Ca o glumă proastă: după ce a stârnit o superisterie în tot publicul spectator-cititor, Legea Big Brother a trecut, în cele din urmă, cu modificări, de CCR, iar acum aflăm că, de fapt, nu conţine ce trebuie (zice SRI), că e doar un cadru legal (zice SRI) şi că nu are oricum sens (zice un ministru) pentru că va fi înlocuită de Directiva europeană NIS - Networking Information Security. Şi atunci, pentru ce atâta sfadă? Ca să o luăm de la capăt când îşi va umfla muşchii Directiva NIS, asta dacă va mai avea cineva nervi să o citească? Sau poate se mai schimbă, tot pe principiul „muşchi umflaţi”, vreun premier?

O introducere mai lungă

După ce a inflamat spaţiul public şi a stârnit nenumărate comentarii, Legea Securităţii Cibernetice a intrat într-un con de umbră. A ieşit în luminile rampei când a fost declarată neconstituţională de Curtea Constituţională a României (CCR). În 2015, CCR își motiva decizia prin faptul că legea cu pricina încalcă prevederile constituționale privind statul de drept și principiul legalității, precum și pe cele privind viața intimă, familială și privată, respectiv secretul corespondenței.

S-a retras din nou în laboratoarele legislative şi a scos capul la lumină în octombrie anul trecut, când CCR a respins excepţiile de neconstituţionalitate care reglementează prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Numită popular Big Brother, Legea privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice a fost promulgată de preşedintele Iohannis pe 9 octombrie 2015, după ce pe 23 septembrie fusese adoptată de Camera Deputaţilor.

Proiectul de lege prevede că datele de trafic referitoare la abonaţi şi utilizatori, prelucrate şi stocate de către furnizorul unei reţele publice de comunicaţii electronice sau de către furnizorul unui serviciu de comunicaţii electronice, vor fi şterse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de trei ani de la data efectuării comunicării. Accesarea datelor se va putea face într-un cadru precis delimitat, de către instanţa de judecată sau cu autorizarea prealabilă a judecătorului. Legea mai stabileşte că, atunci când sunt transmise în format electronic, solicitările şi răspunsurile se semnează cu semnătură electronică extinsă, bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat, pentru asigurarea integrităţii datelor.

Cea mai importantă şi contestată prevedere stabileşte că, la solicitarea instanţelor de judecată sau la solicitarea organelor de urmărire penală ori a organelor de stat cu atribuţii în domeniul apărării şi al securităţii naţionale, cu autorizarea prealabilă a judecătorului stabilit potrivit legii, furnizorii de reţele publice de comunicaţii de reţele electronice destinate publicului pun la dispoziţia acestora, de îndată, dar nu mai târziu de 48 de ore, datele de trafic, datele de identificare a echipamentului şi datele de localizare, în conformitate cu prevederile referitoare la protecţia informaţiilor cu caracter personal.

În ciuda întregii isterii din spaţiul public, Augustin Jianu, la acea vreme ministru al Comunicațiilor, preciza pentru Agerpres că: „Legea securității cibernetice nu este printre prioritățile mele. Există o directivă europeană, așa-zisa NIS - Networking Information Security, Directiva 1148/2016 adoptată în Parlament în vara anului trecut (2015 – n.r.). Documentul spune, în linii mari, următoarele: companiile care furnizează servicii esențiale către populație, și aici ne referim la Energie, Transporturi, Utilități, sistemul bancar, sistemul piețelor financiare, trebuie să minimeze riscurile, trebuie să ia niște măsuri interne manageriale și de natură tehnică, astfel încât să diminueze riscul cibernetic. Practic, în planul de afaceri pe care companiile îl vor avea, pe lângă celelalte categorii de riscuri care sunt acoperite prin costuri specifice, cum ar fi riscul de incendiu, trebuie să ia în calcul și riscurile cibernetice. Dacă nu se conformează solicitărilor pe care Parlamentul European și Consiliul European le-au pus în Directivă, atunci riscă o amendă proporțională cu cifra de afaceri anuală”, a explicat Jianu. Acesta a subliniat, totodată, că „nu vede sensul unei Legi a securității cibernetice, din moment ce Directiva NIS are ca scop exact buna funcționare a pieței unice digitale”.

Prezentul defectuos al legii, subliniat de SRI

După această lungă introducere, ajungem în prezent, unde Anton Rog, șeful Centrului Național Cyberint din cadrul Serviciului Român de Informații (SRI), a subliniat, în cadrul unei conferinţe de specialitate („Cum ne protejăm de criminalitatea cibernetică?”), una dintre marile hibe ale celebrei legi. România nu are legislație care să oblige instituțiile și companiile să raporteze incidentele cibernetice! „Această situație (a raportărilor în urma atacurilor cibernetice - n.r.) nu o are nimeni în România dintr-un singur motiv: nu există legislația în România care obligă raportarea unor astfel de incidente. Practic, au raportat doar cei care au dorit. Din zona companiilor publice sau private și din ce a apărut în presă. Vorbim, deci, despre lipsa obligativității la nivel legislativ pentru raportarea incidentelor de tip cibernetic”, a spus Rog. Şi atunci, din acest punct de vedere, fostul ministru are dreptate. De ce atâta isterie în spaţiul public pentru o lege la care, în fapt, mai este de lucrat, care nu şi-a atins scopul şi care urmează să fie înlocuită de o directivă europeană.

Conform specialiștilor în domeniu, lucrurile vor evolua din acest punct de vedere, la ora actuală fiind în dezbatere Directiva NIS la nivelul UE.

Capra şi varza legislativă, „împăcate“ tot de SRI

Tot în 2016, Florin Cosmoiu, director în cadrul Centrului Național Cyberint, încerca să „împace” şi capra, şi varza. Este nevoie de o Lege a Securităţii Cibernetice pentru a asigura cadrul de transpunere al Directivei NIS. „O lege a securității cibernetice este un pas obligatoriu, pentru că în august, la nivelul Uniunii Europene, se va adopta Directiva NIS. Deci acest proiect al securității cibernetice va deveni modalitatea de transpunere a Directivei NIS la nivel național. Important este să realizăm această legislație națională pentru a crea obligativitatea deținătorilor de diverse infrastructuri în a-și lua măsurile necesare de protejare a infrastructurilor cibernetice. Vorbim atunci când o infrastructură suferă un atac cibernetic, iar deținătorul de infrastructură are obligativitatea de a informa instituțiile abilitate despre respectivul atac”, a declarat el la Conferința Națională de Cybersecurity de anul trecut. Cu toate acestea, potrivit lui Anton Rog, în legea cu pricina nu se regăseşte obligativitatea informării instituţiilor în ce priveşte un atac cibernetic.