Propunerea de OUG privind Directoratul Național de Securitate Cibernetică (DNSC) - o nouă struțo-cămilă birocratică cu efecte perverse?

  • Posted on: 4 December 2020
  • By: Bogdan Manolea

Update 8 decembrie - pina la urma proiectul nu a fost adoptat de Guvern din motive neclare. Update 8 december - this draft OUG was not adopted in the end by the Governmet, for unclear reasons.

Updated on 6 December with the English translation below,

 

De atâtea ori am auzit în ultimele luni de ce e crucial să fie schimbat CERT.ro cu DNSC, incât aproape devenisem optimist că ar putea avea un act normativ modern de vreme ce lucrează la el de atâta vreme. Așteptam anunțul de dezbatere publică a unui proiect de lege. Mare greșeală.

Pentru cei care nu citesc în mod curent site-ul SGG-ului (mai precis https://sgg.gov.ro/new/wp-content/uploads/2020/12/OUG-3.pdf ) nu au cum sa știe ca de fapt Guvernul are o propunere de un nou OUG pentru crearea acestui fabulos DNSC. Pentru a fi adoptată astăzi, 4 decembrie 2020. L-am copiat la finalul documentului, că există șanse să dispară...

Pentru ca este urgent (deși NU este!), reacționam rapid după o lectură lapidară:

1. Nu e nevoie de OUG.

Nu este nimic urgent, nu este nimic critic, fără de care se moare-n spitale. Iepurele legislativ a fost scos din pălărie ca de fiecare dată când guvernul crede că este urgent că așa vrea el. Atât.

2. Iarăși fără dezbatere publică

Normele de dezbatere publică din Legea 52 si normele de transparenta sunt bune doar de clamat în dezbaterile electorale. Pe site-ul ADR sau CERT.ro sau Ministerul Transporturilor nu a fost niciodată postat niciun draft al acestui act normativ. Mult-laudatul Consiliul Naţional pentru Transformare Digitală a fost sarit din schema. Iarăși. Măcar în 2015-2016 s-au mimat mai bine aspectele de consultare publică.

3.Struțo-cămila.

DNSC este un panaceu pentru securitatea cibernetica românească. Strategie, reglementare, aplicarea reglementării, control, certificare, autorizarea certificatorilor, evaluarea securității unor tehnologii, cercetare, educare, crearea de firme pentru toate acestea (curat liberal, coane Orban!), inclusiv furnizare de produse și servicii de securitate cibernetică. (oare acestea din urmă vor fi verificate de laboratoarele care sunt acreditate de însuși furnizorul? Sic!). Și nici măcar nu le-am enumerat pe toate.

Nici nu știu cum sa comentez – baleiez între incompetenta legislativă funcțională, idealism benevolent si tendințe despotice. Depinde cine o sa fie șeful....

4. Coada la certificare pentru orice produs și serviciu de securitate cibernetică

Citiți aici:

Produsele și serviciile de securitate cibernetică utilizate în cadrul rețelelor și sistemelor informatice sunt testate, evaluate și certificate de operatori economici care au calitatea de laboratoare civile autorizate.

Funcționarea laboratoarelor civile autorizate ce efectuează activități de testare, evaluare și certificare a securității cibernetice a produselor și serviciilor care sunt utilizate în cadrul rețelelor și sistemelor informatice, este condiționată de obținerea unei autorizații prealabile din partea DNSC”

Deși citează Regulamentul UE 2019/881 au pierdut esența – certificarea este acolo un proces pur voluntar, iar legea română pare a impune un sistem obligatoriu extrem de greoi și birocratic. Deci opusul.

Testarea, evaluarea și certificarea tuturor produselor și serviciilor de securitate cibernetică in cadrul unor laboratoare naționale care trebuie să fie autorizate de către DNSC este în cel mai bun caz o utopie (hei, haveibeenpwned.com? Fuga la coada de la DNSC sau blocheaza IP-urile de România) iar în cel mai rău caz un proces birocratic, care va face mai bun să îți incorporezi firma ce produce astfel de servicii în Bulgaria.

Sau in varianta optimistă va fi considerat o încălcare a normelor UE de libertate de prestare a serviciilor digitale.

Asta îmi aduce aminte de ideea “corpului auditorilor” din propunerea din 2016 și de zvonurile legate de interesele economice în a crea o piață închisă (curat liberal, coane Orban!) pentru anumite firme prietene. Adică, o nouă sinecura.

În același timp propunerea poate să aibă sens daca limitezi aplicarea la sistemele informatice ale serviciilor esențiale și o faci voluntară.

5. Vreți să controlați hostingul?

Una din atribuții adaugă în mod bizar si lacunar: “Îndeplinește atribuțiile de autoritate națională pentru furnizorii de servicii de găzduire/hosting.

În mod bizar pentru ca nu există nicio atribuție de “autoritatea națională” pentru acești furnizori. De fapt ei sunt încadrați in categoria mai larga de furnizori ai societății informaționale si sunt reglementați in legea 365/2002, iar principiul de baza este cel de libertate de prestare a serviciilor.

Dar daca DNSC vrea de fapt să devină Cenzorul care să le dea găzduitorilor indicații ce este legal și ce nu?

