Preşedintele Klaus Iohannis a promulgat, marţi, legea privind securitatea şi apărarea cibernetică a României precum şi pentru modificarea şi completarea unor acte normative, informează Administraţia Prezidenţială. Actul normativ prevede înfiinţarea Sistemului Naţional de Securitate Cibernetică în scopul organizării şi desfăşurării în mod unitar la nivel naţional a activităţilor specifice.
Actul normativ promulgat de către şeful statului are ca obiect de reglementare instituirea cadrului juridic şi instituţional referitor la organizarea şi desfăşurarea activităţilor din domeniile securitate cibernetică şi apărare cibernetică, a mecanismelor de cooperare şi a responsabilităţilor instituţiilor cu atribuţii în domeniile menţionate.
Obiective legii sunt: crearea de reţele şi sisteme informatice sigure şi reziliente, elaborarea şi adoptarea unui cadru normativ şi instituţional consolidat, consolidarea unui parteneriat public-privat, pragmatic, pe linia securităţii cibernetice, asigurarea rezilienţei prin abordare proactivă şi descurajare, transformarea României într-un actor relevant în arhitectura internaţională de cooperare în domeniul securităţii cibernetice.
Totodată, actul normativ stabileşte un cadru armonizat de acţiune a autorităţilor şi instituţiilor publice cu responsabilităţi şi capabilităţi specifice prevenirii şi contracarării ameninţărilor, vulnerabilităţilor şi riscurilor cibernetice, instituind, la nivel naţional, un cadru normativ care va permite crearea instrumentelor instituţionale şi a mecanismelor de acţiune integrată şi cooperare interinstituţională în domeniile securitate şi apărare cibernetică.
Astfel, prin intermediul arhitecturii de cooperare interinstituţională se asigură o coerenţă crescută în ceea ce priveşte răspunsul la incidente sau atacuri cibernetice, precum şi responsabilităţi clare şi predictibilitate în ceea ce priveşte tipul de acţiuni desfăşurate de fiecare instituţie din domeniile apărării, ordinii publice şi securităţii naţionale.
„Securitatea şi apărarea cibernetică se realizează prin adoptarea şi implementarea de politici şi măsuri în scopul cunoaşterii, prevenirii şi contracarării vulnerabilităţilor, riscurilor şi ameninţărilor în spaţiul cibernetic”, arată legea promulgată de către preşedintele Iohannis.
Prin urmare, în scopul organizării şi desfăşurării în mod unitar la nivel naţional a activităţilor specifice securităţii cibernetice, se înfiinţează Sistemul National de Securitate Cibernetică (SNSC) drept cadru general de cooperare care reuneşte autorităţile cu responsabilităţi şi capabilităţi în domeniile de aplicare a legii, în vederea coordonării acţiunilor la nivel naţional pentru asigurarea securităţii cibernetice.
Actul normativ are aplicabilitate în domeniul securităţii cibernetice pentru:
„a) reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat;
b) reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale;
c) reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute anterior la lit. a), precum şi de persoane fizice şi juridice care desfăşoară activităţi cu scop lucrativ şi nelucrativ de cercetare, dezvoltare, inovare şi producţie în domeniul tehnologia informaţiei şi a comunicaţiilor sau furnizează servicii publice ori de interes public, altele decât cele de la lit. b)”, mai indică sursa citată.
Persoanele care au în responsabilitate aceste reţele şi sisteme informatice au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC), de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului. Dacă incidentele de securitate cibernetică nu pot fi comunicate complet în acest termen, acestea se transmit în cel mult 5 zile calendaristice de la notificarea iniţială, informaţiile putând fi completate şi ulterior cu cele care reies din investigaţiile realizate pe baza evenimentului.
Totodată, „furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, respectiv în maximum 5 zile de la data primirii solicitării, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali”.
Prin legea promulgată sunt stabilite şi sancţiuni în cazul nerespectării de către aceste persoane a obligaţiei de notificare a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul prevăzut, a obligaţiei de comunicare completă a incidentelor de securitate cibernetică, precum şi pentru nerespectarea de către furnizorii de servicii de securitate cibernetică a obligaţiei de a pune la dispoziţia autorităţilor date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau sistem informatic al deţinătorului sau al unor terţi, în termenul stabilit.
Astfel, sunt prevăzute amenzi de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de şase luni limita maximă este de 200.000 lei.
„Pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei sancţiunea va fi cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de şase luni limita maximă a amenzii este de 3% din cifra de afaceri netă”, mai indică sursa menţionată.
Legea a fost sesizată la Curtea Constituţională de către USR şi Forţa Dreptei, însă CCR a decis că e constituţională
Pe 28 februarie, CCR a respins sesizarea de neconstituţionalitate formulată de către USR şi a Forţei Dreptei asupra Legii securităţii cibernetice.
„În esenţă, pentru a pronunţa această soluţie, Curtea a reţinut, între argumentele sale, următoarele:
– Dispoziţiile art. 3 alin. (1) lit.c), cu referire punctuală la sintagma „precum şi de persoane fizice şi juridice care furnizează servicii publice ori de interes public, altele decât cele de la lit. b)”, întrunesc cerinţele de claritate, precizie şi previzibilitate întrucât acestea nu pot fi analizate în mod independent faţă de celelalte prevederi ale legii criticate sau fără a se ţine cont de scopul avut în vedere de legiuitor.
– Sfera subiecţilor de drept este clarificată în lege atât prin identificarea domeniului lor de activitate (prestarea de servicii publice sau de servicii în interes public), cât şi prin excluderea punctuală a unor persoane fizice şi juridice de drept privat (care prestează un anume tip de servicii publice de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale). Aceasta nu poate să vizeze decât acele persoane fizice şi juridice de drept privat care prestează servicii publice sau de interes public care au sau pot avea un impact asupra securităţii naţionale în spaţiul cibernetic, iar nu orice persoană fizică sau juridică de drept privat care prestează orice serviciu public sau de interes public.
– Guvernul, ca legiuitor secundar, nu are o marjă largă de apreciere în vederea determinării, prin hotărâre a Guvernului, a persoanelor reglementate prin dispoziţiile art. 3 alin. (1) lit. c) din legea analizată, întrucât stabilirea acestor categorii de persoane se va realiza potrivit criteriilor de determinare prevăzute de însăşi legea analizată.
– Dispoziţiile art. 3 alin. (1) lit. c) şi cele ale art. 21 alin. (1) şi art. 22 din legea criticată nu încalcă dreptul la viaţa intimă, familială şi private şi nici libertatea de exprimare întrucât legea instituie garanţii sporite în vederea protecţiei acestora în cazul persoanelor care sunt utilizatori de reţele şi sisteme informatice vizate de prevederile legii criticate.
– Sistemele de notificare reglementate prin legea criticată nu presupun colectarea de date de conţinut şi nici extragerea unilaterală şi fără autorizare de date şi informaţii de pe un sistem informatic, iar autorităţile care gestionează incidentele de securitate cibernetică semnalate sunt atât operatori de date cu caracter personal, cât şi autorităţi cu atribuţii expres prevăzute în domeniul securităţii cibernetice. Prin urmare, obligaţiile care revin subiectelor de drept prevăzute la art.3 din legea criticată nu se referă nici la stocarea de date cu caracter personal ale cetăţenilor, nici la accesul, în lipsa unui mandat judecătoresc, într-un sistem informatic şi nici la alte proceduri intruzive în viaţa privată a cetăţeanului.
– Dispoziţiile art. 50 din legea criticată sunt clare, precise şi previzibile, fiind în acord cu prevederile art. 1 alin. (5) din Constituţie. Astfel cum s-a reţinut în jurisprudenţa sa, în materia stabilirii tipurilor de ameninţări la adresa securităţii naţionale, revine legiuitorului primar sarcina de a stabili aceste ameninţări, aspect care constituie o opţiune de politică de securitate naţională a statului român.
– Pentru a califica o acţiune în sfera ameninţărilor noi reglementate de legea criticată trebuie să fie îndeplinite cumulativ patru condiţii exprese din lege: (1) ameninţarea să vină de la un stat străin sau o organizaţie străină sau naţională, (2) acţiunile să se deruleze sub forma unor campanii, adică a unei succesiuni organizate de acţiuni, caracterizate prin intenţie, organizare şi frecvenţă; (3) acţiunile să se desfăşoare în spaţiul cibernetic, adică prin reţele sociale şi de comunicaţii funcţionale prin intermediul unor sisteme şi reţele informatice şi (4) acţiunile să fie de natură să afecteze ordinea constituţională.
– Totodată, prevederile art. 50 din legea analizată nu afectează şi nu restrâng drepturi şi libertăţi fundamentale întrucât legiuitorul nu a introdus măsuri, competenţe sau activităţi specifice culegerii de informaţii care presupun restrângerea unor drepturi sau libertăţi fundamentale ale omului, acestea fiind expres şi limitativ reglementate la art. 14 din Legea nr. 51/1991. Or, stabilirea sferei ameninţărilor la adresa securităţii naţionale cu luarea în considerare a modului în care acestea au evoluat, s-au transformat şi s-au diversificat, nu presupune în mod implicit şi necesar măsuri de restrângere a exerciţiului unor drepturi fundamentale. Doar măsurile prevăzute expres la art. 14 din Legea nr .51/1991 restrâng drepturi si libertăţi, iar în aceste cazuri, limitativ prevăzute, legiuitorul a reglementat deopotrivă garanţiile legale prevăzute la art. 15 şi următoarele din Legea nr. 51/1991.
– Simpla enumerare a ameninţărilor interne sau externe la adresa securităţii naţionale nu poate afecta, prin restrângere, drepturi sau libertăţi fundamentale. Legiuitorul nu modifică regimul juridic al ameninţărilor la adresa securităţii naţionale, nici nu suprimă garanţiile prevăzute în vederea asigurării respectării drepturilor şi libertăţilor fundamentale, ci doar actualizează sfera ameninţărilor la realităţile actuale ale societăţii, urmărind ca, prin reglementarea protecţiei oferite de mecanismele de securitate naţională să asigure, în final, funcţionarea statului român şi exercitarea neîngrădită a drepturilor şi libertăţilor fundamentale ale cetăţenilor”, a precizat CCR, în soluţia de respingere a sesizării USR şi partidului Forţa Dreptei.
Articolul de mai sus este destinat exclusiv informării dumneavoastră personale. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi un mail pe adresa abonamente@news.ro.