Mai multe ONG-uri si-au exprimat joi dezamagirea fata de nerespectarea angajamentelor luate de Ministerul Comunicatiilor si de Ministerul pentru Consultare Publica si Dialog Civic, in cadrul primei sesiuni de dezbateri publice privind noul proiect de lege a securitatii cibernetice. Cele doua ministere au promis ca vor publica minuta primei dezbateri, publicarea textului refacut al propunerii de lege, dupa analizarea tuturor punctelor de vedere transmise in scris sau verbal si motivarea opiniilor respinse. Mai mult, Ministerul Comunicatiilor organizeaza vineri inca o sesiune de dezbateri, iar Ministerul pentru Dialog Civic le-a raspuns ONG-urilor ca nu va fi prezent la aceasta dezbatere, a carei organizare fara publicarea minutei primei dezbateri respectiv motivarea opiniilor respinse reprezinta in totalite decizia Ministerului Comunicatiilor.

Marius Bostan, ministrul ComunicatiilorFoto: AGERPRES
  • UPDATE Ministerul Comunicatiilor a afisat joi, dupa publicarea articolului HotNews.ro, minuta dezbaterii publice (vezi doc atasat) din data de 12 februarie 2016 si propunerile trimise de participantii la dezbateri, in anexele atasate minutei.
  • Redam mai jos integral scrisoarea publicata joi de Asociatia pentru Tehnologie si Internet (APTI), unul dintre ONG-urile semnatare:

"In urma anuntului de pe site-ul Ministerului pentru Comunicatii si pentru Societatea Informationala cu privire la organizarea celei de-a doua sesiuni de dezbateri cu privire la legea securitatii cibernetice in data de 19 februarie 2016, dorim sa ne exprimam dezamagirea fata de nerespectarea termenilor angajamentelor luate de catre cele doua ministere in timpul primei dezbateri din 12 februarie 2016. Mai exact, au fost promisede catre organizatori:

  • publicarea minutei primei dezbateri;
  • publicarea textului refacut al propunerii de lege, dupa analizarea tuturor punctelor de vedere transmise in scris sau verbal;
  • motivarea opiniilor respinse.

Aceasta a doua runda de dezbateri, pe care am sugerat-o in vederea discutarii punctuale a articolelor din propunerea de lege, este inutila pe acelasi text, in conditiile in care nici macar minuta primei intalniri nu a fost publicata sau comunicata participantilor sau publicului larg interesat de dezbatere. Mai mult, documentul explicativ in ceea ce priveste includerea sau respingerea motivata a comentariilor ridicate nu exista, iar textul de lege propus este identic.

De asemenea, am sublinia faptul ca este insuficienta simpla publicare a anuntului pe site-ul ministerului, si mai ales neinformarea directa a celor care au participat prima data sau au trimis deja opinii MCSI - mai ales daca se doreste primirea de opinii din afara Bucurestiului.

In acesta situatie consideram ineficienta reluarea discutiilor de la prima dezbatere, intrucat o noua dezbatere identica cu prima nu face decat sa stagneze discutiile si amana gasirea unor solutii de fond cu privire la continutul defectuos al textului, care in continuare incalca decizia Curtii Constitutionale a Romaniei nr. 17 din 2015 in numeroase puncte.

In concluzie solicitam publicarea minutei impreuna cu toate comentariile scrise sau adresate verbal, corectarea propunerii de lege dupa analizarea tuturor observatiilor supuse atentiei in cadrul perioadei de consultare publica, motivarea tuturor punctelor care nu au fost luate in considerare in noua varianta de text a propunerii si organizarea celei de-a doua dezbateri dupa ce aceste documente au fost puse la dispozitia publicului pentru cel putin 30 de zile, conform art. 6 alin. 2 din Legea 52/2003 privind transparenta decizionala.

Semnatari

  • Asociatia pentru Tehnologie si Internet - ApTIActiveWatch
  • Asociatia Pentru Apararea Drepturilor Omului in Romania - Comitetul Helsinki (APADOR-CH)
  • Centrul pentru Inovare Publica
  • Asociatia Militia Spirituala
  • Alex Lungu - copy-me.org
  • Lucian Rotaru

Update 18 februarie 2016 ora 16:00: Am primit intre timp raspunsul Ministerului pentru Consultare Publica si Dialog Civic, pe care il redam in integralitate dupa lista de semnatari. Va incurajam sa sustineti scrisorile deschise publicate prin trimiterea unui comentariu pe site. Prima scrisoare este disponibila aici, iar a doua aici.

