Accesul instituțiilor abiltate la datele de conținut din infrastructurile ciberetice va fi posibil doar prin decizie emisă de judecător, potrivit unui nou proiect de lege al Ministerului pentru Societatea Informațională privind securitatea cibernetică.
Proiectul a fost revizuit pentru că, în ianuarie 2015, Curtea Constituțională a declarat neconstituționale prevederi care ar fi permis Serviciului Român de Informații și altor instituții ale statului să acceseze datele clienților fără mandat judecătoresc, ceea ce ar fi lăsat posibilitatea unor abuzuri din partea autorităților.
Inițiatorii proiectului de lege afirmă, în expunerea de motive, că adoptarea legii privind securitatea cibernetică în forma propusă va contribui la asigurarea protejării în spațiul cibernetic a dreptului cetățenilor la viața intimă, familială și privată, în special a datelor cu caracter personal gestionate de către deținătorii de infrastructuri cibernetice.
De asemenea, proiectul de act normativ prevede, ca garanție a respectării drepturilor și libertăților persoanei, că accesul la datele de conținut din infrastructurile cibernetice ale deținătorilor prevăzuți de lege se va realiza în baza unei decizii emise de un judecător, în condițiile legii.
“Totodată, persoana care se consideră vătămată într-un drept al său prin aplicarea acestei legi poate contesta măsurile dispuse de autoritatea de control”, se mai arată în expunerea de motive.
CITEȘTE ȘI Studiu: Românii sunt dispuși să plătească 550 lei pentru a-și recupera datele din computer blocate de viruși Actul normativ definește deținătorii de infrastructuri cibernetice ca fiind autoritățile și instituțiile publice, persoanele juridice deținătoare de infrastructuri cibernetice care susțin servicii publice sau de interes public, ori servicii ale societății informaționale, a căror afectare aduce atingere securității naționale sau prejudicii grave statului ori populației.
De asemenea, deținătorii de infrastructuri cibernetice sunt și persoanele juridice care prelucrează date cu caracter personal, furnizorii de rețele publice de comunicații electronice, furnizorii de servicii de comunicații electronice destinate publicului, de servicii de găzduire internet și de servicii de securitate cibernetică.
Potrivit proiectului de lege, furnizorii de servicii de găzduire internet care desfășoară activități pe teritoriul României au obligația să acorde sprijin autorităților competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a oricărui act de autorizare a restrângerii temporare a exercițiului drepturilor și libertăților persoanelor, emis de judecător.
De asemenea, furnizorii de servicii de găzduire internet au obligația de a înregistra și stoca date de jurnalizare a activităților din sistemele informatice deținute care fac obiectul actului de autorizare, pe toată perioada de valabilitate a acestuia.
Persoanele care sunt chemate să acorde sprijin tehnic la punerea în executare a actelor de autorizare, precum și persoanele care iau cunoștință despre acestea au obligația să păstreze secretul operațiunii efectuate, sub sancțiunea legii penale, se menționează în proiectul de act normativ.
“În situația neadoptării prezentului act normativ, estimăm că România nu-și va putea armoniza demersurile pe dimensiunea securității cibernetice cu cele ale partenerilor săi din UE și NATO, demesuri necesare unei abordări coerente și eficiente a provocărilor și oportunităților spațiului cibernetic”, se arată în expunerea de motive a propunerii legislative.
Coordonarea activităților de realizare a securității cibernetice este asigurată, la nivel operațional, în cadrul SNSC, de Consiliul Operativ de Securitate Cibernetică (COSC).
“Nu se dorește astfel înființarea unei noi instituții, COSC fiind un mecanism de cooperare interinstituțională care recunoaște consilierul prezidențial pentru probleme de securitate națională, consilierul prim-ministrului pe probleme de securitate națională, secretarul CSAT, precum și reprezentanți ai Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informațională (MSI), Serviciului Român de Informații, Serviciului de Informații Externe, Serviciului de Telecomunicații Speciale, Serviciului de Protecție și Pază și ai Oficiului Registrului Național al Informațiilor Secrete de Stat”, se arată în expunerea de motive.
