+ All Categories
Home > Documents > LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica...

LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica...

Date post: 01-Nov-2019
Category:
Upload: others
View: 16 times
Download: 0 times
Share this document with a friend
22
Comentarii la propunerea de lege privind securitatea cibernetică Trimise pe data de 25.02.2016 Înainte de comentariile pe textul legii sunt mai multe aspecte esențiale care rezultă din decizia Curții Constituționale nr. 17/2015 (citată în extenso mai jos) și din proiectul de Directivă Network Information Security (NIS) care trebuie rezolvate la nivel fundamental. Subliniem că textul actual încă suferă de inconsecvență, nerespectând obligațiile de tehnică legislativă (para. 92 – 99 din Decizia Curții Constituționale), iar maniera este neclară și vagă contrazicând în mod flagrant Decizia Curții Constituționale: Detaliem în continuare o listă de 7 chestiuni de neconstituționalitate analizate în Decizia Curții Constituționale nr. 17/2015 și care nu au fost corectate de noua propunere de lege privind securitatea cibernetică: A. Având în vedere faptul că Directiva NIS este aproape adoptată la nivelul UE 1 , nu înțelegem „prioritatea națională” prevăzută în expunerea de motive. Chiar dacă România dorește să adopte un act normativ în acest domeniu înainte de publicarea în Jurnalul Oficial al UE a directivei, măcar ar trebui să urmeze pe cât posibil linia directivei pentru a nu face o nouă implementare care să schimbe cadrul legislativ în mai puțin de 2 ani. B. Conform deciziei CCR, legea trebuie limitată doar la infrastructurile critice: 1 http://www.europarl.europa.eu/news/en/news-room/20160114IPR09801/First-ever-EU-wide-cyber- security-rules-backed-by-Internal-Market-Committee 1 / 22 (59) (…) cadrul normativ într-un domeniu atât de sensibil trebuie să se realizeze într-o manieră clară, previzibilă și lipsită de confuzie, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrariului sau a abuzului celor chemați să aplice dispozițiile legale. (69) Curtea apreciază că obligațiile ce decurg din Legea securității cibernetice a României trebuie să fie aplicabile în exclusivitate persoanelor juridice de drept public sau privat deținătoare sau care au în responsabilitate ICIN (care includ, în baza legii, și administrațiile publice), întrucât numai situațiile de pericol cu privire la o infrastructură de interes național pot avea implicații asupra securității României, (…) Or, dispozițiile legale în forma supusă controlului de constituţionalitate prezintă un grad mare de generalitate, obligaţiile vizând totalitatea deţinătorilor de infrastructuri cibernetice, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice, indiferent de importanţa acestora care poată viza interesul naţional sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproporţionate asupra micilor operatori, cerinţele trebuie să fie proporţionale cu riscurile la care sunt expuse reţeaua sau sistemul informatic în cauză şi nu trebuie aplicat deţinătorilor de infrastructuri cibernetice cu importanţă nesemnificativă din punctul de vedere al interesului general.
Transcript
Page 1: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

Comentarii la propunerea de lege privind securitatea ciberneticăTrimise pe data de 25.02.2016

Înainte de comentariile pe textul legii sunt mai multe aspecte esențiale care rezultă din deciziaCurții Constituționale nr. 17/2015 (citată în extenso mai jos) și din proiectul de Directivă NetworkInformation Security (NIS) care trebuie rezolvate la nivel fundamental.

Subliniem că textul actual încă suferă de inconsecvență, nerespectând obligațiile de tehnicălegislativă (para. 92 – 99 din Decizia Curții Constituționale), iar maniera este neclară și vagăcontrazicând în mod flagrant Decizia Curții Constituționale:

Detaliem în continuare o listă de 7 chestiuni de neconstituționalitate analizate în DeciziaCurții Constituționale nr. 17/2015 și care nu au fost corectate de noua propunere de lege privindsecuritatea cibernetică:

A. Având în vedere faptul că Directiva NIS este aproape adoptată la nivelul UE1, nuînțelegem „prioritatea națională” prevăzută în expunerea de motive. Chiar dacă Româniadorește să adopte un act normativ în acest domeniu înainte de publicarea în Jurnalul Oficial al UEa directivei, măcar ar trebui să urmeze pe cât posibil linia directivei pentru a nu face o nouăimplementare care să schimbe cadrul legislativ în mai puțin de 2 ani.

B. Conform deciziei CCR, legea trebuie limitată doar la infrastructurile critice:

1http://www.europarl.europa.eu/news/en/news-room/20160114IPR09801/First-ever-EU-wide-cyber-security-rules-backed-by-Internal-Market-Committee

1 / 22

(59) (…) cadrul normativ într-un domeniu atât de sensibil trebuie să se realizeze într-o manieră clară, previzibilă și lipsită de confuzie, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrariului sau a abuzului celor chemați să aplice dispozițiile legale.

(69) Curtea apreciază că obligațiile ce decurg din Legea securității cibernetice a României trebuie să fie aplicabile în exclusivitate persoanelor juridice de drept public sau privat deținătoare sau care au în responsabilitate ICIN (care includ, în baza legii, și administrațiile publice), întrucât numai situațiile de pericol cu privire la o infrastructură de interes național pot avea implicații asupra securității României, (…) Or, dispozițiile legale în forma supusă controlului de constituţionalitate prezintă un grad mare de generalitate, obligaţiile vizând totalitatea deţinătorilor de infrastructuri cibernetice, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice, indiferent de importanţa acestora care poată viza interesul naţional sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproporţionate asupra micilor operatori, cerinţele trebuie să fie proporţionale cu riscurile la care sunt expuse reţeaua sau sistemul informatic în cauză şi nu trebuie aplicat deţinătorilor de infrastructuri cibernetice cu importanţă nesemnificativă din punctul de vedere al interesului general.

Page 2: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

C. Definirea ICIN trebuie să fie stabilită în lege și să fie clară și fără echivoc.

D. Notificarea incidentelor de securitate trebuie să fie clar restrânsă la acele categorii deincidente și date care sunt relevante pentru securitatea cibernetică națională.

E. Autoritatea competentă NU trebuie să fie o autoritate din domeniul informațiilor.

2 / 22

(67) Curtea apreciază că modalitatea prin care se stabilesc criteriile în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional şi, implicit, a deţinătorilor ICIN nu respectă cerinţele de previzibilitate, certitudine şi transparenţă. (..) Opţiunea pentru o atare modalitate de reglementare apare cu atât mai nejustificată cu cât într-o materie similară, cea a identificării infrastructurilor critice naţionale, Ordonanţa de urgenţă a Guvernului nr. 98/2010 stabileşte în chiar conţinutul său criteriile intersectoriale de identificare a ICN.

(68) Curtea reţine că atât criteriile în funcţie de care se realizează selecţia infrastructurilor cibernetice de Interes naţional, cât şi modalitatea prin care se stabilesc acestea trebuie prevăzute de lege, iar actul normativ de reglementare primară trebuie să conţină o listă cât mai completă a domeniilor în care sunt incidente prevederile legale.

(75) obligaţia de a notifica imediat, (…) în domeniul securităţii cibernetice cu privire la riscurile şi incidentele cibernetice, Curtea consideră că aceasta ar trebui să stabilească cu exactitate circumstanţele în care este necesară notificarea, precum şi conţinutul notificării, inclusiv tipurile de date cu caracter personal care ar trebui notificate, şi, dacă este cazul, în ce măsură notificarea şi documentele sale justificative vor include detalii privind datele cu caracter personal afectate de un incident specific de securitate (precum adresele IP).