Raspunsul Ministerului pentru Consultare Publica si Dialog Social:

'Buna ziua,

In legatura cu cea de a doua scrisoare deschisa formulata de catre organizatiile dumneavoastra in data 18 februarie 2016 si adresata Ministerului Comunicatiilor si pentru Societatea Informationala si Ministerul pentru Consultare Publica si Dialog Civic, permiteti-mi sa va informez asupra urmatoarelor:

Organizarea vineri, 19 februarie 2016, a unei a doua consultari publice, fara publicarea minutei primei dezbateri respectiv motivarea opiniilor respinse reprezinta in totalite decizia MCSI. De altfel, aspect comunicat de noi catre MCSI, Ministerul pentru Consultare Publica si Dialog Civic nu va fi prezent la a doua sesiune de dezbateri cu privire la Legea Securitatii Cibernetice, prevazuta pentru vineri, 19 februarie 2016.

Din informatiile pe care le avem, MCSI va publica, in cel mai scurt timp, minuta privind dezbaterea din data de 12 februarie, respectiv toate propunerile primite, recomandarea noastra fiind de a motiva opiniile respinse, aspect ce va fi dus la indeplinire in perioada urmatoare.

Va multumesc inca o data pentru semnalizarea acestor aspecte si va asigur de intreaga mea consideratie.

Violeta Alexandru

Ministru

Ministerul pentru Consultare Publica si Dialog Civic'

Context

In urma invalidarii de catre Curtea Constitutionala a legii securitatii cibernetice conform deciziei nr. 17 din 2015, o noua propunere de lege privind securitatea cibernetica a fost publicata pe site-ul Ministerului pentru Comunicatii si pentru Societatea Informationala in data de 27 ianuarie 2016.

Ca urmare a mai multor solicitari din partea societatii civile a unei dezbateri publice, aceasta a fost organizata in data de 12 februarie 2016 de catre Ministerul Comunicatiilor si pentru Societatea Informationala (MCSI) in parteneriat cu Ministerul pentru Consultare Publica si Dialog Civic (MCPDC). Inregistrarea video facuta de APADOR-CH este disponibila aici, iar un scurt moment aici.

Anterior organizarii primei dezbateri, pe fondul problemei, a fost supuse discutiei cinci principii majore dupa care propunerea de lege ar trebui sa se ghideze. Principiile sunt explicate in prima scrisoare deschisa care poate fi in continuare sustinuta si semnata de orice persoana fizica sau juridica"

  • De ce sustine Ministerul Comunicatiilor noul proiect de lege privind securitatea cibernetica:

UPDATEMinisterul Comunicatiilor a afisat joi, dupa publicarea articolului HotNews.ro, minuta dezbaterii publice (vezi doc atasat) din data de 12 februarie 2016 si propunerile trimise de participantii la dezbateri, in anexele atasate minutei.

  • In comunicatul publicat joi seara pe site, Ministerul sustine urmatoarele:

"Riscurile pentru Romania se incadreaza in peisajul general al amenintarilor cibernetice la adresa Europei, iar in peisajul globalizat nu exista zone ferite de aceasta amenintare. Singura diferenta consta in nivelul diferit de risc, mai crescut in Romania comparativ cu alte zone europene. Mai mult, se constata ca nivelul de risc este in continua crestere si potentialul distructiv in planul fizic se contureaza tot mai clar, in contextul in care in vecinatatea Romaniei deja au avut loc atacuri cibernetice majore.

Conform unui raport CERT-RO, numai in cursul anului trecut au fost generate mai mult 68 de milioane de alerte cibernetice, care au implicat 2,3 milioane de adrese IP. Circa 78 la suta din alerte se refera la sisteme vulnerabile, 21 la suta au fost infectate si 17 mii din domeniile '.ro' au fost compromise.

Ca urmare, este absolut obligatorie intarirea apararii cibernetice precum si securizarea spatiului cibernetic national atat cu privire la amenintarile externe, cat si la cele realizate prin echipamente compromise in interiorul tarii, iar legea securitatii cibernetice este una din masurile ce trebuie luate de urgenta pentru realizarea acestui scop. In contextul provocarilor regionale, este absolut obligatorie definirea, ca si in cazul unui atac sau agresiune din planul fizic, a atacatorilor, respectiv a aliatilor.

