, însă acestea au fost minore, iar toate problemele identificate inițial au rămas, semnala Bogdan Manolea, directorul executiv al Asociației pentru Tehnologie și Internet (ApTI), într-o postare pe Linkedin. ApTI a criticat de la început noua propunere legislativă pentru faptul că impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității. Inițial erau incluse și amenzi mari pentru privați, însă ulterior acestea au fost diminuate, la inițiativa REPER.

La votul din plenul Senatului, cameră decizională, s-au înregistrat 81 de voturi „pentru”, 29 „împotrivă” şi trei abţineri, potrivit Agerpres.

Guvernul a aprobat anterior proiectul de lege privind securitatea şi apărarea cibernetică a României, prin care introduce trei amenințări cibernetice pe lista ameninţărilor la adresa securităţii naţionale a României și stabilește care sunt autoritățile competente în domeniul securității cibernetice. G4Media a scris inițial despre acest proiect AICI. Conform proiectului adoptat, se înființează Sistemul Național de Securitate Cibernetică, crește rolul consilierului prezidențial pe probleme de securitate, iar SRI va fi autoritate competentă la nivel național în domeniul cyber intelligence. În plus, ca noutate, Guvernul a introdus trei amenințări cibernetice pentru care se poate institui stare de alertă sau de urgență.

Criticile specialiștilor

Asociația pentru Tehnologie și Internet a criticat de la început noua propunere legislativă pentru faptul că impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității.

Potrivit asociației, proiectul de lege privind securitatea cibernetică prevede obligații în sarcina sectorului privat de raportare a tuturor incidentelor de securitate, dar și a amenințărilor, riscurilor sau vulnerabilităților, într-un termen foarte scurt, de numai 48 de ore. Asociația  mai avertiza că legea lărgește și mai tare spectrul celor care trebuie să se supună obligațiilor de securitate, lărgește atribuțiile SRI, inclusiv pentru „campanii de propagandă sau dezinformare” și adaugă noi amenzi care încep de la 5.000 de lei și ajung până la 10% din cifra de afaceri, în cazul firmelor, printre altele.

ApTI susține că textul proiectului are cele trei ingrediente ale unei legi cu potențial de a fi folosită nu doar pentru a proteja, dar și pentru a abuza și intimida: o definiție largă și vagă a celor cărora li se aplică, obligații imposibil de îndeplinit și amenzi usturătoare.

Dezbatere pe repede înainte

Deputatul Cătălin Teniță a semnalat că proiectul de lege a trecut în viteză prin comisiile Camerei Deputaților, dezbaterile în comisiile raportoare durând mai puțin de o oră. Amendamentele formulate la lege au fost respinse fără dezbatere. Președintele comisiei a propus ca dezbaterea amendamentelor să rămână la latitudinea comisiilor din Senat. Ulterior, în aceeași zi, legea a fost trimisă pentru dezbatere în plenul Camerei Deputaților și a fost adoptată cu o largă majoritate.

A doua zi, comisiile reunite pentru Apărare, ordine publică și siguranță națională și TIC (Comunicații, tehnologia informației și inteligență artificială) din Senatul au adoptat mai multe amendamente la legea privind securitatea cibernetică. Amendamentele prevăd scăderea amenzilor la sume mai puțin exorbitante și reducerea obligațiilor excesive pentru mediul privat, a anunțat deputatul REPER Cătălin Teniță. Astfel, Comisiile reunite pentru Apărare și TIC ale Senatului au admis: scăderea cuantumului amenzilor la 1-3% (de la 5-10%) din cifra de afaceri netă și eliminarea din textul legii ca titulari de obligații a companiilor și persoanelor fizice care nu furnizează servicii publice sau de interes public.

Modificări minore, problemele rămân

Bogdan Manolea, ApTI, afirma că rapoartele comisiilor din Senat au adus schimbări minore pe fond, dar toate problemele identificate inițial au rămas.

„Orice furnizor de ”serviciu public sau de interes public” va avea niște obligații imense de raportări de securitate în 48 de ore (și nu numai). Apare informatorul 2.0 – care la ”cererea motivată” a oricăruia din cele 11 organe publice prevăzute în lege (DNSC, MCID, ANCOM, MApN, MAI, MAE, ORNISS, SRI, SIE, STS și SPP) trebuie să toarne ceea ce știe – date și informații privind incidente, amenințări, riscuri sau vulnerabilități. Evident, de la clienții lor. Lărgire atribuții SRI pentru niște definiții extrem de largi, inclusiv ”campanii de propagandă sau dezinformare”, inclusiv derulate de o entitate non-statală. Deci acum chiar are un motiv să ne urmărească pe toți. Extindere obligații contrar directivelor europene în domeniu și sancțiuni extrem de mari (nu mai sunt 10%, sunt 3% din cifra de afaceri)”, afirma Manolea.

Urmărește mai jos producțiile video ale Economedia: