1. Pe rol se afla pronuntarea asupra obiectiei de neconstitutionalitate a
dispozitiilor Legii privind securitatea cibernetica a Romaniei, obiectie formulata
de un numar de 69 de deputati apartinand Grupului parlamentar al Partidului
National Liberal din Camera Deputatilor.
2. Cu Adresa nr.2/6103 din 23 decembrie 2014, Secretarul general al
Camerei Deputatilor a transmis Curtii Constitutionale sesizarea de
neconstitutionalitate, care a fost inregistrata la Curtea Constitutionala sub
nr.6188 din 23 decembrie 2014 si constituie ob iectul Dosarului nr.1419A/2014.
La sesizare a fost anexata, in copie, Legea privind securitatea cibernetica a
Romaniei.
3. In motivarea obiectiei de neconstitutionalitate , autorii sustin ca
dispozitiile legale sunt contrare art.1 alin.(3) si ( 4) referitor la statul de drept si
obligatia respectarii Constitutiei si a legilor. Se apreciaza ca legea criticata
introduce multe confuzii si conditionari pentru detinatorii de infrastructuri
cibernetice care sunt de natura a genera restrangeri ale drepturilor si liber tatilor
fundamentale ale cetatenilor.
Prevederile legale nu respecta dispozitiile art.6 din
Legea nr.24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative si incalca, astfel, principiul legalitatii, care este fundamental
pentru buna functionare a statului de drept. La art.1 din lege se prevad doar
obligatii pentru detinatorii de infrastructuri cibernetice fara a se stabili si
drepturile acestora.
Enumerarea cuprinsa in art.2 a persoanelor/entitatilor carora
li se aplica legea nu este una precisa, omitand sa prevada situatia intermediarilor
de infrastructuri cibernetice, a infrastructurilor neoperationale, a actionarilor
unor persoane juridice sau cea a fondatorilor unor asociatii sau fundatii care
detin astfel de infrastructuri.
4. Autorii sesizarii sustin ca legea are probleme fundamentale de
conceptie, propunand o serie de masuri cu efect limitativ asupra dreptului
prevazut de art.26 alin.(1) din Constitutie privind via ta intima, familiala si
privata, si incalca in mod evident regl ementarile europene aflate in dezbatere
referitoare la securitatea informatiei in domeniul digital.
5. In temeiul legii criticate, autorii obiectiei de neconstitutionalitate
sustin ca se restrang drepturi si libertati ale cetatenilor prin permiterea accesului
la o infrastructura cibernetica si la datele continute de aceasta in urma unei
simple solicitari motivate a institutiilor nominalizate de lege, comunicate
detinatorilor de infrastructuri, fara aprobarea prealabila a unui judecator, asa
cum prevede Codul d e procedura penala sau jurisprudenta Curtii
Constitutionale, in Deciziile nr.440/2014 si nr.461/2014, fapt ce determina
incalcarea prevederilor constitutionale cuprinse in art.23 alin.(1) referitor la
inviolabilitatea libertatii individuale si a sigurantei persoanei si in art.28 privind
secretul corespondentei.
6. Pe de alta parte, se arata ca prin dispozitiile art.10 din lege Serviciul
Roman de Informatii este desemnat autoritate nationala in domeniul securitatii
cibernetice, calitate in care asigura coordonarea tehnica, organizarea si
executarea activitatilor ce privesc securitatea cibernetica a Romaniei. In vreme
ce Uniunea Europeana propune in proiectul de Directiva NIS (Network and
Information System) ca institutiile care se ocupa de domeniul secur itatii
cibernetice sa fie *organisme civile, care sa functioneze integral pe baza controlului democratic, si nu ar trebui sa desfasoare activitati in domeniul
informatiilor*, Parlamentul Romaniei acorda acces nelimitat si nesupravegheat
la toate datele inf ormatice detinute de persoane de drept public si privat unor
institutii care nu indeplinesc niciuna din conditiile de mai sus. Faptul ca in
jurisprudenta recenta a Curtii Constitutionale, aceasta a declarat
neconstitutionalitatea a doua legi care, in esent a, incalcau aceleasi drepturi ca si
legea supusa in prezent controlului, constituie un motiv serios pentru o dezbatere
reala a implicatiilor Legii securitatii cibernetice si, intr -un cadru mai larg, a
echilibrului dintre drepturile individuale si securitat ea nationala pe care
Romania trebuie il asigure prin sistemul sau legal. Autorii sesizarii sustin ca
posibilitatea accesarii fara mandat judecatoresc a datelor electronice provenind
de la orice computer, indiferent de proprietarul sau, este o ingerinta nej ustificata
in dreptul la protectia corespondentei, adica in dreptul la viata privata, drept
garantat de art. 26 si 28 din Constitutie. O astfel de ingerinta nu numai ca nu este
necesara intr -o societate democratica, dar ea are tocmai efectul contrar:
submineaza esenta societatii democratice. Astfel, sub pretextul protectiei
impotriva atacurilor cibernetice, orice fel de date pot fi accesate la bunul plac al
puterii executive, fara existenta vreunui control al societatii civile.
