Comentarii la proiectul de lege privind implementarea Directivei NIS
În 4 aprilie 2018 a fost pe agenda ședinței de guvern proiectul de lege privind implementarea Directivei NIS (Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune).
Directiva NIS (și implementările sale) se adresează, în primul rând, operatorilor de servicii esențiale, care sunt persoane fizice sau juridice de drept public sau privat de tipul celor menționate în anexa legii și care furnizează un serviciu care îndeplinește condițiile prevăzute în lege. Aceste tipuri de activități se referă la sectoarele de energie (electricitate, petrol, gaze naturale), transport (aerian, feroviar, pe apă, rutier), bancar, infrastructuri de piețe financiare, sănătate, furnizarea și distribuirea de apă potabilă și infrastructura digitală (Internet Exchange-uri și DNS). Dincolo de operatorii de servicii esențiale, directiva se mai adresează și serviciilor digitale, mai exact piețelor online (online marketplaces), motoarelor de căutare online și serviciilor de cloud computing, obligațiile acestor operatori fiind, totuși, mai restrânse în comparație cu cele ale operatorilor de servicii esențiale.
Proiectul de lege pentru implementarea directivei urmează, în marea sa majoritate, directiva. Și directiva nu ridică probleme în legătură cu drepturile digitale, nu în ultimul rând pentru că se adresează unor categorii bine definite și relativ restrânse de operatori.
Totuși, desi unele din comentarii noastre din dezbaterea publica au fost acceptate, în proiectul de lege au ramas câteva detalii de implementare care pot duce la probleme mai devreme sau mai târziu, din care doua sunt mai serioase:
1. În Capitolul V – Audit și Autorizare, Secțiunea 1, Art. 32. - (1), se specifică că auditurile de securitate pe care vor trebui să le facă operatorii care cad sub influența legii vor putea fi realizate doar de „auditorii de securitate informatică ce dețin atestat valabil eliberat de către CERT-RO pentru a audita rețele și sisteme informatice ce deservesc servicii esențiale sau servicii digitale în sensul prezentei legi”. În aceeași notă, tot în Capitolul V, la Secțiunea a 2-a, Art. 33. - (1), se specifică și că „Echipele CSIRT (n.a. CSIRT = Computer Security Incident Response Team) care deservesc operatori de servicii esențiale ori furnizori de servicii digitale se autorizează de către CERT-RO în calitate de autoritate competentă la nivel național”. Așadar, se creează niște noi ocupații reglementate.
Prima întrebare care apare este: ce se întâmplă cu auditorii și experții/echipele de experți în securitate informatică din restul UE? Că aceștia nu vor fi autorizați de CERT-RO dar se prea poate să fie mai buni decât cei români. Sau mai ieftini. Sau să aibă cine știe ce alt avantaj competitiv asupra celor din România. Și dacă, poate că cineva ar putea pretinde că auditorii/experții din afara UE nu sunt eligibili (deși s-ar putea ca cei mai buni specialiști în domeniul securității informatice să nu se afle în UE întotdeauna), care ar fi motivația pentru a interzice accesul auditorilor/experților din alte țări UE la această piață de servicii, și pe ce baze?
O a doua problemă este că oamenii se schimbă. Dacă azi angajații CERT-RO care vor lua deciziile privitoare la autorizările auditorilor și experților își fac treaba în mod corect, s-ar putea ca peste un număr de ani alți angajați să poată abuza de aceste atribuții și să ofere un tratament preferențial unor auditori și experți în defavoare altora. În momentul de față nu există nici un mecanism de protecție în textul proiectului de lege pentru a preveni astfel de situații.
2. O altă problemă găsim în Capitolul VII – Supraveghere, Control, Sancționare, Secțiunea 1, Art. 36. - (1) unde aflăm că „[…] personalul de control poate să efectueze acțiuni de control, în cadrul cărora poate să solicite, menționând temeiul legal și scopul solicitării, documentele necesare pentru efectuarea controlului, să ridice copii de pe registre, acte financiar-contabile și comerciale ori alte acte sau documente, în condițiile legii, inclusiv a prevederilor referitoare la păstrarea confidențialității tuturor documentelor și informațiilor primite.”
De ce ar avea nevoie personalul de control CERT-RO de date financiar-contabile, comerciale sau alte acte sau documente? În primul rând, acest tip de liste care se termină cu o formulare de genul „și altele” mai devreme sau mai târziu duce la abuzuri care sunt toate înfăptuite prin intermediul acestui „și altele”. Poate că ar fi util să se specifice mult mai precis exact ce acte și în ce scopuri pot fi cerute în decursul controalelor, altfel se lasă ușa deschisă unor abuzuri care, mai devreme sau mai târziu, vor apărea.
Așadar, textul proiectului de lege pentru implementarea Directivei NIS este pe calea cea bună, dar ar mai fi de rezolvat câteva detalii pentru a avea o lege robustă împotriva unor potențiale abuzuri.
Directiva NIS:
Proiect de lege:
Expunere de motive:
Add new comment