Pentru că tare îmi e teama că asta ar fi de fapt și poate are de a face si cu celebrele “upload filters” și o nouă reglementare – în proces de a fi adoptata – la nivelul UE – vezi draft Terrorist Content Online Regulation (TCO) si în romana pe site-ul ApTI.

În final, pentru a vedea și partea bună – propunerea este departe de legea securistoidă a securității cibernetice declarată neconstituțională în 2015 și de propunerea subsecventa din 2016, (apropo, au dispărut pe site-ul MCSI!) dar ultimele 2 puncte de mai sus ne arată ca idei proaste din aceste legislații cumva repar în formule puțin modificate.

Iar apariția surprinzătoare cu o zi înainte de alegeri, lipsa de transparența și refuz la orice dezbatere nu poate face decât să întărească suspiciunile oricui cu privire la adevăratul scop.

 

*English translation*

 

The Emergency Ordinance proposal for a National Cybersecurity Directorate (DNSC) - a new bureaucratic deformity with perverse effects?

In the last few months, I have heard so many times that it is crucial to change CERT.ro to DNSC. I heard it so many times that we were almost optimistic that we could have a modern normative act, especially because it has been in the making for quite some time now. We were waiting for the public consultation notice for a new legislative proposal. Big mistake. 

For those who don’t get frequent updates from the Romanian Government’s Secretariat (SGG), it will come as news that the Government has a new Emergency Ordinance proposal for creating DNSC. The Emergency Ordinance was to be adopted on 4 December 2020. You can see the attached document, as it might disappear from the website. 

Because it labelled as an urgent procedure (and it is not!), here is a rapid reaction from a skimming through the document:

1. There no need for an Emergency Ordinance

There is nothing urgent, essential and an absolute priority. This type of fast track legislative initiative is brought forward every time the Government thinks something is urgent, without having a solid ground. 

2. No public consultation. Again

As we’ve seen so far, the public debate and transparency rules according to law 52/2003 seem to be useful only for electoral debates. No draft law was published on the Romanian Agency for Digitisation website, CERT.ro or the Ministry of Transport. The praised National Council for Digital Transformation was also not consulted. Again. At least in 2015-2016 public transparency issues were better mimicked

3. A new bureaucratic deformity

DNSC is seen as a panacea for Romanian cyber security. It deals with the strategy, regulation, application, control, certification, authorizing certification, security evaluation, research, education, creating companies for all these services (in the true liberal spirit, Mr. Prime Minister Orban!), including providing cyber security products and services (how many of these will be checked for compliance in labs that are accredited by the provider itself? sigh!). And these are not all. 

I am not sure how to comment. I am oscillating between legislative incompetence, benevolent idealism and despotic tendencies, depending on who is going to the boss...

4. Queue for certifying any cyber security product or service

Check this out:

“The cybersecurity products and services used for information networks and services are tested, evaluated and certified by economic operators that act as authorised civil laboratories.

The functioning of authorised civil laboratories that test, evaluate and certify cybersecurity products and services used in information networks and services is conditioned to obtaining a prior authorization from DNSC.”

Although the draft law cites EU Regulation 2019/881, all the essence from the European Regulation on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification is lost. In the wording of this Regulation, certification is a purely voluntary process. In contrast, the Romanian draft law seems to impose a complex and bureaucratic mandatory certification system. 

Testing, evaluating and certifying all cybersecurity products and services in national labs authorised by DNSC is a utopia at best (Psst, haveibeenpwned.com! Run for the DNSC queue or start blocking Romanian IP addresses) and a bureaucratic process at worst, that will trigger establishing cybersecurity companies in Bulgaria.  

Or in the optimistic version, it will be considered a violation of EU market freedom rules for digital services. 

This reminds me of the “body of auditors” proposal from 2016 and the rumours around the economical interests in creating a closed market (in the true liberal spirit, Mr. Prime Minister Orban!) only for some friendly companies. In other words, a sinecure or a pushover job.

At the same time, the proposal might make sense if you limit it only for essential information system services and you make it voluntary. 

5. Are you trying to control hosting providers?

One of the attributions that is weirdly and vaguely thrown in there is: “Fulfils the attributions of a national authority for hosting service providers.”

This is weird because there hasn’t been any attributions of a “national authority” for hosting service providers. In fact, they are more broadly labelled as information society service providers and are regulated by law 365/2002, based on the economic freedom principle.

But what if DNSC actually wants to become the Censor which decides what is legal for providers to do or not do?

I have the hunch that this might be the case. I also believe that this might also have something to do with the famous “upload filters” and yet another regulation - pending adoption at EU level (see the draft Terrorist Content Online Regulation (TCO) and information in Romanian here). 

Finally, on the bright side, the proposal is far from the cybersecurity law which was declared unconstitutional in 2015 and its sister proposal in 2016 (by the way, the proposals are no longer available on the Ministry for Communications website!!), but the last two points above show us that bad ideas from these previous cybersecurity proposals re-emerge in slightly modified versions. 

The sudden publication of this proposal one day before the parliamentary elections, the lack of transparency and the refusal of any public debate can only reinforce suspicions around its true intentions.

Atasamente: 

Add new comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.