Ministerul Apărării a făcut precizări în legătură cu atribuţiile pe care le are în cadrul proiectului Legii privind securitatea şi apărarea cibernetică a României, aflat în etapa de transparenţă legislativă.

Întrucât în cadrul Summit-ului de la Varşovia (8-9 iulie 2016), NATO a recunoscut un nou domeniu operaţional, spaţiul cibernetic, în care Alianţa trebuie să se apere la fel cum o face în spaţiul aerian, terestru sau maritim, fiecare stat a fost încurajat să adopte un cadru legislativ care să faciliteze şi să contribuie la consolidarea capabilităţilor naţionale de apărare cibernetică.

Pe de altă parte, cadrul normativ dezvoltat până în prezent reglementează sfera relaţiilor care privesc securitatea cibernetică, respectiv atribuţii, responsabilităţi şi obligaţii de implementare a soluţiilor si mecanismelor de protejare a reţelelor şi sistemelor informatice de către toţi deţinătorii acestora, cu observaţia că sfera apărării cibernetice nu a făcut obiectul reglementării în acelaşi timp cu cea a securităţii cibernetice. De altfel, proiectul face o distincţie foarte clară între cele două concepte, prin definirea lor, precizează MApN.

„În ceea ce priveşte securitatea reţelelor şi a sistemelor informatice circumscrise zonei de utilizare civilă a spaţiului cibernetic, Directiva (UE) 2016/1.148 a Parlamentului European şi a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune (Directiva NIS 1), implementată la nivel naţional prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, stabileşte pentru MApN atribuţii doar „pentru securitatea reţelelor şi a sistemelor informatice care asigură servicii esenţiale în sprijinul activităţilor privind apărarea naţională” (art. 15, alin. (2) lit. b)). Recent, la 10 noiembrie, Parlamentul European a adoptat noi norme cu rol în consolidarea rezilienţei cibernetice la nivelul Uniunii Europene. Pentru a răspunde ameninţărilor tot mai mari reprezentate de digitalizare şi de intensificarea atacurilor cibernetice, Comisia Europeană a prezentat o propunere de înlocuire a Directivei NIS în vigoare şi, prin urmare, de consolidare a cerinţelor de securitate, de abordare a securităţii lanţurilor de aprovizionare, de raţionalizare a obligaţiilor de raportare şi de introducere a unor măsuri de supraveghere, dar şi a unor cerinţe de aplicare mai stricte, inclusiv sancţiuni armonizate în întreaga UE”, se arată în comunicat.

Parlamentul a adoptat Directiva „NIS2”, prin care sunt impuse statelor membre UE reguli mai riguroase în materie de securitate cibernetică pentru gestionarea riscurilor, raportarea şi schimbul de informaţii. Cerinţele se referă, printre altele, la răspunsul la incidente, securitatea lanţului de aprovizionare, criptare şi divulgarea vulnerabilităţilor.

În plan naţional, prin Ordonanţa de urgenţă nr. 104/2021 privind înfiinţarea Directoratului Naţional de Securitate Cibernetică (DNSC) este stabilită responsabilitatea DNSC pentru „asigurarea securităţii cibernetice a spaţiului cibernetic naţional civil”.

„Totodată, prin art. 1 alin. (3) din HG nr. 371/2021 privind organizarea şi funcţionarea Ministerului Cercetării, Inovării şi Digitalizării (MCID) se stabileşte MCID ca „autoritatea de stat în domeniile cercetării dezvoltării experimentale şi tehnologice, inovării, comunicaţiilor şi digitalizării, securităţii cibernetice, serviciilor poştale, radiocomunicaţiilor”. Astfel, din perspectiva normelor juridice active, se observă cu uşurinţă faptul ca politicile în sfera securităţii cibernetice s-au concretizat în reglementări care au ca destinatari toţi deţinătorii de reţele şi sisteme informatice şi cu care nu se identifică sau suprapun soluţiile legislative din proiect care au ca obiect de reglementare apărarea cibernetică. Având în vedere că deja sunt în vigoare reglementări ce cuprind entităţile civile desemnate, atribuţiile şi responsabilităţile privind asigurarea securităţii cibernetice în spaţiul cibernetic civil, iar prin proiectul Legii securităţii şi apărării cibernetice acestea nu sunt modificate sau abrogate, apreciem că prin adoptarea proiectului legislativ propus nu există riscul militarizării spaţiul cibernetic civil, ci, din contră, se clarifică limitele autorităţii în domeniul apărării cibernetice raportat la infrastructura de tehnologia informaţiei, sistemele de armament şi sistemele informatice care susţin capabilităţile de apărare prin care România, prin MApN, poate contribui la efortul de apărare atât în cadrul alianţei cât şi la nivel naţional”, sunliniază MApN.

În acest context, prevederile cuprinse în art. 29 din cadrul proiectului Legii securităţii şi apărării cibernetice reprezintă doar particularizarea atribuţiilor pe care MApN, în interiorul cadrului legislativ care reglementează funcţiunea de apărare a statului, prin instituţiile proprii ori în cadrul alianţelor şi parteneriatelor internaţionale, îşi exercită atribuţiile în spaţiul cibernetic.

„Sub nicio formă prevederile respectivului articol nu conferă MApN atribuţii în afara domeniului de responsabilitate, ci precizează doar instrumente specifice prin care îşi îndeplineşte responsabilităţile pe care le are în noul domeniu operaţional. Astfel, putem compara apărarea spaţiului cibernetic cu situaţia existentă în ceea ce priveşte spaţiul aerian, în care majoritatea covârşitoare a utilizării revine aeronavelor civile, iar apărarea spaţiului aerian revine în responsabilitatea MApN. De asemenea, deşi traficul maritim de mărfuri şi persoane este preponderent aferent marinei comerciale, care are propriile instituţii şi mecanisme de asigurare a siguranţei în navigaţie, totuşi apărarea spaţiului maritim naţional şi garantarea libertăţii de navigaţie este prerogativul Forţelor Navale din cadrul MApN, care planifică şi organizează operaţii militare în spaţiul maritim sau fluvial naţional, dezvoltă capabilităţi de apărare, ceea ce nu lezează desfăşurarea liberă a activităţilor în domeniul maritim. În concluzie, din această perspectivă, proiectul de lege propus are menirea de a clarifica limitele de responsabilitate, rolul şi atribuţiile corespunzătoare apărării cibernetice, astfel încât să se asigure corelarea cu legislaţia naţională în domeniul apărării şi tratatele internaţionale, care stabilesc obligaţii şi răspunderi statelor şi, subsecvent, forţelor armate. În ceea ce priveşte art. 30, ce avea în vedere elaborarea unei legi privind constituirea şi utilizarea rezervei de specialişti în domeniul apărării cibernetice, MApN intenţionează retragerea acestui articol, considerând că există un cadru legal general privind rezerviştii voluntari, respectiv Legea nr. 270/2015 privind Statutul rezerviştilor voluntari. Astfel, eventuale elemente specifice domeniului pot fi tratate în interiorul cadrului juridic existent, cu păstrarea componentei voluntare, în scopul conturării tuturor condiţiilor pentru asigurarea unei rezerve viabile de specialişti în domeniul apărării cibernetice”, mai scrie MApN.