Deputații USR și Forța Dreptei anunță că sesizează Curtea Constituțională pe legea securității cibernetice, spunând că este o lege adoptată în viteză de coaliția PSD-PNL-UDMR, fără o dezbatere reală în societatea civilă și în Parlament, și care încalcă grav dreptul la viață privată al românilor. „USR nu poate accepta ca România să fie transformată de Klaus Iohannis, Marcel Ciolacu și Nicolae Ciucă într-o republică a securiștilor!”, arată un comunicat transmis de USR.
„Am atras atenția încă de la începutul verii, când au fost prezentate proiectele legilor securității naționale, că actuala coaliție, în frunte cu președintele Iohannis, amenință libertățile civile fundamentale ale românilor. Legea securității cibernetice, adoptată într-un dispreț total față de principiile și instituțiile democratice, confirmă ceea ce spuneam și reprezintă un nou derapaj politic. Nu poți să obligi sute de mii de furnizorii de servicii tehnice de securitate cibernetică să-și toarne clienții și să ofere pe tavă, fără mandat de la judecător, date și informații private ale acestora. Dreptul la viață privată și libertate de exprimare sunt apărate de Constituție și nu putem asista pasivi la această nouă încercare a serviciilor de a intra cu bocancii în viețile românilor”, declară Cătălin Drulă, președintele USR.
USR susține că legea adoptată de PSD-PNL-UDMR pe repede-înainte încalcă prevederile constituționale privind dreptul la viață privată și libertatea de exprimare.
Potrivit partidului, sesizarea de către victima unui incident de securitate cibernetică a Platformei Naționale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC) pare a fi benefică, deoarece respectiva platformă este special destinată rezolvării unor astfel de incidente. Dar, din cauza definirii neclare în lege a noțiunii de incident de securitate cibernetică, se poate ajunge la situația în care pentru o simplă virusare sau pentru o aparentă virusare (o nefuncționare normală) a unui laptop, orice persoană care are o activitate ce poate fi considerată – de către cine? – ca fiind de interes public să fie obligată să sesizeze PNRISC și, implicit, să pună laptopul la dispoziția specialiștilor PNRISC, cu toate datele și informațiile cu caracter personal conținute de acel dispozitiv, arată USR.
„Aceasta este o intruziune importantă în viața privată a persoanei, iar deținătorul laptopului nu poate opta dacă sesizează sau nu PNRISC, existând obligația legală strictă, sancționată sever cu amendă contravențională, de a se adresa PNRISC și, implicit, de a pune la dispoziția unor terți o multitudine de date și informații privind viața privată”, arată comunicatul.
Totodată, articolul din lege care obligă furnizorii de servicii tehnice de securitate cibernetică să pună la dispoziția autorităților date și informații privind incidente, respectiv amenințări, riscuri sau vulnerabilități reia o propunere dintr-un act normativ declarat deja neconstituțional. Concret, creează o obligație de delațiune unei categorii de profesioniști care, în mod normal, ar avea obligații de confidențialitate stricte față de proprii clienți. În plus, obligația vine fără existența unui mandat judecătoresc, fără autorizare expresă, mai arată partidul.
De asemenea, legea nu este corelată cu obligațiile asumate de România în momentul aderării la Uniunea Europeană și cu prevederile Tratatului privind funcționarea Uniunii Europene. Practic, avem de-a face cu o extindere a Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice de la câteva sectoare critice și aproximativ 700 de firme și autorități mici și mari la probabil câteva sute de mii de persoane juridice, aspect considerat excesiv de către legislația UE, arată USR.
Nu în ultimul rând, USR susține că legea PSD-PNL-UDMR încalcă prevederile Constituției referitoare la principiul securității juridice, previzibilității și clarității normelor, în condițiile în care subiecții legii și obligațiile impuse lor sunt vagi și neclare.
Lege adoptată: Se lărgesc atribuțiile SRI, mediul privat încă are obligații imense de raportări de securitate
Senatul a adoptat, miercuri, în calitate de for decizional, proiectul de lege privind securitatea şi apărarea cibernetică a României. Acesta merge acum la promulgare, fiind adoptat anterior și de către Camera Deputaților. Marți, comisiile din Senat au adus modificări la forma inițială, însă acestea sunt minore, iar toate problemele identificate inițial au rămas, semnalează Bogdan Manolea, directorul executiv al Asociației pentru Tehnologie și Internet (ApTI), într-o postare pe Linkedin. ApTI a criticat de la început noua propunere legislativă pentru faptul că impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității. Inițial erau incluse și amenzi mari pentru privați, însă ulterior acestea au fost diminuate, la inițiativa REPER.
