Albișteanu Mihail și Ivănuță Cristian – întrebare către Ministrul Cercetării, Inovării și Digitalizării -Proiectul de lege privind securitatea și apărarea cibernetică a României

Întrebare adresată: Ministrului Cercetării, Inovării și Digitalizării, domnul Sebastian-Ioan BURDUJA

De către: domnii Albișteanu Mihail, Ivănuță Cristian-Daniel, deputați în circumscripția electorala nr.24 IAŞI

Data: 21.11.2022

Subiectul întrebării: Proiectul de lege privind securitatea și apărarea cibernetică a României

Domnule Ministru,

          În conformitate cu prevederile proiectului de lege privind securitatea și apărarea cibernetică a României, Serviciul Român de Informații va deveni autoritate competentă în domeniul cyber intelligence, desfășurând activități de culegere, procesare, prelucrare analitică, valorificare a datelor, precum și de identificare, cunoaștere și prevenire a atacurilor care reprezintă amenințări la adresa securității naționale. Inclusiv persoanele juridice de drept privat care au în responsabilitate rețele și sisteme informatice prevăzute la art.3 alin.(1) lit.b) și lit. c) din prezentul proiect de lege vor fi obligate, conform dispozițiilor art.20, să notifice incidentele de securitate cibernetică prin intermediul PNRISC în termen de cel mult 24 de ore de la constatarea acestuia sau în cel mult 5 zile de la notificarea inițială, dacă informațiile furnizate inițial nu sunt complete.

          SRI, SIE, STS, MAPN și alte instituții vor avea acces garantat asupra datelor încărcate în PNRISC. Definițiile neclare, vagi, disproporționalitatea măsurilor prevăzute în cadrul acestei inițiative legislative, delațiunea specialiștilor privați sunt doar câteva dintre problemele identificate de Asociația pentru Tehnologie și Internet (APTI). Datele persoanelor private vor fi supuse accesului discreționar și garantat al serviciilor de informații.

          Furnizorii de servicii de securitate cibernetică vor fi obligați ca, în termen de cel mult 48 de ore de la data primirii solicitării din partea SRI, SIE, STS, MAPN, MAI etc., să pună la dispoziția acestora datele și informațiile solicitate. Astfel, doar la solicitarea acestor instituții, furnizorii de servicii de securitate cibernetică vor fi nevoiți să comunice date sensibile, private în legătură cu un client sau cu o întreagă infrastructură. 

          De asemenea, Curtea Constituțională  a statuat că SRI nu ar trebui desemnată autoritate națională în domeniul securității cibernetice deoarece „este structură militară cu activitate în domeniul informațiilor și că există riscul de a deturna scopul legii securității cibernetice în sensul folosirii atribuțiilor conferite prin această lege de către serviciile de informații în scopul obținerii de informații și date cu consecința încălcării drepturilor constituționale la viața intimă, familială și privată și la secretul corespondenței.”  Curtea a constatat că nu pot fi excluse riscurile accesării datelor personale în mod abuziv, lipsind garanția protecției datelor împotriva eventualelor abuzuri.

          Având în vedere cele expuse mai sus:

1.Sunt proporționale măsurile care se doresc a fi implementate, având în vedere că instituțiile prevăzute în această inițiativă legislativă vor avea acces nelimitat și garantat la informații private, sensibile?

          2.Care sunt garanțiile că drepturile constituționale nu vor fi încălcate în mod abuziv, accesul la informațiile respective realizându-se în absența unui mandat judecătoresc? Cum vor fi protejate dreptul la viață intimă, familială și privată și secretul corespondenței în concret? Cine va răspunde în cazul săvârșirii unor abuzuri?

          3. Veți susține implementarea acestor măsuri deși Curtea Constituțională s-a pronunțat în ceea ce privește riscurile?