Serviciul Român de informații (SRI) va deveni autoritate competentă la nivel național în domeniul cyber intelligence și va avea rolul de a cunoaște, preveni și contracara atacurile care reprezintă amenințări la adresa securității naționale, potrivit unui proiect de lege scos în consultare publică.
Un nou proiect de lege privind securitatea cibernetică a fost pus în data de 4 noiembrie în dezbatere publică de Ministerul Digitalizării, condus de Sebastian Burduja (PNL).
Proiectul de lege vrea să reglementeze cadrul juridic și instituțional în domeniile de securitate și apărare cibernetică, precum și mecanismele de cooperare și responsabilitățile instituțiilor cu atribuții în domeniile menționate.
- VEZI AICI PROIECTUL DE LEGE ȘI EXPUNEREA DE MOTIVE
Amintim că în 2015 legea securității cibernetice a fost declarată neconstituțională, iar Curtea Constituțională a stipulat că Serviciul Român de Informații (SRI) nu ar trebui să fie autoritate națională în domeniul securității cibernetice.
În expunerea de motive la noul proiect de lege se spune că s-ar fi luat în considerare criticile formulate în 2015 de Curtea Constituțională și că adoptarea acestui act este jalon asumat în PNRR.
Ce rol va avea SRI în noul proiect de lege. Datele la care va avea acces
Noul proiect de lege prevede la art. 13 că Serviciul Român de Informații (SRI) este „autoritate competentă la nivel național în domeniul cyber intelligence, precum și pentru cunoașterea, analizarea, prevenirea și contracararea incidentelor și atacurilor cibernetice care reprezintă amenințări, riscuri și vulnerabilități la adresa securității naționale a României”.
SRI va putea interveni și pentru prevenirea și combaterea amenințărilor avansate de tip Advanced Persistent Threat (APT) din domeniul său de competență activitate și responsabilitate în cazul acelor sisteme IT care nu sunt apărate cibernetic de SIE, SIE, MApN, MAI, SPP și STS.
În situația existenței unor amenințări cibernetice la adresa rețelelor și sistemelor informatice prevăzute la art. 3 lit. b) și lit. c) (n.a aici este vorba inclusiv sisteme IT private), care ar aduce atingere securității naționale, SRI informează ANCOM (n.a Autoritatea de reglementare în comunicații) și DNSC (Directoratul Național de Securitate Cibernetică), în condițiile legii.
Care este diferența între cyber intelligence și securitate cibernetică
Proiectul de lege definește separat termenii de cyber intelligence (zona de acțiune a SRI) și securitate cibernetică, astfel:
- cyber intelligence: „activități de culegere, procesare, prelucrare analitică și valorificare a datelor și informațiilor privind acțiuni de natură a afecta interesele și obiectivele naționale de securitate pe linia tehnologiei informației și comunicațiilor, precum și identificarea, cunoașterea, prevenirea, apărarea și contracararea oricăror acțiuni din spațiul cibernetic care pot constitui riscuri, vulnerabilități și/sau amenințări la adresa securității naționale a României”;
- securitate cibernetică: „stare de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive prin care se asigură confidențialitatea, integritatea, disponibilitatea, autenticitatea și non-repudierea informațiilor în format electronic a resurselor și serviciilor publice sau private din spațiul cibernetic”;
DNSC va fi responsabil de spațiul național civil. Competența și responsabilitățile SRI sunt vag prevăzute
Autoritățile competente și responsabilitățile acestora în securitatea și apărarea cibernetică a României sunt prevăzute la articolul 10:
- a) Directoratul Național de Securitate Cibernetică, denumit în continuare DNSC, pentru spațiul cibernetic național civil, conform prevederilor prezentei legi și ale Ordonanței de urgență nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică, aprobată, cu modificări și completări, prin Legea nr. 11/2022;
- b) Ministerul Cercetării, Inovării și Digitalizării, denumit în continuare MCID, pentru elaborarea și inițierea actelor normative și politicilor publice naționale în domeniul securității cibernetice, a transformării digitale, societății informaționale, comunicațiilor, cercetării, dezvoltării și inovării.
- c) Autoritatea Națională pentru Administrare și Reglementare în Comunicații, denumită în continuare, ANCOM, pentru coordonarea activităților desfășurate în vederea asigurării securității cibernetice a rețelelor și sistemelor informatice proprii și a celor prevăzute la art. 3 alin (1) lit. b);
- d) Ministerul Apărării Naționale, Ministerul Afacerilor Interne, Oficiul Registrului Național al Informațiilor Secrete de Stat, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale și Serviciul de Protecție și Pază pentru asigurarea securității și apărării cibernetice, respectiv pentru cunoașterea, prevenirea și contracararea amenințărilor cibernetice la adresa rețelelor și sistemelor informatice din domeniul lor de competență, activitate sau responsabilitate. În acest sens, stabilesc structuri și măsuri tehnice și organizatorice privind coordonarea și controlul activităților de securitate și apărare cibernetică.
Incidentele de securitate vor fi raportate într-o platformă IT gestionată de DNSC, la care va avea acces și SRI
La articolul 19 din proiectul de lege se spune că Directorratul Național de Securitate Cibernetică (DNSC - cel care are rol de securitate pe domeniul civil) va gestiona o platformă de raportare a incidentelor de securitate, numită PNRISC.
Toate instituțiile prevăzute la artcolul 10, inclusiv SRI, vor avea „acces garantat” la această platformă.
În plus se mai prevede că „accesul la informațiile din PNRISC este restricționat prin politici de confidențialitate stabilite și implementate de DNSC”, fără alte detalii.
Toți privații care dețin rețele și sisteme IT, obligați să notifice incidentele de securitate în platforma gestionată de DNSC
Toate firmele private care au în responsabilitate rețele și sisteme informatice (inclusiv presa online) vor fi obligate să notifice incidentele de securitate cibernetică prin intermediul platformei IT gestionate de DNSC, potrivit art. 20 din proiect:
- „(1) Persoanele juridice care au în responsabilitate rețele și sisteme informatice prevăzute la art. 3 alin. (1) lit. b) și lit. c), au obligația de a notifica incidentele de securitate cibernetică prin intermediul PNRISC, de îndată dar nu mai târziu de 24 de ore de la constatarea incidentului.”
Articolul 3 din proiectul de lege stabilește ce rețele și sisteme IT vor fi reglementate de actul normativ, astfel:
Art. 3.
(1) În domeniul securității cibernetice prezenta lege are ca obiect stabilirea cadrului general de reglementare pentru:
- a) rețelele și sistemele informatice deținute, organizate, administrate, utilizate sau aflate în competența autorităților și instituțiilor publice din domeniul apărării, ordinii publice, securității naționale, justiției, situațiilor de urgență, Oficiului Registrului Național al Informațiilor Secrete de Stat.
- b) rețelele și sistemele informatice deținute de persoanele juridice de drept privat și utilizate în vederea furnizării de servicii de comunicații electronice către autoritățile și instituțiile administrației publice centrale și locale.
- c) rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale, altele decât cele prevăzute la lit. a), precum și de persoane juridice care desfășoară activități industriale, de cercetare științifică sau furnizează servicii publice ori de interes public, altele decât cele de la lit. b).
(2) În domeniul apărării cibernetice, prezenta lege are ca obiect stabilirea cadrului general de reglementare pentru rețelele și sistemele informatice specifice apărării naționale.
De ce a fost declarată neconstituțională în 2015 Legea securitatii cibernetice
Judecătorii Curții Consituționale au respins, în ianuarie 2015, Legea Securității Cibernetice, în ansamblul ei, decizie luată cu majoritate de voturi.
Curtea a constatat că legea nu excludea accesarea datelor personale și deschidea posibilitatea unor abuzuri din partea autorităților, că accesul se putea face fără mandat judecătoresc, lipsind garanția unei protecții a datelor împotriva riscurilor de abuz și încălcând astfel drepturile fundamentale la viața intimă, familială și privată și a secretului corespondenței.
CCR a mai decis că „SRI nu ar trebui să fie autoritatea națională în domeniul securității cibernetice, pe motiv că este structură militară cu activitate în domeniul informațiilor și că există riscul de a deturna scopul legii securității cibernetice în sensul folosirii atribuțiilor conferite prin această lege de către serviciile de informații în scopul obținerii de informații și date cu consecința încălcării drepturilor constituționale la viața intimă, familială și privată și la secretul corespondenței.”
- Pentru detalii citește: De ce a căzut Legea securității cibernetice. Motivarea Curții Constituționale
1
10