7. In sesizarea de neconstituti onalitate, se arata ca art.148 alin.(2) din
Constitutie este, de asemenea, incalcat prin netranspunerea corecta a
reglementarilor comunitare in materie. Astfel, p revederile art.17 alin.(1) lit.a) nu
sunt conforme cu jurisprudenta Curtii de Justitie a Uniun ii Europene, intrucat nu
precizeaza exact ce date sunt necesare a fi detinute, iar cadrul in care se solicita
aceste date nu prezinta suficiente garantii procesuale. Pentru indeplinirea acestei
obligatii este necesara o monitorizare perpetua a tuturor pers oanelor, aspect ce
creeaza o sarcina disproportionata pentru subiectii vizati si implica totodata
incalcarea drepturilor persoanelor monitorizate fara sa existe in legatura cu
acestea o suspiciune relativa la comiterea vreunei infractiuni. Se mai arata ca
legea contravine din multe puncte de vedere si propunerii de Directiva NIS
(Network & Information Security) care are ca scop protectia datelor personale ale cetatenilor, iar nu crearea de noi atributii pentru serviciile secrete. *In timp
ce Directiva NIS a re drept scop protejarea sistemelor informatice si a datelor
informatice ale cetatenilor, legea, in forma adoptata, reprezinta un cec in alb care
poate fi folosit de serviciile de informatii pentru a controla orice persoana de
drept privat (S.R.L., S.A., P .F.A., O.N.G.) care detine un sistem informatic
(adica orice calculator sau smart -phone). Potentialul pentru abuzuri este, astfel,
enorm. Acesta decurge din nenumaratele ambiguitati prezente in lege, incepand
de la definirea vaga a detinatorilor de sisteme informatice si continuand cu
obligatiile ce le revin celor care cad sub incidenta legii.*
8. In concluzie, autorii obiectiei de neconstitutionalitate apreciaza ca
*intreaga arhitectura a actului normativ este de natura a permite incalcarea
drepturilor fundamentale ale omului, fara a exista un remediu eficient impotriva
unor astfel de incalcari*. Desi intr -o societate democratica limitele protectiei
drepturilor fundamentale pot fi reduse in cazul unor pericole deosebite (terorism,
infractiuni transfrontaliere) , probele obtinute prin aceste proceduri nu pot fi
folosite in cazurile de drept comun (cele care nu implica protectia sigurantei
nationale, asa cum este ea definita prin lege), acolo unde garantiile procedurale
trebuie sa fie strict respectate. Or, *legea atacata nu instituie nicio interdictie de
utilizare a datelor in orice alt mod decat cel necesar pentru protectia in fata
atacurilor cibernetice, situatie ce poate submina garantia unui proces echitabil*.
9. In conformitate cu dispozitiile art.16 alin.(2) di n Legea nr.47/1992
privind organizarea si functionarea Curtii Constitutionale, sesizarea a fost
comunicata presedintilor celor doua Camere ale Parlamentului, precum si
Guvernului, pentru a comunica punctul lor de vedere.
10. Presedintele Camerei Deputatilor a transmis cu Adresa nr.2/51/7
ianuarie 2015, inregistrata la Curtea Constitutionala sub nr.99 din 7 ianuarie
2015, punctul sau de vedere, in care se apreciaza ca sesizarea de
neconstitutionalitate este neintemeiata.
11. In argumentare se arata ca prevederile ar t. 1 din legea criticata se
refera nu numai la obligatii pentru cei in drept, ci vizeaza solutii legislative care
acopera intreaga problematica a relatiilor sociale ce reprezinta obiectul de
reglementare al acestei legi. Astfel, legea porneste de la premis a ca masurile
privind securitatea cibernetica trebuie sa asigure un mediu virtual sigur, care sa
constituie un real suport pentru maximizarea beneficiilor cetatenilor, mediului
de afaceri si societatii romanesti, in ansamblul ei. Toti detinatorii si utilizatorii
de infrastructuri cibernetice, indiferent ca sunt intermediari sau nu, trebuie sa
intreprinda masurile necesare pentru securitatea infrastructurilor proprii si sa nu
afecteze securitatea celorlalti detinatori sau utilizatori.
