Cu privire la informațiile și interpretările apărute în spațiul public, referitoare la propunerile ce vizează atribuțiile MApN în cadrul proiectului Legii privind securitatea și apărarea cibernetică a României, aflat în etapa de transparență legislativă, Biroul de presă al MApN face următoarele precizări:
Întrucât în cadrul Summit-ului de la Varșovia (8-9 iulie 2016), NATO a recunoscut un nou domeniu operațional, spațiul cibernetic, în care Alianța trebuie să se apere la fel cum o face în spațiul aerian, terestru sau maritim, fiecare stat a fost încurajat să adopte un cadru legislativ care să faciliteze și să contribuie la consolidarea capabilităților naționale de apărare cibernetică.
Pe de altă parte, cadrul normativ dezvoltat până în prezent reglementează sfera relațiilor care privesc securitatea cibernetică, respectiv atribuții, responsabilități și obligații de implementare a soluțiilor si mecanismelor de protejare a rețelelor și sistemelor informatice de către toți deținătorii acestora, cu observația că sfera apărării cibernetice nu a făcut obiectul reglementării în același timp cu cea a securității cibernetice. De altfel, proiectul face o distincție foarte clară între cele două concepte, prin definirea lor.
Astfel, în ceea ce privește securitatea rețelelor și a sistemelor informatice circumscrise zonei de utilizare civilă a spațiului cibernetic, Directiva (UE) 2016/1.148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (Directiva NIS 1), implementată la nivel național prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, stabilește pentru MApN atribuții doar „pentru securitatea rețelelor și a sistemelor informatice care asigură servicii esențiale în sprijinul activităților privind apărarea națională” (art. 15, alin. (2) lit. b)).
Recent, la 10 noiembrie, Parlamentul European a adoptat noi norme cu rol în consolidarea rezilienței cibernetice la nivelul Uniunii Europene.
Pentru a răspunde amenințărilor tot mai mari reprezentate de digitalizare și de intensificarea atacurilor cibernetice, Comisia Europeană a prezentat o propunere de înlocuire a Directivei NIS în vigoare și, prin urmare, de consolidare a cerințelor de securitate, de abordare a securității lanțurilor de aprovizionare, de raționalizare a obligațiilor de raportare și de introducere a unor măsuri de supraveghere, dar și a unor cerințe de aplicare mai stricte, inclusiv sancțiuni armonizate în întreaga UE.
Astfel, Parlamentul a adoptat Directiva „NIS2”, prin care sunt impuse statelor membre UE reguli mai riguroase în materie de securitate cibernetică pentru gestionarea riscurilor, raportarea și schimbul de informații. Cerințele se referă, printre altele, la răspunsul la incidente, securitatea lanțului de aprovizionare, criptare și divulgarea vulnerabilităților.
În plan național, prin Ordonanța de urgență nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică (DNSC) este stabilită responsabilitatea DNSC pentru „asigurarea securității cibernetice a spațiului cibernetic național civil”.
Totodată, prin art. 1 alin. (3) din HG nr. 371/2021 privind organizarea și funcționarea Ministerului Cercetării, Inovării și Digitalizării (MCID) se stabilește MCID ca „autoritatea de stat în domeniile cercetării dezvoltării experimentale și tehnologice, inovării, comunicațiilor și digitalizării, securității cibernetice, serviciilor poștale, radiocomunicațiilor”.
Astfel, privind din perspectiva normelor juridice active, se observă cu ușurință faptul ca politicile în sfera securității cibernetice s-au concretizat în reglementări care au ca destinatari toți deținătorii de rețele și sisteme informatice și cu care nu se identifică sau suprapun soluțiile legislative din proiect care au ca obiect de reglementare apărarea cibernetică.
Având în vedere că deja sunt în vigoare reglementări ce cuprind entitățile civile desemnate, atribuțiile și responsabilitățile privind asigurarea securității cibernetice în spațiul cibernetic civil, iar prin proiectul Legii securității și apărării cibernetice acestea nu sunt modificate sau abrogate, apreciem că prin adoptarea proiectului legislativ propus nu există riscul militarizării spațiul cibernetic civil, ci, din contră, se clarifică limitele autorității în domeniul apărării cibernetice raportat la infrastructura de tehnologia informației, sistemele de armament și sistemele informatice care susțin capabilitățile de apărare prin care România, prin MApN, poate contribui la efortul de apărare atât în cadrul alianței cât și la nivel național.
În acest context, prevederile cuprinse în art. 29 din cadrul proiectului Legii securității și apărării cibernetice reprezintă doar particularizarea atribuțiilor pe care MApN, în interiorul cadrului legislativ care reglementează funcțiunea de apărare a statului, prin instituțiile proprii ori în cadrul alianțelor și parteneriatelor internaționale, își exercită atribuțiile în spațiul cibernetic.
Sub nicio formă prevederile respectivului articol nu conferă MApN atribuții în afara domeniului de responsabilitate, ci precizează doar instrumente specifice prin care își îndeplinește responsabilitățile pe care le are în noul domeniu operațional.
Astfel, putem compara apărarea spațiului cibernetic cu situația existentă în ceea ce privește spațiul aerian, în care majoritatea covârșitoare a utilizării revine aeronavelor civile, iar apărarea spațiului aerian revine în responsabilitatea MApN.
De asemenea, deși traficul maritim de mărfuri și persoane este preponderent aferent marinei comerciale, care are propriile instituții și mecanisme de asigurare a siguranței în navigație, totuși apărarea spațiului maritim național și garantarea libertății de navigație este prerogativul Forțelor Navale din cadrul MApN, care planifică și organizează operații militare în spațiul maritim sau fluvial național, dezvoltă capabilități de apărare, ceea ce nu lezează desfășurarea liberă a activităților în domeniul maritim.
În concluzie, din această perspectivă, proiectul de lege propus are menirea de a clarifica limitele de responsabilitate, rolul și atribuțiile corespunzătoare apărării cibernetice, astfel încât să se asigure corelarea cu legislația națională în domeniul apărării și tratatele internaționale, care stabilesc obligații și răspunderi statelor și, subsecvent, forțelor armate.
În ceea ce privește art. 30, ce avea în vedere elaborarea unei legi privind constituirea și utilizarea rezervei de specialiști în domeniul apărării cibernetice, MApN intenționează retragerea acestui articol, considerând că există un cadru legal general privind rezerviștii voluntari, respectiv Legea nr. 270/2015 privind Statutul rezerviștilor voluntari. Astfel, eventuale elemente specifice domeniului pot fi tratate în interiorul cadrului juridic existent, cu păstrarea componentei voluntare, în scopul conturării tuturor condițiilor pentru asigurarea unei rezerve viabile de specialiști în domeniul apărării cibernetice.