Legea Burduja a securităţii cibernetice, care a trecut recent de Parlament, este lipsită de previzibilitate, neclară, impune obligaţii costisitoare companiilor şi extinde puterile Serviciului Român de Informaţii fără a stabili clar care sunt limitele atribuţiilor sale - astfel că actul normativ trebuie rediscutat şi adus într-o formă care să respecte Constituţia, susţine Avocatul Poporului, care a decis să şi atace actul la Curtea Constituţională.
În esenţă, Avocatul Poporului a descoperit 3 probleme majore ale actului, respectiv:
"1. Prevederile art. 3 alin. (1) /it. c) teza finală din Legea privind securitatea şi apărarea cibemetică a României precum şi pentru modificarea şi completarea unor acte normative (PL-xnr. 773/2022, L82812022) contravin art. 1 alin. (5) din Constitutia României
2. Prevederile art. 50 fit. p) din Legea privind securitatea şi apărarea cibernetică a României precum şi pentru modificarea şi completarea unor acte normative (PL-x ur. 773/2022. L828/2022) contravin art. I alin. (5) di11 Constitutia României
3. Prevederile art. 2 1 si art. 2 2 din Legea privitld securitatea şi apărarea cibernetică României precum şi pentru modificarea şi completarea unor acte normative (PL-x nr. 773/2 02 2,L828/202 2) contravin art. 1 1 si art. 148 alin. (4) din Constitutia României".
Iată câteva dintre principalele critici aduse actului de Avocatul Poporului:
- "Sintagma prevăzută în art. 3 alin. (1) lit. c) teza finală din Legea precitată relevă un grad sporit de generalitate, întrucât nu sunt identificate şi definite în mod clar şi previzibil persoanele fizice şi juridice care fumizează servicii publice ori de interes public, în contextul în care acestea sunt altele decât persoanele fizice şi juridice de drept privat care deţin reţelele şi sistemele informatice pe care le utilizează în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale. Ca atare, în această categorie pot fi cuprinse, după caz, orice fel de persoane fizice şi juridice care furnizează servicii publice ori de interes public fără a face vreo distincţie, fiind aşadar imposibil să fie identificate cu exactitate persoanele cărora le incumbă obligaţiile prevăzute de actul normativ criticat. Altfel spus, apreciem că, legiuitorul, în acest caz, nu a identificat în mod riguros subiecţii vizaţi prin reglementările în cauză.
- lipsa de previzibilitate şi claritate a noilor reglementări determină imposibilitatea identificării destinatarilor legii, precum şi conformarea acestora la îndeplinirea obligaţiilor prevăzute în sarcina lor. Or, pentru a fi înţeleasă şi respectată de către destinatarii săi, legea trebuie să îndeplinească anumite cerinţe de claritate, astfel încât aceşti destinatari să îşi poată adapta în mod corespunzător conduita în acord cu prevederile art. 1 alin. (5) din Constituţie, precum şi art. 6, art. 8 şi art. 23 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată şi modificată
- Mai mult decât atât, rară a nega necesitatea asigurării securităţii şi apărării cibernetice, ca dimensiune a securităţii naţionale, menţionăm că actul normativ criticat impune persoanelor prevăzute la art. 3 alin. (1) lit. c) o serie de sarcini oneroase, cu impact economic semnificativ asupra acestora, întrucât sunt nevoiţi să suporte din bugetele proprii cheltuielile necesare îndeplinirii obligaţiilor prevăzute de lege în acest sens
- În acest context, toate obligaţiile ce revin persoanelor prevăzute la art. 3 alin. (1) lit. c), în special pentru persoane fizice şi juridice care fumizează servicii publice ori de interes public, care după cum am arătat poate fi şi un agent economic de drept privat, impuse de noua lege, nu doar că sunt în sarcina lor exclusivă, dar îndeplinirea acestora devine extrem de oneroasă, mai ales că pentru implementarea tuturor măsurilor dispuse prin lege nu este prevăzută acordarea vreunui sprijin financiar din partea statului.
- Astfel, examinând prevederile art. 50 lit. p) din actul normativ criticat, se observă că legiuitorul extinde domeniile de securitate naţională, inclusiv pentru aspecte care exced scopului legii de securitate cibernetică.
Mai mult, prin această reglementare se are în vedere, în fapt, modificarea Legii nr. 5 11199 1 privind securitatea naţională a României în sensul extinderii atribuţiilor Serviciului Român de Informaţii, care, în vederea asigurării securităţii naţionale va realiza acţiuni specifice acestui serviciu şi în ceea ce priveşte acţiunile derulate de către o entitate statală sau nonstatală, prin realizarea, în spaţiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituţională ", fără însă ca legiuitorul să definească sau să identifice ce sunt sau cum se pot identifica campaniile de propagandă sau dezinformare, de natură a afecta ordinea constituţională, lăsând la latitudinea Guvernului prin acte infralegale sau, după caz, la latitudinea Serviciului Român de Informaţii să aprecieze care sunt acestea.
- Ca atare, în măsura în care nu este definită, în mod clar şi riguros, sintagma „campanii de propagandâ sau dezinformare" considerăm că din modul vag şi general de reglementare al sintagmei analizate rezultă că se poate circumscrie unei ameninţări la adresa securităţii naţionale orice faptă/acţiune cu sau fără conotaţie de campanie de propagandă sau dezinformare. Cu alte cuvinte, sfera de aplicare a dispoziţiei criticate este atât de largă, încât faţă de orice persoană se poate reţine exercitarea unei acţiuni care constituie ameninţare la adresa securităţii naţionale.
- Prin dispoziţiile art. 21 şi art. 22 din legea criticată, legiuitorul primar vine în completarea atât a destinatarilor vizaţi de Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, modificată, privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cât şi în privinta sarcinilor impu e acestora , creând astfel un paralelism legislativ, care, pe alocuri, cuprinde reglementări chiar contrare, ceea ce generează şi mai multă incoerenţă legislativă.
- Din analiza actului normativ criticat se observă că, prin noile dispoziţii, legiuitorul primar impune anumite obligaţii persoanelor fizice şi juridice, care sunt disproporţionate şi contrare pct. 53 din Directiva (UE) 2016/1148 a Parlamentului European şi a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune, directivă transpusă la nivel naţional prin Legea nr. 362/2018.
- Prin urmare actul normativ criticat este în contradicţie cu dreptul Uniunii Europene în materia comunicaţiilor electronice."