Noul proiect al legii securitatii cibernetice va fi adoptat de Guvern si speram sa fie discutat in Parlament in regim de urgenta. Eu mi-as dori ca proiectul sa ajunga in Parlament undeva in luna aprilie, a declarat joi Marius Bostan, ministrul Comunicatiilor. Detinatorii de infrastructuri cibernetice vor avea obligatia 'sa nu permita accesul la datele de continut din infrastructurile detinute sau aflate in competenta, in lipsa unei instiintari scrise din partea autoritatilor abilitate, privind existenta unei autorizatii emise de judecator', potrivit acestui proiect scos in dezbatere publica in luna ianuarie. O lege similara a fost declarata neconstitutionala anul trecut, unul dintre motive fiind ca accesul la datele clientilor se putea face de catre SRI si alte autoritati fara mandat judecatoresc, lasand posibilitatea abuzurilor din partea autoritatilor.

Marius Bostan, ministrul ComunicatiilorFoto: AGERPRES

Declaratiile au fost facute in cadrul unei conferinte pe teme de securitate cibernetica organizata de Institutul Bancar Roman.

  • "Securitatea spatiului cibernetic depinde de toti actorii care participa la acest spatiu care nu mai are frontiere. Fiecare din noi avem o responsabilitate. Exista calculatoare detinute de persoane private care sunt infectate si utilizate pentru a initia atacuri fie impotriva unor sisteme informatice din Romania sau in afara. Noul proiect al legii securitatii cibernetice are doua mari obiective: sa responsabilizeze detinatorii de infrastructuri cibernetice care fac obiectul legii, sa ia masuri pentru protejarea datelor si de asemenea sa institutie un management al incidentelor de securitate ciberntica. Nu se transmit nici un fel de date cu privire la persoane. In noua lege s-au introdus articole explicite care precizeaza ca nici o autoritate nu are dreptul sa aiba accesul la date fara un mandat de la judecator. Se dau date despre incidente de securitate cibernetica", a declarat joi Florin Cosmoiu, directorul Centrului CyberInt din cadrul SRI, prezent la eveniment.
  • "Legea securitatii cibernetice e foarte importanta pentru protectia consumatorilor,  pentru prima oara sistemul financiar e definit ca infrastructura critica si activele clientilor vor fi protejate si cei care le administreaza vor fi responsabili legal", a declarat si Calin Rangu, presedintele Institutului de Studii Financiare.

Noul proiect de lege al securitatii cibernetice: Cum pot fi accesate datele clientilor de catre SRI si alte autoritati abilitate de lege

  • "Prezentul act normativ contribuie la asigurarea protejarii, in spatiul cibernetic, a dreptului cetatenilor la viata intima, familiala si privata, in special a datelor cu caracter personal gestionate de catre detinatorii de infrastructuri cibernetice. De asemenea, prevede ca si garantie a respectarii drepturilor si libertatilor persoanei faptul ca accesul la datele de continut din infrastructurile cibernetice ale detinatorilor prevazuti de lege se va realiza in baza unei autorizatii emise de judecator, in conditiile legii. Totodata, persoana care se considera vatamata intr-un drept al sau prin aplicarea acestei legi poate contesta masurile dispuse de autoritatea de control", se arata in expunerea de motive a noului proiect de lege privind securitatea cibernetica (n.a vezi atasat noul proiect al legii).

Mai exact, in proiectul de lege aflat in consultare publica se precizeaza:

Art. 20 - (1) Detinatorii de infrastructuri cibernetice prevazuti la art. 2 lit. a)-c) au urmatoarele obligatii:

(..)

d) sa nu permita accesul la datele de continut din infrastructurile cibernetice detinute sau aflate in competenta, in lipsa unei instiintari scrise din partea autoritatilor abilitate, privind existenta unei autorizatii emise de judecator, in conditiile legii".