(48) Curtea apreciază că, pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, înfiinţarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor şi reţelelor cibernetice, precum şi a informaţiei, care să constituie punctul de contact pentru relaţionarea cu organismele similare din străinătate [aşa cum prevede art. 10 alin. (4) din lege], inclusiv al cooperării transfrontaliere la nivelul Uniunii Europene, trebuie să vizeze un organism civil, care să funcţioneze integral pe baza controlului democratic, iar nu o autoritate care desfăşoară activităţi în domeniul informaţiilor, al aplicării legii sau al apărării ori care să reprezinte o structură a vreunui organism care activează în aceste domenii.

(51) (...) Or, în condiţiile în care Centrul Naţional de Securitate Cibernetică constituie o structură militară, în cadrul unui serviciu de informaţii, subordonată ierarhic conducerii acestei instituţii, deci sub un control direct militar-administrativ, apare cu evidenţă că o atare entitate nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţă intimă, familială şi privată şi la secretul corespondenţei.

Page 3: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

F. Trimiterea aspectelor majore de reglementare către legislație secundară în contextul încare ele pot aduce drepturilor fundamentale este ilegală.

G. Pentru persoanele care se consideră vătămate trebuie să existe dreptul real și eficient dea te adresa justiției – vezi detalii în para. 81 – 91 din Decizia Curții Constituționale.

În ceea ce urmează, vom oferi în tabelul de mai jos comentarii punctuale pe textul propunerii delege privind securitatea cibernetică. Textele subliniate din partea stângă sunt termenii comentați încoloana din dreapta.

LEGE PRIVIND SECURITATEACIBERNETICĂ A ROMÂNIEI

Trebuie să avem avenție la terminologie folosită– cibernetic nu înseamnă informatic.

Conform DEX98, cibernetică este știința careare ca obiect studiul matematic al legăturilor,comenzilor și controlului în sistemele tehnice șiîn organismele vii din punctul de vedere alanalogiilor lor formale.

Termenul de cibernetică – propus prima datăde Stefan Odobleja sub denumirea de„psihologia consonantistă” - nu se ocupa deobiecte, ci de tipuri de comportamente.

3 / 22

(75) (…) Trimiterea la acte administrative, cu o forţă juridică inferioară legii, într-un domeniu critic pentru securitatea naţională, cu impact asupra drepturilor şi libertăţilor fundamentale ale cetăţenilor, încalcă prevederile constituţionale cuprinse în art. 1 alin. (5) referitoare la principiul legalităţii. O dispoziţie legală trebuie să fie precisă, neechivocă, să instituie norme clare, previzibile, a căror aplicare să nu permită arbitrariul sau abuzul. De asemenea, norma trebuie să reglementeze în mod unitar, uniform, să stabilească cerinţe minimale aplicabile tuturor destinatarilor săi.

(81) Curtea constată că lipsa oricărei prevederi în conţinutul legii prin care să se asigure posibilitatea persoanei ale cărei drepturi, libertăţi sau interese legitime au fost afectate prin acte sau fapte care au ca temei dispoziţiile Legii privind securitatea cibernetică a României de a se adresa unei instanţe judecătoreşti independente şi imparţiale contravine prevederilor art. 1 alin. (3) şi (5), art. 21, precum şi art. 6 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale.

(88) Pentru ca dreptul la un proces echitabil să nu rămână teoretic şi iluzoriu, normele juridice trebuie să fie clare, precise şi explicite, astfel încât să îl poată avertiza în mod neechivoc pe destinatarul acestora asupra gravităţii consecinţelor nerespectării enunţurilor legale pe care le cuprind.

Page 4: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

Art. 1 - (1) Legea stabileşte cadrul juridicprivind organizarea şi desfăşurarea activităţilordin domeniul securităţii cibernetice a Românieişi asigurarea protejării drepturilor şi libertăţilorfundamentale ale cetăţenilor în spaţiulcibernetic.

(2) Securitatea cibernetică este

componentă a securităţii naţionale a Românieişi se realizează prin adoptarea şiimplementarea de politici şi măsuri desecuritate la nivelul deţinătorilor deinfrastructuri cibernetice în scopul cunoaşterii,prevenirii şi contracarării riscurilor şiameninţărilor în spaţiul cibernetic.

Nu există nimic în textul legii la protecțiadrepturilor fundamentale ale cetățenilor înspațiul cibernetic.

Conform Deciziei CCR 17/2015, legea ar trebuisă se refere doar la infrastructuri cibernetice deinteres național.

Art. 2 - Prezenta lege se aplică:a) autorităţilor şi instituţiilor publice,persoanelor juridice deţinătoare deinfrastructuri cibernetice care susțin serviciipublice sau de interes public, ori servicii alesocietăţii informaţionale, a căror afectareaduce atingere securităţii naţionale sauprejudicii grave statului român ori cetăţeniloracestuia;

b) persoanelor juridice, deţinătoare deinfrastructuri cibernetice care prelucrează datecu caracter personal;

c) furnizorilor de rețele publice de comunicațiielectronice și furnizorilor de servicii decomunicaţii electronice destinate publicului;

d) furnizorilor de servicii de găzduire internet;

e)furnizorilor de servicii de securitatecibernetică.

Serviciile societății informaționale (SSI) suntdefinite de Legea 365/2002 – orice site poateintra în această definiție – sunt peste 800 000domenii .ro înregistrate și probabil în jur de 400000 active.

Aceasta înseamnă orice persoană juridică careare un calculator. Există în România peste 1.4milioane de firme înregistrate, probabil cel puținjumătate au un calculator cu date personale peel.

Nu există termenul de „găzduire internet” înlegislația română, sunt incluși în SSI – veziLegea 365/2002 art. 16.

Art. 3 - În sensul prezentei legi, termenii șiexpresiile de mai jos au următoareasemnificatie:a) ameninţare cibernetică - circumstanţă saueveniment care constituie un pericol potențialla adresa securității cibernetice;

Comentariu2: În Directiva NIS „risc” înseamnăorice circumstanță sau eveniment care are unefect negativ potențial asupra securității.Definiția din propunere nu este clară șicorespunde în fapt definiției riscurilor dindirectiva NIS. Introducerea termenilor„circumstanță” și „eveniment”, termeni care nu

2O parte din opiniile tehnice asupra definițiilor și principiilor sunt preluate, cu acordul autorului, de laprof. Adrian Munteanu, care este auditor certificate de sisteme informatice, expert ENISA și predă subiectul"auditul sistemelor informatice" – detalii la https://adimunteanu.wordpress.com/2016/02/11/legea-privind-securitatea-cibernetica-a-romaniei-observtii-punctuale/

4 / 22

Page 5: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

b) alertă cibernetică - semnalare referitoare laun posibil incident de securitate cibernetică;

c) apărare cibernetică - acţiuni desfășurate înspațiul cibernetic în scopul protejării,monitorizării, analizării, detectării, contracarăriiagresiunilor și asigurării răspunsului oportunîmpotriva ameninţărilor asupra infrastructurilorcibernetice destinate apărării naţionale;

d) atac cibernetic - acţiune ostilă desfășuratăîn spaţiul cibernetic de natură să afectezesecuritatea cibernetică;

e) audit de securitate cibernetică - activitateprin care se realizează o evaluare sistematicăa tuturor politicilor, procedurilor și măsurilor deprotecţie implementate la nivelul unei

sunt definiți, în cazul amenințării nu estecorectă. Evenimentul care are ca rezultatîntreruperea funcționării SIUI din cadrul CNASeste amenințare cibernetică?

