Camera Deputaților a adoptat luni, pe repede înainte, atât în comisii, cât și în plen, legea privind securitatea cibernetică, adoptată recent de Guvern. Asociația pentru Tehnologie și Internet (ApTI) avertiza anterior că legea lărgește și mai tare spectrul celor care trebuie să se supună obligațiilor de securitate, lărgește atribuțiile SRI, inclusiv pentru „campanii de propagandă sau dezinformare” și adaugă noi amenzi care încep de la 5.000 de lei și ajung până la 10% din cifra de afaceri, în cazul firmelor, printre altele. Astfel, asociația spunea că legea are cele trei ingrediente ale unei legi cu potențial de a fi folosită nu doar pentru a proteja, dar și pentru a abuza și intimida.
Deputatul Cătălin Teniță a semnalat luni că proiectul de lege a trecut în viteză prin comisiile Camerei Deputaților, dezbaterile în comisiile raportoare durând mai puțin de o oră. Amendamentele formulate la lege au fost respinse fără dezbatere. Președintele comisiei a propus ca dezbaterea amendamentelor să rămână la latitudinea comisiilor din Senat. Ulterior, tot luni, legea a fost trimisă pentru dezbatere în plenul Camerei Deputaților și a fost adoptată cu o largă majoritate.
Senatul e cameră decizională și probabil va vota deja miercuri, potrivit lui Teniță.
„În forma actuală, proiectul de lege prevede obligații draconice pentru sectorul privat de raportare a tuturor incidentelor de securitate, de către toate companiile, indiferent de mărimea sau de gravitatea respectivelor incidente, chiar și a celor minore care nu au niciun impact asupra securității cibernetice a României, în termene extrem de mici (48 de ore). Sancțiunile sunt cu mult mai drastice chiar decât în cazul nerespectării normelor de siguranță alimentară sau de protecție a muncii care pot duce la accidente sau la incidente cu multiple victime. Vorbim despre amenzi care ajung la până la 10% din cifra de afaceri, ceea ce înseamnă efectiv o „naționalizare” indirectă a activelor companiilor, prin faptul că acestea riscă să ajungă destul de ușor în insolvență!”, afirmă el
- Reamintim că Guvernul a aprobat în urmă cu două săptămâni un proiect de lege privind securitatea şi apărarea cibernetică a României, prin care introduce trei amenințări cibernetice pe lista ameninţărilor la adresa securităţii naţionale a României și stabilește care sunt autoritățile competente în domeniul securității cibernetice. G4Media a scris despre acest proiect AICI. Conform proiectului adoptat, se înființează Sistemul Național de Securitate Cibernetică, crește rolul consilierului prezidențial pe probleme de securitate, iar SRI va fi autoritate competentă la nivel național în domeniul cyber intelligence. În plus, ca noutate, Guvernul introduce trei amenințări cibernetice pentru care se poate institui stare de alertă sau de urgență. Asociația pentru Tehnologie și Internet a criticat de la început noua propunere legislativă pentru faptul că impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității.
ApTI susține că, prin varianta proiectului aprobată de Guvern, s-a lărgit și mai tare spectrul celor care trebuie să se supună obligațiilor de securitate.
Acum, conform Art. 3 (1), proiectul de lege reglementează: „rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de […] persoane fizice și juridice care desfășoară activități cu scop lucrativ și nelucrativ, de cercetare, dezvoltare, inovare și producție în domeniul tehnologia informației și a comunicațiilor, sau furnizează servicii publice ori de interes public”.
Înainte formularea era: „persoane juridice care desfășoară activități industriale, de cercetare științifică sau furnizează servicii publice ori de interes public”.
Asociația susține că, având definiție vagă a persoanelor vizate, proiectul de lege dă autorităților mână liberă să desemneze din pix cine va trebui să se supună noului proiect de lege: „Categoriile de persoane prevăzute la art. 3, alin. (1), lit. c) se stabilesc prin hotărâre de Guvern, inițiată de MCID, adoptată în maximum 60 de zile de la intrarea în vigoare a prezentei legi.”
ApTI susține că toate aceste entități au obligația de a raporta orice incidente de securitate în 48 de ore de când le-au depistat, iar datele despre incidente sunt păstrate 5 ani.
ApTi mai arată că, în plus față de forma inițială a proiectului de lege, Art. 48 introduce contravenții. Ele se aplică atât tuturor entităților descrise în Art. 3 (1), care nu notifică incidente de securitate cât și furnizorilor de servicii de securitate care nu comunică informațiile (cel mai propbabil, personale, ale unor terți) cerute de autoriăți.
Nerespectarea obligațiilor se sancționează astfel:
„a) cu amendă de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 200.000 lei;
- b) pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, cu amendă în cuantum de până la 5% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 10% din cifra de afaceri netă.”
ApTI susține că textul proiectului are cele trei ingrediente ale unei legi cu potențial de a fi folosită nu doar pentru a proteja, dar și pentru a abuza și intimida: o definiție largă și vagă a celor cărora li se aplică, obligații imposibil de îndeplinit și amenzi usturătoare.
Totodată, legea arată că știrile false vor fi o amenințare la adresa securității naționale.
Principalele prevederi ale proiectul de lege privind apărarea cibernetică a României:
Potrivit proiectului, se înființează Sistemul Național de Securitate Cibernetică, denumit în continuare SNSC, drept cadru general de cooperare care reunește autorități și instituții publice cu responsabilități și capabilități în domeniu, în vederea coordonării acțiunilor la nivel național pentru asigurarea securității cibernetice.
