Legea Securității cibernetice, atacată de Avocatul Poporului și grupul parlamentar USR la Curtea Constituțională, are o serie de amendamente abuzive prin care structurile din cadrul serviciilor pot avea acces nelimitat la oricine deține un sistem informatic, indiferent că este vorba despre persoane fizice sau juridice. În cursul acestei săptămâni, Curtea Constituțională a analizat aspectele sesizate împotriva legii și urmează să se pronunțe. Dezbaterile pe marginea acestei legi vor avea loc pe 28 februarie 2023.
Potrivit Legii Securității cibernetice, orice persoană din România, fizică sau juridică, care utilizează rețele sau sisteme informatice, trebuie să raporteze în cadrul Platformei Naționale de raportare a Incidentelor de Securitate Cibernetică incidentele cibernetice.
Cu alte cuvinte, cine observă că un atac cibernetic asupra computerului sau a rețelei din care face parte sau pe care o gestionează trebuie să facă această reclamație, în caz contrar ar putea fi pasibil de amendă. Ulterior, dacă se consideră necesar, utilizatorul trebuie să predea sistemul informatic (laptopul, computerul, telefonul sau accesul la rețea) specialiștilor acreditați în cadrul acestei platforme care vor verifica ”atacul cibernetic”. Aceasta este doar o prevedere din noua lege privind securitatea și apărarea cibernetică a României, inițiată de Guvernul Ciucă și adoptată de Parlament în nici o săptămână, la finalul anului trecut.
Actul normativ vizează că toate serviciile de informații, inclusiv SPP, au dreptul să ceară și să primească de la furnizorii de servicii tehnice de securitate date și informații despre clienții acestora.
Legea a fost inițiată de către Guvernul României, și la finalul anului trecut a fost votat fără nicio opoziție de Parlament, însă nu a putut fi încă promulgată, deoarece atât Avocatul Poporului, cât și grupul parlamentar al USR au atacat-o la CCR.
“Am atras atenţia încă de la începutul verii, când au fost prezentate proiectele legilor securităţii naţionale, că actuala coaliţie, în frunte cu preşedintele Iohannis, ameninţă libertăţile civile fundamentale ale românilor. Legea securităţii cibernetice, adoptată într-un dispreţ total faţă de principiile şi instituţiile democratice, confirmă ceea ce spuneam şi reprezintă un nou derapaj politic. Nu poţi să obligi sute de mii de furnizorii de servicii tehnice de securitate cibernetică să-şi toarne clienţii şi să ofere pe tavă, fără mandat de la judecător, date şi informaţii private ale acestora. Dreptul la viaţă privată şi libertate de exprimare sunt apărate de Constituţie şi nu putem asista pasivi la această nouă încercare a serviciilor de a intra cu bocancii în vieţile românilor”, a declarat preşedintele USR, Cătălin Drulă, citat într-un comunicat de presă.
Lege Big Brother
În Legea securității cibernetice, articolul 3 arată care sunt subiecții activi vizați în domeniul securității cibernetice, definiți la litera „c”, drept „rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale (…), precum și persoanele fizice și juridice care furnizează servicii publice ori de interes public”.
În sesizarea la CCR se arată că spectrul de aplicare al acestui articol este prea larg. Pentru că „obligațiile prevăzute sunt imposibil de îndeplinit pentru o serie întreagă de subiecți activi vizați”. Aici ar putea intra, spre exemplu, un site cu foarte puțini utilizatori, administrat de un PFA pentru un ONG, care oferă servicii online, deci un serviciu public, blogul unui jurnalist sau rețeaua informatică, forumul sau grupul de WhatsApp, în cadrul căruia colaborează mai mulți ziariști. De asemenea, ar putea intra în aceeași categorie un site care aparține unei publicații mass-media, care este un serviciu fie gratuit, fie plătit, sau chiar un magazin offline, care, de asemenea, prestează un serviciu public, magazin care este dotat cu casă de marcat electronică, considerată a fi un sistem informatic. De altfel, sintagma „sistem informatic”, prevăzută de textul de lege citat, face ca orice serviciu informatic care se bazează pe un sistem informatic să fie inclus în această definiție. „Acest lucru ar include de la un cont de Facebook, Instagram, Gmail sau Yahoo, până la un serviciu de acces la legislația online, un serviciu de notificări de la Parlamentul European sau orice alt serviciu online similar”, se precizează în sesizarea formulată către Curtea constituțională.