În cadrul literaturii academice de specialitatespecifică serviciilor IT, bunelor practici (ITIL – ITInfrastructure Library), cadrelor de referință(COBIT5 - poate cel mai cuprinzător cadru dereferință pentru guvernarea și managementulIT), standardelor (seria ISO 27001) - există odistincție clară între „eveniment” și „incident”.Amenințarea este cu siguranță o „acțiune” așacum și „eveniment” este rezultatul unor acțiuni(cu excepția evenimentelor naturale).

Spațiul cibernetic nu înseamnă nimic –cibernetica este o ramură a psihologiei - chiardacă se dorește folosirea termenului de“securitate cibernetică”, nu trebuie folosit în altecontexte, unde terminologia este profunderonată.

Apărarea nu poate fi limitată doar la „acțiuni”, ciimplică și „dispozitive”, „proceduri”, „tehnici”aplicate unui sistem informatic sau/șiinformațiilor procesate, stocate sau caretranzitează sistemul informatic. Definiția, înforma actuală, omite din scopul apărăriiinformațiile. Ce înseamnă „monitorizare”? Existăbază legală pentru „monitorizare”? Dacă în baza„monitorizării”, „contracararea agresiunilor” arimplica atacarea/infectarea „centrului decomandă” al atacatorului, ar fi legal? (avem învedere botnet)

Cine definește dacă ceva este ostil sau nu?

Esența auditului o constituie „independențaauditorului”. Auditul ar trebui să testezeconformitatea (controalele sunt cele pe care

5 / 22

Page 6: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

infrastructuri cibernetice, în vedereaidentificării disfuncţiilor și vulnerabilităţilor şi afurnizării unor soluţii de remediere a acestora;

f) Catalog ICIN - registru de evidenţă ainfrastructurilor cibernetice de interes;

legea le cere) și fondul controalelorminimale/măsurilor de securitate implementate(controalele funcționează așa după cum au fostproiectate).

Art. 2 Directiva NIS: Statele membre se asigurăcă autoritățile competente sunt împuternicite săsolicite operatorilor de piață și administrațiilorpublice:

a să furnizeze informațiile necesarepentru evaluarea securitățiirețelelor și a sistemelor lorinformatice, inclusiv documenteprivind politicile de securitate;

(a) să se supună unui audit desecuritate efectuat de unorganism calificat independentsau de o autoritate națională și săle pună la dispoziție rezultateleacestuia.

Auditorul, în lipsa recunoașterii sale ca profesie,nu va avea răspundere civilă profesională. Nuva putea încheia polițe de asigurare derăspundere profesională dacă nu esterecunoscut.

O soluție în spiritul Directivei NIS ar putea fiînființarea Corpului/Camerei Auditorilor deSisteme Informaționale (auditul nu ar trebuilimitat doar la aspectele ce țin de securitateatehnică. Este posibil ca autoritățile să fieinteresate la un moment dat dacă bugetul alocatpentru asigurarea securității a fost eficientfolosit), pe modelul deja existent în zonafinanciar-contabilă (CAFR).

În acest mod ar fi recunoscută oficial profesia.Pentru a putea fi membri și profesa în România,doritorii ar trebui să fi promovat un exameninternațional care le atestă competențele înmaterie de audit și un examen local care să leateste cunoaștere legislației aplicabilă diferitelorspețe din domeniul IT și cele conexe IT-ului.

Un registru este un document public, accesibiltuturor celor care îl cer și în care se va nota,după cum prevede art. 14 alin. (6) lit. c) și e), înmod detaliat arhitectura și fluxurile de date. Înalte cuvinte acesta devine un “single point offailure”.

6 / 22

Page 7: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

g) cerințe minime de securitate cibernetică -condiţii de natură organizatorică, tehnică sauprocedurată, destinate implementării politicilorde securitate;h) date de jurnalizare - date generate în modautomat de componente software și hardwarecare descriu istoricul acţiunilor ce au loc lanivelul acestora;

i) date tehnice - descriere generală ainfrastructurii cibernetice, rolul șifuncţionalităţile asigurate de aceasta,arhitectura, tipuri și număr de utilizatori, fluxuriinformaţionale susținute, descrierea capacităţiide stocare/prelucrare, fişiere de jurnalizare aevenimentelor ce au loc în sistemele desecuritate software și hardware, sistemele deoperare și aplicațiile software;

j) deţinători de infrastructuri cibernetice -persoane juridice de drept public sau privatcare au calitatea de proprietari, administratorisau operatori de infrastructuri cibernetice;

k) furnizori de servicii de găzduire internet -orice persoană juridică ce desfășoară activităţipe teritoriul României, care pune la dispoziţieinfrastructuri cibernetice, fizice sau virtuale,pentru derularea de activităţi şi servicii alesocietății informaţionale;

Politica de securitate nu este tot o cerințăminimă? Minimal, nu ar trebui ca managementulsă aibă asumate politici de securitate?

Există relativ puține componente software sauhardware care generează „automat” date dejurnalizare la nivel de aplicație și/sau dispozitiv.Iar atunci când sunt generate, aceste date suntminimale.

Din punct de vedere tehnic, pentru a putea figestionată cantitatea de jurnale, cei vizați vortrebui să achiziționeze și implementeze soluțiide tip SIEM și să fie definite tipurile de jurnalece trebuie activate, ce date trebuie colectate, dela ce tipuri de echipamente și perioada deretenție a jurnalelor.

În practică se poate întâmpla să descoperi unincident la momentul t0, iar în urma analizei sărezulte că de fapt incidentul a apărut lamomentul t-10.

Care este diferența între proprietar și operator?Care este documentul juridic care stabilește căcineva este operator? Este o definiție absolutuluitoare - ce înseamnă persoană juridică cedesfășoară activități pe teritoriul României?Amzom AWS și Facebook au activități peteritoriul României prin care pun la dispozițieresurse IT. Și o firmă de închiriat telefoane faceacest lucru. Despre ce vorbim de fapt?

Nu există termenul de „găzduire internet” înlegislația română, sunt incluși în SSI – veziLegea 365/2002 art. 16.

7 / 22

Page 8: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

l) furnizor de servicii de securitate cibernetică -orice persoană juridică ce realizează, învederea protejării infrastructuritor cibernetice,cel puţin una dintre următoarele activităţi:implementare de politici, proceduri și măsuri,auditare, evaluare, testare a măsurilorimplementate, management al incidentelor desecuritate;

m) incident de securitate cibernetică -eveniment survenit în spaţiul cibernetic alecărui consecințe afectează securitateacibernetică;

n) infrastructuri cibernetice - infrastructuri detehnologia informaţiei, constând în sistemeinformatice, aplicaţii aferente, reţele decomunicaţii electronice;

o) infrastructuri cibernetice de interes naţional- infrastructuri cibernetice deţinute depersoane juridice de drept privat, care susţinservicii publice sau de interes public ori serviciiale societăţii informaţionale, sau infrastructuricibernetice deţinute de autorităţi și instituţiipublice, a căror afectare aduce atingeresecurităţii naţionale, sau prejudicii gravestatului român ori cetăţenilor acestuia;

p) politici de securitate cibernetică - principii șireguli generale necesar a fi îndeplinite pentruasigurarea securităţii infrastructurilorcibernetice;

Consultantul persoană fizică implicat îndezvoltarea de politici, proceduri dar pe care nule și implementează, va fi furnizor de servicii? Însituația în care angajatul unui astfel de furnizorva fi și auditor. Cum se rezolvăincompatibilitatea? Altfel spus: organizația poatefi furnizor de servicii, iar unul dintre angajațiînregistrat ca auditor la MCSI? A se vedeaprevederea NIS în legătură cu auditul.

