Ministerul Comunicaţiilor şi pentru Societatea Informaţională (MCSI) a lansat în dezbatere publică, pe propria pagină de Internet, un nou proiect de Lege privind Securitatea Cibernetică a României.
Potrivit ministerului de resort, proiectul a fost întocmit fiind luate în considerare criticile aduse prin Decizia nr. 17/2015 a Curţii Constituţionale a României (CCR) asupra obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind Securitatea Cibernetică a României.
Noul actul normativ se adresează autorităţilor şi instituţiilor publice, persoanelor juridice deţinătoare de infrastructuri cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare aduce atingere securităţii naţionale sau prejudicii grave statului român sau cetăţenilor acestuia. De asemenea, legea se aplică: persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal, furnizorilor de reţele publice de comunicaţii electronice, furnizorilor de servicii de comunicaţii electronice destinate publicului, furnizorilor de servicii găzduire Internet şi furnizorilor de servicii de securitate cibernetică.
În plus, în cadrul proiectului se menţionează că furnizorii de servicii de găzduire de internet care desfăşoară activităţi pe teritoriul României au obligaţia de a-şi notifica utilizatorii şi abonaţii deîndată ce au fost sesizaţi de autoritatea competentă, dar nu mai târziu de 24 de ore din momentul în care au fost sesizaţi de autorităţile competente potrivit prezentei legi, cu privire la situaţiile în care sistemele informatice utilizate de aceştia au fost implicate în atacuri cibernetice şi de a recomanda măsurile necesare în vederea restabilirii condiţiilor normale de funcţionare.
Mai mult, aceeaşi furnizori trebuie să acorde sprijin autorităţilor competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a oricărui act de autorizare a restrângerii temporare a exerciţiului drepturilor şi libertăţilor persoanelor, emis de către judecător.
Totodată, "furnizorii de servicii de găzduire internet au obligaţia de a înregistra şi stoca date de jurnalizare a activităţilor din sistemele informatice deţinute care fac obiectul actului de autorizare (...) pe toată perioada de valabilitate a acestuia'. În acelaşi timp, persoanele care sunt chemate să acorde sprijin tehnic la punerea în executare a actelor de autorizare, precum şi persoanele care iau cunoştinţă despre acestea 'au obligaţia să păstreze secretul operaţiunii efectuate, sub sancţiunea legii penale'.
La articolul 16 al actului normativ, se precizează că evaluarea potenţialului impact asupra securităţii infrastructurilor cibernetice prin compromiterea confidenţialităţii, integrităţii, disponibilităţii sau autenticităţii datelor, resurselor se realizează pe baza unor criterii precum: prejudiciul adus statului român, prejudiciul produs în planul securităţii naţionale, afectarea vieţii şi siguranţei naţionale, afectarea încrederii utilizatorilor în serviciile oferite, afectarea relaţiilor internaţionale în care România este angrenată sau întreruperea furnizării serviciului afectat.
Potrivit articolului 25 din prezentul proiect de Lege, "autorităţile competente au obligaţia de a stoca şi păstra pe un termen de 5 ani notificările primite cu privire la incidentele de securitate cibernetică şi atacurile cibernetice".
Normele metodologice de aplicare a prezentei legi se elaborează de Ministerul Comunicaţiilor şi pentru Societatea Informaţională (MCSI) şi se supun aprobării Guvernului în termen de 90 de zile de la publicarea acesteia în Monitorul Oficial al României, Partea I.
Curtea Constituţională a României (CCR) a anunţat, în 27 ianuarie 2015, că Legea privind securitatea cibernetică încalcă prevederile constituţionale privind statul de drept şi principiul legalităţii, precum şi cele privind viaţa intimă, familială şi privată, respectiv secretul corespondenţei. Motivul invocat de către CCR este faptul că autoritatea naţională în domeniul securităţii cibernetice ar trebui să fie un organism civil, pentru a garanta aceste drepturi, şi nu Centrul Naţional de Securitate Cibernetică (CNSC), care funcţionează deja în cadrul SRI, cu personal militar.
Conform formei legii trimise spre promulgare şi retrimisă Parlamentului, se propune înregistrarea utilizatorilor de cartele preplătite, precum şi colectarea şi stocarea datelor acestora. În cazul utilizatorilor de internet, legea stipulează că datele acestora vor fi stocate pe o perioadă de şase luni de la data reţinerii acestora
În data de 5 februarie 2015, senatorii au respins Legea pentru modificarea şi completarea OUG nr. 111/2011 privind comunicaţiile electronice, retrimisă Parlamentului spre re-examinare, ca urmare a faptului că judecătorii CCR au declarat actul normativ neconstituţional în ansamblul său. Iniţiatorii proiectului de lege precizează că, în prezent, piaţa de telefonie mobilă din România este dominată de clienţii de tip prepay, care reprezintă aproximativ 67% din numărul total de utilizatori ai serviciilor de comunicaţii mobile. Aceştia au explicat că actuala situaţie creează discriminări între consumatorii serviciilor achiziţionate de la furnizori, 'în condiţiile în care legislaţia naţională recunoaşte dreptul furnizorilor de a colecta şi prelucra datele cu caracter personal numai ale abonaţilor, împreună cu obligaţia acestora din urmă de a pune la dispoziţie aceste date".
La data de 28 aprilie 2015, plenul Senatului a respins, în calitate de for decizional, cu 90 de voturi pentru şi o abţinere, Legea privind securitatea cibernetică a României, declarată neconstituţională.
Proiectul de Lege privind Securitatea Cibernetică a României prevedea constituirea Sistemului Naţional de Securitate Cibernetică (SNSC), acesta reunind autorităţile şi instituţiile publice cu responsabilităţi şi capacităţi în domeniu. Autorităţile şi instituţiile publice din SNSC ar fi urmat să colaboreze cu deţinătorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociaţiile profesionale şi organizaţiile neguvernamentale.