Securitate cibernetică: de la site-uri sub supravegherea serviciilor până la pâra specialiștilor

  • Posted on: 14 November 2022
  • By: Redacția ApTI

O nouă propunere legislativă în domeniul securității informatice impune condiții absurde de notificare în cazul breșelor de securitate pentru categorii extrem de largi de actori privați și alte probleme care ignoră importanța confidențialității.

Ministerul Cercetării, Inovării și Digitalizării a pus în dezbatere publică Proiectul de Lege privind securitatea și apărarea cibernetică a României vineri, 4 noiembrie 2022, la 8 seara. Textul integral al propunerii poate fi consultat aici.

Analiza pe care am făcut-o a scos la iveală toate ingredientele unei legi pe care speri că lumea o va uita până sâmbătă dimineață:

  • măsuri disproporționate pentru categorii largi de actori privați;
  • definiții vagi, neclare sau care contrazic alte legi în vigoare;
  • delațiunea specialiștilor privați, ca procedeu de securizare a Internetului
  • acces sporit si discreționar al serviciilor de informații la problemele de securitate și la datelor persoanelor private;

Am trimis Ministerului observațiile Asociației pentru Tehnologie și Internet, împreună cu cererea de organizare a unei dezbateri publice pe tema proiectului de lege.

Observăm că textul propus dezbaterii publice este aproape identic cu cel făcut public de G4Media în mai-iunie 2022, ca atare ar fi fost de apreciat - pentru o transparența adecvată - să fie precizat exact care a fost parcursul lui de până acum și care sunt de fapt instituțiile care au fost implicate în scrierea acestui text.

De asemenea proiectul pare a susține idei mai vechi prin care “securitatea cibernetica” e un subiect în care doar statul are un interes, iar sectorul privat trebuie sa se supună, nu sa fie un partener egal.

Proiectul pare a eluda că există un interes major pentru securitate informatica atât din partea persoanelor fizice, cît și a persoanelor juridice. Scopul celor două entități diferă, drept pentru care uneori nici nu vrem ca datele protejate și private să fie puse la dispoziția statului. Cu atât mai mult, datele noastre, ale unor persoane private, și securitatea sistemelor pe care sunt stocate, nu trebuie să fie comunicate statului decât ca excepție, decât atunci când există un interes public superior interesului privat în cauză. Aceste aspecte sunt deja definite limitat de directivele NIS1 si NIS2 (ultima încă nu e în vigoare).

Redăm aici argumentele noastre principale. La finalul articolului, puteți găsi PDF-ul cu întreg textul observațiilor, pe care l-am trimis Ministerului.

1. Nu orice site trebuie să fie supus obligațiilor de securitate, doar cele din sectoare esențiale și de la firme mari și mijlocii, conform directivei NIS2

2. Furnizorii de servicii de securitate cibernetică = delatori profesioniști

3. Care sunt, de fapt, sistemele informatice din competența SRI? Le mai poate identifica cineva?

4. Nu trebuie incluse activitățile și sistemele din domeniul civil în domeniul militar

5. Accesul la PNRISC este neclar

6. Să nu facem 7 legi cu 7 obligații de raportare!

7. Dezbatere publică

Atasamente: 

Add new comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.