„incident” înseamnă orice circumstanță saueveniment care are un efect negativ real asuprasecurității. Deci conform definiției de aici oscanare de porturi este un incident.

De ce este necesar să spunem că A=B ? Dacăexistă deja infrastructuri de tehnologiainformației, de ce trebuie să le redenumim?Pentru că avem un nou termen pe care vrem săîl impunem numit „cibernetic”?

De ce nu folosim aceeași terminologie în toatălegislația? În Codul Penal e definit în mod clar“sistemul informatic”, care e preluat dinConvenția de la Budapesta din 2001 cu privirela criminalitatea informatică.

Este necesară o terminologie unitară, atât înlege, cât și în corelare cu restul cadruluinormativ.

Avem cel puțin 400 000 de SSI în România.Cum pot să estimeze aceștia dacă afectarea IT-ului aduce atingere securității naționale? Textuleste extrem de vag.

Cine stabilește dacă s-a adus atingeresecurității naționale și cum? Care sunt criteriile?Textul este extrem de neclar.

Politica este un control managerial prin care sestabilesc obiective și se alocă responsabilități.Este responsabilitatea directă amanagementului. Orice audit de securitate artrebui să pornească „top-down”: politici-proceduri/standarde/principii-controale tehnice.

8 / 22

Page 9: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

q) managementul incidentului de securitatecibernetică - ansamblul proceselor ce prevăddetectarea, raportarea, analiza și răspunsul laincidentul de securitate cibernetică;

r) risc de securitate în spaţiul cibernetic -probabilitatea ca o ameninţare să sematerializeze, exploatând o vulnerabilitatespecifică infrastructurii cibernetice;

s) securitate cibernetică - stare de normalitaterezultată în urma aplicării unui ansamblu demăsuri proactive şi reactive prin care seasigură confidenţialitatea, integritatea,disponibilitatea, autenticitatea şinonrepudierea informaţiilor în formatelectronic, precum și rezilienţa și stabilitatearesurselor și serviciilor publice sau private dinspatiul cibernetic;

t) Sistem de Control Industrial - infrastructuri șisisteme informatice de comandă și controlutilizate pentru a automatiza proceseleindustriale;

u) spaţiul cibernetic - mediul virtual generat deinfrastructurile cibernetice, incluzând conţinutulinformaţional, procesat, stocat sau transmis,precum și acțiunile derulate de utilizatori înacesta;

v) vulnerabilitate în spaţiul cibernetic -slăbiciune în proiectarea și implementareainfrastructurilor cibernetice sau a măsurilor desecuritate aferente, care poate fi exploatată decătre o ameninţare.

Directiva NIS: „administrarea incidentului”înseamnă toate procedurile utilizate pentruanaliză, limitare și răspuns în cazul unuiincident;

Directiva NIS: „securitate” înseamnă capacitateaunei rețele sau a unui sistem informatic de arezista, la un nivel de încredere dat, unei acțiuniaccidentale sau răuvoitoare care compromitedisponibilitatea, autenticitatea, integritatea sauconfidențialitatea datelor stocate sau transmiseori a serviciilor conexe oferite de rețeaua sau desistemul informatic respectiv sau accesibile prinintermediul acestora;

Observăm că este totuși folosit sistemulinformatic ca termen. Din nou subliniemprobleme majore terminologice.

Spațiu cibernetic = Internet? Există un motivbun pentru care Internetul nu este definit înlegislația națională sau europeană – pentrurespectarea principiului neutralității tehnologice.

Cum se generează mediul virtual?

Vulnerabilitățile există și în lipsa „slăbiciunilor înproiectare și implemeentare”. Implicit se poateprezuma că orice aplicație conține șivulnerabilități care la momentul lansării în piațăa respectivei aplicații nu sunt cunoscute.Definiția ar trebui tradusă corect și complet dupăNIST 800-100.

Art. 4 - Principiile care stau la baza prezenteilegi sunt:

Principiile trebuie revăzute după standardeleinternaționale – vezi OECD Guidelines for theSecurity of Information Systems and Networks:Towards a Culture of Security.

9 / 22

Page 10: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

a) asigurarea protejării, în spațiul cibernetic, adreptului la viaţă intimă, familială și privată alcetățenilor, în special a datelor cu caracterpersonal gestionate de către detinätorii deinfrastructuri cibernetice;

b) asigurarea securităţii cibernetice prinresponsabilizarea deţinătorilor de infrastructuricibernetice, astfel încât aceștia să evaluezecapabilităţile proprii de securitate cibernetică şinivelul la care se situează;

c) creșterea capacităţii de reacție laincidentele cibernetice și diminuareaimpactului acestora asupra resurselor şiserviciilor infrastructurilor cibernetice prinimpunerea de cerinţe minime de securitatecibernetică și asigurarea reziliențeiinfrastructurilor cibernetice;

d) asigurarea nivelului de încredere necesarpentru dezvoltarea societăţii informaţionale șia mediului de afaceri în spaţiul cibernetic șiasigurarea accesului egal și nediscriminatoriual persoanelor la informaţii și servicii publiceoferite prin intermediul infrastructurilorcibernetice;

e) asigurarea unei guvernanţe participative,democratice și eficiente a spaţiului ciberneticprin cooperarea autorităţilor competente cusectorul privat;

f) cooperarea la nivel naţional, între instituțiilecu competenţe în materie și internaţional, cupersoane juridice de drept public și privat,implicate în asigurarea securitätii cibernetice.

Nimic din acest principiu nu se regăsește înlege. Faptul că este introdus aici nu înseamnănimic. Nu există nimic specific în lege cu privirela raportarea pierderii de date cu caracterpersonal care ar fi fost principalul obiectiv înacest sens.

Mai mult, în domeniul protecției datelor, existădeja o autoritate competentă – ANSPDCP, careare obligații de verificare a securității datelor,conform Ordinul Avocatului Poporului 52/2002privind aprobarea Cerințelor minime desecuritate a prelucrarilor de date cu caracterpersonal.

Faptul că ai obligații de raportare nu creșteîncrederea în Internet!

Cum asigură legea accesul egal șinediscriminatoriu? Prin ce dispoziție?

Nu există nimic în text care să vorbească decooperare reală, degeaba punem principii dacătextul legii este contrar lor.

Cooperarea cu persoane juridice de drept privatnu există în lege.

Art.5(1) La nivel naţional activitatea de realizare asecurităţii cibernetice se organizează și se

E o informație gresită. Realizarea securitățiicibernetice pe calculatorul propriu o face fiecareși este descentralizată. La fel se întâmplă și în

10 / 22

Page 11: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

desfașoară în mod unitar, potrivit prezenteilegi.

(2) În acest scop, cooperarea în domeniu seorganizează ca Sistem Naţional de SecuritateCibernetică, la care participă autorități șiinstituții publice cu atribuții și responsabilităţipotrivit dispoziţiilor prezentei legi.

(3) În exercitarea comptetențelor, autoritățile șiinstituțiile publice cooperează cu sectorulprivat şi cu mediul academic, asociaţiileprofesionale și organizaţiileneguvernamentale.

cadrul unei firme sau în cadrul unei asociații.

Poate vreți să vă referiți la realizarea securitățiicibernetice la nivelul ICIN – atunci da, se poatediscuta să existe o organizare unitară, dar cadesfășurare e tot descentralizată.

