Home » Administratie »Media / Tech » Citesti:

Noul proiect de lege a securitatii cibernetice si antreprenoriatul in domeniu

Cristian Driga februarie 1, 2016 Administratie, Media / Tech
2 comentarii 902 Vizualizari

Zilele trecute, MCSI a pus in dezbatere pe site-ul propriu un nou proiect de lege privind securitatea cibernetica a Romaniei  - texte ce se regasesc in format PDF aici: Proiectul de lege si Expunerea de motive iar pentru cei care doresc sa proceseze textul fiind deranjati de documentul PDF scanat pus la dispozitie de minister, este disponibila o versiune HTML destul de buna, generata automat de Google din PDF aici… – prima incercare dupa declararea neconstitutionala a legii anterioare, anul trecut.

De la momentul publicarii au aparuti si primele comentarii si analize ale textului atat in media sociala cat si pe pagini dedicate (Gasiti trei exemple aici, aici si aici ) cu privire la propunere, unele critice, altele identificand elemente pozitive, in opinia mea toate avand ca element comun faptul ca in contextul vietii moderne dependente de sistemele informatice si ale noilor amenintari, avem nevoie de o lege a securitatii cibernetice.

Este punctul de plecare unic iar diferentele de opinii se pot media daca exista vointa si constientizarea faptului ca aceasta lege trebuie sa reziste pe termen lung si sa faca fata neprevazutului, un neprevazut cu care domeniul incidentelor de securitate cibernetica a inceput sa ne obisnuiasca la nivel cotidian.

Evident, societatea civila are ingrijorarile ei, mediul de afaceri ingrijorarile lui, statul prin diversele institutii are grijile proprii pe care le vrea rezolvate prin textul de lege si s-ar putea economisi timp pretios si evita rescrieri ulterioare de lege si declarari de neconstitutionalitate in intreg sau in parte daca consultarea publica este una reala.

Mediul privat ca partener.

Juristul Bogdan Manolea observa in analiza sa pe site-ul Asociatiei pentru Tehnologie si Internet (ApTI), faptul ca sectorul privat este primul interesat sa isi asigure securitatea cibernetica fiind in masura sa vina si cu solutii si ca urmare trebuie sa devina partener, sa i se ia in considerare interesele pentru o lege a securitatii cibernetice eficienta, iar utilizatorii finali (prin modul responsabil in care utilizeaza infrastructurile cibernetice) trebuiesc si ei avuti in vedere de o astfel de lege.

In aceste conditii, este mai necesara ca oricand consultarea publica, grupurile de lucru mixte, solicitarea de opinii si medierea lor, pentru ca legea securitatii cibernetice sa isi implineasca menirea principala, aceea de a institui si asigura un cadru de manifestare si un climat de securitate cibernetica real la nivel national.

Un punct de plecare il poate constitui constientizarea de catre toti actorii a rolului larg, de politica publica, de viziune strategica si de semnal pe care legea trebuie sa il dea, pentru durabilitatea si eficienta demersului. Din acest unghi ne vom referi pe scurt in cele ce urmeaza la principiile care se vor a guverna viitoarea lege.

Sanctiuni VERSUS Co-interesare si Stimulare

Articolul 4 al legii enunta principiile ce stau la baza prezentei legi. In spirit si esenta, principiile, alese si enuntate cu grija, daca se regasesc transpuse in toate articolele legii, cresc sansele ca legea sa fie un o invitatie la implicare pentru toti actorii.

Poate ar fi necesara o revizuire a acestor principii si o mutare de accent al legii in ansamblul sau (pentru a face din mediul privat un interlocutor si un partener favorabil) de pe sanctiuni, pe stimulare si co-interesare.

Astfel, la principii ar putea fi nimerita o adaugire de tipul:

Stimularea si co-interesarea mediului privat in general si a mediului de afaceri, academic si societate civila in particular de a participa la realizarea climatului de securitate cibernetica:

- prin dezvoltarea neingradita de afaceri pe domeniu

- prin dezvoltarea de programe de constientizare si educatie pentru populatie, formare pentru specialisti si instruire pentru operatori, etc.

- prin asigurarea unei guvernante participative, democratice si eficiente a spatiului cibernetic prin cooperarea autoritatilor competente cu sectorul privat; – singura prevedere care se regaseste deja la litera f) a articolului mentionat.

