Contrar opiniei majoritară exprimată de Curtea Constituțională prin Decizia 70/2023 mie tot nu îmi sînt clare prevederile Legii 58/2023 privind securitatea și apărarea cibernetică a României, precum și pentru modificarea și completarea unor acte normative.

La cursul de drept din anul I am învățat că atunci cînd legiuitorul nu face distincţia între anumite elemente avute în vedere în momentul legiferării, nici cel care citește/aplică legea nu poate realiza această distincţie. La cursurile de audit spun că, ori de cîte ori legea nu îți este clară, „faci ce/cum spune juristul/avocatul„ pentru că auditorul nu interpretează legi ci le aplică.

Dilema de astăzi (una dintre multe altele) pleacă de la următoarea întrebare:

Care sînt autoritățile, instituțiile publice, persoanele fizice și juridice care, aflate în situația

• de a furniza servicii publice ori de interes public și
• de a deține, organiza, administra sau utiliza rețele și sisteme informatice

au obligația de a desemna un „responsabil de securitate cibernetică„? (Art. 42) care are sarcini…limitative/specifice….. lanțului de aprovizionare:

a) stabilirea politicilor, strategiilor și proceselor de management al riscurilor de securitate cibernetică specifice lanțului de aprovizionare;

b) includerea în conținutul politicilor, strategiilor și proceselor existente a cerințelor noi și emergente privind managementul riscurilor cibernetice specifice lanțului de aprovizionare;

c) stabilirea standardelor de management al riscurilor de securitate cibernetică obligatorii pentru autoritățile contractante în cadrul procedurilor de achiziții;

d) stabilirea măsurilor de stimulare (?????) a potențialilor furnizori în cadrul proceselor de achiziții, raportat la nivelul de implementare a practicilor de securitate cibernetică ale acestora;

e) stabilirea metodologiilor și aplicațiilor folosite în evaluarea riscurilor de securitate cibernetică, specifice lanțului de aprovizionare;

f) schimbul de informații cu celelalte instituții referitoare la amenințările, riscurile și vulnerabilitățile de natură cibernetică specifice lanțului de aprovizionare;

g) elaborarea metodologiei de evaluare a nivelului de maturitate și a capacității operatorilor de pe lanțurile de aprovizionare de a realiza managementul riscurilor de securitate cibernetică;

h) colectarea și actualizarea datelor referitoare la eficiența furnizorilor în eliminarea sau diminuarea riscurilor de securitate cibernetică.

Răspunsul este dat chiar de Lege: „persoanele prevăzute la art. 3.„. Notăm că se face referire la TOATE persoanele menționate la Art. 3

Salt la articolul 3:

(1) În domeniul securității cibernetice, prezenta lege se APLICĂ următoarelor:

a) rețelele și sistemele informatice (SIC!) deținute, organizate, administrate, utilizate sau aflate în competența autorităților și instituțiilor publice din domeniul apărării, ordinii publice, securității naționale, justiției, situațiilor de urgență, Oficiului Registrului Național al Informațiilor Secrete de Stat;

b) rețelele și sistemele informatice deținute de persoanele fizice și juridice de drept privat și utilizate în vederea furnizării de servicii de comunicații electronice către autoritățile și instituțiile administrației publice centrale și locale;

c) rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale, altele decât cele prevăzute la lit. a), precum și de persoane fizice și juridice care furnizează servicii publice ori de interes public, altele decât cele de la lit. b).

La litera a) nu sînt menționate ”persoane fizice și juridice” ci ”autorități și instituții publice”!

La litera b) , nu există neclarități de înțelegere, este vorba de furnizorii de servicii de comunicație („provideri de Internet„)

Cu privire la litera c) avem următorul articol din aceeași Lege 58:

Articolul 52

(1) Categoriile de persoane prevăzute la art. 3 alin. (1) lit. c) se stabilesc prin hotărâre a Guvernului, inițiată de MCID, adoptată în maximum 60 de zile de la data intrării în vigoare a prezentei legi.

„Maximum„-ul …..a trecut și abia acum, pe situl MCID este în dezbatere publică un proiect de hotărîre cu privire la acele „persoane„. În Nota de fundamentare se spune:

„Unul dintre principalele avantaje ale acestei reglementări constă în definirea explicită și cuprinzătoare a categoriilor de entități cărora li se aplică legea. Astfel, prin crearea unei liste detaliate a subiecților de drept, proiectul reduce ambiguitatea juridică și asigură o interpretare și aplicare mai uniformă și predictibilă a prevederilor Legii nr. 58/2023„

Aflăm din proiectul de hotărîre că persoanele de la „art. 3 alin. (1) lit. c)„ sînt cele „care se încadrează într-una din următoarele categorii de PERSOANE, care îndeplinesc CUMULATIV următoarele condiții:

a) sunt autorități și instituții ale administrației publice centrale și locale, potrivit prevederilor art. 2 și art. 3 din Ordonanța de Urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare, persoane juridice de drept privat care au statutul de instituție de utilitate publică, astfel cum sunt definite la art. 5 lit. aa), persoane fizice sau juridice cu capital privat care prestează servicii publice, astfel cum sunt definite la art. 5 lit. kk) sau servicii publice deconcentrate, astfel cum sunt definite la lit. ll) din același act normativ;

b) nu fac parte dintre autoritățile și instituțiile publice sau persoanele fizice sau juridice de drept privat prevăzute la art. 3 alin. (1) lit. a) și lit. b), precum și la art. 10 alin. (1) lit. c) din Legea nr. 58/2023 (SIC!)

c) serviciul furnizat de acestea depinde de infrastructuri informatice și de comunicații de interes național, astfel cum sunt definite la art. 2 lit. d) din Legea nr. 163/2021 privind adoptarea unor măsuri referitoare la infrastructuri informatice și de comunicații de interes național și condițiile implementării rețelelor 5G.

Salt la Art. 2 lit. d) din Legea 163/2021:

infrastructura informatică și de comunicații de interes național – infrastructura informatică și de comunicații esențială pentru menținerea funcțiilor vitale ale societății, a sănătății, siguranței, securității, bunăstării sociale ori economice a persoanelor și a cărei perturbare sau distrugere are un impact semnificativ la nivel național ca urmare a incapacității de a menține respectivele funcții;

Pare cunoscută definiția? Este de fapt o adaptare din Legea 225 pentru modificarea și completarea Ordonanței de urgență a Guvernului nr. 98/2010 privind identificarea, desemnarea și protecția infrastructurilor critice:

infrastructură critică naţională, denumită în continuare ICN – un element, un sistem sau o componentă a acestuia, aflat pe teritoriul naţional, care este esenţial pentru menţinerea funcţiilor vitale ale societăţii, a sănătăţii, siguranţei, securităţii, bunăstării sociale ori economice a persoanelor şi a cărui perturbare sau distrugere ar avea un impact semnificativ la nivel naţional ca urmare a incapacităţii de a menţine respectivele funcţii;

Tot din acea lege aflăm și care sînt „funcții vitale – acele servicii care sunt esențiale pentru funcționarea societății, cum ar fi: managementul afacerilor guvernamentale; activitățile internaționale; apărarea națională; securitatea internă; funcționarea economiei și a infrastructurii; securitatea veniturilor populației și nivelul de trai.

Clar?