Ministerul Comunicațiilor și pentru Societatea Informațională (MCSI) a lansat în dezbatere publică, pe propria pagină de Internet, un nou proiect de Lege privind Securitatea Cibernetică a României. Potrivit ministerului de resort, proiectul a fost întocmit fiind luate în considerare criticile aduse prin Decizia nr. 17/2015 a Curții Constituționale a României (CCR) asupra obiecției de neconstituționalitate a dispozițiilor Legii privind Securitatea Cibernetică a României. Noul actul normativ se adresează autorităților și instituțiilor publice, persoanelor juridice deținătoare de infrastructuri cibernetice care susțin servicii publice sau de interes public, ori servicii ale societății informaționale, a căror afectare aduce atingere securității naționale sau prejudicii grave statului român sau cetățenilor acestuia. De asemenea, legea se aplică: persoanelor juridice, deținătoare de infrastructuri cibernetice care prelucrează date cu caracter personal, furnizorilor de rețele publice de comunicații electronice, furnizorilor de servicii de comunicații electronice destinate publicului, furnizorilor de servicii găzduire Internet și furnizorilor de servicii de securitate cibernetică. În plus, în cadrul proiectului se menționează că furnizorii de servicii de găzduire de internet care desfășoară activități pe teritoriul României au obligația de a-și notifica utilizatorii și abonații deîndată ce au fost sesizați de autoritatea competentă, dar nu mai târziu de 24 de ore din momentul în care au fost sesizați de autoritățile competente potrivit prezentei legi, cu privire la situațiile în care sistemele informatice utilizate de aceștia au fost implicate în atacuri cibernetice și de a recomanda măsurile necesare în vederea restabilirii condițiilor normale de funcționare. Mai mult, aceeași furnizori trebuie să acorde sprijin autorităților competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a oricărui act de autorizare a restrângerii temporare a exercițiului drepturilor și libertăților persoanelor, emis de către judecător. Totodată, „furnizorii de servicii de găzduire internet au obligația de a înregistra și stoca date de jurnalizare a activităților din sistemele informatice deținute care fac obiectul actului de autorizare (…) pe toată perioada de valabilitate a acestuia’. În același timp, persoanele care sunt chemate să acorde sprijin tehnic la punerea în executare a actelor de autorizare, precum și persoanele care iau cunoștință despre acestea ‘au obligația să păstreze secretul operațiunii efectuate, sub sancțiunea legii penale’. La articolul 16 al actului normativ, se precizează că evaluarea potențialului impact asupra securității infrastructurilor cibernetice prin compromiterea confidențialității, integrității, disponibilității sau autenticității datelor, resurselor se realizează pe baza unor criterii precum: prejudiciul adus statului român, prejudiciul produs în planul securității naționale, afectarea vieții și siguranței naționale, afectarea încrederii utilizatorilor în serviciile oferite, afectarea relațiilor internaționale în care România este angrenată sau întreruperea furnizării serviciului afectat. Potrivit articolului 25 din prezentul proiect de Lege, ‘autoritățile competente au obligația de a stoca și păstra pe un termen de 5 ani notificările primite cu privire la incidentele de securitate cibernetică și atacurile cibernetice’. Normele metodologice de aplicare a prezentei legi se elaborează de Ministerul Comunicațiilor și pentru Societatea Informațională (MCSI) și se supun aprobării Guvernului în termen de 90 de zile de la publicarea acesteia în Monitorul Oficial al României, Partea I. Curtea Constituțională a României (CCR) a anunțat, în 27 ianuarie 2015, că Legea privind securitatea cibernetică încalcă prevederile constituționale privind statul de drept și principiul legalității, precum și cele privind viața intimă, familială și privată, respectiv secretul corespondenței. Motivul invocat de către CCR este faptul că autoritatea națională în domeniul securității cibernetice ar trebui să fie un organism civil, pentru a garanta aceste drepturi, și nu Centrul Național de Securitate Cibernetică (CNSC), care funcționează deja în cadrul SRI, cu personal militar. Conform formei legii trimise spre promulgare și retrimisă Parlamentului, se propune înregistrarea utilizatorilor de cartele preplătite, precum și colectarea și stocarea datelor acestora. În cazul utilizatorilor de internet, legea stipulează că datele acestora vor fi stocate pe o perioadă de șase luni de la data reținerii acestora. În data de 5 februarie 2015, senatorii au respins Legea pentru modificarea și completarea OUG nr. 111/2011 privind comunicațiile electronice, retrimisă Parlamentului spre re-examinare, ca urmare a faptului că judecătorii CCR au declarat actul normativ neconstituțional în ansamblul său. Inițiatorii proiectului de lege precizează că, în prezent, piața de telefonie mobilă din România este dominată de clienții de tip prepay, care reprezintă aproximativ 67% din numărul total de utilizatori ai serviciilor de comunicații mobile. Aceștia au explicat că actuala situație creează discriminări între consumatorii serviciilor achiziționate de la furnizori, ‘în condițiile în care legislația națională recunoaște dreptul furnizorilor de a colecta și prelucra datele cu caracter personal numai ale abonaților, împreună cu obligația acestora din urmă de a pune la dispoziție aceste date”. La data de 28 aprilie 2015, plenul Senatului a respins, în calitate de for decizional, cu 90 de voturi pentru și o abținere, Legea privind securitatea cibernetică a României, declarată neconstituțională. Proiectul de Lege privind Securitatea Cibernetică a României prevedea constituirea Sistemului Național de Securitate Cibernetică (SNSC), acesta reunind autoritățile și instituțiile publice cu responsabilități și capacități în domeniu. Autoritățile și instituțiile publice din SNSC ar fi urmat să colaboreze cu deținătorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociațiile profesionale și organizațiile neguvernamentale.