In contextul atacurilor informatice repetate asupra unor actori statali din Romania in ultimii ani, afirmatii reprezentantului SRI mi se pare extrem de grava. Guvernul si Parlamentul au responsabilitati serioase si imediate pentru a promova o lege sau o ordonanta de urgenta, in caz contrar ele vor fi responsabile de consecintele grave ale atacurilor neraportate si necombatute in retelele informatice ale administratiei centrale romanesti. 

România nu are legislație care să oblige instituțiile și companiile să raporteze incidentele cibernetice, și raportează doar cei care vor, a afirmat, marți, în cadrul unei conferințe de specialitate, Anton Rog, șeful Centrului Național Cyberint din cadrul Serviciului Român de Informații (SRI).

“Această situație (a raportărilor în urma atacurilor cibernetice, n.r.) nu o are nimeni în România dintr-un singur motiv: nu există legislația în România care obligă raportarea unor astfel de incidente. Practic, au raportat doar cei care au dorit. Din zona companiilor publice sau private, și din ce a apărut în presă, am avut cazul spitalului de la Bacău unde datele au fost recuperate într-un procent foarte mare. Celelalte instituții nu au raportat incidentele, fie că au avut copii de siguranță, fie că a fost vorba și despre prestigiu. Vorbim, deci, despre lipsa obligativității la nivel legislativ pentru raportarea incidentelor de tip cibernetic’, a spus Rog.

Conform specialiștilor în domeniu, lucrurile vor evolua din acest punct de vedere, la ora actuală fiind în dezbatere Directiva NIS la nivelul Uniunii Europene (UE) și care nu are niciun fel de legătură cu securitatea națională.

La finele lunii ianuarie 2016, Ministerul Comunicațiilor a lansat în dezbatere publică un nou proiect de Lege privind Securitatea Cibernetică a României, ce a luat în considerare criticile aduse prin Decizia nr. 17/2015 a Curții Constituționale a României (CCR) asupra obiecției de neconstituționalitate a dispozițiilor Legii privind Securitatea Cibernetică a României. În 2015, Curtea Constituțională a României își motiva decizia prin faptul că Legea privind securitatea cibernetică încalcă prevederile constituționale privind statul de drept și principiul legalității, precum și cele privind viața intimă, familială și privată, respectiv secretul corespondenței.

Tot pe parcursul anului trecut, oficiali din Ministerul Comunicațiilor au afirmat, în diverse evenimente publice, faptul că Legea privind securitatea cibernetică a României și, implicit, prevederea referitoare la cartelele prepay, au intrat în circuitul de avizare inter-ministerial.

Nu mai devreme de luna octombrie 2016, ministrul Delia Popescu declara, într-un interviu acordat AGERPRES, că Legea Securității cibernetice necesită, din cauza schimbărilor efectuate la nivelul Guvernului, reluarea pe fluxul de avizare, precum și faptul că, până la finele anului trecut, urma să fie adoptată de Guvern.AGERPRES

La rândul său, ministrul interimar al Comunicațiilor, Augustin Jianu, preciza pentru AGERPRES că Legea securității cibernetice nu se află printre prioritățile sale și că nu va pleca către Parlament și nici nu va fi prezentată în ședință de Guvern, dar în același timp este nevoie de măsuri legislative privind implementarea Directivei NIS — Networking Information Security.

‘Legea securității cibernetice nu este printre prioritățile mele și nu va pleca mai departe către Parlament. Eu nu o voi prezenta în ședință de Guvern. Există o directivă europeană, așa-zisa NIS — Networking Information Security, Directiva 1148/2016 adoptată în Parlament în vara anului trecut. Documentul spune, în linii mari, următoarele: companiile care furnizează servicii esențiale către populație, și aici ne referim la Energie, Transporturi, Utilități, sistemul bancar, sistemul piețelor financiare, trebuie să minimeze riscurile, trebuie să ia niște măsuri interne manageriale și de natură tehnică, astfel încât să diminueze riscul cibernetic. Practic, în planul de afaceri pe care companiile îl vor avea, pe lângă celelalte categorii de riscuri care sunt acoperite prin costuri specifice, cum ar fi riscul de incendiu, trebuie să ia în calcul și riscurile cibernetice. Dacă nu se conformează solicitărilor pe care Parlamentul European și Consiliul European le-au pus în Directivă, atunci riscă o amendă proporțională cu cifra de afaceri anuală’, a explicat Jianu.

Acesta a subliniat, totodată, că nu vede sensul unei Legi a securității cibernetice, din moment ce Directiva NIS are ca scop exact buna funcționare a pieței unice digitale.

La ora actuală, se află în dezbatere publică pe site-ul Ministerului Comunicațiilor și pentru Societatea Informațională (MCSI) prevederile NIS și modalitatea de aplicare a acesteia în legislația românească. Consultarea publică este concretizată prin accesarea unui chestionar ce poate fi completat online cu sugestii și opinii pe acest subiect.

Oficiali din administrația publică, reprezentanți ai Poliției Române și ai furnizorilor de soluții de specialitate din IT și securitate au participat, marți, în cadrul conferinței cu tema ‘Cum ne protejăm de criminalitatea cibernetică?’, organizată la Camera de Comerț și Industrie a României (CCIR).

Iata ce spunea acum putin timp Anton Rog :

4 COMMENTS

  1. In contextul atacurilor cibernetice SRI vrea sa exploateze si mai mult momentul pentru a forta autoritatile ca pe cale legala “monitorizarea” sa fie totala si legala.
    Stiu ca toate institutiile seriose si responsabile s-au supus tuturor recentelor cerinte ale Centrului Național Cyberint in contextul masivelor atacuri cibernetice declansate la inceputul anului trecut.

    • De unde stii ca aceste asa-zise atacuri cibernetice nu au fost opera lor? Asa, ca sa aiba motiv sa se plinga ca legile existente le dau prea putine drepturi de intruziune! E plina ochi istoria de astfel de manevre!

      • Poate da, poate nu insa, tot ei au dat “lovitura” si-n alta parte, in toata lumea larga ? Daaa, istoria e plina ochi. Am impresia c-ai citit in diagonala ce-am scris.

Leave a Reply