Un proiect de lege aflat, în acest moment, în dezbatere publică ar urma să instituie reguli dure pentru asigurarea „securității cibernetice”. La prima vedere, acest act normativ este absolut necesar întrucât are ca scop protejarea infrastructurii cibernetice a statului român și mai ales a celei utilizate de instituții din domeniul apărării și securității naționale – cea a Ministerului Apărării (inclusiv elementele puse la dispoziția NATO), a Ministerului de Interne, SRI, SIE, STS și SPP.
Totuși, proiectul de lege include, la articolul 19, câteva prevederi care nu mai au legătură doar cu securitatea națională, ci pot afecta viața privată a oricărui locuitor al României.
Articolul 19 precizează următoarele:
“Furnizorii de servicii de găzduire internet care desfăşoară activităţi pe teritoriul României au obligaţia să acorde sprijin autorităţilor competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a actelor de autorizare a restrângerii temporare a exerciţiului drepturilor şi libertăţilor persoanelor, emise de judecător pentru îndeplinirea scopului prezentei legi”.
Același articol 19 subliniază că “furnizorii de servicii de găzduire internet au obligaţia de a înregistra şi stoca date de jurnalizare a activităţilor din sistemele informatice deţinute care fac obiectul actului de autorizare de la alin. (1), pe toată perioada de valabilitate a acestuia”.
De asemenea, “persoanele care sunt chemate să acorde sprijin tehnic la punerea în executare a actelor de autorizare, precum şi persoanele care iau la cunoştinţă despre aceasta au obligaţia să păstreze secretul operaţiunii efectuate, sub sancţiunea legii penale”.
Proiectul de lege nu menționează explicit cine vor fi persoanele „chemate să acorde sprijin tehnic”.
Un indiciu în acest sens este însă oferit de articolul 5 al proiectului de lege, care menționează că “activităţile SNSC (Sistemul Național de Securitate Cibernetică – n.n.) sunt coordonate, la nivel operaţional, de către Consiliul Operativ de Securitate Cibernetică”, iar “coordonarea secretariatului tehnic al Consiliului Operativ de Securitate Cibernetică este asigurată de către Serviciul Român de Informaţii”.
Documentul aflat acum în dezbatere publică indică și cine sunt furnizorii de servicii de internet obligați să colaboreze cu organele statului.
Astfel, noțiunea de „furnizor de servicii de găzduire internet” denumește “orice persoană juridică ce desfăşoară activităţi pe teritoriul României, care pune la dispoziţie infrastructuri cibernetice, fizice sau virtuale, pentru derularea de activităţi şi servicii ale societăţii informaţionale”. Cu alte cuvinte, toate firmele care – fie la serviciu, fie acasă, fie în hoteluri, în aeroporturi sau pe stradă – ne oferă acces la internet sau la e-mail, inclusiv la banalele rețele de socializare, sunt obligate să coopereze cu „organele de urmărire penală”.
Aceleași obligații revin și furnizorilor de internet pentru instituții de stat care au strânsă legătură cu viața privată a românilor, cum ar fi băncile, ANAF sau Casa Națională de Asigurări de Sănătate.
Dacă despre coordonarea tehnică a acestui sistem se spune că va cădea în sarcina SRI, coordonarea “la nivel strategic” va reveni CSAT. Președintele Consiliului Operativ de Securitate Cibernetică va fi consilierul de Securitate Națională al președintelui României, iar vicepreședinte va fi consilierul, tot de Securitate Națională, al premierului.
Alertă roșie pentru atacuri informatice care nu pot fi contracarate
În privința marilor probleme de securitate națională, proiectul de lege menționează că în România se instituie patru nivele de alertă cibernetică: verde, galben, portocaliu și roșu.
Ultimul dintre ele, nivelul roșu, corespunde situațiilor celor mai grave, descrise astfel: “informaţiile disponibile şi evenimentele recente indică un risc iminent de producere a unui incident de securitate cibernetică, fără a fi cunoscut un remediu imediat şi care poate fi fatal pentru una sau mai multe infrastructuri, sau producerea efectivă a acestuia”.
Proiectul de lege publicat acum pe internet, pentru consultare publică, reia un demers legislativ care a eșuat acum trei ani. În România s-a aprobat, la sfârșitul anului 2014, o primă versiune a Legii securității cibernetice, dar ulterior, în ianuarie 2015, CCR a declarat această lege ca fiind neconstituțională.
Apoi, în februarie 2017, ministrul Comunicaţiilor şi Societăţii Informaţionale de la acea vreme, Augustin Jianu, declara că el nu are drept prioritate Legea securităţii cibernetice, întrucât pentru reglementarea acestui domeniu ar fi suficientă doar aplicarea, și în România, a Directivei europene 1148 / 2016, supranumită NIS (Networking Information Security).
Augustin Jianu, socotit la acel moment un tehnocrat, și-a pierdut funcția de ministru în iunie 2017.