Noul proiect de lege privind securitatea cibernetica este o versiune resapata a vechiului proiect cu mult mai alambicata si mai generica, dar cu acelasi principii ca data trecuta - toate persoanele juridice sunt subiectii legii si trebuie 'elaboreze si sa implementeze politici si planuri de securitate cibernetica' si sa raporteze 'toate incidentele de securitate', scrie juristul Bogdan Manolea pe blogul Asociatiei Pentru Tehnologie si Internet. Acesta remarca totusi evolutia fata de anul trecut - chestiunile neconstitutionale majore (accesul la data fara mandat de la judecator sau SRI ca auditor al sistemelor informatice) nu mai apar in noul proiect.

Juristul remarca faptul ca "securitatea datelor personale este prevazuta ca principalul principiu al legii. Doar ca astea sunt vorbe goale, pentru ca legea nu doar ca nici macar nu mentioneaza legea 677/2001 sau Autoritatea din domeniu (n.a Autoritatea Nationala pentru Protectia Datelor cu Caracter Personal - ANSPDCP), dar nici macar nu prevede ceea ce ar trebui sa aduca ca noutate pe domeniul securitatii datelor personale – raportarea pierderii datelor personale (data breach), pentru a intra in trendul european".

Problema de fond - o Marie cu o alta Palarie

Noul proiect este o versiune resapata a vechiului proiect cu mult mai alambicata si mai generica, dar cu acelasi principii ca data trecuta:

  • - toate persoanele juridice sunt subiectii legii (legea zice in art 2 ca doar cele care au calculatoare care prelucreaza date cu caracter personal - sa fim seriosi ce persoana juridica care foloseste un calculator nu are date personale pe el. Macar datele angajatilor sau datele din facturi si tot ai)
  • - toate persoanele juridice trebuie sa 'elaboreze si sa implementeze politici si planuri de securitate cibernetica', inclusiv sa aiba masuri organizatorice si tehnice pentru 'managementul incidentelor de securitate' si sa raporteze 'toate incidentele de securitate'. Toate aceste vor fi realizate fara niciun impact financiar pentru aceste persoane juridice - conform expunerii de motive.
  • - Statul se ocupa de asigurarea securitatii cibernetice (vezi art 9 pentru lunga lista de acronime - MCSI, CERT, SRI, ANCOM, MApN, MAI, ORNISS, iarasi ANCOM, iarasi SRI, SIE si STS care devin toate 'autoritati responsabile' pe diverse paliere prea vagi pentru a fi identificate la prima citire)

De aici incepe problema principala - proiectul de lege vede securitatea informatica ca pe o problema a statului, care trebuie sa vina si sa le spuna cetatenilor si persoanelor juridice ce si cum trebuie sa faca. Trebuie sa-i fie raportate incidentele de securitatea si sa dea amenzi pentru cei care nu le respecta. De ce? Ca sa facem cetateanul sa fie sigur, chiar daca el nu vrea.

Sa luam un exemplu, pentru a fi mai clari

OchiulVesel SRL e o firma care produce ochelari. Pentru ca OchiulVesel SRL are o baza de date de clienti pe un laptop, el se va supune legii securitatii cibernetice, desi o tine pe o partitie separata si criptata. Administratorul OchiulVesel SRL observa ca are pe un browser o infectie, care face ca atunci cand cauta o pagina care nu exista, de fapt il duce pe o pagina de reclame. Baiat inteligent si calculatorist, Administratorul OchiulVesel SRL isi da seama ca are un 'incident de securitate' si deci este obligat conform art 20 1(b) si 24 sa notifice MCSI (cu toate detaliileca are o problema, desi nu afecteaza datele personale. Altfel, primeste amenda. MCSi va pastra aceste date timp de 5 ani de zile. Societatea romaneasca e dintr-o data sigura si fericita.

Dar inlocuiti in exemplul de mai sus ca in loc de OchiulVesel SRL este o redactie de presa care face o ancheta asupra MCSI sau SRI. Si redactia trebuie sa raporteze toate 'incidentele de securitate' fie care MCSI, fie catre SRI (daca intra in vaga lista de infrastructuri cibernetice de interes national - ICIN), inclusiv daca a avut un acces neautorizat la subiectul in lucru. Care poate contine si identitatea sursei..

Nu e mai bine sa ajutam si redactiile de presa. Chiar daca ele nu vor !?!