Raportarea incidentelor majore de securitate trebuie să se facă de către o singură instituție civilă cu competențe tehnice reale, respectiv Centrul de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) și doar pentru incidente majore, consideră reprezentanții Asociației pentru Tehnologie și Internet (ApTI), care au prezentat pe 12 februarie punctul lor de vedere în cadrul unei dezbateri pe marginea Legii securității cibernetice, organizată la sediul Ministerului Comunicațiilor și pentru Societatea Informațională (MCSI), precizează oficialii firmei, citați de Agerpres. Textul actual al legii nominalizează 12 instituții cu diverse atribuții cu obligația reciprocă de comunicare a datelor între ele. Conform articolului 9, alineatul 4, pe listă se regăsesc: Ministerul Apărării Naționale, Ministerul Afacerilor Interne, Oficiul Registrului Național al Informațiilor Secrete de Stat, Autoritatea Națională pentru Administrare și Reglementare în Comunicații, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale și Serviciul de Protecție și Pază.
"Raportarea incidentelor de securitate se va face doar către o singură instituție civilă cu competențe tehnice reale (CERT RO) și doar pentru incidente majore", menționează Asociația.
Potrivit ApTI, proiectul de lege include o serie de obligații pentru deținătorii de infrastructuri cibernetice, ce pot fi contractate către "furnizori de servicii de securitate".
"Proiectul este foarte ambiguu cu privire la acești furnizori. În schimb în art. 22 alin. (3) [9] se ascunde o obligație de înregistrare și creare a unui Registru al Furnizorilor de Audit de Securitate Cibernetică, în condițiile unui simplu ordin de ministru. Dacă acești furnizori au un rol important în această lege, rolul lor trebuie precizat clar într-un capitol special. Dacă se cere înregistrarea furnizorilor de servicii de securitate cibernetică pentru a realiza audit, aceste norme trebuie stabilite de lege, și nu prin legislație secundară", se notează în documentul prezentat de ApTI.
Semnatarii documentului consideră că "în ciuda principiilor (art. 4 lit. e) [2], sectorul privat este tratat în textul propus ca un simplu raportor de incidente de securitate".
"Mai mult, furnizorii de servicii de securitate cibernetică sunt obligați să devină niște delatori, având obligația să notifice SRI de posibile amenințări informatice, dar nu au aceeași obligație față de propriul client (art. 20 alin. (1) [3]. La ora actuală sectorul privat are cea mai mare competență în domeniul securității informatice, el trebuie să fie implicat activ în domeniul securității cibernetice (de ex. să fie reprezentat în organele de conducere ale CERT-RO), dar în același timp respectându-se de stat obligațiile sale de confidențialitate față de clienții săi sau datele personale colectate de la persoanele fizice (de ex. un furnizor de servicii de securitate nu ar trebui să poată să trimită o notificare fără acceptul scris al clientului său)", precizează ApTI.
Ministerul Comunicațiilor și pentru Societatea Informațională (MCSI) a lansat, la finele lunii ianuarie, în dezbatere publică, pe propria pagină de Internet, un nou proiect de Lege privind Securitatea Cibernetică a României. Proiectul a fost întocmit fiind luate în considerare criticile aduse prin Decizia nr. 17/2015 a Curții Constituționale a României (CCR) asupra obiecției de neconstituționalitate a dispozițiilor Legii privind Securitatea Cibernetică a României.
Noul actul normativ se adresează autorităților și instituțiilor publice, persoanelor juridice deținătoare de infrastructuri cibernetice care susțin servicii publice sau de interes public, ori servicii ale societății informaționale, a căror afectare aduce atingere securității naționale sau prejudicii grave statului român sau cetățenilor acestuia. De asemenea, legea se aplică: persoanelor juridice, deținătoare de infrastructuri cibernetice care prelucrează date cu caracter personal, furnizorilor de rețele publice de comunicații electronice, furnizorilor de servicii de comunicații electronice destinate publicului, furnizorilor de servicii găzduire Internet și furnizorilor de servicii de securitate cibernetică.
În plus, în cadrul proiectului se menționează că furnizorii de servicii de găzduire de internet care desfășoară activități pe teritoriul României au obligația de a-și notifica utilizatorii și abonații deîndată ce au fost sesizați de autoritatea competentă, dar nu mai târziu de 24 de ore din momentul în care au fost sesizați de autoritățile competente potrivit prezentei legi, cu privire la situațiile în care sistemele informatice utilizate de aceștia au fost implicate în atacuri cibernetice și de a recomanda măsurile necesare în vederea restabilirii condițiilor normale de funcționare. Mai mult, aceeași furnizori trebuie să acorde sprijin autorităților competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a oricărui act de autorizare a restrângerii temporare a exercițiului drepturilor și libertăților persoanelor, emis de către judecător.
Articolul 25 din prezentul proiect de Lege prevede, de asemenea, că "autoritățile competente au obligația de a stoca și păstra pe un termen de 5 ani notificările primite cu privire la incidentele de securitate cibernetică și atacurile cibernetice".
Normele metodologice de aplicare a prezentei legi se elaborează de Ministerul Comunicațiilor și pentru Societatea Informațională (MCSI) și se supun aprobării Guvernului în termen de 90 de zile de la publicarea acesteia în Monitorul Oficial al României, Partea I.
Curtea Constituțională a României (CCR) a anunțat, în 27 ianuarie 2015, că Legea privind securitatea cibernetică încalcă prevederile constituționale privind statul de drept și principiul legalității, precum și cele privind viața intimă, familială și privată, respectiv secretul corespondenței. Motivul invocat de către CCR este faptul că autoritatea națională în domeniul securității cibernetice ar trebui să fie un organism civil, pentru a garanta aceste drepturi, și nu Centrul Național de Securitate Cibernetică (CNSC), care funcționează deja în cadrul SRI, cu personal militar.
