Legea securității cibernetice

Acest articol face parte din seria de articole “FreeEx 2022 - 2023 // Controlul și cenzura comunicațiilor digitale”.

Ministerul Cercetării, Inovării și Digitalizării a inițiat la începutul lunii noiembrie 2022 un proiect de lege privind securitatea și apărarea cibernetică a României. Acesta face parte din pachetul neoficial de legi ale securității naționale, fiind aproape identic cu cel prezentat de G4Media la începutul verii. Versiunea adoptată de Guvern a fost modificată față de cea care s-a aflat în dezbatere publică, fiind mai dură (s-a introdus un capitol întreg de sancțiuni - cu amenzi până la 10% din cifra de afaceri) și mai extinsă (alineatul cu propaganda și dezinformarea a fost inclus în lege abia la momentul adoptării de către Guvern).

Ulterior, proiectul de lege a fost adoptat de Parlament, în decembrie 2022, trecând prin ambele camere în numai nouă zile. CCR s-a pronunțat asupra constituționalității proiectului de lege în 28 februarie 2023, în urma formulării unor plângeri de neconstituționalitate, de către Avocatul Poporului și, respectiv, USR și Forța Dreptei.

Conform legii privind securitatea și apărarea cibernetică, urmează să se înființeze Sistemul Național de Securitate Cibernetică (SNSC), care se va afla sub managementul Consiliului Operativ de Securitate Cibernetică (COSC). SNSC este un cadru pentru cooperarea dintre 12 instituții: CSAT, MCID, DNSC, ANCOM, MApN, MAI, MAE, ORNISS, SRI, SIE, STS și SPP. COSC este un organ consultativ, președintele fiind consilierul prezidențial pentru probleme de securitate națională. SRI are în responsabilitate secretariatul tehnic.

Atât Asociația pentru Tehnologie și Internet (ApTI), cât și APADOR-CH au criticat unele dintre prevederile legii, critică la care s-au raliat mai multe organizații. Organizațiile neguvernamentale au afirmat că noua lege va extinde în mod nejustificat responsabilitățile de protejare a securității cibernetice către categorii largi de companii și persoane. Serviciile ar avea posibilitatea să restrângă arbitrar și, deci, potențial abuziv, drepturi fundamentale, cum ar fi drepturile la viață privată și la libertatea de exprimare.

Conform noii legi, persoanele fizice și juridice care furnizează servicii publice ori de interes public au obligația de a raporta incidentele de securitate cibernetică, în maximum 48 de ore de la producerea acestora, prin Platforma Națională pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC), unde au acces 11 instituții dintre cele precizate mai sus. Conform ApTI, aceasta excede cadrului juridic european. Practic, orice furnizor de internet şi deținătorul oricărei reţele sau sistem informatice din mediul privat, considerate de interes public, deci potențial orice instituție de presă, ONG sau entitate privată care furnizează servicii publice ori de interes public, ar putea cădea sub incidența legii. Termenii folosiți nu sunt definiți în lege (în ciuda observațiilor formulate în acest sens de mai multe organizații), astfel încât va rămâne la latitudinea autorităților să decidă, prin legislație secundară subsecventă (deci potențial a fi modificată de către orice guvern), cine vor fi acești „furnizori de servicii publice ori de interes public”. ApTI și APADOR-CH au arătat că pentru multe companii mici va fi imposibil să respecte termenul de 48 de ore, la fel ca și alte obligații pentru acești furnizori, cum ar fi cea de analiză de risc a lanțului de aprovizionare. Amenzile contravenționale impuse de noua lege sunt disproporționat de mari - de la 1% din cifra de afaceri pentru prima abatere (!) până la 3% din cifra de afaceri la a doua abatere.

O altă problemă o ridică obligația impusă furnizorilor de servicii de securitate cibernetică de a oferi informații despre securitatea clienților lor către 11 instituții, în lipsa unui mandat judecătoresc, și doar pe baza unui „cereri motivate”. De exemplu, o instituție precum ORNISS sau MApN sau MCID are dreptul să primească răspunsuri la orice întrebări formulează către un furnizor de securitate cibernetică, chiar dacă datele solicitate sunt protejate de un contract de confidențialitate. După cum a explicat ApTI, această obligație reprezintă o încălcare a confidențialității contractuale similară ca și concept cu cea în care avocatul ar fi obligat să furnizeze informații despre ce face clientul său, un jurnalist despre sursele sale ori un auditor contabil despre clienții săi.

Una dintre cele mai grave prevederi o constituie completarea, prin noua lege, a unor prevederi din legea siguranței naționale, în vigoare. Astfel, campaniile de „propagandă sau dezinformare, de natură a afecta ordinea constituțională” se adaugă listei de amenințări la siguranța națională, ceea ce dă puteri nejustificate SRI, în limitarea dreptului la libertatea de exprimare. După cum arată analiza organizațiilor neguvernamentale, deoarece campaniile de „propagandă sau dezinformare” nu sunt suficient de limitativ definite de lege, rămâne la latitudinea unei autorități precum SRI să decidă ce se circumscrie definiției din lege. Prin această modificare legislativă, arată organizațiile menționate, ar putea deveni infracțiune inclusiv formularea de opinii contrare unei politici oficiale a statului (de exemplu politica de vaccinare). Astfel, autorilor unor astfel de poziții critice, îndreptate împotriva politicii oficiale, sau, în general, oricăror persoane responsabile de orice campanii pe care SRI le-ar considera „propagandă sau dezinformare, de natură a afecta ordinea constituțională”, li se pot deschide procese penale, aplicându-se art. 404 din Codul penal: „Comunicarea sau răspândirea, prin orice mijloace, de ştiri, date sau informaţii false ori de documente falsificate, cunoscând caracterul fals al acestora, dacă prin aceasta se pune în pericol securitatea naţională, se pedepseşte cu închisoarea de la unu la cinci ani.” În plus, prin introducerea campaniilor de „propagandă sau dezinformare, de natură a afecta ordinea constituțională” în lista de amenințări la siguranța națională, SRI poate solicita mandate de supraveghere pe siguranță națională pentru orice măsură de supraveghere tehnică în vederea depistării sau analizei acestor cazuri.