Ministerul Cercetării, Inovării şi Digitalizării vine cu o serie de precizări legate de proiectul de lege privind privind securitatea şi apărarea cibernetică a României, aflat în transparenţă decizională din data de 4 noiembrie, în contextul în care Asociaţia pentru Tehnologie şi Internet (APTI) a atenţionat că SRI sau MApN ar putea primi un acces sporit şi discreţionar la problemele de securitate şi la datele persoanelor private, iar furnizorii de servicii de securitate cibernetică s-ar transforma în delatori profesionişti. Astfel, Ministerul Cercetării explică faptul că autorităţi precum SRI, SIE, MAPN, MAI şi SPP au deja atribuţii de asigurare a prevenirii şi combaterii acelor ameninţări de securitate cibernetică care constituie ameninţări la adresa securităţii naţionale a României, iar propunerea legislativă pe care au iniţiat-o nu face decât să completeze legea 51/1991 cu noi tipuri de ameninţări cibernetice la adresa securităţii naţionale a României, „în lumina asigurării unei protecţii conforme în domeniul cyber intelligence”.
Precizările Ministerului Cercetării, Inovării şi Digitalizării sunt următoarele, conform comunicatului de presă:
Cu privire la parcursul legislativ al proiectului de lege
Proiectul a fost iniţiat de Ministerul Cercetării, Inovării şi Digitalizării, denumit în continuare MCID, în calitatea sa de autoritate naţională în domeniul securităţii cibernetice, cu rol de elaborare şi iniţiere de proiecte de acte normative şi politici publice, în temeiul art. 1, alin. (3) şi art. 4 alin. (1) din HG nr. 371/2021.
Proiectul de lege privind securitatea şi apărarea cibernetică a României a fost preluat de către MCID de la Ministerul Apărării Naţionale, în scopul includerii componentei civile şi a completării normelor care guvernează şi facilitează securitatea cibernetică la nivel naţional.
În prima versiune a proiectului de lege, anterior preluării de către MCID, acesta a fost elaborat de către un grup de lucru format din toate autorităţile care sunt în prezent avizatoare ale proiectului de lege, coordonat de către MApN.
MCID iniţiază proiectul de lege în calitate de coordonator de reformă PNRR pe Componenta C7 - Transformare digitală, reforma 3, conform Anexei la OUG nr. 124/2021 coroborat cu Acordul de finanţare dintre MIPE şi MCID.
În procesul de elaborare a legii, MCID a colaborat cu Directoratul Naţional de Securitate Cibernetică, în calitatea sa de autoritate naţională în domeniul securităţii cibernetice civile, conform OUG nr. 104/2021. De asemenea, MCID a colaborat şi cu Serviciul Român de Informaţii, pe componentele legii ce privesc securitatea naţională a României, respectiv activitatea de cyber intelligence.
Cu privire la faptul că „ Nu orice site trebuie să fie supus obligaţiilor de securitate, doar cele din sectoare esenţiale şi de la firme mari şi mijlocii, conform directivei NIS2”
Securitatea cibernetică este dependentă de implementarea unui nivel minim obligatoriu de măsuri, în mod uniform, la nivelul tuturor infrastructurilor informatice, indiferent de mărimea acestora.
Totodată, proiectul de Lege privind securitatea şi apărarea cibernetică are un spectru mai larg de aplicabilitate decât cel al Directivelor NIS1 şi NIS2, cu care se sincronizează prin complementaritate şi incluziune. Directivele NIS şi legile care le transpun (actuala Lege nr. 362/2018 şi o viitoare lege care va transpune Directiva NIS2) abordează aspecte punctuale de securitate cibernetică, cu un nivel de granularitate mai ridicat şi cu o abordare tehnică mai aplicată decât prezentul proiect de lege.
Cu toate acestea, MCID a luat notă de îngrijorările exprimate cu privire la imposibilitatea implementării unora dintre măsurile enumerate în textul propunerii de lege, în vederea ajustării corespunzătoare a proporţionalităţii în raport cu firmele mici.
Cu privire la obligaţia de comunicare a incidentelor, ameninţărilor, riscurilor sau vulnerabilităţilor de securitate cibernetică exprimată prin „Furnizorii de servicii de securitate cibernetică = delatori profesionişti”
Cu titlu prealabil, menţionăm că „incidentele, ameninţările, riscurile sau vulnerabilităţile de securitate cibernetică” au un caracter profund ilicit, de multe ori faptele constituind infracţiuni sau contravenţii. Comunicarea unor asemenea incidente, ameninţări, riscuri şi vulnerabilităţi către autorităţile statului român contribuie activ şi real la prevenirea şi combaterea unor fapte ilicite în mediul cibernetic. Aserţiunea potrivit căreia furnizorul trebuie să-şi ”protejeze” clientul care generează incidente, ameninţări şi riscuri de securitate cibernetică nu credem că poate constitui un argument licit şi moral.