Deci cooperarea există doar între autoritățilestatului – contrazice principiul de mai sus.

Cum? Concret? Ce vrea sa spună acest articol?

Art. 7 (5) În cadrul lucrărilor Consiliului Operativ deSecuritate Cibernetică pot prezenta puncte devedere cu privire la problemele aflate peagenda de lucru, reprezentanţi ai furnizorilorde servicii de securitate cibernetică, aimediului academic, ai entităților de tip CERTprivate și ai altor instituţii publice.

(6) În exercitarea atribuțiilor sale, ConsiliulOperativ de Securitate Cibernetică analizeazăşi evaluează starea securităţii cibernetice,formulează și înaintează Consiliului Supremde Apărare a Țării propuneri privind:

a) măsuri de armonizare a reacţiei autorităţilorcompetente ale statului în situațiigenerate deameninţări și atacuri cibernetice, care necesităschimbarea nivelului de alertă cibernetică;

b) solicitarea, în caz de necesitate, deasistenţă din partea altor state sau organizaţiiși organisme internaționale;

c) modalitatea de răspuns la solicitările deasistenţă adresate României din partea altorstate sau organizaţii și organismeinternaționale;

d) planuri sau direcţii de acţiune, în funcţie deconcluziile rezultate și evoluţia spatiului

Deci firmele – producători de soluții desecuritate nu pot participa.

Este nevoie să clarificați la ce tipuri de solicitărivă referiți. Dacă toate solicitările pe securitatecibernetică a țării merg pe la COSC și CSAT osă fim cea mai lentă țară care răspunde la astfelde solicitări.

11 / 22

Page 12: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

cibernetic;e) direcţii de dezvoltare sau programe deinvestiţii în domeniul securităţii cibernetice.

Trebuie adăugat la litera e) faptul că se referă laICIN.

Art.8 - Pentru realizarea securităţii cibernetice,Consiliul Operativ de SecuritateCiberneticăcooperează cu organismele de coordonaresau de conducere constituite, la nivel naţional,pentru managementul situaţiilor de urgenţă, aacţiunilor in situaţii de criză în domeniul ordiniipublice, pentru prevenirea și combatereaterorismului şi pentru apărarea națională.

Dar niciodată cu sectorul privat?

Art.9 - Pentru asigurarea securităţiicibernetice, instituțiile publice din Româniaauatribuţii după cum urmează:

a) Ministerul Comunicaţiilor și pentruSocietatea informaţională, cu rol de autoritatede reglementare şi control al implementăriimăsurilor privitoare la asigurarea securităţiicibernetice, cu excepţia instituţiilor prevăzutela lit. d) şi e);

b) Centrul Naţional de Răspuns la Incidente deSecuritate Cibernetică, desemnat punctnaţional de contact cu entitățile de tip CERTnaţionale şi internaţionale și autoritatecompetentă pentru coordonarea activităţilor îndomeniul securității cibernetice ainfrastructurilor cibernetice, altele decât celemenționate la lit. c), d) și e);

c) Serviciul Român de informaţii, prin CentrulNaţional de Securitate Cibernetică, desemnatautoritate competentă pentru coordonareaactivităților în domeniul securităţii ciberneticeorganizate și desfăşurate la nivelulinfrastructurilor cibernetice de interes naţional,cu excepția infrastructurilor cibernetice deinteres naţional aflate în administrarea sauresponsabilitatea celorlalte autorităţi prevăzutela lit. d) şi e);

d) Autoritatea Naţională pentru Administrare șiReglementare în Comunicaţii, desemnatăautoritate competentă pentru coordonareaactivităților în domeniul securităţii cibernetice a

MCSI nu are suficient personal care să facăacest control și nici nu poate avea – nimeni nuîți face control pe securitate informatică și eplătit cu 1600 de RON pe lună.

Dacă vorbim de cooperare ar fi bine ca CERT-ulactual să devină într-adevăr o instituție civilă –vezi detalii în comentariul nostru din iunie 2015 -https://www.apti.ro/sites/default/files/Opinia%20ApTI%20securitate%20cibernetica%20iun%202014.pdf

Acest aspect este neconstituțional conformDeciziei CCR 17/2015.

Deja reglementat prin OUG 111/2011. Ce aduceîn plus această mențiune?

12 / 22

Page 13: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

furnizorilor de rețele publice de comunicaţiielectronice sau furnizorilor de servicii decomunicaţii electronice destinate publicului;

e) Ministerul Apărării Naţionale, MinisterulAfacerilor Interne, Oficiul Registrului Naţionalal Informaţiilor Secrete de Stat, AutoritateaNaţională pentru Admninistrare șiReglementare în Comunicaţii, Serviciul Românde Informaţii, Serviciul de Informații Externe,Serviciul de Telecomunicaţii Speciale șiServiciul de Protecţie şi Pază sunt autorităţiresponsabile de securitate cibernetică cu rol înstabilirea de structuri şi implementarea demăsuri proprii privind coordonarea şi controlulactivităţilor referitoare la asigurarea securităţiicibernetice pentru infrastructurile cibernetice,inclusiv infrastructurile cibernetice de interesnaţional, aflate în domeniul lor de activitate șiresponsabilitate.

Observăm că dacă este vorba de instituțiilesubordonate sunt suficiente reglementăriinterne.

Mai exact care sunt aceste infrastructuricibernetice de interes național? Legea esteneclară și imprecisă. Mai mult, directiva NISprevede analiza și identificarea acestora șiefectuarea unui studiu (vezi paragrafele legatede articolele 3a(1) și 3a(2) dinhttp://www.consilium.europa.eu/en/press/press-releases/2015/12/pdf/st15229-re02_en15_pdf/

Art. 10 - Cerinţele minime de securitatecibernetică și politicile de securitatecibernetică pentru infrastructurile ciberneticede interes naţional se stabilesc de MinisterulComunicațiilor și pentru SocietateaInformaţională, cu sprijinul autorităţilorprevăzute de art. 9 lit. b) - e), prin normelemetodologice de aplicare ale prezentei legi.

Stabilirea acestor aspecte prin normemetodologice este contrară Deciziei CCR17/2015.

Art.11(1) Autoritatea Naţionată pentru Administrareși Reglementare în Comunicaţii stabileștecerinţele minime de securitate ciberneticăpentru infrastructurile cibernetice, care sunt încompetența sa, conform art. 9 litera d).

(2) Ministerul Comunicaţiilor și pentruSocietatea Informaţională stabileşte cerinţeleminime de securitate cibernetică pentruinfrastructurile cibernetice, aflate în aria decompetență a autorităţilor prevăzute la art. 9lit. b).(3) Fac excepţie de la prevederile alin. (1) și(2) infrastructurile cibernetice de interesnațional.

Există deja – decizia ANCOM nr. 512/2013.

Are competențele tehnice MCSI să facă acestlucru? Realmente, nu să le primească de la alteautorități.

