A. Principiile securității informatice - de la stat la privat

Securitatea informatică este o problemă care ne privește pe toți. Dar securitatea informațiilor noastre electronice înseamnă nu doar securitatea statului, ci și securitatea informațiilor personale (ex. date personale, informații private) sau de securitatea informațiilor unei companii (ex. liste de clienți, informații confidențiale de serviciu). Care uneori nu trebuie să fie știute de stat.

De aceea propunem 5 principii pe care propunerea de lege actuală nu le respectă:

1. Trebuie să fie clar cui se aplică legea, nu definiții vagi care bagă toate persoanele juridice în aceiasi oală. Noi credem că subiecții legii trebuie să fie exclusiv infrastructurile naționale de interes public (ca în propunerea de directivă europeană).

2. Sectorul privat are cea mai mare competență în domeniul securității informatice, el trebuie să fie implicat activ dar în același timp respectându-se de stat obligațiile sale de confidențialitate față de clienții săi sau datele personale colectate

3. Raportarea incidentelor de securitate se va face doar către o singură instituție civilă cu competențe tehnice reale (CERT RO) și doar pentru incidente majore.

4. Dacă se creează categoria “furnizorilor de servicii de securitate” care trebuie să fie înregistrați undeva, atunci toate detaliile trebuie reglementate prin lege și nu printr-o legislație viitoare secundară și neclară - ei trebuie să aibă obligații clar stipulate prin lege de a-și proteja clienții in primul rând și nu să devină delatori ai statului.

5. Toate celelalte obligații de securitate a informației trebuie incluse în legislația sectorială

Vezi documentul integral cu motivațiile și posibilitatea de a susține aceste principii pe privacy.apti.ro sau pe documentul de pe Google Docs -

B. Efectul legii asupra sectorului privat - birocrația securistică

Mai adaug o chestiune aici ca sa punctez ca noul proiect de lege are de fapt un efect nociv mai mare asupra sectorului privat digital, decat al drepturilor fundamentale - in comparatie cu vechiul proiect.

Astfel- dupa cum cititorii bine informați ai blogului o știu foarte bine - orice serviciu pe Internet (de la o pagina de e-commerce, un site de știri sau serviciu online) intra în categoria “serviciilor societatii informationale)".

Asta inseamna ca toti furnizorii de servicii digitale cel putin vor trebui să:

- notifice orice incident de securitate cibernetică identificat catre o autoritate a statului (art 20 1) b)

- elaborareze și implementeze politici și planuri de securitate cibernetică, cu respectarea cerinţelor minime de securitate - art 18 1) b)

- adopte măsuri tehnice și organizatorice pentru managementul incidentelor de securitate cibernetică; art 18 1) c)

De fapt daca intrepretam in mod cinic definitia de la art 2 o), ar putea sa fie toate infrastucturi critice de interes national (ICIN). Daca vreuna din firme e declarata ICIN, atunci o sa fiti obligati la audit de securitate anual, rapotarea incidentelor de securitate la SRI si angajarea unor furnizori de servicii de securitate acreditati de MCSI.

Daca o interpretam pozitiv, in cel mai rau caz o sa trebuiasca sa treceti prin parcursul birocratic mirific prevazut de art 14-16 din lege (succes sa va dati seama!)

Abia astept sa vad daca trece proiectul de lege in formula asta sa vad cum MCSI o sa se chinuie sa identifice cine sunt furnizorii de servicii ai societatii informationale din Romania si sa le trimite chestionar in care probabil veti regasi intrebarea:

Care este potenţialul impact asupra securităţii infrastructurilor cibernetice prin compromiterea confidenţialităţii, integrităţii, disponibilităţii, autenticităţii sau a non-repudierii datelor, resurselor şi serviciilor dumneavoastra si cum va afecta viaţa şi siguranţa cetăţeanului și încrederii utilizatorilor în serviciile dvs.?

În fabuloasa Romănie digitală care promoveaza antreprenoriatul digital o să fie mai bine să vă faceți firma de IT în Bulgaria sau Moldova, chiar dacă prestați serviciile in Romănia.



Va dorim birocrație securistică placută!

Pentru masochistii ca mine, textul legii e aici.