Acest principiu ar asigura, ca viziune pe termen lung, prin dezvoltarea atat a afacerilor cat si a programelor si initiativelor private sau in parteneriat public-privat un ajutor nepretuit statului in asigurarea climatului de securitate cibernetica.

Foarte important, acelasi principiu, transpus in lege ar asigura totodata libertatea societatii de auto-adaptare la noile amenintari si situatii neprevazute ce vor apare cu siguranta si care vor genera cazuri de forta majora in care legea securitatii cibernetice ar deveni o limitare si o povara daca doar impune si pedepseste.

Conditia necesara este aceea de a nu limita sau impiedica ci dimpotriva de a stimula dezvoltarea de afaceri pe domenii cum ar fi activitatea de audit de securitate cibernetica si de oferire a serviciilor aferente de securitate, mai ales ca orice activitate de asigurare a securitatii cibernetice incepe cu un audit, fapt ce include aproape automat “Furnizorii de servicii de securitate” la care se refera Art. 22 aliniatul (1) in categoria celor care realizeaza audit de securitate si care au obligatia inregistrarii la MCSI, conform aliniatului (3) din proiectul de lege.

Nu mai vorbim de obligatia impusa sub sanctiunea amenzii de a raporta autoritatilor incidentele de securitate fara a delimita doar anumite categorii de infrastructuri cibernetice sau anumite categorii de furnizori de securitate care sa aiba aceasta obligatie.

Daca textul legii trece nemodificat sub acest aspect, devine plauzibil urmatorul scenariu privind efectele noii legi asupra climatului de securitate cibernetica din Romania:

In afara de cateva afaceri mari pe domeniu, in rest amenintarea amenzilor va dezvolta pe de o parte o “piata neagra” a securitatii cibernetice acolo unde mediul de afaceri constientizeaza nevoia de autoprotejare dar nu are resurse sa contracteze firmele/auditorii agreati, iar pe de alta, la nivelul vietii de zi cu zi, dincolo de amenzi sporadice platite de unii sau altii, nu vor veni mai multe raportari la autoritatile competente. Insa cu siguranta, cei ce se gandesc sa porneasca o afacere in domeniul asigurarii securitatii cibernetice vor descuraja.

In randul antreprenorilor va fi o degringolada din lipsa de cunoastere pe domeniu,acestia alegand eventual riscul cel mai mic, preferand mai degraba sa nu se mai notifice la Autoritatea pentru Protectia Datelor cu Caracter Personal decat sa deschida o intreaga cutie a pandorei…si pe ansamblu, climatul de securitate cibernetica la nivel national se va inrautati.

Talent si experienta VERSUS Certificari si Inregistrari

Este important de retinut faptul ca in domeniul securitatii cibernetice, nu certificarile si nici chiar renumele companiei de securitate nu pot garanta siguranta unor masuri de securitate sau reusita in a rezolva cu succes un incident (a se vedea un caz recent din Statele Unite ale Americii), ci experienta imbinata cu talentul, elemente pe care mai degraba le gasim la tinerii care vor sa lucreze sau sa porneasca propria afacere in domeniu si carora, prezenta lege sau normele aferente, in lipsa grijei pentru principiul enuntat mai sus, le vor ridica piedici insurmontabile, climatul general de securitate cibernetica avand de pierdut pe termen lung.

Poate ar fi mai nimerit ca inregistrarea la MCSI sa fie una benevola, deschisa oricui doreste sa acceada zona de contracte cu statul pe domeniu sau daca doreste sa aiba o patalama suplimentara la mana prin care arata ca desfasoara “governmental-grade cybersecurity audit services” ), fara a produce blocaje in oferirea de servicii de audit de securitate sau de securitate cibernetica a oricui catre mediul privat.

Ca politica publica, a taia sansele aparitiei de mici afaceri pe domeniu in contextul talentelor tinerilor de la noi si in contextul in care statul nu poate apara toata populatia iar companiile mici nu au posibilitatea de a plati servicii scumpe de securitate, se poate dovedi contraproductiv. Grija deci la delimitarea categoriilor de infrastructuri carora li se aplica prevederile si la delimitarea categoriilor de furnizori de audit si servicii de securitate cibernetica ce au obligatia inregistrarii si pe cea a raportarii catre autoritati, mai ales in contextul in care, asa cum un alt comentariu sublinia, raportul de audit este de obicei confidential si in acest context pastrarea prevederii poate duce la evitarea apelarii la serviciile de audit de securitate. Adica un efect exact pe dos de cum s-a intentionat.

