Curtea Constituțională a României constată în motivarea deciziei din 21 ianuarie prin care a fost declarată ca fiind neconstituțională Legea privind securitatea cibernetică, că, la data soluționării cauzei, „nu există la nivelul Uniunii Europene un act normativ în vigoare cu privire la securitatea cibernetică”.
La începutul motivării, postate marți pe site-ul CCR, judecătorii constituționali arată că, la nivel european, în temeiul art.114 din Tratatul privind funcționarea Uniunii Europene, a fost inițiată procedura legislativă ordinară de adoptare a unei directive privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune — Directiva NIS (Network and Information Security).
Propunerea de directivă a parcurs procedura primei lecturi în Parlamentul European, unde a fost adoptată cu modificări, la data de 13 martie 2014, iar la 10 iunie 2014, Comisia Europeană a exprimat un acord parțial cu privire la modificările Parlamentului.
„Prin urmare, la data soluționării cauzei deduse judecății Curții Constituționale, nu există la nivelul Uniunii Europene un act normativ în vigoare cu privire la securitatea cibernetică”, se arată în motivarea deciziei din 21 ianuarie, prin care a fost declarată ca fiind neconstituțională Legea privind securitatea cibernetică.
CCR reține însă că propunerea de directivă, în forma adoptată de Parlamentul European, conține mai multe dispoziții cu caracter obligatoriu pentru statele membre, dispoziții care ar urma să fie transpuse în legislația națională a fiecărui stat.
Astfel, preambulul directivei NIS prevede că autoritățile competente și punctele unice de contact ar trebui sa fie organisme civile, care să funcționeze integral pe baza controlului democratic, și care nu ar trebui să desfășoare activități în domeniul informațiilor, al aplicării legii sau al apărării și nici să fie legate organizațional în vreun fel de organismele active în aceste domenii.
De asemenea, dispozițiile art.6 din directivă, în forma modificată de PE, prevăd că „(1) Fiecare stat membru desemnează una sau mai multe autorități naționale civile competente în domeniul securității rețelelor și a sistemelor informatice”.
CCR mai spune că, în propunerea de Directivă NIS, nu se prevede dreptul autorităților desemnate de a accesa, la solicitarea motivată, datele stocate în rețelele și sistemele informatice, așa cum prevede art.17 alin.(1) lit.a) din legea supusă controlului de constituționalitate, ci doar obligația de notificare a riscurilor și incidentelor cibernetice (art.14) și de a se supune auditării pentru deținătorii de infrastructuri critice (art.15).
„Astfel, în cazurile în care notificările conțin date cu caracter personal, acestea sunt comunicate doar destinatarilor din cadrul autorităților competente care trebuie să prelucreze aceste date pentru a-și îndeplini sarcinile în conformitate cu un temei juridic adecvat, iar datele comunicate se limitează la ceea ce este necesar pentru îndeplinirea sarcinilor acestor destinatari — art.14 alin.(2a), în vreme ce autoritățile competente sunt împuternicite să solicite operatorilor de piață furnizarea de ‘dovezi privind aplicarea efectivă a politicilor de securitate, precum rezultatele auditului de securitate efectuat de auditori interni, de un organism calificat independent sau de o autoritate națională, și să transmită dovezile autorității competente sau punctului unic de contact’—art.15 alin.(2) din directivă”, se mai arată în motivarea CCR.
De asemenea, art.3 din propunerea de directivă definește noțiunea de operator de piață, ca fiind „un operator al unei infrastructuri care este esențială pentru menținerea activităților economice și societale vitale în domeniile energiei, transporturilor, serviciilor bancare, piețelor financiare, IXP (Internet Exchange points), lanțurilor de aprovizionare alimentara și sănătății, activități a căror denaturare sau distrugere ar avea un impact important într-un stat membru; o listă neexhaustivă a acestor operatori este prevăzută în anexa II, în măsura în care rețeaua și sistemele informatice vizate sunt legate de serviciile esențiale”.
Anexa II la propunerea de directivă — Lista operatorilor de piață, vizează, pe de o parte, platforme de comerț electronic, procesatori de plăți online, rețele de socializare, motoare de căutare, servicii de „cloud computing”, magazine de aplicații online, și, pe de altă parte, domeniile referitoare la serviciile esențiale, precum energie, transporturi, bănci, infrastructuri ale pieței financiare și sectorul sănătății.
Potrivit „Expunerii de motive” la Directivă, se va solicita întreprinderilor din sectoarele critice și administrațiilor publice să evalueze riscurile cu care se confruntă și să adopte măsuri adecvate și proporționate de asigurare a securității cibernetice. Aceste entități vor trebui să raporteze autorităților competente orice incidente care afectează grav rețelele și sistemele lor informatice și care au un impact semnificativ asupra continuității serviciilor critice și a aprovizionării cu bunuri.
Directiva NIS stabilește că microîntreprinderile nu intră sub incidența directivei cu excepția situației în care acestea acționează în calitate de filială a unui operator de piață.
Curtea Constituțională a României (CCR) a publicat, marți, motivarea deciziei din 21 ianuarie prin care a fost declarată ca fiind neconstituțională Legea privind securitatea cibernetică, unul dintre motive fiind lipsa avizului CSAT.
În urma deliberărilor, CCR, cu majoritate de voturi, a admis obiecția de neconstituționalitate formulată de deputații PNL și a decis că legea este neconstituțională în ansamblul ei, reținând că întreg actul normativ suferă de deficiențe sub aspectul respectării normelor de tehnică legislativă, coerență, claritate, previzibilitate, precum și sub aspectul respectării procedurii legislative prin lipsa avizului CSAT, elemente de natură a determina încălcarea art.1 alin. (5) din Constituție, care consacră principiul legalității, și a prevederilor art.119 din Legea fundamentală, referitoare la atribuțiile Consiliului Suprem de Apărare a Țării.
