Romania Curată

Cinci principii pentru securitatea cibernetică, lansate de ApTI într-o scrisoare deschisă

Asociaţia pentru Tehnologie şi Internet (ApTI) a lansat marţi scrisoarea deschisă în care enumeră 5 principii majore care ar trebui să stea la baza reglementării domeniului securității cibernetice. Aceasta va fi înaintată în cadrul dezbaterii publice organizate de Ministerul Comunicării şi Societăţii Informaţionale în data de 12 februarie.

Scrisoarea este semnată de Asociația pentru Tehnologie și Internet – ApTIAsociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki – APADOR CHAdrian MunteanuAsociația Pentru Minți Pertinente – AMPER şi Centrul pentru Jurnalism Independent – CJI.

ApTI a realizat scrisoarea sub forma unui tabel, în care se pot vedea cu uşurinţă diferenţele dintre propunerea actuală de lege pentru reglementarea securităţii cibernetice şi soluţiile propuse de asociaţie.

Textul integral al scrisorii este disponibil aici.

Ce cuprinde propunerea de lege actuală Ce propunem noi
Practic toate persoanele juridice sunt subiecții legii [1]. Subiecții legii trebuie să fie exclusiv infrastructurile naționale de interes public. Acestea trebuie definite clar prin lege, nu să avem definiții neclare, ca în Anexa II din directiva NIS.
În ciuda principiilor (art. 4 lit. e) [2], sectorul privat este tratat în textul propus ca un simplu raportor de incidente de securitate. Mai mult, furnizorii de servicii de securitate cibernetică sunt obligați să devină niște delatori, având obligația să notifice SRI de posibile amenințări informatice, dar nu au aceiași obligație față de propriul client (art. 20 alin. (1) [3]. La ora actuală sectorul privat are cea mai mare competență în domeniul securității informatice, el trebuie să fie implicat activ în domeniul securității cibernetice (de ex. să fie reprezentat în organele de conducere ale CERT-RO), dar în același timprespectându-se de stat obligațiile sale de confidențialitate față de clienții săi sau datele personale colectate de la persoanele fizice (de ex. un furnizor de servicii de securitate nu ar trebui să poată să trimită o notificare fără acceptul scris al clientului său).
Textul actual nominalizează 12 instituții cu diverse atribuții (art. 9) [4] cu obligația de comunicare reciprocă de date între ele (art. 12 lit. j) [5]. Toate incidentele de securitate cibernetică trebuie raportate (art. 3 lit. m) [6], art. 20 alin. (1) b) [7], art. 24) [8]. Raportarea incidentelor de securitate se va face doar către o singură instituție civilă cu competențe tehnice reale (CERT RO) și doar pentru incidente majore.
Proiectul de lege include o serie de obligații pentru deținătorii de infrastructuri cibernetice (cam orice persoană juridică), ce pot fi contractate către „furnizori de servicii de securitate”. Proiectul este foarte ambiguu cu privire la acești furnizori. În schimb în art. 22 alin. (3) [9] se ascunde o obligație de înregistrare și creare a unui Registrul Furnizorilor de Audit de Securitate Cibernetică, în condițiile unui simplu ordin de ministru. Dacă acești furnizori au un rol important în această lege, rolul lor trebuie precizat clar într-un capitol special. Dacă se cere înregistrarea furnizorilor de servicii de securitate cibernetică pentru a realiza audit, aceste norme trebuie stabilite de lege și nu prin legislație secundară.
Legea include texte din domenii multiple fără o minimă corelare cu actele normative primare:

  • obligații pentru operatorii de date personale, ignorându-se Legea 677/2001, Ordinul 52/2002 al Avocatului Poporului și ANSPDCP
  • obligații pentru furnizorii de comunicații electronice, ignorându-se prevederile Legii 506/2004, OUG 111/2011 și obligații deja existente de la ANCOM de raportare a incidentelor de securitate
  • obligații pentru furnizorii de găzduire (art. 23) [10] care contrazic Legea 365/2002
Toate celelalte obligații de securitate a informației trebuie incluse în legislația sectorială (ex. securitatea datelor personale în legea datele personale, securitatea comunicațiilor electronice în legislația comunicațiilor electronice, furnizorii de găzduire înLegea 365/2002, securitatea instituțiilor subordonate SPP în legislația SPP, etc.)

Poţi semna această scrisoare deschisă şi tu, printr-un comentariu la finalul articolului sau printr-un comentariu pe documentul Google Docs. 

 


Donează și susține-ne acțiunile pentru bună guvernare!

Fondurile colectate susțin bătăliile pe care le ducem în justiție, administrarea aplicației Ia Statul La Întrebări, dar și programele prin care monitorizăm serviciile și instituțiile publice.


Vino în comunitatea noastră de bună guvernare!

Abonează-te la newsletterul România Curată. Vei primi pe e-mail articolele și campaniile noastre și ne poți răspunde la adresa de contact cu sugestii, sesizări sau cu propriile tale articole pentru publicare.

Articole recente

Recomandări

One thought on “Cinci principii pentru securitatea cibernetică, lansate de ApTI într-o scrisoare deschisă

  1. Terzi Petre

    Vad ca stati foarte bine cu teoria. Dar cu practica ? Am sa citez un caz practic.
    In mod frecvent, accesul pe internet incetineste, afisarea devine instabila, si se termina cu blocarea. Folosesc ca antivirus Kaspersky 19,0, si suplimentar o aplictie System Mechanic de la http://www.iolo.com. fenomenul este zilnic in timpul serii, cand apare frecvent o fereastra, de la Script https//static ..xx fbcdn.net/rs..4AL3/yt/l/ro_RO/aeSqll.YZq2js95.
    Dau clik pe „ Stop script „ dar in scurt timp revine fereastra.
    Trebuie sa intrerup navigarea, si sa rulez System Mechanic. care cere timp apreciabil, si restatarea PC.
    Ce pot face sa evit astfel de situatie ?

    Reply

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *