Preşedintele Klaus Iohannis a promulgat, marţi, legea privind securitatea şi apărarea cibernetică a României precum şi pentru modificarea şi completarea unor acte normative, informează Administraţia Prezidenţială.
Actul normativ prevede înfiinţarea Sistemului Naţional de Securitate Cibernetică în scopul organizării şi desfăşurării în mod unitar la nivel naţional a activităţilor specifice.
Actul normativ promulgat de către şeful statului are ca obiect de reglementare instituirea cadrului juridic şi instituţional referitor la organizarea şi desfăşurarea activităţilor din domeniile securitate cibernetică şi apărare cibernetică, a mecanismelor de cooperare şi a responsabilităţilor instituţiilor cu atribuţii în domeniile menţionate.
Pentru ca acest lucru să se facă în mod unitar la nivel naţional va fi înființat Sistemul Național de Securitate Cibernetică (SNSC) drept cadru general de cooperare care reuneşte autorităţile cu responsabilităţi şi capabilităţi în domeniile de aplicare a legii, în vederea coordonării acţiunilor la nivel naţional pentru asigurarea securităţii cibernetice.
Actul normativ are aplicabilitate în domeniul securităţii cibernetice pentru:
„a) reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat;
b) reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale;
c) reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute anterior la lit. a), precum şi de persoane fizice şi juridice care desfăşoară activităţi cu scop lucrativ şi nelucrativ de cercetare, dezvoltare, inovare şi producţie în domeniul tehnologia informaţiei şi a comunicaţiilor sau furnizează servicii publice ori de interes public, altele decât cele de la lit. b)”, mai indică sursa citată.
Persoanele care au în responsabilitate aceste reţele şi sisteme informatice au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC), de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului.
Dacă incidentele de securitate cibernetică nu pot fi comunicate complet în acest termen, acestea se transmit în cel mult 5 zile calendaristice de la notificarea iniţială, informaţiile putând fi completate şi ulterior cu cele care reies din investigaţiile realizate pe baza evenimentului.
Totodată, „furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, respectiv în maximum 5 zile de la data primirii solicitării, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali”.
Prin legea promulgată sunt stabilite şi sancţiuni în cazul nerespectării de către aceste persoane a obligaţiei de notificare a incidentelor de securitate cibernetică. Astfel, sunt prevăzute amenzi de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de şase luni limita maximă este de 200.000 lei.
„Pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei sancţiunea va fi cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de şase luni limita maximă a amenzii este de 3% din cifra de afaceri netă”, mai indică sursa menţionată.
Sesizată la CCR, dar fără câștig de cauză
Legea a fost sesizată la Curtea Constituţională de către USR şi Forţa Dreptei, însă CCR a decis că e constituţională.
Această sesizare avertiza că legea a fost adoptată în viteză de coaliţia PSD-PNL-UDMR, fără o dezbatere reală în societatea civilă şi în Parlament, şi încalcă grav dreptul la viaţă privată al românilor.
Proiectul de lege este unul contestat și de Asociația pentru Tehnologie și Internet (ApTI), care a avertizat că ar transforma furnizorii de servicii de securitate cibernetică în delatori profesioniști și ar permite acces sporit și discreționar către SRI ori MApN la problemele de securitate și la datele persoanelor private.
Magistrații CCR au susținut însă că datele nu vor putea fi stocate și accesate de autorități în lipsa unui mandat judecătoresc, astfel că nu există nicio amenințare la viața privată a cetățeanului.
„Simpla enumerare a ameninţărilor interne sau externe la adresa securităţii naţionale nu poate afecta, prin restrângere, drepturi sau libertăţi fundamentale. Legiuitorul nu modifică regimul juridic al ameninţărilor la adresa securităţii naţionale, nici nu suprimă garanţiile prevăzute în vederea asigurării respectării drepturilor şi libertăţilor fundamentale, ci doar actualizează sfera ameninţărilor la realităţile actuale ale societăţii, urmărind ca, prin reglementarea protecţiei oferite de mecanismele de securitate naţională să asigure, în final, funcţionarea statului român şi exercitarea neîngrădită a drepturilor şi libertăţilor fundamentale ale cetăţenilor”, a mai precizat CCR, în soluţia de respingere.