Art.12(1) Autorităţile prevăzute de art. 9 lit. b) - e) auurmătoarele obligaţii:

a) să adopte planuri de acţiune

13 / 22

Page 14: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

corespunzătoare fiecărui nivel de alertăcibernetică;

b) să asigure, în cazul instituirii unui nivel dealertă cibernetică, sprijinul pentruimplementarea măsurilor aferente deţinătorilorde infrastructuri cibernetice;

c) să asigure colectarea notificărilor şievaluarea datelor și informaţiilor cu privire laincidente și atacuri cibernetice la adresainfrastructurilor cibernetice, aflate în domeniullor de competenţă, activitate sauresponsabilitate;

d) să notifice deţinătorii de infrastructuricibernetice aflate în domeniul de competenţă,activitate sau responsabilitate cu privire laincidente de securitate cibernetică sauvulnerabilităţi şi atacuri cibernetice identificatela nivelul acestora;e) să coordoneze managementul incidentelorde securitate cibernetică identificate în cadrulinfrastructurilor cibernetice aflate în domeniullor de competenţă;f) să acorde sprijin deţinătorilor deinfrastructuri cibernetice din zona decompetenţă, activitate sau responsabilitatepentru adoptarea de măsuri reactive de primăurgenţă pentru remedierea efectelorincidentelor de securitate cibernetică;g) să desfăşoare activităţi de informare șicomunicare publică;h) să organizeze sesiuni de formare și instruireîn domeniul securităţii cibernetice, pentruîmbunătăţirea capacităţilor deţinătorilor deinfrastructuri cibernetice;i) să organizeze sau să participe la exerciţiinaționale de securitate cibernetică;

j) să coopereze și să-și comunice reciprocdate referitoare la securitatea cibernetică,inclusiv către celelalte autorităţi şi instituţiipublice sau deţinători de infrastructuricibernetice;

k) să solicite convocarea Consiliului Operativde Securitate Cibernetică, potrivit propriilorcompetenţe, inclusiv pentru ridicarea niveluluide alertă cibernetică.

Ce înseamnă măsuri aferente?

Pentru o mai bună transparență, ar trebui săexiste obligația publicării unui raport anual.ANCOM deja o face.

La ce “date referitoare la securitateacibernetică” ne referim? Că a apărut unransomware periculos? Sau că site-ul MCSI afost infectat ? Ambele intră în definiția propusă.Deci date referitoare la securitatea ciberneticăsunt trimise de la autorități la orice SRL? Cum?Când? De ce?

14 / 22

Page 15: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

(2) Autorităţile prevăzute la alin. (1) potconstitui structuri specializate în realizarea deaudit de securitate cibernetică și pot constituiși operaţionaliza structuri specializate desecuritate cibernetică de tip CERT.

Este ilegal conform Deciziei CCR 17/2015 – nupoți îndeplini dubla calitate de auditor șiautoritate. Dacă nu este auditor, ce înseamnăstructuri de tip CERT?

Art.14(1) În procesul identificării infrastructurilorcibernetice de interes naţional, deţinătorii deinfrastructuri cibernetice au obligaţia de afurniza autorităților de la art. 9 datele şiinformaţiile necesare pentru întocmireaCatalogului ICIN.

(2) La propunerea autorităţilor prevăzute la art.9 literele b) - e), Ministerul Comunicațiilor șipentru Societatea Informaţională întocmeșteCatalogul ICIN.

(3) Se exceptează de la prevederile alin. (1) şi(2) infrastructurile cibernetice de interesnaţional care stochează, procesează sautransmit informaţii clasificate, deţinute,administrate sau utilizate de persoanelejuridice de drept public sau privat, care secentralizează la nivelul Oficiului RegistruluiNaţional al Informaţiilor Secrete de Stat.

(4) Infrastructurile cibernetice de interesnaţional prevăzute la alin. (3) se comunicăCentrului Naţional de Securitate Cibernetică,cu excepţia celor constituite la nivelulAutorităţilor Desemnate de Securitate, caredeţin Structuri Interne INFOSEC acreditatepotrivit prevederilor legate în vigoare.

(5) Deţinătorii de infrastructuri cibernetice deinteres naţional prevăzuți la art. 9 litera c)trebuie să notifice Centrul Naţional deSecuritate Cibernetică, în termen de 10 zile,cu privire la orice modificare intervenită înstatutul juridic al infrastructurilor cibernetice de

Vorbim probabil de cel puțin jumătate de milion de firme care au un calculator. La asta se referă legea?

Și dacă nu vor să furnizeze, ce sancțiune vaexista? Răspundere civilă delictuală?

Responsabilitatea pentru întocmirea registruluiva reveni MCSI care trebuie să facă CatalogulICIN. Acest catalog este în mod logic este undocument public, accesibil tuturor celor care îlcer și în care se va nota, după cum prevede art.14 alin. (6) lit. c) și e), în mod detaliat arhitecturași fluxurile de date. Nu putem decât săconcludem încă o dată că este o demostrațiegenială de “single point of failure”.

Ce înseamnă acronimul Autorități Desemnatede Securitate și ce rol are?

Ce înseamnă structuri interne INFOSEC? Nuexistă în lege.

Care prevederi legale? Neprecizarea acestorprevederi este împotriva Deciziei CCR 17/2015.

Care este relevanța modificării statului juridic?Dacă un asociat dobândește 0.001% dincapitalul social, de ce este relevant pentruCNSC? Cu ce protejează mai bine securitateacibernetică?Deci orice modificare în configurația

15 / 22

Page 16: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

interes naţional, respectiv în configuraţiaacestora.

(6) Informaţiile necesare pentru întocmireaCatalogului ICIN trebuie să cuprindăurmătoarele:a) descrierea generală a infrastructurilorcibernetice de interes naţional;b) rolul și funcţionalităţile asigurate deinfrastructurile cibernetice de interesnational;c) arhitectura infrastructurilor cibernetice deinteres naţional;d) tipuri și număr de utilizatori;e) fluxuri informaţionale susţinute, precum şidinamica datelor stocate/prelucrate,capacitatea de stocare/prelucrare.

infrastructurii trebuie notificată? Inclusivadăugarea unui utilizator este o modificare!

În unele cazuri fluxul se schimbă zilnic. Cum dăde exemplu Vodafone SRL spațiul de stocare șiprelucrare?

Art. 15 - Pentru derutarea procesului deidentificare a infrastructurilor cibernetice deinteres naţional, deţinătorii de infrastructuricibernetice, sub coordonarea autorităţilorcompetente, vor evalua măsura în careinfrastructurile cibernetice proprii seîncadrează în cel puţin una dintre următoarelecategorii de potențiale infrastructuri ciberneticede interes național:

a) infrastructuri cibernetice destinate susţineriiactului de guvernare;

b) infrastructuri cibernetice destinate susţineriiadministrației publice;

c) infrastructuri cibernetice destinate susţineriiserviciilor publice;

d) infrastructuri cibernetice prin intermediulcărora se asigură accesul cetăţenilor și amediului de afaceri la servicii publice;

e) infrastructuri cibernetice destinate susţineriifuncţiilor de apărare, ordine publică, justiţie șisecuritate naţională;

Articolele 15-16 sunt vagi și inutile. DirectivaNIS vine cu un exemplu excelent în careidentifică în mod clar cine pot fi aceste ICIN.Cum adică sub coordonarea autorităților? Nu ede fapt o autoevaluare?

Definițiile sunt extrem de largi. Serviciul publiceste un concept mai incert decât credeți (veziRevista Transilvană de Ştiinţe Administrative,VIII, 2002, pp. 51-60).

Într-un sens larg cuprinde toate instituțiile deînvățământ – publice și private. Aceasta artrebui să fie ICIN?

Orice calculator prin care eu mă conectez la unserviciu public este o astfel de infrastructură.Propunerea de lege se referă și la acest fel decazuri?

