{"id":4888,"date":"2016-02-09T14:51:35","date_gmt":"2016-02-09T12:51:35","guid":{"rendered":"http:\/\/www.apador.org\/?p=4888"},"modified":"2020-08-05T15:50:41","modified_gmt":"2020-08-05T13:50:41","slug":"5-motive-pentru-care-contestam-noul-proiect-de-lege-a-securitatii-cibernetice","status":"publish","type":"post","link":"https:\/\/apador.org\/en\/5-motive-pentru-care-contestam-noul-proiect-de-lege-a-securitatii-cibernetice\/","title":{"rendered":"5 motive pentru care contest\u0103m noul proiect de lege a securit\u0103\u021bii cibernetice"},"content":{"rendered":"

Sorry, this entry is only available in Rom\u00e2n\u0103<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p>

<\/p>\n

\u00cempreun\u0103 cu Asocia\u021bia pentru Tehnologie \u0219i Internet (ApTI) am semnat o scrisoare deschis\u0103 prin care semnal\u0103m, \u00een 5 idei principale, de ce nu suntem de acord cu noul proiect de Lege a securit\u0103\u021bii cibernetice, aflat\u0103 acum din nou \u00een dezbatere public\u0103, dup\u0103 ce precedenta lege votat\u0103 pe ascuns \u00een Parlament anul trecut <\/a>a fost desfiin\u021bat\u0103 de Curtea Constitu\u021bional\u0103.<\/p>\n

\n

5 principii pentru o securitate informatic\u0103 s\u0103n\u0103toas\u0103 pentru \u00eentreaga societate<\/b><\/h2>\n

Scrisoare deschis\u0103<\/i><\/p>\n

Securitatea informatic\u0103 este o problem\u0103 care ne prive\u0219te pe to\u021bi.<\/p>\n

Dar securitatea informatic\u0103 NU \u00eenseamn\u0103<\/b> doar securitatea<\/b> sistemelor informatice care sunt de interes pentru stat<\/b>, ci \u0219i securitatea informa\u021biilor noastre<\/span> electronice<\/b>. Fie c\u0103 vorbim despre securitatea informa\u021biilor personale (ex. date personale, informa\u021bii private) sau de securitatea informa\u021biilor unei companii (ex. liste de clien\u021bi, informa\u021bii confiden\u021biale de serviciu).<\/p>\n

Dar, uneori, informa\u021biile noastre nu trebuie partajate cu statul<\/b>. Fie c\u0103 vorbim despre o anchet\u0103 cu informa\u021bii din surse care nu se fac publice, de baza de date de clien\u021bi ai unei firme sau de chestiuni strict personale ale unei persoane fizice. Deci cu at\u00e2t mai mult securitatea informa\u021biilor noastre nu trebuie s\u0103 fie comunicat\u0103 statului<\/b>, dec\u00e2t atunci c\u00e2nd exist\u0103 un interes public superior interesului privat \u00een cauz\u0103.<\/p>\n

