Ministerul Comunicațiilor a elaborat un proiect de lege privind securitatea cibernetică la nivel național care dă puteri discreționare Serviciului Român de Informații, în ciuda deciziei Curții Constituționale, de anul trecut, prin care se interzicea ca SRI să fie autoritate competentă în domeniu.
Proiectul Legii privind securitatea cibernetică a României a fost postat, pe 4 aprilie, pe site-ul Ministerului Comunicațiilor.
Legea stabileşte cadrul juridic privind organizarea şi desfăşurarea activităţilor din domeniul securităţii cibernetice a României şi asigurarea protejării drepturilor şi libertăţilor fundamentale ale cetăţenilor în spaţiul cibernetic. Securitatea cibernetică va fi realizată prin adoptarea şi implementarea de politici şi măsuri de securitate la nivelul deţinătorilor de infrastructuri cibernetice în scopul cunoaşterii, prevenirii şi contracarării riscurilor şi ameninţărilor în spaţiul cibernetic.
Legea se va aplica autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare aduce atingere securităţii naţionale sau prejudicii grave statului român ori cetăţenilor acestuia; persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal; furnizorilor de reţele publice de comunicaţii electronice şi furnizorilor de servicii de comunicaţii electronice destinate publicului; furnizorilor de servicii de găzduire internet; furnizorilor de servicii de securitate cibernetică.
Potrivit proiectului legislativ, coordonarea la nivel strategic a activităţilor destinate asigurării securității cibernetice desfășurate la nivelul Sistemului Naţional de Securitate Cibernetică se realizează de către Consiliul Suprem de Apărare a Ţării. Coordonarea activităţilor de realizare a securităţii cibernetice este asigurată, la nivel operaţional, în cadrul Sistemului Naţional de Securitate Cibernetică, de către Consiliul Operativ de Securitate Cibernetică. Coordonarea tehnică a activităţilor Consiliului Operativ de Securitate Cibernetică, este asigurată de Serviciul Român de Informaţii.
Consiliul Operativ de Securitate Cibernetică (COSC) este format din consilierul prezidenţial pentru probleme de securitate naţională, consilierul prim-ministrului pe probleme de securitate naţională, secretarul Consiliului Suprem de Apărare a Ţării, precum şi reprezentanţi ai Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului Comunicațiilor și pentru Societatea Informaţională, Serviciului Român de Informaţii, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază şi Oficiului Registrului Naţional al Informaţiilor Secrete de Stat. Conducerea COSC este asigurată de un preşedinte – consilierul prezidenţial pentru probleme de securitate naţională şi un vicepreşedinte – consilierul prim-ministrului pe probleme de securitate naţională.
Serviciul Român de Informaţii, prin Centrul Naţional de Securitate Cibernetică, este autoritatea competentă pentru coordonarea activităţilor în domeniul securităţii cibernetice organizate şi desfăşurate la nivelul infrastructurilor cibernetice de interes naţional.
SRI, STS, SPP, MApN și MAI sunt sunt obligate să realizeze periodic evaluări ale stării de securitate cibernetică, să elaboreze politici de securitate cibernetică specifice, să asigure managementul incidentelor de securitate cibernetică identificate.
Deţinătorii de infrastructuri cibernetice sunt obligaţi să asigure implementarea cerinţelor minime de securitate cibernetică, să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate, să se asigure că datele tehnice referitoare la configurarea şi protecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le cunoască.
CITEȘTE AICI PROIECTUL DE LEGE
Cu alte cuvinte, orice incident de securitate cibernetică petrecut într-o infrastructură informatică trebuie raportat autorităților competente, respectiv SRI, în calitate de coordonator tehnic al activităţilor în domeniul securităţii cibernetice organizate şi desfăşurate la nivelul infrastructurilor cibernetice. Un incident cibernetic poate însemna chiar și un virus care pătrunde într-un terminal afectând rețeaua la care acesta este conectat. Deținătorul infrastructurii cibernetice furnizează SRI toate datele referitoare la terminal (tip, sistem de operare, utilizator etc.) Și o pagină web care se deschide fără voia utilizatorului în momentul accesării unui site poate fi considerată incident de securitate cibernetică, pentru că poate fi, de fapt, o sursă de malware, nu neapărat spam.
Iată mai jos tipurile de incidente și amenințări cibernetice așa cum au fost clasificate de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO)
La începutul anului trecut, Curtea Constitutionala a decis că Legea Securităţii Cibernetice este neconstituțională pe ansamblu. Unul dintre motive a fost faptul că trebuie desemnat ca autoritate națională în domeniul securității cibernetice un organism civil, și nu o entitate militară cu activitate în domeniul informațiilor, precum Serviciul Român de Informații. Alte motive de respingere se referă la absența avizului CSAT, faptul că legea deschidea posibilitatea unor abuzuri din partea autorităţilor, faptul că accesarea datelor se putea face fără mandat judecătoresc şi încălcarea separaţiei puterilor în stat. În plus, Curtea Constată că legea nu reglementează posibilitatea subiecţilor de a contesta în justiţie actele administrative care îi privesc.
În analiza Curţii, opţiunea pentru desemnarea în calitate de autoritate naţională în domeniul securităţii cibernetice a unui organism civil, iar nu a unei entităţi militare cu activitate în domeniul informaţiilor, se justifică prin necesitatea preîntâmpinării riscului de a deturna scopul legii securităţii cibernetice în sensul folosirii atribuţiilor conferite prin această lege de către serviciile de informaţii în scopul obţinerii de informaţii şi date cu consecinţa încălcării drepturilor constituţionale la viaţă intimă, familială şi privată şi la secretul corespondenţei. Or, tocmai acest lucru nu evită legea supusă controlului de constituţionalitate prin desemnarea SRI şi a structurii sale militarizate CNSC
CCR
Decizia 17/21 ianuarie 2015
CITEȘTE AICI DECIZIA CURȚII CONSTITUȚIONALE
Pe de altă parte, Curtea a reținut că „ în condiţiile în care autoritatea naţională desemnată deserveşte drept punct unic de contact naţional în domeniul securităţii reţelelor şi al sistemelor informatice, asigurând relaţionarea cu organismele similare din cadrul Uniunii Europene, împrejurarea că România desemnează o autoritate care nu ar îndeplini exigenţele actului normativ european, aflat în curs de adoptare, pune sub semnul întrebării atât o eventuală concordanţă a reglementării naţionale cu cea de drept european, cât şi cooperarea efectivă între instituţii care, deşi au acelaşi scop, nu se întemeiază pe o structură organizatorică similară şi nu funcţionează sub un control democratic”.
Pentru toate aceste argumente, Curtea a constatat că „dispoziţiile art. 10 alin. (1) din legea supusă controlului încalcă prevederile constituţionale ale art. 1 alin. (3) şi (5) referitoare la statul de drept şi principiul legalităţii, precum şi cele ale art. 26 şi art. 28 privind viaţă intimă, familială şi privată, respectiv secretul corespondenţei, din perspectiva lipsei garanţiilor necesare garantării acestor drepturi”.
Andi Topală