Persoanele fizice sau cele juridice de drept privat care dețin, administrează sau utilizează rețele și sisteme informatice sunt obligate, sub sancțiunea amenzii, să notifice Platforma Națională de Raportare a Incidentelor de Securitate Cibernetică ori de câte ori constată un incident de securitate cibernetică.
Practic, orice posesor de laptop care este virusat este obligat să predea acest laptop unor specialiști, fără a avea dreptul să-și protejeze datele cu caracter privat și personal din acel laptop. Aceasta este doar o prevedere din noua lege privind securitatea și apărarea cibernetică a României, inițiată de Guvernul Ciucă și adoptată de Parlament în nici o săptămână, la finalul anului trecut. Mai mult, actul normativ vizează că toate serviciile de informații, inclusiv SPP, au dreptul să ceară și să primească de la furnizorii de servicii tehnice de securitate date și informații despre clienții acestora. Această formă a legii este chiar și mai rea decât vestitele legi „Big Brother”, trântite de CCR în anul 2015. De altfel, și această lege a fost atacată la CCR de către Avocatul Poporului și de către grupul USR din Parlament. Curtea a amânat, însă, dezbaterile, fiind ocupată să admită, cu unanimitate de voturi, două sesizări de neconstituționalitate formulate de președintele Klaus Iohannis.
Curtea Constituțională a amânat, ieri, pentru data de 28 februarie, dezbaterile pe două sesizări de neconstituționalitate depuse în legătură cu noua lege privind securitatea și apărarea cibernetică a României. Această lege, inițiată de către Guvernul României, a trecut „fulger” prin Parlament, la finalul anului trecut, însă nu a putut fi încă promulgată, deoarece atât Avocatul Poporului, cât și grupul parlamentar al USR au atacat-o la CCR.
Articolul al treilea din această lege introduce subiecții activi vizați în domeniul securității cibernetice, iar unul dintre acești subiecți activi, definiți la litera „c” sunt „rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale (…), precum și persoanele fizice și juridice care furnizează servicii publice ori de interes public”.
Așa cum arătam mai sus, acest articol a fost atacat la CCR atât de Avocatul Poporului, cât și de grupul parlamentar al USR, în sesizările de neconstituționalitate înaintate Curții arătându-se că el încalcă atât prevederile Constituției României, cât și o decizie anterioară a Curții Constituționale. Este vorba despre Decizia nr. 17 din anul 2015. Mai întâi, pentru că spectrul de aplicare al acestui articol este prea larg. Apoi, pentru că „obligațiile prevăzute sunt imposibil de îndeplinit pentru o serie întreagă de subiecți activi vizați”. Aici ar putea intra, spre exemplu, un site cu foarte puțini utilizatori, administrat de un PFA pentru un ONG, care oferă servicii online, deci un serviciu public.
Conturile de e-mail sau de rețele de socializare intră sub incidența legii
De asemenea, ar putea intra în aceeași categorie un site care aparține unei publicații mass-media, care este un serviciu fie gratuit, fie plătit, sau chiar un magazin offline, care, de asemenea, prestează un serviciu public, magazin care este dotat cu casă de marcat electronică, considerată a fi un sistem informatic.
De altfel, și sintagma „sistem informatic”, prevăzută de textul de lege citat, face ca orice serviciu informatic care se bazează pe un sistem informatic să fie inclus în această definiție. „Acest lucru ar include de la un cont de Facebook, Instagram, Gmail sau Yahoo, până la un serviciu de acces la legislația online, un serviciu de notificări de la Parlamentul European sau orice alt serviciu online similar”, se precizează, spre exemplu, în sesizarea formulată de cei de la USR.
În acest sens, actul normativ în discuție este susceptibil a încălca principiul constituțional al securității juridice, deoarece „Internetul este un spațiu ubicuu, deci nu doar infrastructura informatică din România poate cauza probleme sistemelor informatice din România, iar a impune astfel de obligații la nivel național nu rezolvă problema de fond a asigurării securității, ci chiar împovărează operatorii de bună-credință”.
Orice incident trebuie raportat. Specialiștii verifică, fizic, dispozitivul „suspect”
Legea devine cu atât mai „interesantă”, studiind cuprinsul articolelor 21 și 22. La articolul 21, alineat 1, se prevede că persoanele fizice sau juridice de drept privat care dețin rețele sau sisteme informatice „au obligația de a notifica incidentele de securitate prin intermediul Platformei Naționale de Raportare a Incidentelor de Securitate Cibernetică (PNRISC), de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului. Aici, arată autorii sesizării de neconstituționalitate, ar intra peste 700 de firme și entități mici și mari, precum și sute de mii de persoane fizice.
„Aparent, sesizarea PNRISC de către victima unui incident de securitate cibernetică pare a fi benefică (…). Dar, din cauza definirii neclare a noțiunii de incident de securitate cibernetică, se poate ajunge la situația în care, pentru o simplă virusare sau pentru o aparentă virusare a unui laptop, orice persoană care desfășoară o activitate ce pare a fi considerată ca fiind de interes public să fie obligată să sesizeze PNRISC și, implicit, să pună laptopul la dispoziția specialiștilor PNRISC, cu toate datele și informațiile cu caracter personal conținute de acel laptop”, se arată în sesizările făcute la CCR. Mai mult, autorii sesizării arată că „aceasta este o intruziune importantă în viața privată a persoanei, intruziune asupra căreia deținătorul laptopului nu are un drept de liberă apreciere, respectiv nu poate opta dacă sesizează sau nu PNRISC, ci există o obligație legală strictă, sancționată sever cu amendă contravențională, de a se adresa PNRISC și de a pune la dispoziția unor terți o multitudine de date și informații privind viața privată, conținute într-un laptop, care va fi accesat de terții care vor rezolva incidentul de securitate cibernetică”.