16 / 22

Page 17: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

f) infrastructuri cibernetice destinatetranzacţiilor economice și financiar-bancare;g) infrastructuri cibernetice de tip Sistem deControl Industrial; h) infrastructuri cibernetice care asigurăsupraveghere, sesizare, avertizare și alertă;i) infrastructuri cibernetice care asigură serviciide securitate cibernetică;j) infrastructuri cibernetice care asigurăcomponenta națională destinată cooperării încadrul NATO, UE sau al organizaţiilor la careRomânia este parte;k) infrastructuri cibernetice pentru navigaţie,radiolocaţie și identificare;l) infrastructuri cibernetice care susţintransmisia sau retransmisia serviciilor deprograme de televiziune sau radiodifuziune;m) infrastructuri cibernetice utilizate de cătrefurnizorii de servicii poștale.

Art.16(1) Evaluarea potenţialului impact asuprasecurității infrastructurilor cibernetice princompromiterea confidenţialităţii, integrităţii,disponibilităţii, autenticității sau a non-repudierii datelor, resurselor și serviciilor serealizează pe baza următoarelor criterii:

Criteriile sunt extrem de subiective – legea nueste deloc predictibilă – vezi Decizia CCR nr.17/2015.

Art.17(1) Sistemul Naţional de Alertă Ciberneticăeste un ansamblu organizat de măsuri tehniceși procedurale destinate prevenirii şicontracarării activităţilor de natură să afectezesecuritatea cibernetică la nivel naţional.(2) În cadrul Sistemului Naţional de AlertăCibernetică, stările de ameninţarereflectăgradul de risc pentru securitatea cibernetică șisunt identificate prin niveluri de alertăcibernetică. Acestea pot fi instituite pentruîntreg teritoriul naţional, pentru o zonăgeografică delimitată, pentru un anumitdomeniu de activitate sau pentru una sau maimulte persoane juridice de drept public sauprivat. (3) Instituirea nivelurilor de alertă cibernetică,precum și trecerea de la un nivel la altul seaprobă de către Consiliul Suprem de Apărarea Țării, la propunerea Consiliul Operativ deSecuritate Cibernetică.

(4) Deţinătorii de infrastructuri cibernetice auobligaţia să sprijine autorităţile competentepentru implementarea măsurilor

Cum se poate stabili unde începe județul Dolj șiunde se termină pe Internet?

Cum se pot ataca acestea? - vezi decizia CCR

Și dacă nu se întâmplă implementarea, cesancțiuni există?

17 / 22

Page 18: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

corespunzătoare fiecărui nivel de alertăcibernetică.

(5) Personale juridice de drept public sauprivat deţinători de infrastructuri cibernetice deinteres naţional elaborează planuri de acţiuneproprii, corespunzătoare fiecărui nivel dealertă cibernetică, pe care au obligaţia să lepună în aplicare la instituirea unui nivel dealertă cibernetică.(6) La modificarea nivelului de alertăcibernetică deţinătorii de infrastructuricibernetice de interes național au obligaţiainformării deîndată a Centrului Naţional deSecuritate Cibernetică cu privire la gradul deafectare a infrastructurii cibernetice și măsurilepreconizate.

Art.18(1) Deţinătorii de infrastructuri ciberneticeprevăzuţi la art. 2, lit. a) - c) adoptă măsuriorganizatorice și tehnice pentru:a) evaluarea infrastructurilor ciberneticedeţinute în vederea susținerii demersurilor deîntocmire a Catalogului ICIN;b) elaborarea și implementarea de politici șiplanuri de securitate cibernetică, curespectarea cerinţelor minime de securitate;c) managementul incidentelor de securitatecibernetică;d) prevenirea accesului neautorizat lainfrastructurilor cibernetice;e) garantarea diseminării datelor deţinute lanivelul infrastructurilor cibernetice exclusivpersoanelor autorizate să cunoască conţinutulacestora.(2) Faţă de cele prevăzute la alin. (1),deţinătorii de infrastructuri cibernetice deinteres naţional adoptă, suplimentar, măsuriorganizatorice și tehnice pentru:a) implementarea unui sistem de managemental riscului;b) elaborarea de planuri de acţiune pe niveluride alertă cibernetică;c) auditarea nivelului de securitate ciberneticăa infrastructurilor cibernetice de interesnațional.

Acestea nu se pot face cu costuri 0, cum esteprevăzut în expunerea de motive. Deasemenea punctele b și c nu asigură scopullegii – faptul că ai o politică de securitatecibernetică nu te ajută cu nimic concret și nu îțigarantează ca vei proteja datele cetățenilor.

Auditarea se face anual, lunar sau zilnic?

Art.20(1) Deţinătorii de infrastructuri ciberneticeprevăzuți la art. 2 lit. a) - c) au următoareleobligaţii:a) să asigure implementarea cerinţelor minime

Obligațiile sunt exagerate față de scopul urmărit.

18 / 22

Page 19: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

de securitate cibernetică;b) să notifice deîndată autoritatea competentăcu privire la incidentele de securitatecibernetică identificate;c) să se asigure că datele şi/sau informaţiilereferitoare la configurarea și protecţiainfrastructurilor cibernetice sunt diseminateexclusiv persoanelor autorizate să leCunoască;d) să nu permită accesul la datele de conţinutdin infrastructurile cibernetice deţinute sauaflate în competenţă, în lipsa unei înștiinţăriscrise din partea autorităţilor abilitate, privindexistenţa unei autorizaţii emise de judecător,în condiţiile legii;e) să gestioneze incidentele de securitatecibernetică;f) să nu afecteze, prin acţiunile proprii,securitatea altor infrastructuri cibernetice.(2) Față de cele prevăzute la alin. (1),deţinătorii de infrastructuri cibernetice deinteres naţional au, suplimentar, următoareleobligaţii:a) să efectueze auditări de securitatecibernetică, anual sau când este necesar;b) să constituie structuri sau să desemnezepersoane responsabile privind coordonareaactivităților de securitate cibernetică;c) să transmită autorităţilor competente copiedupă rapoartele de audit de securitatecibernetică și date privind evoluțiile îndomeniul securităţii cibernetice la nivelulinfrastructurilor cibernetice deținute, trimestrialși ori de câte ori li se solicită;d) să elaboreze și să transmită autorităţiicompetente planuri de acţiunecorespunzătoare fiecărui nivel de alertăcibernetică, pe care au obligaţia să le pună înaplicare la instituirea unui nivel de alertăcibernetică;e) să transmită autorităţilor competente datereferitoare la rezultatele măsurilor decontracarare a incidentelor de securitatecibernetică aplicate.

Pentru clarificarea textului este nevoie deștergerea următoarelor cuvinte: „înștiințări scrisedin partea autorităților abilitate, privind existețaunei”. Este nevoie de mandatul judecătorului.Punct. Nu să existe doar o înștiintare că acestaexistă.

Ce sunt datele privind evoluțiile în domeniulsecurității cibernetice? Adică numărul de atacurisau ce? Sunt date statistice?

Obligația aceasta presupune angajarea a celpuțin 2-3 oameni care să facă doar asta.

Art.21(1) Furnizorii de servicii de comunicaţiielectronice destinate publicului au obligaţia dea-şi notifica utilizatorii și abonaţii de îndată ceau fost sesizaţi de autoritatea competentă, darnu mai târziu de 24 de ore din momentul încare au fost sesizaţi de autorităţile competentepotrivit prezentei legi, cu privire la situaţiile în

Din sintagma „dar nu mai târziu de 24 de ore”rezultă că autoritățile competente au cunoștințăcă sistemul a fost compromis înainteadeținătorului sistemului.

