Comunicat de presă cu privire la Proiectul de Lege privind securitatea și apărarea cibernetică a României
Având în vedere unele opinii apărute în spațiul public cu privire la Proiectul de Lege privind securitatea și apărarea cibernetică a României, aflat în proces de transparență decizională, publicat pe site-ul Ministerului Cercetării, Inovării și Digitalizării, precum și unele întrebări adresate de către jurnaliști, facem următoarele precizări punctuale:
1.Cu privire la parcursul legislativ al proiectului de lege
Proiectul a fost inițiat de Ministerul Cercetării, Inovării și Digitalizării, denumit în continuare MCID, în calitatea sa de autoritate națională în domeniul securității cibernetice, cu rol de elaborare și inițiere de proiecte de acte normative și politici publice, în temeiul art. 1, alin. (3) și art. 4 alin. (1) din HG nr. 371/2021.
Proiectul de lege privind securitatea și apărarea cibernetică a României a fost preluat de către MCID de la Ministerul Apărării Naționale, în scopul includerii componentei civile și a completării normelor care guvernează și facilitează securitatea cibernetică la nivel național.
În prima versiune a proiectului de lege, anterior preluării de către MCID, acesta a fost elaborat de către un grup de lucru format din toate autoritățile care sunt în prezent avizatoare ale proiectului de lege, coordonat de către MApN.
MCID inițiază proiectul de lege în calitate de coordonator de reformă PNRR pe Componenta C7 – Transformare digitală, reforma 3, conform Anexei la OUG nr. 124/2021 coroborat cu Acordul de finanțare dintre MIPE și MCID.
În procesul de elaborare a legii, MCID a colaborat cu Directoratul Național de Securitate Cibernetică, în calitatea sa de autoritate națională în domeniul securității cibernetice civile, conform OUG nr. 104/2021. De asemenea, MCID a colaborat și cu Serviciul Român de Informații, pe componentele legii ce privesc securitatea națională a României, respectiv activitatea de cyber intelligence.
2.Cu privire la faptul că ” Nu orice site trebuie să fie supus obligațiilor de securitate, doar cele din sectoare esențiale și de la firme mari și mijlocii, conform directivei NIS2”
Securitatea cibernetică este dependentă de implementarea unui nivel minim obligatoriu de măsuri, în mod uniform, la nivelul tuturor infrastructurilor informatice, indiferent de mărimea acestora.
Totodată, proiectul de Lege privind securitatea și apărarea cibernetică are un spectru mai larg de aplicabilitate decât cel al Directivelor NIS1 și NIS2, cu care se sincronizează prin complementaritate și incluziune. Directivele NIS și legile care le transpun (actuala Lege nr. 362/2018 și o viitoare lege care va transpune Directiva NIS2) abordează aspecte punctuale de securitate cibernetică, cu un nivel de granularitate mai ridicat și cu o abordare tehnică mai aplicată decât prezentul proiect de lege.
Cu toate acestea, MCID a luat notă de îngrijorările exprimate cu privire la imposibilitatea implementării unora dintre măsurile enumerate în textul propunerii de lege, în vederea ajustării corespunzătoare a proporționalității în raport cu firmele mici.
3. Cu privire la obligația de comunicare a incidentelor, amenințărilor, riscurilor sau vulnerabilităților de securitate cibernetică exprimată prin ”2. Furnizorii de servicii de securitate cibernetică = delatori profesioniști”:
Cu titlu prealabil, menționăm că ”incidentele, amenințările, riscurile sau vulnerabilitățile de securitate cibernetică” au un caracter profund ilicit, de multe ori faptele constituind infracțiuni sau contravenții. Comunicarea unor asemenea incidente, amenințări, riscuri și vulnerabilități către autoritățile statului român contribuie activ și real la prevenirea și combaterea unor fapte ilicite în mediul cibernetic. Aserțiunea potrivit căreia furnizorul trebuie să-și ”protejeze” clientul care generează incidente, amenințări și riscuri de securitate cibernetică nu credem că poate constitui un argument licit și moral.
Mai mult, Directivele NIS și legile care le transpun presupun în egală măsură comunicarea de date și informații cu privire la incidentele, amenințările, riscurile sau vulnerabilitățile de securitate cibernetică, fără să aducă atingere datelor de conținut, datelor personale, vieții private, drepturilor și libertăților fundamentale.
Fiecare autoritate publică cu atribuții în domeniul securității cibernetice, pentru a-și putea exercita atribuțiile legale de protejare a rețelelor și sistemelor informatice, are nevoie de o colaborare loială cu furnizorii de servicii de securitate cibernetică. Această colaborare presupune inclusiv protejarea rețelelor și a sistemelor informatice ale acelor furnizori, care deservesc unor scopuri publice sau private.