Proiectul de lege mai prevede activitățile SNSC sunt coordonate, la nivel strategic, de către Consiliul Suprem de Apărare a Țării (CSAT. Activitățile SNSC sunt coordonate unitar, la nivel operațional, de către COSC. Serviciul Român de Informații asigură secretariatul tehnic al COSC.
COSC este un organ consultativ, fără personalitate juridică, aflat sub autoritatea CSAT, format din consilierul prezidențial pentru probleme de securitate națională, consilierul prim-ministrului pe probleme de securitate națională, Secretarul Consiliului Suprem de Apărare a Țării, precum și reprezentanți ai: Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului Cercetării, Inovării și Digitalizării, Serviciului Român de Informații, Serviciului de Informații Externe, Serviciului de Telecomunicații Speciale, Serviciului de Protecție și Pază, Oficiului Registrului Național al Informațiilor Secrete de Stat, Autorității Naționale pentru Administrare și Reglementare în Comunicații și ai Directoratului Național de Securitate Cibernetică.
Potrivit proiectului de lege, printre obiectivele prezentei legi sunt se numără asigurarea rezilienței și protecției rețelelor și sistemelor informatice ce susțin funcțiile de apărare, securitate națională, ordine publică și guvernare dar și desemnarea autorităților competente și stabilirea cadrului legal de dezvoltare a capabilităților necesare îndeplinirii responsabilităților acestora în domeniile securității și apărării cibernetice.
COSC emite hotărâri, adoptate prin consens, care sunt obligatorii pentru instituțiile prevăzute la alin. (1), conform competențelor legale.
Conducerea COSC este asigurată de un președinte – consilierul prezidențial pentru probleme de securitate națională și un vicepreședinte – consilierul prim-ministrului pe probleme de securitate națională, se mai arată în proiectul de lege.
În funcție de natura și evoluția amenințărilor cibernetice sunt invitați să participe în cadrul ședințelor COSC și reprezentanți ai altor entități – autorități, instituții publice, persoane juridice de drept public sau privat – care pot contribui la soluționarea problemelor de securitate cibernetică.
Sunt autorități competente în sensul legii:
- a) Directoratul Național de Securitate Cibernetică,denumit în continuare DNSC, pentru spațiul cibernetic național civil, conform prevederilor prezentei legi și ale Ordonanței de urgență nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică,
aprobată, cu modificări și completări, prin Legea nr. 11/2022; - b) Ministerul Cercetării, Inovării și Digitalizării,denumit în continuare MCID, pentru elaborarea și inițierea actelor normative și politicilor publice naționale în domeniul securității cibernetice, a transformării digitale, societății informaționale, comunicațiilor, cercetării,
dezvoltării și inovării. - c) Autoritatea Națională pentru Administrare și Reglementare în Comunicații,denumită în continuare, ANCOM, pentru coordonarea activităților desfășurate în vederea asigurării securității cibernetice a rețelelor și sistemelor informatice proprii și a celor
prevăzute la art. 3 alin (1) lit. b); - d) Ministerul Apărării Naționale, Ministerul Afacerilor Interne,Oficiul Registrului Național al Informațiilor Secrete de Stat, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale și Serviciul de Protecție și Pază pentru asigurarea securității și apărării cibernetice, respectiv pentru cunoașterea, prevenirea și contracararea amenințărilor cibernetice la adresa rețelelor și sistemelor informatice din domeniul lor de competență, activitate sau responsabilitate. În acest sens, stabilesc structuri și măsuri tehnice și organizatorice privind coordonarea și controlul activităților de securitate și apărare cibernetică.
Potrivit proiectului de lege, Serviciul Român de Informații este autoritate competentă la nivel național în domeniul cyber intelligence, precum și pentru cunoașterea, analizarea, prevenirea și contracararea incidentelor și atacurilor cibernetice care reprezintă amenințări, riscuri și vulnerabilități la adresa securității naționale a României.
Proiectul de lege mai prevede că persoanele juridice care au în responsabilitate rețele și sisteme informatice prevăzute la art. 3 alin. (1) lit. b) și lit. c), au obligația de a notifica incidentele de securitate cibernetică prin intermediul PNRISC, de îndată dar nu mai târziu de 24 de ore de la
constatarea incidentului.
Noutate: stare de alertă sau de urgență pentru amenințări cibernetice
O noutate a proiectului este că Guvernul introduce trei amenințări cibernetice pe lista amenințărilor la adresa securităţii naţionale a României următoarele, pentru care se poate institui stare de asediu sau de urgență.
Astfel, vor constitui ameninţări la adresa securităţii naţionale a României și următoarele amenințări cibernetice, pe lângă amenințările definite deja de lege (Articolul 3):
n) amenințări cibernetice sau atacuri cibernetice asupra infrastructurilor informatice și de comunicații de interes național;
Conceptul de atac cibernetic este definit ca fiind ”acțiune ostilă (de rea-credință) desfășurată în spațiul cibernetic de natură să afecteze securitatea cibernetică”.
o) acțiuni, inacțiuni sau stări de fapt cu consecințe la nivel național, regional sau global care afectează reziliența statului în raport cu riscurile și amenințările de tip hibrid;
p) acțiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spațiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituțională.”.
Acțiunile de propagandă și dezinformare vizate sunt doar cele care afectează ordinea constituțională, adică setul de principii fundamentale pe care este constituit statul român, regimul constituțional de drepturi și libertăți fundamentale, regimul constituțional al funcționării autorităților publice de rang constituțional protejarea garanțiilor prevăzute de Constituție.