CITEȘTE ȘI Dragu: Ministerele Apărării, Internelor, SRI au cunoscut, e adevărat, creșterile mari. Vizează siguranța românilor MSI va fi autoritatea de reglementare și control al implementării măsurilor referitoare la asigurarea securității cibernetice.
De asemenea, și alte instituții vor avea atribuții în realizarea securității ciberetice, respectiv Centrul Național de Răspuns la Incidente de Securitate Cibernetică și Autoritatea Națională pentru Administrare și Reglementare în Comunicații (ANCOM).
Proiectul de lege propune și auditul de securitate cibernetică, activitate prin care se va realiza o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție aplicate la nivelul unei infrastructuri cibernetice.
Furnizorii de servicii de securitate care realizează audit de securitate pentru infrastructuri cibernetice de interes național (ICIN) vor avea obligația de a se înregistra la MSI.
Proiectul de lege mai prevede și înființarea Sistemului Național de Alertă Cibernetică (SNAC).
“Instituirea nivelurilor de alertă cibernetică, precum și trecerea de la un nivel la altul se aprobă de CSAT, la propunerea COSC. Deținătorii de infrastructuri cibernetice au obligația să sprijine autoritățile competente pentru implementarea măsurilor corespunzătoare fiecărui nivel de alertă cibernetică”, se menționează în expunerea de motive.
CITEȘTE ȘI Licitații de aproape 96 mil. lei pentru sistemul informatic al Poștei Române Documentul precizează că, în lipsa acestei legi, statul nu va dispune de pârghiile necesare diminuării vulnerabilităților de securitate cibernetică și asigurării apărării cibernetice, în scopul reducerii la un nivel acceptabil a riscurilor la adresa infrastructurilor cibernetice.
“Prezentul proiect a fost întocmit cu luarea în considerare a criticilor aduse prin Decizia 17/2015 a Curții Constituționale (CC) asupra obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României”, se arată în expunerea de motive.
În ianuarie 2015, Curtea Constituțională a hotărât că proiectul de lege privind securitatea cibernetică, inițiat în mai 2014, este neconstituțional pentru că are deficiențe de respectare a normelor de tehnică legislativă, coerență, claritate, previzibilitate, dar și sub aspectul procedurii legislative, prin lipsa avizului Consiliului Suprem de Apărare a Țării (CSAT).
De asemenea, Curtea a constatat încălcarea dispozițiilor constituționale cuprinse în articolul 1, alineatele 3, 4 și 5 referitoare la principiul statului de drept, principiul separației puterilor în stat, respectiv principiul legalității, în articolul 21, alineatele 1 și 3, referitor la accesul liber la justiție și dreptul la un proces echitabil, în articolul 26 privind viața intimă, familială și privată și în articolul 28 referitor la secretul corespondenței, din perspectiva lipsei garanțiilor necesare respectării acestor drepturi, precum și în articolul 53 privind restrângerea exercițiului unor drepturi sau al unor libertăți.
În decembrie 2014, deputații PNL au contestat la Curtea Constituțională proiectul de lege a securității cibernetice, inițiat de Guvern și adoptat cu o săptămână înainte, în unanimitate, în plenul Senatului.
Deputații liberali au arătat, în sesizarea de neconstituționalitate, că actul normativ limitează dreptul la viață privată digitală.
"Prin această lege, în mod mascat, se restrâng drepturile și libertățile cetățeanului, prin permiterea accesului la infrastructură cibernetică și la datele conținute, în baza unei simple motivări comunicate de instituțiile abilitate și nominalizate prin lege, fără existența unei aprobări judecătorești conform Codului de procedură penală și cerințelor adoptate de Curtea Constituțională prin deciziile 440/2014 și 461/2014, deci legea nu este armonizată la cerințele Curții Constituționale. Legea încalcă dispozițiile articolul 148, aliniatul (2) și următoarele din Constituția României, prin netranspunerea corectă a reglementărilor comunitare în materie", se arăta în sesizarea depusă la CC.
