Serviciul Român de Informații (SRI) ori Ministerul Apărării Naționale (MAPN) ar putea primi un acces sporit și discreționar la problemele de securitate și la datele persoanelor private, iar furnizorii de servicii de securitate cibernetică s-ar transforma în delatori profesioniști, atenționează Asociația pentru Tehnologie și Internet (APTI) cu privire la noul proiect de lege privind securitatea și apărarea cibernetică.

O nouă propunere legislativă în domeniul securității informative impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității, scrie APTI, asociație al cărei director executiv este Bogdan Manolea, jurist specializat în legislația internetului.

Este vorba de proiectul de lege scos în dezbatere publică, vineri, 4 noiembrie, de Ministerul Cercetării, Inovării și Digitalizării, condus de liberalul Sebastian Burduja, despre care HotNews.ro a scris că va obliga toți privații care dețin rețele și sisteme IT să notifice incidentele de securitate într-o platforma gestionată de DNSC, la care SRI, SIE, STS, MAPN și alte instituții vor avea acces garantat.

Principalele probele identificate de APTI sunt:

Nu orice site trebuie să fie supus obligațiilor de securitate, conform directivelor UE

Asociația susține printre altele că datele personale ale persoanelor private, și securitatea sistemelor pe care sunt stocate, nu trebuie să fie comunicate statului decât ca excepție, decât atunci când există un interes public superior interesului privat în cauză, aspecte care sunt deja definite limitat de Directivele europene NIS1 și NIS2.

Asociația spune că includerea în Art 3 (1) c) a rețelelor și sistemelor informatice ale persoanelor juridice care furnizează servicii publice ori de interes public (fără a defini acești termeni în cuprinsul acestui act normativ) face ca spectrul de aplicare să fie exagerat de larg.

„Obligația de notificare în 24 de ore șii obligațiile de la Art 40 sunt imposibil de îndeplinit pentru oricare din următoarele:

Așadar, este de neînțeles includerea sectorului privat într-o singură categorie cu rețelele sectorului public în următoarea formulare:

Recomandarea noastră este de corelarea a acestui subiect cu categoriile de rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de persoane juridice conform directivei NIS2 (citată și de autorii propunerii în expunerea de motive) și care probabil va intra în vigoare până la finalul lui 2022:

Furnizorii de servicii de securitate ar deveni delatori profesioniști

Un alt aspect criticat este articolul 24 care prevede următoarele:

„Scopul unui furnizor de servicii de securitate este acela de a proteja și de a rezolva problemele clientului său. De obicei, furnizorii de servicii de securitate cibernetică sunt niște profesioniști tehnici care au obligații contractuale de confidențialitate extrem de stricte față de clienții lor (din România sau străinătate). O parte din informațiile la care au access, sau pe care le descoperă, sunt legate de incidente, amenințări, riscuri sau vulnerabilități.

Conform proiectului de lege privind securitatea cibernetică a României, acești furnizori sunt obligați ca, la orice întrebare de la una din instituțiile din Art. 10, să pârască proprii clienți. Fără mandat judecătoresc, fără autorizație precisă, acești furnizori sunt obligați să dea informații despre starea securității unui client, sau, mai rău, a unei întregi infrastructuri (ceea ce poate include informații personale și secrete ale mai multor clienți, fie ei direct afectați de o posibilă vulnerabilitate sau nu).

O asemenea obligație - care a făcut parte și din legea cu același obiect declarată neconstituțională prin decizia CCR 17/2015 - ar fi asemănătoare obligației unui auditor sau contabil ca în primul rând să pârască la ANAF și nu să își sfatuiască clientul ce trebuie să facă pentru a fi în legalitate.”, avertizează APTI.

Care sunt, de fapt, sistemele informatice din competența SRI? Le mai poate identifica cineva?

APTI mai solicită definirea separată, corectă și completă a Art 10 alin d) astfel încât să fie clar care sunt exact domeniile de competență ale fiecărei instituții. În prezent, textul este vag și folosește termeni generici: “a rețelelor și sistemelor informatice din domeniul lor de competență, activitate sau responsabilitate.”

Art. 10, alin d) este următorul:

Asociația subliniază că din textul de mai sus este imposibil să știm, de exemplu, care ar putea fi sistemele informatice din domeniul de competență sau responsabilitate a SRI.

Nu trebuie incluse activitățile și sistemele din domeniul civil în domeniul militar

Un alt aspect criticat de Asociație vizează definiția „apărării cibernetice”, pentru care MAPN este desemnată autoritate competentă la nivel național.

Iată cum este definită apărarea cibernetică la Art. 2:

Definiția apărării cibernetice, spune APTI, trebuie limitată pentru a se adresa exclusiv activităților legate de domeniul militar și a exclude activitățile sau sistemele informatice din sectorul civil. În caz contrar definiția și Art de la 29 sau 30 vor privi întreg Internetul ca un spațiu de manevră a acțiunilor militare.

O altfel de interpretare ar încălca principiul enunțat de CCR prin declarația de necunostituționalitate din 17/2015: “Instituțiile care se ocupă de domeniul securității cibernetice trebuie să fie organisme civile, sub controlul cetățenilor”.

Accesul la platforma natională cu incidente de securitate IT este neclar

Un alt aspect criticat de APTI este „accesul garantat” pe care-l vor avea Serviciile de Informații, MAI, SPP ori MAPN la platforma națională pentru raportarea incidentelor de securitate ciberneticp - PNRISC.

Articolul 19 prevede următoarele:

APTI subliniază că termenii din Art 19 alin 2 si 3 sunt neclari și nu iau în considerare protectia datelor confidențiale trimise de subiecții legii (fie date legate de propriile vulnerabilitate, fie date personale).

O politică de confidențialitate nu poate fi un mecanism de protecție a acestor informații, pentru că DNSC poate redacta această politică după bunul plac. Mai mult, ce treabă ar avea ORNISS sau SPP cu un incident declarat de un furnizor privat?

În opinia noastra alin 2 trebuie reformulat ca ”Autoritățile să aibă acces - pe baza dreptului specific de a avea nevoie conform obligațiilor legale, stabilit in mod precis prin lege - la date statistice sau raporturi anonimizate”.

Alin 3 trebuie reformulat pentru a preciza că scopul acelor norme de confidențialitate este de a proteja datele personale și alte informații nepublice. Mai mult, scopul accesului este limitat la folosirea informațiilor în scopul asigurarii propriei securități informatice.”, susține APTI.

Asociația spune că a trimis observațiile către Minister și că a solicitat o dezbatere publică pe tema proiectului de lege.