P.S. Inca o observatie in treacat:

Analizand categoriile de subiecti carora li se aplica legea, in speta cei de la Art 2 lit b) – persoanele juridice detinatoare de infrastructuri cibernetice care prelucreaza date cu caracter personal, prin prisma obligatiilor instituite in proiectul de lege de la Art 18 alin (1) literele de la a) la e), nu ma pot opri sa nu remarc faptul ca si la notificarea ca operator de date cu caracter personal la autoritatea competenta obligatiile sunt destul de similare, daca nu chiar aceleasi.

Deci e de analizat si potentiala suprapunere cu reglementarile in materia datelor cu caracter personal deja existente la noi si cu atributiile Autoritatii Nationale pentru Protectia Datelor cu Caracter Personal care, asa cum remarca ceilalti comentatori, nu este mentionata in textul propunerii legislative ca avand vreun rol.

Ai informatii despre tema de mai sus? Poti contribui la o mai buna intelegere a subiectului? Scrie articolul tau si trimite-l la editor[at]contributors.ro



Currently there are "2 comments" on this Article:

  1. Vlad spune:

    Nu exista un punct de vedere unic decat poate intr-o paradigma a ideilor in care libertatea de gandire e vazuta ca un aspect optional.

    Paradigma se construieste in jurul ideei centrale a vietii indisolubil legata de institutii si stat, care incearca sa-si impuna ideile prin practici neloiale, ignorand libertatea oamenilor, dreptul la viata privata, libertatea de constiinta, creand premizele unei societati bazate pe ideologia fascista.

  2. Adrian spune:

    Argumentarea e derizorie: vorbiti de niste principii de guvernare a internetului in conditiile in care internetul nu este facut pentru a fi guvernat. Acapararea internetului de catre politicieni si politica este nu grava, ci de neiertat: internetul e doar o mare retea de calculatoare interconectate, nu este nici un judet al Romaniei, nici o companie de stat sau privata, tarile si guvernele nu au dreptul moral la nici o incercare de a pretinde jurisdictie si reglementare pe internet asa cum nu are dreptul sa intervina intr-o discutie intre babele din parc. Traficul de pe internet e privat, punct la punct (cu exceptiile tehnice in vigoare) si nu e treaba nici unui guvernant. Un guvern poate fi un participant in retea, nu stapanul retelei. Un nume de domeniu gen guv.ro nu confera drepturi mai mari decat altul gen trilulilu.ro, indiferent ce ar crede sysadminul serverului http://www.guv.ro.



Comenteaza:







Do NOT fill this !

Autor

Cristian Driga


Cristian Driga

Cristian Driga este avocat specializat pe domeniul criminalitatii informatice, director executiv al asociatiei Centrul pentru Studiul Criminalitatii Informatice, autor al blogului ... Citeste mai departe


MIHAI MACI – Cel de-al doilea volum din Colectia Contributors.ro

"Atunci când abdică de la menirea ei, școala nu e o simplă instituție inerțială, ci una deformatoare. Și nu deformează doar spatele copiilor, ci, în primul rând, sufletele lor. Elevul care învață că poate obține note mari cu referate de pe internet e adultul de mâine care va plagia fără remușcări, cel care-și copiază temele în pauză va alege întotdeauna scurtătura, iar cel care promovează cu intervenții va ști că la baza reușitei stă nu cunoașterea, ci cunoștințele. Luate indi­vidual, lucrurile acestea pot părea mărunte, însă cumulate, ele dau măsura deformării lumii în care trăim și aruncă o umbră grea asupra viitorului pe care ni-l dorim altfel." - Mihai Maci

E randul tau

Felicitari domnule Damian! cateva comentarii in sustinerea dvs: 1. nationalismul economic actua...

de: Laurentiu Pachiu

la "Naționalism economic cu dezinfectant „Hexi”"

Cauta articole

mai 2016
Lu Ma Mi Jo Vi Du
« Apr    
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Valentin Naumescu – Marile schimbari. Crize si perspective in politica internationala. Editie bibliofila

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro

(An essay by Vladimir Tismaneanu and Marius Stan)