Filosofia proiectului de lege este aceea de a asigura, prin toate mijloacele legale, protejarea integrității și funcționării rețelelor și sistemelor informatice care deservesc cetățenilor României.
Comunicarea incidentelor, amenințărilor, riscurilor sau vulnerabilităților de securitate cibernetică nu presupune transferul de date de conținut și, sub nicio formă, nu presupune transferul de date cu caracter personal. Aceasta presupune exclusiv seturi de date tehnice (metadate), aflate în legătură cu modalitatea de funcționare a sistemelor și rețelelor informatice protejate.
Orice intervenție asupra datelor de conținut din rețele și sisteme informatice se poate face doar prin mandat judecătoresc, în condițiile Legii nr. 51/1991 sau ale Legii nr. 135/2010, aspecte care nu fac obiectul prezentului proiect.
Proiectul de lege este redactat în strictă concordanță cu Decizia CCR nr. 17/2015, fiind excluse toate cazurile în care, fără mandat judecătoresc, ar putea fi preluate date sau ar putea fi accesate rețele și sisteme informatice ale unor persoane fizice sau juridice de drept privat.
4.Cu privire la partajarea atribuțiilor prevăzute la art. 10 din proiectul de lege, exprimată prin ” Care sunt, de fapt, sistemele informatice din competența SRI? Le mai poate identifica cineva?”
MCID apreciază utilă partajarea mai clară a atribuțiilor autorităților publice prevăzute la art. 10 din proiectul de lege. În prezent, logica legii urmărește asigurarea securității cibernetice a rețelelor și sistemelor informatice asupra cărora autoritățile publice prevăzute la art. 10 au atribuții conform legilor lor de organizare și funcționare sau altor legi speciale care le dau astfel de atribuții.
De asemenea, autorități precum SRI, SIE, MAPN, MAI și SPP, în calitate de autorități cu atribuții în domeniul securității naționale, au atribuții de asigurare a prevenirii și combaterii acelor amenințări de securitate cibernetică care constituie amenințări la adresa securității naționale a României, conform art. 3 din Legea nr. 51/1991. De aceea, în lumina asigurării unei protecții conforme în domeniul cyber intelligence, prin prezentul proiect de lege se completează și Legea nr. 51/1991 cu noi tipuri de amenințări cibernetice la adresa securității naționale a României.
Pe de altă parte, la nivelul legii, analizăm oportunitatea clarificării partajării unor atribuții precum asigurarea securității cibernetice vizavi de amenințările de tip APT, amenințări care sunt specifice activității de cyber intelligence și care nu pot face obiectul decât al activității serviciilor de informații.
5.Cu privire la faptul că ” Nu trebuie incluse activitățile și sistemele din domeniul civil în domeniul militar”
Apărarea națională are ca scop fundamental protejarea unor seturi de valori și bunuri societale, care se află în relație teritorială cu statul care le găzduiește. În mod similar, apărarea cibernetică la nivel național are în vedere protejarea întregului spectru de sisteme și rețele informatice care se află în relație teritorială cu statul român.
Din acest motiv, definiția ”apărării cibernetice” nu poate fi redusă doar la ”rețelele și sistemele informatice specifice apărării naționale” – care reprezintă doar spectrul de tehnologii informatice aflate în uzul și gestiunea MApN.
Așa cum menționează și MApN prin comunicat de presă, se poate ”compara apărarea spațiului cibernetic cu situația existentă în ceea ce privește spațiul aerian, în care majoritatea covârșitoare a utilizării revine aeronavelor civile, iar apărarea spațiului aerian revine în responsabilitatea MApN.
De asemenea, deși traficul maritim de mărfuri și persoane este preponderent aferent marinei comerciale, care are propriile instituții și mecanisme de asigurare a siguranței în navigație, totuși apărarea spațiului maritim național și garantarea libertății de navigație este prerogativul Forțelor Navale din cadrul MApN, care planifică și organizează operații militare în spațiul maritim sau fluvial național, dezvoltă capabilități de apărare, ceea ce nu lezează desfășurarea liberă a activităților în domeniul maritim.
În concluzie, din această perspectivă, proiectul de lege propus are menirea de a clarifica limitele de responsabilitate, rolul și atribuțiile corespunzătoare apărării cibernetice, astfel încât să se asigure corelarea cu legislația națională în domeniul apărării și tratatele internaționale, care stabilesc obligații și răspunderi statelor și, subsecvent, forțelor armate.”
