Într-un comunicat oficial al Serviciului Român de Informații (SRI), utilitatea și indispensabilitatea adoptării cât mai grabnice a unei asemenea legi trebuie să devină tema unei preocupări majore a tuturor actorilor implicați, deoarece o asemenea lege trebuie cât mai repede adoptată, în interesul apărării securității naționale. „În concordanță cu angajamentele asumate de România la nivel NATO şi UE, SRI, în calitate de autoritate națională în domeniul cyberintelligence (2008), consideră că asigurarea securității cibernetice trebuie să constituie o preocupare majoră a tuturor actorilor implicați, atât la nivel instituțional, unde se concentrează responsabilitatea elaborării şi aplicării unor politici coerente de securitate în domeniu, cât şi la nivelul entităților private interesate de protejarea propriei securități", se arată în comunicatul SRI.

Cadrul constituțional

Deși în această perioadă dezbaterea publică comportă vii dispute și unele temeri nejustificate, trebuie plecat în explicarea fenomenului chiar de la Legea fundamentală și de la eliminarea unor confuzii legate de stocarea informațiilor și interceptarea informațiilor, precum și de la eliminarea confuziei între interceptările din contextul instrucției penale și cele din contextul securității naționale. Astfel, dacă vorbim de necesitatea unor interceptări în timpul instrucției penale, lucrurile sunt simple și bine reglementate, deoarece ele pot fi făcute doar după ce există încuviințarea din partea judecătorului. Dacă vorbim de cadrul siguranței naționale, Constituția României spune la articolul 53 – „Restrângerea exercițiului unor drepturi sau a unor libertăți" că: „Exercițiul unor drepturi sau al unor libertăți poate fi restrâns numai prin lege şi numai dacă se impune, după caz, pentru: apărarea securității naționale, a ordinii, a sănătății ori a moralei publice, a drepturilor şi a libertăților cetățenilor; desfășurarea instrucției penale; prevenirea consecințelor unei calamități naturale, ale unui dezastru ori ale unui sinistru deosebit de grav (alin. 1). Restrângerea poate fi dispusă numai dacă este necesară într-o societate democratică. Măsura trebuie să fie proporțională cu situația care a determinat-o, să fie aplicată în mod nediscriminatoriu şi fără a aduce atingere existenței dreptului sau a libertății (alin. 2)". Cu alte cuvinte, există cadru legislativ și prevederi clare atât pentru cazul instrucției penale, unde interceptările sunt reglementate și de Constituție, dar și de Codul de Procedură Penală, cât și pentru situațiile de apărare a siguranței naționale.

De altfel, SRI reamintește, în comunicatul oficial, grija față de respectarea legii și de aplicarea normelor legale în materie de respectare a vieții private a românilor: „Referitor la unele critici aduse la adresa legii securității cibernetice, SRI își reafirmă preocuparea constantă pentru deplina respectare a cadrului normativ referitor la protecția drepturilor şi libertăților fundamentale ale omului şi acționează permanent pentru protejarea acestora. În acest sens, reiterăm faptul că legea, așa cum a fost adoptată de Parlamentul României, nu permite instituțiilor statului accesul la date care țin de viața privată a persoanelor, fără autorizarea prealabilă a unui judecător. Din această perspectivă, considerăm că temerile, speculațiile şi acuzațiile manifestate în spațiul public sunt lipsite de orice fundament real. Astfel, potrivit art.17 al acestei legi, doar deținătorii de infrastructuri cibernetice (nu persoane fizice deținătoare de echipamente IT&C - computere, tablete, smartphone etc.) au responsabilitatea de a pune la dispoziția autorităților competente (la solicitare motivată) exclusiv date tehnice, cum ar fi indicatorii ce descriu activitățile desfăşurate la nivelul sistemelor de operare (log-uri), cu privire la amenințarea (atac cibernetic, incident de securitate etc.) care face obiectul solicitării".

Legea securității cibernetice, scurt istoric

Legea Securității Cibernetice (numită Legea Big Brother 3) a fost adoptată în 19 decembrie 2014 de Senat și prevede constituirea Sistemului Național de Securitate Cibernetică, coordonarea unitară a activităților acestui Sistem fiind făcută de MAE, MAI, MApN, SRI, SIE, STS, SPP, ORNISS si CSAT. Actul nu a fost promulgat încă de președintele Klaus Iohannis și este atacat în prezent la Curtea Constituțională. Legea stabilește cadrul general de reglementare în domeniul securității cibernetice si obligațiile ce revin persoanelor juridice de drept public sau privat în scopul protejării infrastructurilor cibernetice, inclusiv furnizorii de servicii de internet, prevede obligații privind asigurarea securității sistemelor lor și notificarea clienților în situația unor incidente/atacuri cibernetice și luarea de măsuri pentru a restabili condițiile normale de funcționare.

