Un nou proiect de lege privind securitatea cibernetică a României este supus dezbaterii publice de joi, pe site-ul Ministerului Comunicațiilor.
Față de precedenta formă a proiectului, declarată neconstituțională de CCR în urmă cu un an, nu sunt schimbări fundamentale.
Inițiatorii – neprecizați – par să fi elaborat noul document mai de grabă preocupați să rezolve problemele semnalate de Curtea Constituțională în armonie cu nevoile SRI, nu neapărat cu prevederile Constituției.
Ce a reclamat CCR la vechiul proiect și care sunt diferențele între proiecte, în cele ce urmează :
Accesul la date și mandatul judecătoresc
Potrivit vechiului proiect de lege, SRI și alte instituții primeau drept de acces la ”date relevante” aflate în gestiunea operatorilor de rețele cibernetice în baza unei simple solicitări motivare.
Descărcați AICI vechiul proiect al Legii securității cibernetice
Legat de această procedură, CCR a arătat că formularea vagă deschide calea unor posibile ”abuzuri din partea autorităţilor competente” și a emis dubii că accesul la date era supusă vreunui control judecătoresc.
Descărcață AICI motivarea deciziei de neconstituționalitate
Noul proiect încearcă să rezolve această îngrijorare cu următoarea formulare: ”Deținătorii de infrastructuri cibernetice au obligația să nu permită accesul la datele de conținut din infrastructurile deîinute, sau aflate în competență, în lipsa unei înștiințări scrise din partea autorităților abilitate privind existența unei autorizații emise de judecător.”
Descărcați AICI noul proiect al Legii securității cibernetice
Din această formulare reiese că ”autoritatea abilitată” nu este obligată să prezinte un mandat, ci o ”înștiințare scrisă” că ar exista un mandat judecătoresc.
Nu este clar dacă înștiințarea va fi înmânată sau doar prezentată celui supus controlului.
Accesul la documente și informații
Din vechiul proiect de lege, judecătorii CCR au mai constatat că autorităţile cu atribuţii de monitorizare şi control – servicii secrete şi instituţii de siguranţă naţională menţionate în lege – primeau dreptul să solicite declaraţii sau orice documente necesare pentru efectuarea controlului, să facă inspecţii, inclusiv inopinate, la orice instalaţie, incintă sau infrastructură, şi să primească, la cerere sau la faţa locului, informaţii sau justificări.
Aceste lucruri urmau să se desfăşoare de asemenea în lipsa oricărui control judecătoresc.
În noul proiect de lege, obiecția ridicată de judecătorii CCR se rezolvă nu prin corectarea respectivei prevederi, ci prin eliminarea acesteia din text.
Auditările de securitate
Judecătorii CCR mai descriau, în cazul vechiului proiect, o altă „situaţie inacceptabilă pentru o societate guvernată de principiile statului de drept”. Persoanele juridice care deţin infrastructuri cibernetice de interes naţional (ICIN) erau obligate, conform vechiului proiect, să perimită auditări de securitate, la solicitarea motivată a autorităţilor competente.
Noul text rezolvă problema indroducând ”dreptul” deținătorului de infrastructură cibernetică ”să solicite sprijinul autorităților competente” pentru realizarea de auditări.
Prin noua lege, deținătorii de infrastructură primesc și dreptul de a delega managementul incidentelor de securitate cibernetică în favoarea acelorași ”autorități competente”.
Controlul civil
Atunci când au formulat motivarea deciziei de neconstituționalitate asupra proiectului Legii securității cibernetice, judecătorii şi-au început argumentaţia citând o hotărâre CEDO, din 1978, dintr-o speţă împotriva Germaniei: „Pericolul de a submina, chiar de a distruge democraţia sub motivul apărării acesteia, afirmă că statele nu pot lua, în numele combaterii spionajului şi terorismului, orice măsură pe care acestea o consideră adecvată”.
În acest spirit, CCR a apreciat că „pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, înfiinţarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor şi reţelelor cibernetice, precum şi a informaţiei (…) trebuie să vizeze un organism civil, care să funcţioneze integral pe baza controlului democratic, iar nu o autoritate care desfăşoară activităţi în domeniul informaţiilor, al aplicării legii sau al apărării ori care să reprezinte o structură a vreunui organism care activează în aceste domenii.”
La acest capitol, noua lege nu schimbă nimic: coordonarea la nivel strategic a activităților destinate asigurării securității cibernetice rămâne în sarcina CSAT, coordonarea activităților rămâne în sarcina unui Consiliu Operativ de Securitate Cibernetică, iar coordonarea tehnică rămâne în sarcina SRI.