12. Pe de alta parte, se arata ca, intrucat dispozitiile acestei legi se
aplica numai persoanelor juridice de drept public sau privat, detinatoare de
infrastructuri cibernetice, nu si persoanelor fizice, dispozitiile art. 26 alin. (1) din
Constitutie nu au incidenta.
13. In ceea c e priveste criticile aduse art.17 din lege referitoare la
accesul la date, Presedintele Camerei Deputatilor sustine ca legea vizeaza datele
relevante luarii masurilor proactive si reactive la nivelul infrastructurilor
cibernetice, si nicidecum datele de trafic, astfel incat nu se aduce atingere
drepturilor prevazute la art. 23 si 28 din Legea fundamentala. Mai mult decat
atat, dispozitiile art.12 si 14 din legea criticata prevad ca autoritatile si institutiile
publice cu atributii in aplicarea acestei legi asigura securitatea infrastructurilor
cibernetice potrivit legii si competentelor legale. Aceste entitati sunt asadar
obligate si limitate strict de respectarea cadrului legal.
14. Cu privire la desemnarea Serviciului Roman de Informatii ca
autoritate nationala in domeniul securitatii cibernetice, se arata, pe de o parte, ca
Directiva NIS nu impune statelor membre ale Uniunii Europene desemnarea
unei autoritati civile, si, pe de alta parte, ca, potrivit art.1 din Legea nr.14/1992
privind organizarea si functio narea Serviciului Roman de Informatii, activitatea
acestei institutii este supusa controlului parlamentar efectuat prin intermediul
Comisiei comune permanente a Camerei Deputatilor si a Senatului.
15. Guvernul a transmis punctul sau de vedere prin Adresa
nr.5/7033/2014 inregistra ta la Curtea Constitutionala sub nr.146 din 13 ianuarie 2015, in care se arata ca scopul Legii privind securitatea cibernetica este de a
asigura un cadru coerent de reglementare a relatiilor sociale desfasurate in
mediul virtual, care s a asigure realizarea securitatii cibernetice a acestora, ca
parte componenta a securitatii nationale a Romaniei.
16. Cu privire la criticile de neconstitutionalitate formulate, Guvernul
apreciaza ca *citirea atenta a legii demonstreaza ca aceste aspecte nu sunt reale,
ci se bazeaza pe o interpretare tendentioasa a art.17 din lege, respectiv nu se ia
in considerare contextul general de asigurare a securitatii cibernetice*. Se arata
ca autoritatile competente la care face referire articolul vor avea acces la date
relevante ale detinatorilor de infrastructuri cibernetice pentru realizarea
securitatii cibernetice, nu la mesaje ori alte date de continut stocate, procesate
sau transmise de sistemul informatic. Datele vizate de aceasta lege sunt jurnalele
sistemelor de stocare, prelucrare si transmitere a datelor (log -uri), date tehnice
sau date de configurare ale sistemelor informatice, si nu includ mesaje ori alte
date de continut. In situatia in care in urma analizei preliminare se constata ca se
impun investigatii a profundate asupra datelor de continut, accesul la acestea si
orice alte activitati care vizeaza restrangerea unor drepturi si libertati se
realizeaza cu respectarea prevederilor legale in vigoare, respectiv in baza unui
act de autorizare eliberat de judeca tor. In conditiile in care atacurile informatice
se deruleaza foarte repede, pot provoca pagube materiale cetatenilor, pot afecta
Infrastructurile Cibernetice de Interes National (ICIN -uri) sau chiar securitatea
nationala, este ineficient ca autoritatile c ompetente sa astepte un aviz intocmit de
un procuror si analizat si aprobat de un judecator pentru a obtine acces la date
tehnice care nu lezeaza in vreun fel drepturile si libertatile constitutionale. Este
fizic imposibil ca fiecare dintre aceste incident e sa fie investigate, de aceea
autoritatile competente se concentreaza doar asupra celora care pot produce
efecte negative semnificative, inclusiv in planul securitatii nationale. Guvernul
sustine ca *astfel de clarificari vor fi introduse, insa, in normel e de aplicare a
legii, in actul normativ prevederea fiind nominalizata doar la nivel conceptual*.
17. Cu privire la critica potrivit careia legea nu reglementeaza si
*situatiile in care apar intermediari ce pun la dispozitie astfel de infrastructuri*,
Guvernul mentioneaza ca in cazurile in care apar astfel de intermediari in fluxul
infrastructurilor cibernetice, acestia se circumscriu calitatii de detinatori de astfel
de infrastructuri, asa cum sunt definiti la art.2 din lege.
