Premium
Curtea Constituțională a României a fost sesizată, marți, 27 decembrie, de Avocatul Poporului cu privire la prevevderile legii privind securitatea și apărarea cibernetică. Instituția susține că actualele prevederi sunt în contradicție cu puncte din Constituție. Legea privind securitatea cibernetică a fost votată în 21 decembrie la Senat, cameră decizională în acest caz.
Ce acuză Avocatul Poporului:
„Normele legale indicate mai jos, cuprinse în Legea privind securitatea și apărarea cibernetică a României precum și pentru modificarea și completarea unor acte normative (PL- x nr. 77372022, L82872022), prin care este reglementat cadrul juridic și instituțional referitor la organizarea și desfășurarea activităților din domeniile securității cibemetice și apărare cibernetică, mecanismele de cooperare și responsabilitățile instituțiilor cu atribuții în domeniile menționate, încalcă prevederile art. 1 alin. (5), art. 11 și art. 148 alin. (4) din Constituție, referitoare, pe de-o parte, la lipsa de previzibilitate și claritate a normei legale, iar, pe de altă parte, la încălcarea angajamentelor internaționale în materie de securitate cibernetică asumate de România”, se arată în sesizare.
Senatul a adoptat, săptămâna trecută, în calitate de for decizional, cu 81 de voturi „pentru”, 29 „împotrivă” şi trei abţineri, proiectul de lege privind securitatea şi apărarea cibernetică a României.
Proiectul de lege, adoptat de Camera Deputaţilor, cuprinde cadrul juridic şi instituţional referitor la organizarea şi desfăşurarea activităţilor din domeniile securitate cibernetică şi apărare cibernetică, a mecanismelor de cooperare şi a responsabilităţilor instituţiilor cu atribuţii în aceste domenii. Actul normativ stabileşte acţiunea autorităţilor şi instituţiilor publice cu responsabilităţi şi capabilităţi specifice prevenirii şi contracarării ameninţărilor, vulnerabilităţilor şi riscurilor cibernetice. „Securitatea şi apărarea cibernetică se realizează prin adoptarea şi implementarea de politici şi măsuri în scopul cunoaşterii, prevenirii şi contracarării vulnerabilităţilor, riscurilor şi ameninţărilor în spaţiul cibernetic”, prevede proiectul, potrivit Agerpres.
Actul normativ se aplică în domeniul securităţii cibernetice pentru: a) reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat; b) reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale; c) reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute anterior la lit. a), precum şi de persoane fizice şi juridice care desfăşoară activităţi cu scop lucrativ şi nelucrativ de cercetare, dezvoltare, inovare şi producţie în domeniul tehnologia informaţiei şi a comunicaţiilor sau furnizează servicii publice ori de interes public, altele decât cele de la lit. b). Persoanele care au în responsabilitate aceste reţele şi sisteme informatice au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC), de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului. Dacă incidentele de securitate cibernetică nu pot fi comunicate complet în acest termen, acestea se transmit în cel mult 5 zile calendaristice de la notificarea iniţială, informaţiile putând fi completate şi ulterior cu cele care reies din investigaţiile realizate pe baza evenimentului. Conform proiectului, „furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor (...), la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, respectiv în maximum 5 zile de la data primirii solicitării, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali”. Actul normativ stabileşte sancţiuni în cazul nerespectării de către aceste persoane a obligaţiei de notificare a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul prevăzut, a obligaţiei de comunicare completă a incidentelor de securitate cibernetică, precum şi pentru nerespectarea de către furnizorii de servicii de securitate cibernetică a obligaţiei de a pune la dispoziţia autorităţilor date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau sistem informatic al deţinătorului sau al unor terţi, în termenul stabilit. Sunt prevăzute amenzi de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de şase luni limita maximă este de 200.000 lei. Pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei sancţiunea va fi cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de şase luni limita maximă a amenzii este de 3% din cifra de afaceri netă, potrivit unui amendament admis la comisiile de specialitate din Senat.