Mai mult, Directivele NIS şi legile care le transpun presupun în egală măsură comunicarea de date şi informaţii cu privire la incidentele, ameninţările, riscurile sau vulnerabilităţile de securitate cibernetică, fără să aducă atingere datelor de conţinut, datelor personale, vieţii private, drepturilor şi libertăţilor fundamentale.
Fiecare autoritate publică cu atribuţii în domeniul securităţii cibernetice, pentru a-şi putea exercita atribuţiile legale de protejare a reţelelor şi sistemelor informatice, are nevoie de o colaborare loială cu furnizorii de servicii de securitate cibernetică. Această colaborare presupune inclusiv protejarea reţelelor şi a sistemelor informatice ale acelor furnizori, care deservesc unor scopuri publice sau private.
Filosofia proiectului de lege este aceea de a asigura, prin toate mijloacele legale, protejarea integrităţii şi funcţionării reţelelor şi sistemelor informatice care deservesc cetăţenilor României.
Comunicarea incidentelor, ameninţărilor, riscurilor sau vulnerabilităţilor de securitate cibernetică nu presupune transferul de date de conţinut şi, sub nicio formă, nu presupune transferul de date cu caracter personal. Aceasta presupune exclusiv seturi de date tehnice (metadate), aflate în legătură cu modalitatea de funcţionare a sistemelor şi reţelelor informatice protejate.
Orice intervenţie asupra datelor de conţinut din reţele şi sisteme informatice se poate face doar prin mandat judecătoresc, în condiţiile Legii nr. 51/1991 sau ale Legii nr. 135/2010, aspecte care nu fac obiectul prezentului proiect.
Proiectul de lege este redactat în strictă concordanţă cu Decizia CCR nr. 17/2015, fiind excluse toate cazurile în care, fără mandat judecătoresc, ar putea fi preluate date sau ar putea fi accesate reţele şi sisteme informatice ale unor persoane fizice sau juridice de drept privat.
Cu privire la partajarea atribuţiilor prevăzute la art. 10 din proiectul de lege, exprimată prin „Care sunt, de fapt, sistemele informatice din competenţa SRI? Le mai poate identifica cineva?”
MCID apreciază utilă partajarea mai clară a atribuţiilor autorităţilor publice prevăzute la art. 10 din proiectul de lege. În prezent, logica legii urmăreşte asigurarea securităţii cibernetice a reţelelor şi sistemelor informatice asupra cărora autorităţile publice prevăzute la art. 10 au atribuţii conform legilor lor de organizare şi funcţionare sau altor legi speciale care le dau astfel de atribuţii.
De asemenea, autorităţi precum SRI, SIE, MAPN, MAI şi SPP, în calitate de autorităţi cu atribuţii în domeniul securităţii naţionale, au atribuţii de asigurare a prevenirii şi combaterii acelor ameninţări de securitate cibernetică care constituie ameninţări la adresa securităţii naţionale a României, conform art. 3 din Legea nr. 51/1991. De aceea, în lumina asigurării unei protecţii conforme în domeniul cyber intelligence, prin prezentul proiect de lege se completează şi Legea nr. 51/1991 cu noi tipuri de ameninţări cibernetice la adresa securităţii naţionale a României.
Pe de altă parte, la nivelul legii, analizăm oportunitatea clarificării partajării unor atribuţii precum asigurarea securităţii cibernetice vizavi de ameninţările de tip APT, ameninţări care sunt specifice activităţii de cyber intelligence şi care nu pot face obiectul decât al activităţii serviciilor de informaţii.
Cu privire la faptul că „Nu trebuie incluse activităţile şi sistemele din domeniul civil în domeniul militar”
Apărarea naţională are ca scop fundamental protejarea unor seturi de valori şi bunuri societale, care se află în relaţie teritorială cu statul care le găzduieşte. În mod similar, apărarea cibernetică la nivel naţional are în vedere protejarea întregului spectru de sisteme şi reţele informatice care se află în relaţie teritorială cu statul român.
Din acest motiv, definiţia ”apărării cibernetice” nu poate fi redusă doar la ”reţelele şi sistemele informatice specifice apărării naţionale” - care reprezintă doar spectrul de tehnologii informatice aflate în uzul şi gestiunea MApN.
Aşa cum menţionează şi MApN prin comunicat de presă, se poate ”compara apărarea spaţiului cibernetic cu situaţia existentă în ceea ce priveşte spaţiul aerian, în care majoritatea covârşitoare a utilizării revine aeronavelor civile, iar apărarea spaţiului aerian revine în responsabilitatea MApN.
De asemenea, deşi traficul maritim de mărfuri şi persoane este preponderent aferent marinei comerciale, care are propriile instituţii şi mecanisme de asigurare a siguranţei în navigaţie, totuşi apărarea spaţiului maritim naţional şi garantarea libertăţii de navigaţie este prerogativul Forţelor Navale din cadrul MApN, care planifică şi organizează operaţii militare în spaţiul maritim sau fluvial naţional, dezvoltă capabilităţi de apărare, ceea ce nu lezează desfăşurarea liberă a activităţilor în domeniul maritim.
