Preşedintele Klaus Iohannis a promulgat, marţi, legea privind securitatea şi apărarea cibernetică a României. Legea urmează să intre, astfel, în vigoare. Amintim că specialiștii au identificat numeroase probleme ale acestei legi, printre care faptul că legea lărgește atribuțiile SRI, impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității. Inițial erau incluse și amenzi mari pentru privați, însă ulterior acestea au fost diminuate.
La finalul lunii februarie, Curtea Constituţională a respins o sesizare de neconstituţionalitate formulată de către USR şi a Foreţei Drepte asupra Legii securităţii cibernetice.
Lege adoptată: Se lărgesc atribuțiile SRI, mediul privat încă are obligații imense de raportări de securitate
Senatul a adoptat, în decembrie, în calitate de for decizional, proiectul de lege privind securitatea şi apărarea cibernetică a României, el fiind adoptat anterior și de către Camera Deputaților. Comisiile din Senat au adus modificări la o formă inițială a legii considerată problematică, însă acestea au fost minore, iar toate problemele identificate inițial au rămas, semnala Bogdan Manolea, directorul executiv al Asociației pentru Tehnologie și Internet (ApTI), într-o postare pe Linkedin. ApTI a criticat de la început noua propunere legislativă pentru faptul că impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității. Inițial erau incluse și amenzi mari pentru privați, însă ulterior acestea au fost diminuate, la inițiativa REPER.
La votul din plenul Senatului, cameră decizională, s-au înregistrat 81 de voturi „pentru”, 29 „împotrivă” şi trei abţineri, potrivit Agerpres.
Guvernul a aprobat anterior proiectul de lege privind securitatea şi apărarea cibernetică a României, prin care introduce trei amenințări cibernetice pe lista ameninţărilor la adresa securităţii naţionale a României și stabilește care sunt autoritățile competente în domeniul securității cibernetice. G4Media a scris inițial despre acest proiect AICI. Conform proiectului adoptat, se înființează Sistemul Național de Securitate Cibernetică, crește rolul consilierului prezidențial pe probleme de securitate, iar SRI va fi autoritate competentă la nivel național în domeniul cyber intelligence. În plus, ca noutate, Guvernul a introdus trei amenințări cibernetice pentru care se poate institui stare de alertă sau de urgență.
Criticile specialiștilor
Asociația pentru Tehnologie și Internet a criticat de la început noua propunere legislativă pentru faptul că impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității.
Potrivit asociației, proiectul de lege privind securitatea cibernetică prevede obligații în sarcina sectorului privat de raportare a tuturor incidentelor de securitate, dar și a amenințărilor, riscurilor sau vulnerabilităților, într-un termen foarte scurt, de numai 48 de ore. Asociația mai avertiza că legea lărgește și mai tare spectrul celor care trebuie să se supună obligațiilor de securitate, lărgește atribuțiile SRI, inclusiv pentru „campanii de propagandă sau dezinformare” și adaugă noi amenzi care încep de la 5.000 de lei și ajung până la 10% din cifra de afaceri, în cazul firmelor, printre altele.
ApTI susține că textul proiectului are cele trei ingrediente ale unei legi cu potențial de a fi folosită nu doar pentru a proteja, dar și pentru a abuza și intimida: o definiție largă și vagă a celor cărora li se aplică, obligații imposibil de îndeplinit și amenzi usturătoare.
Dezbatere pe repede înainte
Deputatul Cătălin Teniță a semnalat că proiectul de lege a trecut în viteză prin comisiile Camerei Deputaților, dezbaterile în comisiile raportoare durând mai puțin de o oră. Amendamentele formulate la lege au fost respinse fără dezbatere. Președintele comisiei a propus ca dezbaterea amendamentelor să rămână la latitudinea comisiilor din Senat. Ulterior, în aceeași zi, legea a fost trimisă pentru dezbatere în plenul Camerei Deputaților și a fost adoptată cu o largă majoritate.
A doua zi, comisiile reunite pentru Apărare, ordine publică și siguranță națională și TIC (Comunicații, tehnologia informației și inteligență artificială) din Senatul au adoptat mai multe amendamente la legea privind securitatea cibernetică. Amendamentele prevăd scăderea amenzilor la sume mai puțin exorbitante și reducerea obligațiilor excesive pentru mediul privat, a anunțat deputatul REPER Cătălin Teniță. Astfel, Comisiile reunite pentru Apărare și TIC ale Senatului au admis: scăderea cuantumului amenzilor la 1-3% (de la 5-10%) din cifra de afaceri netă și eliminarea din textul legii ca titulari de obligații a companiilor și persoanelor fizice care nu furnizează servicii publice sau de interes public.
Modificări minore, problemele rămân
Bogdan Manolea, ApTI, afirma că rapoartele comisiilor din Senat au adus schimbări minore pe fond, dar toate problemele identificate inițial au rămas.
„Orice furnizor de ”serviciu public sau de interes public” va avea niște obligații imense de raportări de securitate în 48 de ore (și nu numai). Apare informatorul 2.0 – care la ”cererea motivată” a oricăruia din cele 11 organe publice prevăzute în lege (DNSC, MCID, ANCOM, MApN, MAI, MAE, ORNISS, SRI, SIE, STS și SPP) trebuie să toarne ceea ce știe – date și informații privind incidente, amenințări, riscuri sau vulnerabilități. Evident, de la clienții lor. Lărgire atribuții SRI pentru niște definiții extrem de largi, inclusiv ”campanii de propagandă sau dezinformare”, inclusiv derulate de o entitate non-statală. Deci acum chiar are un motiv să ne urmărească pe toți. Extindere obligații contrar directivelor europene în domeniu și sancțiuni extrem de mari (nu mai sunt 10%, sunt 3% din cifra de afaceri)”, afirma Manolea.