  • Cine sunt detinatorii de infrastructuri cibernetice prevazuti la art. 2 lit. a)-c)

"Art. 2 - Prezenta lege se aplica:

a) autoritatilor si institutiilor publice, persoanelor juridice detinatoare de infrstructuri cibernetice care sustin servicii publice sau de interes public, ori servicii ale societatii informationale, a caror afectare aduce atingere securitatii nationale sau prejudicii grave statului roman ori cetatenilor acestuia;

b)persoanelor juridice, detinatoare de infrstructuri cibernetice care prelucreaza date cu caracter personal;

c) furnizorilor de retele publice de comunicatii electronice si furnizorilor de servicii de comunicatii electronice destinate publicului;"

  • De subliniat ca, prezenta lege extinde aria detinatorilor de infrastructuri cibernetice carora li se aplica noile prevederi. Astfel, la Art. 2, unde se mentioneaza cui se aplica legea mai sunt doua litere:

d) furnizorilor de servicii de gazduire internet;

e) furnizorilor de servicii de securitate cibernetica;

Legea trebuie vazuta in ansamblul ei, si in acest sens trebuie mentionat ca proiectul de lege are articole speciale dedicate obligatiilor furnizorilor de servicii de gazduire de internet (unde se mentioneaza clar ca accesarea datelor se face in baza unui ordin judecatoresc) si furnizorilor de servicii de securitate cibernetica.

Astfel, la Art. 23 sunt urmatoarele prevederi:

  • (1) furnizorii de servicii de gazduire de internet care desfasoara activitati pe teritoriul Romaniei au obligatia sa acorde sprijin autoritatilor competente, respectiv organelor de urmarire penala, pentru punerea in aplicare, potrivit legii, a oricarui act de autorizare a restrangerii temporare a exercitiului drepturilor si libertatilor persoanelor, emis de judecator.
  • (2) furnizorii de servicii de gazduire internet au obligatia de a inregistra si stoca date de jurnalizare a activitatilor din sistemele informatice detinute care fac obiectul actului de autorizare de la alin. (1), pe toata perioada de valabilitate a acestuia.
  • (3) Persoanele care sunt chemate sa acorde sprijin tehnic la punerea in executare a actelor de autorizare, precum si persoanele care iau cunostinta despre acestea au obligatia sa pastreze secretul operatiunii efectuate, sub sanctiunea legii penale".

Definirea unor termeni: Ce inseamna infrastructura cibernetica, cine este detinator de infrastructura cibernetica sau furnizor de servicii de gazduire internet

Noul proiect de lege are urmatoarele definitii:

  • infrastructuri cibernetice - infrastructuri de tehnologia informatiei, constand in sisteme informatice, aplicatii, aferente, retele de comunicatii electronice;
  • Infrastructuri cibernetice de interes national - infratsructuri cibernetice detinute de persoane juridice de drept privat, care sustin servicii publice sau de interes public ori servicii ale societatii informationale, sau structuri cibernetice detinute de autoritati si institutii publice, a caror afectare aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia;
  • detinatori de infrastructuri cibernetice - persoane juridice de drept public sau privat care au calitatea de proprietari, administratori sau operatori de infrastructuri cibernetice;
  • furnizori de servicii de gazduire internet - orice persoana juridica ce desfasoara activitati pe teritoriul Romaniei, care pune la dispozitie infrastructuri cibernetice, fizice sau virtuale, pentru derularea de activitati si servicii ale societatii informationale;
  • furnizor de servicii de securitate cibernetica - orice persoana juridica ce realizeaza, in vederea protejarii infrastructurilor cibernetice, cel putin una dintre urmatoarele activitati: implementare de politici, proceduri si masuri, auditare, evaluare, testare a masurilor implementate, management al incidentelor de securitate;

Curtea Constitutionala nu a fost de acord ca SRI sa fie autoritatea nationala in domeniul securitatii cibernetice/Ce atributii are acum SRI

In legea pe care a respins-o la inceputul anului trecut, Curtea Constitutionala a fost impotriva faptului ca SRI sa fie autoritate nationala in domeniul securitatii cibernetice si sa coordoneze practic printr-o structura militarizata aflata in subordine, respectiv prin Centrul National de Securitate Cibernetica (CNSC) toatele datele colectate.