Mai multe detalii pe acest subiect pot fi găsite în comunicatul de presă al MApN, la următoarea adresă web: https://www.mapn.ro/cpresa/17690_precizari-mapn .
6.Cu privire la accesul la PNRISC
DNSC, în calitate de autoritate națională în domeniul securității cibernetice, este îndrituită și prin legea sa actuală să coordoneze managementul incidentelor de securitate cibernetică. Actualul proiect vine să consolideze acest rol pe care o autoritate civilă trebuie să-l aibă în arhitectura de securitate cibernetică a unei țări.
PNRISC nu va conține date de conținut sau date personale, ci doar date tehnice, care privesc funcționarea sistemelor și rețelelor informatice, în scopul gestionării riscurilor și incidentelor de securitate cibernetică. Politicile de confidențialitate din PNRISC au rolul de a stabili măsuri adaptate nivelului de risc comportat de incidentele înscrise în platformă, spre a facilita compartimentarea corespunzătoare a accesului autorităților la informații, în baza principiilor ”nevoii de a cunoaște” și al ”nevoii de a împărtăși”.
PNRISC respectă bunele practici existente în domeniu, privind platformele de schimb de informații tehnice cu privire la incidentele de securitate cibernetică, de tipul ISACs (Information Sharing and Analysis Centers), care gestionează informațiile deținute în baza unor principii ferme de gestionare și confidențialitate a datelor înscrise în aceasta.
Apreciem temeinic și legal ca toate autoritățile prevăzute la art. 10 să fie în PNRISC, deoarece incidentele de securitate cibernetică sesizate prin Platformă nu vizează doar cele provenite de la furnizorii privați. Chiar și așa, în linia exemplelor furnizate de APTI, ORNISS are atribuții în domeniul coordonării politicilor de securitate a sistemelor și rețelelor informatice pe care sunt vehiculate informații clasificate și care aparțin unor persoane juridice de drept privat purtătoare de autorizații și certificate de securitate industrială, conform HG nr. 585/2002. De asemenea, SPP, în temeiul art. 14 alin. (1), lit. g) din Legea nr. 191/1998, ”organizează şi coordonează, pe timpul misiunilor de protecție şi paza, activitatea tuturor forțelor participante din cadrul instituțiilor prevăzute la art. 4 alin. (1)”, incluzând și activitatea de asigurare a securității cibernetice pentru demnitar. De aceea, informațiile și datele colectate de SPP trebuie raportate în PNRISC.
7.Cu privire la aspectele exprimate la punctul ” Să nu facem 7 legi cu 7 obligații de raportare!”
Prezentul proiect de lege abordează în mod integrat și cuprinzător aspectele de securitate cibernetică, însă la un nivel de granularitate tehnică mai redus față de alte legi complementare (cum ar fi Legea nr. 362/2018). Prezentul proiect de lege setează cadrul general de reglementare în domeniu, în timp ce Legea nr. 362/2018 și OUG nr. 104/2021 au un obiect mai restrâns de aplicabilitate, dar și o abordare tehnică mai amănunțită.
În elaborarea prezentului proiect de lege s-a avut în vedere armonizarea și evitarea suprapunerilor cu legile existente, în mod particular în privința setului de măsuri care este enunțat și detaliat în raport cu transpunerea Directivei NIS, printre care și obligațiile de raportare a incidentelor cibernetice.
În același timp, ținând cont de abordarea de ansamblu, prezentul proiect de lege trebuie să stabilească cadrul arhitectural de bază, pentru asigurarea interoperabilității dintre actorii vizați. Tocmai crearea PNRISC asigură un cadru unitar de notificare a incidentele de securitate cibernetică, astfel încât să se asigure o reacție rapidă și coordonată pentru prevenirea amenințărilor de securitate cibernetică la adresa sistemelor și rețelelor informatice.
8.Cu privire la implicarea mediului privat și a societății civile în asigurarea securității cibernetice la nivel național
MCID propune o politică proactivă și deschisă față de mediul privat și societatea civilă în vederea asigurării cadrului național de securitate cibernetică.
Spre exemplu, proiectul de lege prevede că DNSC și celelalte autorități publice dezvoltă cadrul național de conștientizare a populației în cooperare cu mediul public, privat și academic, în scopul pregătirii populației privind modalitățile de comportament, reacție și apărare în mediul online.
Mai mult, MCID va aloca 10% din bugetul anual către un program de finanțare a cercetării în domeniul securității cibernetice, program la care sunt eligibile și firmele și ONG-urile.