La votul de miercuri din plenul Senatului, cameră decizională, s-au înregistrat 81 de voturi „pentru”, 29 „împotrivă” şi trei abţineri, potrivit Agerpres. Proiectul merge la promulgare la președintele Klaus Iohannis, după care va intra în vigoare.
Guvernul a aprobat în urmă cu două săptămâni un proiect de lege privind securitatea şi apărarea cibernetică a României, prin care introduce trei amenințări cibernetice pe lista ameninţărilor la adresa securităţii naţionale a României și stabilește care sunt autoritățile competente în domeniul securității cibernetice. G4Media a scris inițial despre acest proiect AICI. Conform proiectului adoptat, se înființează Sistemul Național de Securitate Cibernetică, crește rolul consilierului prezidențial pe probleme de securitate, iar SRI va fi autoritate competentă la nivel național în domeniul cyber intelligence. În plus, ca noutate, Guvernul a introdus trei amenințări cibernetice pentru care se poate institui stare de alertă sau de urgență.
Criticile specialiștilor
Asociația pentru Tehnologie și Internet a criticat de la început noua propunere legislativă pentru faptul că impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității.
Potrivit asociației, proiectul de lege privind securitatea cibernetică prevede obligații în sarcina sectorului privat de raportare a tuturor incidentelor de securitate, dar și a amenințărilor, riscurilor sau vulnerabilităților, într-un termen foarte scurt, de numai 48 de ore. Asociația mai avertiza că legea lărgește și mai tare spectrul celor care trebuie să se supună obligațiilor de securitate, lărgește atribuțiile SRI, inclusiv pentru „campanii de propagandă sau dezinformare” și adaugă noi amenzi care încep de la 5.000 de lei și ajung până la 10% din cifra de afaceri, în cazul firmelor, printre altele.
ApTI susține că textul proiectului are cele trei ingrediente ale unei legi cu potențial de a fi folosită nu doar pentru a proteja, dar și pentru a abuza și intimida: o definiție largă și vagă a celor cărora li se aplică, obligații imposibil de îndeplinit și amenzi usturătoare.
Dezbatere pe repede înainte
Luni, deputatul Cătălin Teniță a semnalat că proiectul de lege a trecut în viteză prin comisiile Camerei Deputaților, dezbaterile în comisiile raportoare durând mai puțin de o oră. Amendamentele formulate la lege au fost respinse fără dezbatere. Președintele comisiei a propus ca dezbaterea amendamentelor să rămână la latitudinea comisiilor din Senat. Ulterior, tot luni, legea a fost trimisă pentru dezbatere în plenul Camerei Deputaților și a fost adoptată cu o largă majoritate.
Marți, comisiile reunite pentru Apărare, ordine publică și siguranță națională și TIC (Comunicații, tehnologia informației și inteligență artificială) din Senatul au adoptat mai multe amendamente la legea privind securitatea cibernetică. Amendamentele prevăd scăderea amenzilor la sume mai puțin exorbitante și reducerea obligațiilor excesive pentru mediul privat, a anunțat deputatul REPER Cătălin Teniță.Astfel, Comisiile reunite pentru Apărare și TIC ale Senatului au admis: scăderea cuantumului amenzilor la 1-3% (de la 5-10%) din cifra de afaceri netă și eliminarea din textul legii ca titulari de obligații a companiilor și persoanelor fizice care nu furnizează servicii publice sau de interes public.
Modificări minore, problemele rămân
Bogdan Manolea, ApTI, afirmă că rapoartele comisiilor din Senat au adus schimbări minore pe fond, dar toate problemele identificate inițial au rămas
„Orice furnizor de ”serviciu public sau de interes public” va avea niște obligații imense de raportări de securitate în 48 de ore (și nu numai). Apare informatorul 2.0 – care la ”cererea motivată” a oricăruia din cele 11 organe publice prevăzute în lege (DNSC, MCID, ANCOM, MApN, MAI, MAE, ORNISS, SRI, SIE, STS și SPP) trebuie să toarne ceea ce știe – date și informații privind incidente, amenințări, riscuri sau vulnerabilități. Evident, de la clienții lor. Lărgire atribuții SRI pentru niște definiții extrem de largi, inclusiv ”campanii de propagandă sau dezinformare”, inclusiv derulate de o entitate non-statală. Deci acum chiar are un motiv să ne urmărească pe toți. Extindere obligații contrar directivelor europene în domeniu și sancțiuni extrem de mari (nu mai sunt 10%, sunt 3% din cifra de afaceri)”, afirmă Manolea.