Serviciile de informații, băgate la înaintare. Pot cere și primi date despre securitatea rețelelor IT
Însă toate aceste aspecte semnalate mai sus reprezintă cele mai „benigne” bube ale acestei legi. Articolul 25 este cu adevărat „bombă”. El precizează că „furnizorii de servicii tehnice de securitate cibernetică au obligația de a pune la dispoziția autorităților prevăzute la articolul 10, la cererea acestora, în termen de 48 de ore de la data primirii solicitării, date și informații privind incidente, respectiv în maximum 5 zile de la data primirii solicitării, atunci când este vorba despre amenințări, riscuri sau vulnerabilități care pot afecta o rețea sau un sistem informatic dintre cele prevăzute la articolul 3 (deci și persoanele fizice de drept privat – n.red.), precum și interconectarea acestora cu utilizatorii finali”.
Autoritățile prevăzute la articolul 10, care cer aceste date, sunt: Directoratul Național pentru Securitate Cibernetică; Ministerul Cercetării, Inovării și Digitalizării; ANCOM, Ministerul Apărării Naționale, Ministerul Afacerilor Interne, Ministerul Afacerilor Externe, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale, Serviciul de Protecție și Pază și ORNISS.
Delațiunea
Conform sesizărilor de neconstituționalitate, acest articol 25 reîncălzește o „ciorbă” declarată, deja, neconstituțională de către CCR, în anul 2015 – vestitele Legi „Big Brother”. „Furnizorii sunt obligați ca, la orice întrebare primită de la aceste instituții, să-și reclame sau să-și denunțe clienții. Fără a exista un mandat judecătoresc, fără autorizare expresă, acești furnizori sunt obligați să ofere informații despre starea securității unui client sau, mai grav, a unei întregi infrastructuri – ceea ce include informații personale și secrete ale mai multor clienți, fie ei direct afectați de o posibilă vulnerabilitate sau nu”, se mai arată în documentele aflate pe masa Curții Constituționale.
În acest sens, serviciile de informații și nu numai pot avea acces neîngrădit la informații despre starea de securitate a oricărui site ori a oricărei aplicații web operate de persoane fizice. Curtea Constituțională a declarat, deja, neconstituțională o astfel de prevedere legală, prin decizia 17/2015. Cei de la USR spun că propunerea din noua lege reprezintă „o obligație la delațiune, ignorându-se complet confidențialitatea dintre doi profesioniști privați sau dintre un client persoană fizică și un furnizor persoană juridică”. În mai multe state din Uniunea Europeană, printre care și în Germania, dezvăluirea de astfel de informații către terți este strict interzisă de lege.
Actul normativ a fost atacat la CCR și de Avocatul Poporului, din aceleași considerente de ordin intrinsec și extrinsec, pe masa judecătorilor Curții Constituționale aflându-se, în prezent, două sesizări de neconstituționalitate.
Actul normativ, depus de Guvern pe 15 decembrie. Parlamentul l-a trecut, prin ambele Camere, până pe 21 decembrie
Noua lege privind securitatea și apărarea cibernetică a României, care conține prevederile analizate mai sus, a fost inițiată de Guvernul condus de Nicolae Ciucă, fiind înregistrată la Biroul Permanent al Camerei Deputaților în data de 15 decembrie 2022. La data de 17 decembrie 2022, legea a fost înscrisă pe ordinea de zi a Plenului, sub rezerva raportului, raport înaintat pe data de 19 decembrie de către Comisia pentru Apărare și de către Comisia pentru Tehnologia Informației.
În aceeași zi, Camera Deputaților a adoptat proiectul de lege, cu 180 de voturi la 39 și 47 de abțineri. Tot pe 19 decembrie, forma votată de Cameră a fost transmisă Senatului, care a fost și forul decizional.
Două zile au durat, doar, pentru ca legea să primească raport favorabil din partea comisiilor, fiind respinse toate amendamentele formulate, iar, pe 21 decembrie, Plenul Senatului a adoptat legea, cu 80 de voturi la 29 și 3 abțineri. Pe data de 23 decembrie 2022, legea a fost transmisă la Palatul Cotroceni, în vederea promulgării. Procesul a fost blocat, pe 27 decembrie, când Avocatul Poporului a atacat-o la Curtea Constituțională. Pe 5 ianuarie 2023, a fost depusă și sesizarea formulată de grupul USR.
Ieri, Curtea Constituțională ar fi trebuit să dezbată ambele sesizări de neconstituționalitate legate de legea privind securitatea și apărarea cibernetică a României. Însă a decis să amâne aceste dezbateri pentru data de 28 decembrie, întrucât Curtea a fost ocupată cu admiterea, în unanimitate, a două sesizări de neconstituționalitate formulate de președintele României, Klaus Iohannis. Este vorba despre Legea Acvaculturii și despre legea de modificare a Legii Cetățeniei Române.