19 / 22

Page 20: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

care sistemele informatice utilizate de aceștiaau fost implicate în atacuri cibernetice și de arecomanda măsurile necesare în vederearestabilirii condiţiilor normale de funcţionare.(2) Notificarea prevăzută la alin. (1) serealizează în scris, prin mijloaceelectronice,sau prin orice altă modalitate stabilită princontractul de furnizare de Servicii.

Art.22(1) Furnizorii de servicii de securitatecibernetică ce desfășoară activităţi pe teritoriulRomâniei au obligaţia să notifice autorităţilecompetente, deîndată dar nu mai târziu de 24de ore, cu privire la identificarea unorameninţări sau vulnerabilități critice a cărormanifestare poate afecta infrastructuracibernetică a deținătorului sau a unor terți.

(2) Notificarea prevăzută la alin. (1) serealizează în scris, prin mijloace electronicesau prin orice altă modalitate stabilită decomun acord.

(3) Furnizorii de servicii de securitatecibernetică care realizează audit de securitatepentru infrastructuri cibernetice de interesnaţional au obligaţia de a se înregistra laMinisterul Comunicaţiilor și pentru SocietateaInformaţională, potrivit normelor aprobate prinordin al ministrului, care stabilesc condiţiilepentru înregistrarea și radierea acestora dinRegistrul Furnizorilor de Audit de SecuritateCibernetică.

Ce sunt vulnerabilitățile critice?

Deci practic trebuie să notifice autoritatea, darnu clientul? Și dacă clientul nu este dinRomânia? Și dacă clientul nu dorește caamenințarea să fie notificată către statul român?

Directiva NIS:Statele membre se asigură că administrațiilepublice și operatorii de piață notifică autoritățiicompetente incidentele care au un impactsemnificativ asupra securității serviciiloresențiale pe care le furnizează.

Dacă se dorește acest lucru, atunci trebuie olege separată și nu o decizie a MCSI – vezidecizia CCR.

Art.23(1) Furnizorii de servicii de găzduire internetcare desfășoară activităţi pe teritoriulRomâniei au obligaţia să acorde sprijinautorităţilor competente, respectiv organelorde urmărire penală, pentru punerea înaplicare, potrivit legii, a oricărui act deautorizare a restrângerii temporare aexerciţiului drepturilor și libertăţilorpersoanelor, emis de judecător.(2) Furnizorii de servicii de găzduire internetau obligaţia de a înregistra și stoca date de

Articolul acesta nu are nicio legătură cu restul legii – este plasat aici în mod bizar și neclar – dacă el are vreun scop, atunci trebuie precizat din start. Propunem ștergerea lui integrală pentru că nu este corelat cu restul actului normativ.

20 / 22

Page 21: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

jurnalizare a activităţilor din sistemeleinformatice deţinute care fac obiectul actuluide autorizare de la alin. (1), pe toată perioadade valabilitate a acestuia.(3) Persoanele care sunt chemate să acordespriijn tehnic la punerea în executare a actelorde autorizare, precum și persoanele care iaula cunoștință despre aceasta au obligaţia săpăstreze secretul operațiunii efectuate, subsancţiunea legii penale

Art. 24 – (1) Notificarea incidentelor desecuritate cibernetică se transmite înmodalitatea stabilită de autoritatea competentăşi trebuie să conţină, în mod obligatoriu,următoarele elemente:

a) elementele de identificare aleinfrastructurii cibernetice afectate;

b) descrierea incidentului;

c) perioada de desfăşurare aincidentului;

d) impactul incidentului.

(2) Pentru gestionarea incidentelor desecuritate cibernetică, deținătorii deinfrastructuri cibernetice pot solicita sprijinulfurnizorilor de servicii de securitate ciberneticăsau al autorităților prevăzute de art. 9 lit. b) -e), potrivit competențelor acestora, cărora lepot pune la dispoziție date tehnice referitoarela incidentele şi atacurile cibernetice pe care legestionează, cu asigurarea anonimizăriidatelor cu caracter personal deţinute.

(3) Datele tehnice transmise în condițiileprevăzute la alin. (2) nu vor conţine:

a) informații clasificate;

b) date care pot aduce atingeredrepturilor şi libertăţilor cetăţeneşti oriintereselor legitime ale unor terţe entităţiimplicate.

În mod normal aceasta ar trebui să fie doarpentru ICIN.

Anonimizarea datelor trebuie să fie ireversibilă,iar cuvântul deținute trebuie înlocuit cu„conținute în date tehnice”.

La ce date se referă propunerea de lege?

Și atacatorul este o terță entitate implicată șiare interese legitime...

Art. 27 – (1) În situaţia în care în cadrulactivităţilor de management al incidentului desecuritate cibernetică sunt identificateinformaţii sau fapte care pot indica săvârşireaunei infracţiuni care vizează infrastructuricibernetice este obligatorie sesizareaorganelor judiciare.

(2) Autoritatea competentă are obligaţia

Orice atac informatic este o faptă penală. Seștie foarte bine că firmele private au reticențe –din motive multiple – să raporteze toateatacurile la poliție, iar articolul acesta este unelement în plus pentru a face legea neaplicabilă.

Pe de o parte o să existe un număr de mii decereri către procurori, care vor fi suprasolicitațide cazuri cu autori necunoscuți.

21 / 22

Page 22: LEGE PRIVIND SECURITATEA CIBERNETICĂ A ROMÂNIEI privind proiect lege securitate... · cibernetica este o ramură a psihologiei - chiar dacă se dorește folosirea termenului de

să sprijine activităţile derulate de organele decercetare penală pentru investigareainfracţiunilor ce vizează sistemele informaticeaparţinând unor infrastructuri cibernetice aflateîn competenţa acesteia.

Pe de altă parte trebuie să ne reamintim cădintr-un anumit moment procesul penal devinepublic și deci toată lumea va ști de ataculasupra unei anumite firme.

Art. 28 – În baza notificărilor primite şi arezultatelor propriilor activităţi de identificare aameninţărilor, riscurilor şi vulnerabilităţilor laadresa securităţii cibernetice, autorităţilecompetente emit înştiinţări adresate, după caz,publicului, altor autorităţi competente saudeţinătorilor de infrastructuri cibernetice aflaţiîn aria de competenţă, cu privire laevenimente sau stări de fapt care afecteazăsecuritatea cibernetică a României.

Înștiințările ar trebui să fie publice.

Art. 29 – (1) Apărarea cibernetică cuprindeansamblul de măsuri şi activităţi adoptate şidesfăşurate de autorităţile cu atribuţii îndomeniul apărării ţării şi securităţii naţionalepentru protejarea infrastructurilor ciberneticedestinate apărării naţionale şi a infrastructurilorcibernetice naţionale care susţin activităţileNATO şi UE.

(2) Infrastructurile cibernetice destinateapărării naţionale şi măsurile privind apărareacibernetică a acestora se stabilesc la intrareaîn vigoare a prezentei legi şi se actualizeazăperiodic prin hotărâre a Consiliului Suprem deApărare a Ţării.

Ce este o infrastructură care susține activitateaUE? Firma românească care administreazăportalul de date al Comisarului de Mediu UEeste în această categorie? De ce?

CAPITOLUL VII - DISPOZIŢII FINALE Vezi decizia CCR – măsurile ce afecteazădrepturile fundamentale trebuie reglementateprin lege.

Susținători

Asociația pentru Tehnologie și Internet Centrul pentru Jurnalism IndependentActiveWatchAsociația Pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH)Centrul pentru Inovare PublicăAsociația Miliția SpiritualăCentrul de Resurse Juridice

București, 25.02.2016

22 / 22


Recommended