Sute de mii români ar trebui să-și pună datele personale la dispoziția Serviciilor
La articolul 21, alineat 1, se prevede că persoanele fizice sau juridice de drept privat care dețin rețele sau sisteme informatice „au obligația de a notifica incidentele de securitate prin intermediul Platformei Naționale de Raportare a Incidentelor de Securitate Cibernetică (PNRISC), de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului. Aici, arată autorii sesizării de neconstituționalitate, ar intra peste 700 de firme și entități mici și mari, precum și sute de mii de persoane fizice.
„Aparent, sesizarea PNRISC de către victima unui incident de securitate cibernetică pare a fi benefică (…). Dar, din cauza definirii neclare a noțiunii de incident de securitate cibernetică, se poate ajunge la situația în care, pentru o simplă virusare sau pentru o aparentă virusare a unui laptop, orice persoană care desfășoară o activitate ce pare a fi considerată ca fiind de interes public să fie obligată să sesizeze PNRISC și, implicit, să pună laptopul la dispoziția specialiștilor PNRISC, cu toate datele și informațiile cu caracter personal conținute de acel laptop”, se arată în sesizările făcute la CCR. Mai mult, autorii sesizării arată că „aceasta este o intruziune importantă în viața privată a persoanei, intruziune asupra căreia deținătorul laptopului nu are un drept de liberă apreciere, respectiv nu poate opta dacă sesizează sau nu PNRISC, ci există o obligație legală strictă, sancționată sever cu amendă contravențională, de a se adresa PNRISC și de a pune la dispoziția unor terți o multitudine de date și informații privind viața privată, conținute într-un laptop, care va fi accesat de terții care vor rezolva incidentul de securitate cibernetică”.
Articolul 25 precizează că „furnizorii de servicii tehnice de securitate cibernetică au obligația de a pune la dispoziția autorităților prevăzute la articolul 10, la cererea acestora, în termen de 48 de ore de la data primirii solicitării, date și informații privind incidente, respectiv în maximum 5 zile de la data primirii solicitării, atunci când este vorba despre amenințări, riscuri sau vulnerabilități care pot afecta o rețea sau un sistem informatic dintre cele prevăzute la articolul 3 (deci și persoanele fizice de drept privat – n.red.), precum și interconectarea acestora cu utilizatorii finali”.
Autoritățile prevăzute la articolul 10, care cer aceste date, sunt: Directoratul Național pentru Securitate Cibernetică; Ministerul Cercetării, Inovării și Digitalizării; ANCOM, Ministerul Apărării Naționale, Ministerul Afacerilor Interne, Ministerul Afacerilor Externe, Serviciul Român de Informații, Serviciul de Informații Externe, Serviciul de Telecomunicații Speciale, Serviciul de Protecție și Pază și ORNISS.
“Sesizarea de către victima unui incident de securitate cibernetică a Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC) pare a fi benefică, deoarece respectiva platformă este special destinată rezolvării unor astfel de incidente. Dar, din cauza definirii neclare în lege a noţiunii de incident de securitate cibernetică, se poate ajunge la situaţia în care pentru o simplă virusare sau pentru o aparentă virusare (o nefuncţionare normală) a unui laptop orice persoană care are o activitate ce poate fi considerată – de către cine? – ca fiind de interes public să fie obligată să sesizeze PNRISC şi, implicit, să pună laptopul la dispoziţia specialiştilor PNRISC, cu toate datele şi informaţiile cu caracter personal conţinute de acel dispozitiv”, se explică în comunicatul prin care se anunță atacarea legii la CCR.