Un număr de 13 organizații non-guvernamentale au făcut un apel, în 22 decembrie 2014, către președintele Klaus Iohannis, către liderii grupurilor parlamentare, către Înalta Curte de Casație și Justiție și către Avocatul Poporului pentru a sesiza Curtea Constituțională asupra Legii Securității cibernetice, care, în forma adoptată recent de Parlament, ar încălca garanțiile constituționale privind viața privată. Principala problema semnalată de ONG-uri o reprezintă „accesul la date informatice într-un mod extrem de vag pentru foarte multe instituții".

HotNews.ro a solicitat în luna decembrie Avocatului Poporului să spună dacă va sesiza Curtea Constituțională. Răspunsul a venit în luna ianuarie, după ce mai mulți deputați PNL au anunțat ca au sesizat Curtea. „Avocatul Poporului nu a sesizat Curtea Constituționala a României cu privire la neconstituționalitatea Legii privind securitatea cibernetică a României. Curtea Constituțională a fost sesizată cu obiecția de neconstituționalitate a respectivei Legi de către 69 de deputați aparținând Grupului parlamentar al Partidului National Liberal (Dosar nr. 1419A/2014). În aceste condiții, o nouă sesizare a Curții Constituționale cu privire la neconstituționalitatea aceleiași legi nu se mai impunea", a declarat, pentru HotNews.ro, Matei Vîrtosu, purtător de cuvânt al Avocatului Poporului.

SRI vine cu precizări concrete și pertinente

În comunicatul de presă al SRI, precizările, contextul și motivațiile necesității unei asemenea legi sunt cât se poate de clare:
„Până în prezent, în condițiile unui cadru legislativ deficitar în domeniu cyber, SRI, alături de alte instituții responsabile în domeniu, a realizat achiziții semnificative de resurse umane şi materiale, a dezvoltat o serie de proceduri, în acord cu ritmul evoluției tehnologice şi al noilor amenințări asociate acesteia, a consolidat permanent capabilități informative şi operaționale care să permită îndeplinirea cu eficientă a misiunii sale la standarde internaționale de referință.

Experiența acumulată şi rezultatele obținute au condus la validarea instituției noastre ca pilon important în arhitectura de securitate colectivă, prin desemnarea SRI, la Summitul NATO, desfășurat în Ţara Galilor în 2014, drept autoritatea publică a statului român responsabilă cu gestionarea şi implementarea proiectului Fondului NATO de sprijin (Trust Fund) pentru Ucraina în domeniul apărării cibernetice.

În contextul actual al creșterii fără precedent a riscurilor şi amenințărilor cibernetice, considerăm că legea securității cibernetice este indispensabilă obiectivului de a operaționaliza Sistemul Naţional de Securitate Cibernetică şi de a facilita adoptarea unui complex de măsuri corelate cu dinamica accelerată a agresiunilor de această natură.

Ulterior, dacă din evaluarea datelor tehnice obținute preliminar, care restrâng câmpul de investigație, rezultă necesitatea extinderii cercetării asupra unor echipamente implicate în agresiunea cibernetică şi care pot fi asociate în mod absolut concret unor persoane determinate, accesul la aceste echipamente se va realiza numai în baza unei autorizări eliberate de judecător (conform prezentării grafice alăturate, foto secundar, care prezintă schematic modul de parcurgere a etapelor investigative).

Așadar, subliniem în mod responsabil că accesul autorităților competente la un anume echipament IT (computer, tabletă, smartphone etc.), respectiv la datele cu caracter privat stocate pe acestea, care presupune restrângerea exercițiului unor drepturi sau libertăți fundamentale, se poate realiza exclusiv în baza unei autorizații eliberate de judecător.

În același context, în raport cu criticile legate de absența din corpul legii a unor garanții suplimentare privind respectarea drepturilor omului, menționăm faptul că procedura autorizării accesului autorităților competente la date de conținut sau cu caracter personal este deja reglementată, atât în codul de procedură penală, cât şi în legea securității naționale, recent modificate în acord cu cele mai înalte standarde în materie de protecția drepturilor omului, iar preluarea lor repetată în conținutul mai multor legi este în contradicție cu norme imperative de tehnică legislativă".

Contextul euro atlantic

Miniştrii europeni ai Afacerilor Externe se reunesc pentru a-şi exprima hotărârea de a ameliora cooperarea în lupta împotriva terorismului după atentatele de la Paris, dar şi pentru a dezbate situația privind Rusia, care au relații tensionate, în acest context necesitatea reglementărilor în domeniul securității cibernetice fiind încă unul din motivele pentru care România trebuie să se alinieze la noile cerințe euro/atlantice în ceea ce privește întreaga capacitate a unei țări de a preveni atentatele teroriste și de a apăra siguranța națională în context euro-atlantic.

Subiectul a constituit și una din temele discuțiilor prilejuite de vizita la București a subsecretarului de stat american Victoria Nuland, fiind considerat, în cadrul discuțiilor, „un subiect de preocupare comună, pentru că şi România şi SUA şi toate țările europene sunt preocupate de combaterea terorismului, de asigurarea securității naționale, a securității comune".