În concluzie, din această perspectivă, proiectul de lege propus are menirea de a clarifica limitele de responsabilitate, rolul şi atribuţiile corespunzătoare apărării cibernetice, astfel încât să se asigure corelarea cu legislaţia naţională în domeniul apărării şi tratatele internaţionale, care stabilesc obligaţii şi răspunderi statelor şi, subsecvent, forţelor armate.”
Cu privire la accesul la PNRISC
DNSC, în calitate de autoritate naţională în domeniul securităţii cibernetice, este îndrituită şi prin legea sa actuală să coordoneze managementul incidentelor de securitate cibernetică. Actualul proiect vine să consolideze acest rol pe care o autoritate civilă trebuie să-l aibă în arhitectura de securitate cibernetică a unei ţări.
PNRISC nu va conţine date de conţinut sau date personale, ci doar date tehnice, care privesc funcţionarea sistemelor şi reţelelor informatice, în scopul gestionării riscurilor şi incidentelor de securitate cibernetică. Politicile de confidenţialitate din PNRISC au rolul de a stabili măsuri adaptate nivelului de risc comportat de incidentele înscrise în platformă, spre a facilita compartimentarea corespunzătoare a accesului autorităţilor la informaţii, în baza principiilor „nevoii de a cunoaşte” şi al ”nevoii de a împărtăşi”.
PNRISC respectă bunele practici existente în domeniu, privind platformele de schimb de informaţii tehnice cu privire la incidentele de securitate cibernetică, de tipul ISACs (Information Sharing and Analysis Centers), care gestionează informaţiile deţinute în baza unor principii ferme de gestionare şi confidenţialitate a datelor înscrise în aceasta.
Apreciem temeinic şi legal ca toate autorităţile prevăzute la art. 10 să fie în PNRISC, deoarece incidentele de securitate cibernetică sesizate prin Platformă nu vizează doar cele provenite de la furnizorii privaţi. Chiar şi aşa, în linia exemplelor furnizate de APTI, ORNISS are atribuţii în domeniul coordonării politicilor de securitate a sistemelor şi reţelelor informatice pe care sunt vehiculate informaţii clasificate şi care aparţin unor persoane juridice de drept privat purtătoare de autorizaţii şi certificate de securitate industrială, conform HG nr. 585/2002. De asemenea, SPP, în temeiul art. 14 alin. (1), lit. g) din Legea nr. 191/1998, „organizează şi coordonează, pe timpul misiunilor de protecţie şi paza, activitatea tuturor forţelor participante din cadrul instituţiilor prevăzute la art. 4 alin. (1)”, incluzând şi activitatea de asigurare a securităţii cibernetice pentru demnitar. De aceea, informaţiile şi datele colectate de SPP trebuie raportate în PNRISC.
Cu privire la aspectele exprimate la punctul „6. Să nu facem 7 legi cu 7 obligaţii de raportare!”
Prezentul proiect de lege abordează în mod integrat şi cuprinzător aspectele de securitate cibernetică, însă la un nivel de granularitate tehnică mai redus faţă de alte legi complementare (cum ar fi Legea nr. 362/2018). Prezentul proiect de lege setează cadrul general de reglementare în domeniu, în timp ce Legea nr. 362/2018 şi OUG nr. 104/2021 au un obiect mai restrâns de aplicabilitate, dar şi o abordare tehnică mai amănunţită.
În elaborarea prezentului proiect de lege s-a avut în vedere armonizarea şi evitarea suprapunerilor cu legile existente, în mod particular în privinţa setului de măsuri care este enunţat şi detaliat în raport cu transpunerea Directivei NIS, printre care şi obligaţiile de raportare a incidentelor cibernetice.
În acelaşi timp, ţinând cont de abordarea de ansamblu, prezentul proiect de lege trebuie să stabilească cadrul arhitectural de bază, pentru asigurarea interoperabilităţii dintre actorii vizaţi. Tocmai crearea PNRISC asigură un cadru unitar de notificare a incidentele de securitate cibernetică, astfel încât să se asigure o reacţie rapidă şi coordonată pentru prevenirea ameninţărilor de securitate cibernetică la adresa sistemelor şi reţelelor informatice.
Cu privire la implicarea mediului privat şi a societăţii civile în asigurarea securităţii cibernetice la nivel naţional
MCID propune o politică proactivă şi deschisă faţă de mediul privat şi societatea civilă în vederea asigurării cadrului naţional de securitate cibernetică.
Spre exemplu, proiectul de lege prevede că DNSC şi celelalte autorităţi publice dezvoltă cadrul naţional de conştientizare a populaţiei în cooperare cu mediul public, privat şi academic, în scopul pregătirii populaţiei privind modalităţile de comportament, reacţie şi apărare în mediul online.
Mai mult, MCID va aloca 10% din bugetul anual către un program de finanţare a cercetării în domeniul securităţii cibernetice, program la care sunt eligibile şi firmele şi ONG-urile.
Urmărește-ne și pe Google News
Articolul de mai sus este destinat exclusiv informării dumneavoastră personale. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi un mail pe adresa abonamente@news.ro.