Propunerea legii securit\u0103\u021bii cibernetice<\/a> nu reu\u0219e\u0219te s\u0103 fac\u0103 aceast\u0103 distinc\u021bie \u0219i creeaz\u0103 iluzia c\u0103 am putea fi \u00eentr-o insul\u0103 de siguran\u021b\u0103 informatic\u0103 \u00eentr-un ocean de Internet. Propunem 5 modific\u0103ri de concep\u021bie<\/b> pentru a putea avea un act normativ coerent \u0219i care s\u0103 r\u0103spund\u0103 acestor principii:<\/p>\n\n\n\n\n\n\n\n\n
Ce spune <\/b>propunerea de\u00a0<\/b>lege actual<\/b>\u0103<\/b><\/td>\nCe propunem noi<\/b><\/td>\n<\/tr>\n
Practic toate persoanele juridice sunt subiec\u021bii legii <\/b>[1].<\/td>\nSubiec\u021bii legii trebuie s\u0103 fie exclusiv infrastructurile na\u021bionale de interes public.<\/b> Acestea trebuie definite clar prin lege, nu s\u0103 avem defini\u021bii neclare, ca \u00een Anexa II din directiva NIS.<\/td>\n<\/tr>\n
\u00cen ciuda principiilor (art. 4 lit. e) [2]), sectorul privat este tratat \u00een textul propus ca un simplu raportor<\/b> de incidente de securitate. Mai mult, furnizorii de servicii de securitate cibernetic\u0103 sunt obliga\u021bi s\u0103 devin\u0103 ni\u0219te delatori<\/b>, av\u00e2nd obliga\u021bia s\u0103 notifice SRI de posibile amenin\u021b\u0103ri informatice, dar nu au aceia\u0219i obliga\u021bie fa\u021b\u0103 de propriul client (art. 20 alin. (1) [3]).<\/td>\nLa ora actual\u0103 sectorul privat are cea mai mare competen\u021b\u0103 \u00een domeniul securit\u0103\u021bii informatice, el trebuie s\u0103 fie implicat activ<\/b> \u00een domeniul securit\u0103\u021bii cibernetice (de ex. s\u0103 fie reprezentat \u00een organele de conducere ale CERT-RO<\/i>), dar \u00een acela\u0219i timp respect\u00e2ndu-se de stat obliga\u021biile sale de confiden\u021bialitate<\/b> fa\u021b\u0103 de clien\u021bii s\u0103i sau datele personale colectate de la persoanele fizice (de ex. un furnizor de servicii de securitate nu ar trebui s\u0103 poat\u0103 s\u0103 trimit\u0103 o notificare f\u0103r\u0103 acceptul scris al clientului s\u0103u).<\/i><\/td>\n<\/tr>\n
Textul actual nominalizeaz\u0103 12 institu\u021bii<\/b> cu diverse atribu\u021bii (art. 9 [4]) cu obliga\u021bia de comunicare reciproc\u0103 de date \u00eentre ele (art. 12 lit. j) [5]). Toate incidentele de securitate cibernetic\u0103 trebuie raportate<\/b> (art. 3 lit. m) [6], art. 20 alin. (1) b) [7], art. 24 [8]).<\/td>\nRaportarea incidentelor de securitate se va face doar c\u0103tre o singur\u0103 institu\u021bie civil\u0103 cu competen\u021be tehnice reale (CERT RO)<\/b> \u0219i doar pentru incidente majore.<\/td>\n<\/tr>\n
Proiectul de lege include o serie de obliga\u021bii pentru de\u021bin\u0103torii de infrastructuri cibernetice (cam orice persoan\u0103 juridic\u0103), ce pot fi contractate c\u0103tre \u201efurnizori de servicii de securitate\u201d<\/b>. Proiectul este foarte ambiguu cu privire la ace\u0219ti furnizori. <\/b>\u00cen schimb \u00een art. 22 alin. (3) [9]) se ascunde o obliga\u021bie de \u00eenregistrare \u0219i creare a unui Registrul Furnizorilor de Audit de Securitate Cibernetic\u0103, \u00een condi\u021biile unui simplu ordin de ministru.<\/td>\nDac\u0103 ace\u0219ti furnizori au un rol important \u00een aceast\u0103 lege, rolul lor trebuie precizat clar \u00eentr-un capitol special. Dac\u0103 se cere \u00eenregistrarea furnizorilor de servicii de securitate cibernetic\u0103 pentru a realiza audit, aceste norme trebuie stabilite de lege<\/b> \u0219i nu prin legisla\u021bie secundar\u0103.<\/td>\n<\/tr>\n
Legea include texte din domenii multiple f\u0103r\u0103 o minim\u0103 corelare cu actele normative primare<\/b>:<\/p>\nToate celelalte obliga\u021bii de securitate a informa\u021biei trebuie incluse \u00een legisla\u021bia sectorial\u0103<\/b> (ex. securitatea datelor personale \u00een legea datele personale, securitatea comunica\u021biilor electronice \u00een legisla\u021bia comunica\u021biilor electronice, furnizorii de g\u0103zduire \u00een <\/i>L<\/i><\/a>egea 365\/2002<\/i><\/a>, securitatea institu\u021biilor subordonate SPP \u00een legisla\u021bia SPP, etc.)<\/i><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Prezentul document va fi \u00eenaintat \u00een cadrul dezbaterii publice organizate de MCSI din data de \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a012.02.2015.<\/p>\n

Semnatari – persoane fizice \u0219i juridice<\/i><\/strong><\/p>\n