Camera Deputaților a adoptat luni, pe repede înainte, atât în comisii, cât și în plen, legea securității cibernetice, aprobată recent de Guvern. Asociația pentru Tehnologie și Internet (ApTI) atrage atenția că actul normativ are, spune organizația, "cele trei ingrediente ale unei legi cu potențial de a fi folosită nu doar pentru a proteja, dar și pentru a abuza și intimida": o definiție largă și vagă a celor cărora li se aplică, obligații imposibil de îndeplinit și amenzi usturătoare.
Adoptare in graba, fara dezbatere pe amendamente
Deputatul Cătălin Teniță a semnalat că proiectul a trecut prin comisiile de specialitate în mai puțin de o oră de dezbateri, iar amendamentele depuse au fost respinse fără discuții. Președintele comisiei a lăsat analiza amendamentelor pe seama Senatului, cameră decizională, unde votul era așteptat deja miercuri.
În forma actuală, proiectul de lege prevede obligații draconice pentru sectorul privat de raportare a tuturor incidentelor de securitate, de către toate companiile, indiferent de mărimea sau de gravitatea respectivelor incidente, chiar și a celor minore care nu au niciun impact asupra securității cibernetice a României, în termene extrem de mici (48 de ore).
Teniță compară sancțiunile cu cele din alte domenii cu risc real pentru viață: "Sancțiunile sunt cu mult mai drastice chiar decât în cazul nerespectării normelor de siguranță alimentară sau de protecție a muncii care pot duce la accidente sau la incidente cu multiple victime." El avertizează că amenzile de până la 10% din cifra de afaceri echivalează, în opinia sa, cu o "naționalizare" indirectă a companiilor, care riscă să ajungă în insolvență.
Cine intra sub incidenta legii si ce amenzi risca
Guvernul a extins sfera celor obligați să respecte normele de securitate. Dacă forma inițială viza doar "persoane juridice care desfășoară activități industriale, de cercetare științifică sau furnizează servicii publice ori de interes public", noua variantă, conform Art. 3 (1), include și "persoane fizice și juridice care desfășoară activități cu scop lucrativ și nelucrativ, de cercetare, dezvoltare, inovare și producție în domeniul tehnologia informației și a comunicațiilor, sau furnizează servicii publice ori de interes public".
ApTI subliniază că lista exactă a acestor entități va fi stabilită ulterior prin hotărâre de Guvern, în maximum 60 de zile de la intrarea în vigoare a legii, ceea ce dă autorităților, spune asociația, "mână liberă" să decidă cine intră sub incidența normelor.
Entitățile vizate trebuie să raporteze orice incident de securitate în 48 de ore de la depistare, iar datele despre incidente se păstrează 5 ani. Amenzile, introduse prin Art. 48, sunt gradate astfel:
- 5.000 - 50.000 lei, cu plafon de 200.000 lei în caz de recidivă în 6 luni;
- pentru firmele cu cifră de afaceri netă peste 1.000.000 lei, până la 5% din cifra de afaceri, respectiv 10% la o nouă contravenție în 6 luni.
SRI, campanii de dezinformare si noul cadru institutional
Legea înființează Sistemul Național de Securitate Cibernetică (SNSC), coordonat strategic de Consiliul Suprem de Apărare a Țării (CSAT) și operațional de un organ consultativ (COSC), condus de consilierul prezidențial pe probleme de securitate națională. Serviciul Român de Informații asigură secretariatul tehnic al COSC și devine autoritate competentă la nivel național în domeniul cyber intelligence.
Ca noutate, actul normativ introduce trei amenințări cibernetice pe lista amenințărilor la adresa securității naționale, pentru care se poate institui stare de asediu sau de urgență: atacurile cibernetice asupra infrastructurilor de interes național, acțiunile cu impact asupra rezilienței statului în fața riscurilor hibride și campaniile de propagandă sau dezinformare care afectează ordinea constituțională. Potrivit textului legii, persoanele juridice vizate au obligația de a notifica incidentele prin platforma PNRISC în cel mult 24 de ore de la constatare.