Iata ce spunea cu privire la SRI Curtea Constitutionala in legea respinsa anterior:

  • "In analiza Curtii, optiunea pentru desemnarea in calitate de autoritate nationala in domeniul securitatii cibernetice a unui organism civil, iar nu a unei entitati militare cu activitate in domeniul informatiilor, se justifica prin necesitatea preintampinarii riscului de a de turna scopul legii securitatii cibernetice in sensul folosirii atributiilor conferite prin aceasta lege de catre serviciile de informatii in scopul obtinerii de informatii si date cu consecinta incalcarii drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei. Or, tocmai acest lucru nu evita legea supusa controlului de constitutionalitate prin desemnarea SRI si a structurii sale militarizate CNSC.
  • Astfel, examinand atributiile stabilite de actul normativ supus controlului, apare cu evidenta intentia legiuitorului de a stabili in competenta CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, atat din mediul public, cat si din cel privat. Or, in conditiile in care Centrul National de Securitate Cibernetica constituie o structura militara, in cadrul unui serviciu de informatii, subordonata ierarhic conducerii acestei institutii, deci sub un control direct militar- administrativ, apare cu evidenta ca o atare entitate nu indeplineste conditiile cu privire la garantiile necesare respectarii drepturilor fundamentale referitoare la viata intima, familiala si privata si la secretul corespondentei".

Iata ce spunea in vechea lege unul dintre articolule referitoare la SRI:

  • Art. 10 - (1) Serviciul Roman de Informatii este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC (n.a Consiliul Operativ de Securitate Cibernetica), precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica, denumit in continuare CNSC".

COSC a ramas si in noua lege si este format din consilierul prezidential pentru probleme de securitate nationala, consilierul Primului-Ministru pe probleme de securitate nationala, Secretarul CSAT precum si reprezentanti ai MAPN, MAI, MAE, MSI, SRI, SIE, STS, SPP si ORNSS.

Ca si in vechea lege declarata neconstitutionala, coordonarea tehnica a activitatilor COSC este asigurata de SRI (vezi articolul 6 din proiectul de lege).

In acelasi timp, la art. 9 din proiectul de lege se precizeaza ca "SRI, prin CNSC, este desemnat autoritate competenta pentru coordonarea activitatilor in domeniul securitatii cibernetice organizate si desfasurate la nivelul infrastructurilor cibernetice de interes national, cu exceptia infrastructurilor cibernetice de interes national aflate in admisnitrarea sau responsabilitatea celorlalte autoritati prevazute la literele d) si e).

Litera d) stabileste ca ANCOM (autoritatea de reglemengare in comunicatii) este desemnata autoritate competenta pentru coordonarea activitatilor in domeniul securitatii cibernetice a furnizorilor de retele publice de comunicatii electronice sau furnizorilor de servicii de comunicatii electronice destinate publicului".

La litera e) se mentioneaza: Ministerul Apararii Nationale, Ministerul Afacerilor Interne, Oficiul Registrului National al Informatiilor Secrete de Stat, ANCOM, SRI, SIE, STS si SPP sunt autoritati responsabile de securitate cibernetica cu rol in stabilirea de structuri si implementarea de masuri proprii privind coordonarea si controlul activitatilor referitoare la asigurarea securitatii cibernetice pentru infrastructurile cibernetice, inclusiv infrastructurile cibernetice de interes national, aflate in domeniul lor de activitate si responsabilitate.

Spre deosebire de vechea lege, in noul proiect, Ministerului pentru Societatea Informationala (MSI) i se confera rolul de autoritate de reglementare si control al implementarii masurilor referitoare la asigurarea securitatii cibernetice.

Pentru a vedea ce comentarii si intrebari s-au ridicat pe marginea acestui nou proiect vezi minutele a doua dezbateri publice organizate de Ministerul Comunicatiilor aici si aici.