Pentru o mai buna intelegere a legii cat si pentru a clarifica anumite temeri in legatura cu acest proiect, precizam ca numai detinatorii de infrastructuri cibernetice care fac obiectul acesteia, vor avea obligatiile de implementare a cerintelor minime de securitate cibernetica -si acestea diferentiate in functie de infrastructura detinuta-, notificarea incidentelor de securitate cibernetica si de gestionare a acestora. In cadrul acestor activitati, detinatorii de structuri cibernetice trebuie sa asigure protectia datelor cu carcater personal. In proiectul de lege este prevazuta expres obligatia de a nu permite accesul la datele de continut in absenta unui mandat emis de judecator, in conditiile legii.

Mentionam ca actul normativ vizeaza introducerea de masuri de protejare a securitatii cibernetice numai la categoriile de persoane juridice enumerate in art. 2, din proiectul de lege:

'- autoritatilor si institutiilor publice, persoanelor juridice detinatoare de infrastructuri cibernetice care sustin servicii publice sau de interes public, ori servicii ale societatii informationale, a caror afectare aduce atingere securitatii nationale sau prejudicii grave statului roman ori cetatenilor acestuia;

- persoanelor juridice, detinatoare de infrastructuri cibernetice care prelucreaza date cu caracter personal;

- furnizorilor de retele publice de comunicatii electronice si furnizorilor de servicii de comunicatii electronice destinate publicului'

Proiectul de lege aflat in dezbatere nu expune suplimentar utilizatorii onesti de sisteme cibernetice, sisteme de calcul, portabile, telefoane mobile, mini si micro gadgeturi. Ba chiar putem spune ca ii protejeaza de posibile abuzuri, prin stipularea clara a conditiilor si modalitatilor de abordare in cazul sistemelor compromise (cum, cine, in ce conditii, mandat judecatoresc etc).

Acest proiect de lege prezinta avantaje certe pentru utilizatorii de sisteme informatice si infrastructuri cibernetice, prin rezolvarea necesitatii de reglementare a cadrului institutional si legal de actiuni, ce defineste in mod clar actorii si responsabilitatile pe care acestia le au. Astfel, pentru atingerea obiectivelor strategice privind securitatea cibernetica nationala proiectul de lege aduce, suplimentar legislatiei existente, o responsabilizare clara a furnizorilor de servicii care prelucreaza date cu caracter personal, precum si furnizorilor de servicii de comunicatii si servicii electronice, in sensul asigurarii infrastructurilor cibernetice pe care le detin, le administreaza sau le opereaza. De asemenea, proiectul de lege formalizeaza si promoveaza schimbul de informatii privind securitatea cibernetica intre furnizorii de servicii, beneficiarii acestor servicii si institutiile publice.

In mod cert, proiectul de lege nu este perfect, dar acesta va fi imbunatatit cu ajutorul sugestiilor venite din partea societatii civile, a organizatiilor non-guvernamentale si a cetatenilor care isi doresc o lege a Securitatii Cibernetice mai bune, mai aplicabila dar care sa vina in sprijinul cetatenilor fara a impieta asupra intimitatii lor si a drepturilor cetatenesti. Interventia statului impotriva furtului, spionajului si atacurilor cibernetice este legitima si obligatorie.

Ministerul Comunicatiilor si pentru Societatea Informationala va tine cont de toate opiniile pertinente si relevante venite din partea tuturor celor interesati, deoarece scopul este acela de a face aceasta lege cat mai buna, in asa fel incat sa garanteze protejarea drepturilor si libertatilor fundamentale ale cetatenilor, in spatiul cibernetic."

  • Despre noul proiect de lege privind securitatea cibernetica

Detinatorii de infrastructuri cibernetice vor avea obligatia 'sa nu permita accesul la datele de continut din infrastructurile detinute sau aflate in competenta, in lipsa unei instiintari scrise din partea autoritatilor abilitate, privind existenta unei autorizatii emise de judecator, in conditiile legii', se arata intr-un nou proiect de lege privind securitatea cibernetica a Romaniei, supus dezbaterii publice pe site-ul Ministerului Comunicatiilor. Amintim ca o lege similara a fost declarata neconstitutionala in luna ianuarie a anului trecut, unul dintre motive fiind ca accesul la datele clientilor se putea face de catre SRI si alte autoritati fara mandat judecatoresc, lasand posibilitatea abuzurilor din partea autoritatilor.