Acum aproape un an scriam …o propunere trăsnită..: . un corp profesional recunoscut de lege, așa cum este CAFR/CECCAR. Aceasta ar fi abordarea cea mai îndrăzneață pentru o țară ca a noastră.

Am citit DECIZIA nr.17 din 21 ianuarie 2015 asupra obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind securitatea cibernetică a României: (mulțumesc Bogdan)

73.  Potrivit  dispoziţiilor  art.20  alin.(1)  lit.c)  din  lege,  persoanele juridice de drept public sau privat care deţin sau au în responsabilitate ICIN  au obligaţia  să  permită  efectuarea  unor  auditări  de  securitate  cibernetică  la solicitarea motivată a autorităţilor competente. Auditările sunt realizate de SRI sau  de  către  furnizori  de  servicii  de  securitate  cibernetică.  Cu  alte  cuvinte, întrucât  SRI  este  autoritate  naţională  în  domeniul  securităţii  cibernetice,  deci autoritate  competentă,  potrivit  legii,  să  solicite  persoanelor  juridice  de  drept public  sau  privat  care  deţin  sau  au  în  responsabilitate  ICIN  efectuarea  unor  auditări de securitate cibernetică, există posibilitatea reală ca  această instituţie să se afle concomitent în poziţia solicitantului auditului, a celui care efectuează auditul, a celui  căruia i  se  comunică rezultatul auditului  şi, în  fine, în poziţia celui  care  constată  o  eventuală  contravenţie,  potrivit  art.28  lit.e)  din  lege,  şi aplică  sancţiunea,  potrivit  art.30  lit.c)  din  lege.  Or,  o  atare  situaţie  este inacceptabilă  într-o  societate  guvernată  de  principiile  statului  de  drept.
Dispoziţiile  legale  sunt  susceptibile  de  a  genera  o  aplicare  discreţionară,  chiar abuzivă a legii, fiind nepermis ca toate atribuţiile din domeniul reglementat să fie  concentrate  în  sarcina  unei  singure  instituţii.  Curtea  apreciază  că  auditul trebuie  să  fie  efectuat  de  auditori  interni  sau  de  un  organism  calificat independent  care  să  verifice  conformitatea  aplicării  politicilor  de  securitate
cibernetică  la  nivelul  infrastructurilor  cibernetice  și  să  transmită  rezultatul evaluării efectuate autorității competente sau punctului unic de contact.

74.  Pornind de la definiţia noţiunii de „audit de securitate cibernetică”, prevăzută  în  art.5  lit.d),  care  stabileşte  că  aceasta  reprezintă  o  evaluare sistematică,  detaliată,  măsurabilă  şi  tehnică  a  modului  în  care  politicile  de securitate  cibernetică  sunt  aplicate  la  nivelul  infrastructurilor  cibernetice, precum  şi  emiterea  de  recomandări  pentru  minimizarea  riscurilor  identificate, Curtea reţine că, în accepţiunea legii, această auditare presupune doar o evaluare a  politicilor  de  securitate  cibernetică  şi  nicidecum  accesul  la  datele  stocate  în infrastructurile cibernetice.

Cu voință, inclusiv politică, cu mai multă rigoare și profesionalism, lucrurilor li se poate găsi o rezolvare corectă și etică. Cînd însă „rezolvările„ pornesc de la cazuri particulare fără a vedea sistemul în ansamblul său, rezultatul va fi o bălteală continuă.

Din punct de vedere ideatic :), cred că argumentele din această Decizie pot reprezenta declanșatorul pentru reglementarea auditului.

Din punct de vedere pragmatic, prin raportare la vremuri, am mari îndoieli cu privire la rezultatul final :). Este foarte posibil ca acel audit să nu poată fi realizat decît de persoane care au cea mai minunată combinație de certificări din piața locală. Eventual să fie doar unul. The One! 🙂

În vreme ce  Uniunea  Europeană  propune  în  proiectul  de  Directivă  NIS  (Network and Information  System)  ca  instituțiile  care  se  ocupă  de  domeniul  securității cibernetice  să  fie  „organisme  civile,  care  să  funcționeze  integral  pe  baza controlului  democratic,  şi  nu  ar  trebui  să  desfășoare  activităţi  în  domeniul informațiilor”, Parlamentul României acordă acces nelimitat şi nesupravegheat la  toate  datele  informatice  deținute  de  persoane  de  drept  public  şi  privat  unor instituții  care  nu  îndeplinesc  niciuna  din condițiile  de  mai  sus.