18. In consecinta, pentru considerentele prezentate, Guvernul apreciaza
ca sesizarea de neconstitutionalitate a Legii privind securitatea cibernetica a
Romaniei este neintemeiata.
19. Presedintele Senatului nu a comunicat punctul sau de vedere
asupra obiectiei de neconstitutionalitate.
CURTEA,
examinand obiectia de neconstitutionalitate, raportul judecatorului -raportor,
punctele de vedere ale Presedintelui Camerei Deputatilor si Guvernului ,
dispozitiile Legii privind securitatea cibernetica a Romaniei , precum si
prevederile Constitutiei, retine urmatoarele:
20. Curtea a fost legal sesizata si este competenta, potrivit dispozitiilor
art.146 lit. a) din Constitutie si ale art.1, art.10, art.15, art.16 si art.18 din Legea
nr.47/1992, sa se pronunte asupra constitutionalitatii prevederilor legale
criticate.
21. Obiectul controlului de constitutionalitate, astfel cum rezulta din
sesizarea formulata, il constituie dispozitiile Legii privind securitatea cibernetica
a Romaniei.
22. Dispozitiile constitutionale pretins a fi incalcate sunt cele ale art.1
alin.(3) si (5) referitoare la statul de drept si obligatia respectarii legii si a
suprematiei Constitutiei, art.23 alin.(1) referitor la inviolabilitatea libertatii
individuale si a sigurantei persoanei, art.26 privind viata intima, familiala si
privata, art.28 privind secretul corespondentei , precum si cele ale art.148
referitor la integrarea in Uniunea Europeana.
23. Examinand obiectia de neconstitutionalitate, Curtea retine ca Leg ea
privind securitatea cibernetica a Romaniei, care are ca scop completarea cadrului legislativ in materia securitatii nationale, a fost initiata de Guvernul Romaniei si,
ulterior, adoptata de Parlament in data de 19 decembrie 2015. In *Expunerea de
motive* care insoteste legea, Guvernul afirma ca, *prin adoptarea acestuia act
normativ, Romania va continua sa transmita semnale puternice de racordare la
realitatile internationale, fiind pe deplin constienta de necesitatea armonizarii c u
demersurile similare ale statelor europene*, in lipsa unei atare reglementari,
*tara noastra nu -si va putea armoniza demersurile pe dimensiunea securitatii
cibernetice cu cele ale partenerilor sai din Uniunea Europeana si NATO,
demersuri necesare unei ab ordari coerente si suficiente a provocarilor si
oportunitatilor spatiului cibernetic*.
24. Cu privire la aspectele invocate, Curtea ia act de faptul ca, l a nivel
european, in temeiul art.114 din Tratatul privind functionarea Uniunii Europene,
a fost initiata procedura legislativa ordinara de adoptare a unei directive privind
masuri de asigurare a unui nivel comun ridicat de securitate a retelelor si a
informatiei in Uniune * Directiva NIS (Network and Information Security) .
Initiativa apartine Comisiei Europen e, care la data de 7 februarie 2013 a
transmis propunerea de directiva Consiliului si Parlamentului European.
Propunerea de directiva a parcurs procedura primei lecturi in Parlamentul
European, unde a fost adoptata cu modificari, la data de 13 martie 2014. La
10 iunie 2014, Comisia Europeana a exprimat un acord partial cu privire la
modificarile Parlamentului. Prin urmare, la data solutionarii cauzei deduse
judecatii Curtii Constitutionale, nu exista la nivelul Uniunii Europene un act
normativ in vigoare cu privire la securitatea cibernetica.
25. Cu toate acestea, Curtea apreciaza relevante pentru domeniul de
reglementare cateva aspecte retinute la nivelul institutiilor Uniunii cu
privire la domeniul cercetat . Astfel, potrivit *Expunerii de motive* a
directivei, necesitatea adoptarii actului normativ european consta, pe de o parte,
in asigurarea rezilientei si stabilitatii retelelor si a sistemelor informatice, care
sunt esentiale pentru definitivarea pietei di gitale unice si pentru buna
functionare a pietei interne si, pe de alta parte, in asigurarea unei capacitati si a unei pregatiri similare la nivelul statelor membre de natura sa ofere o securitate
globala a retelelor si a informatiei in cadrul sistemelor interconectate. Directiva
propusa vizeaza urmatoarele obiective: in primul rand, solicita tuturor statelor
membre sa se asigure ca este instituit un nivel minim de capacitati nationale
prin infiintarea autoritatilor competente in materie de retele si sistem e
informatice, sa creeze echipe de interventie in caz de urgenta informatica
(Computer Emergency Response Teams - CERT) si sa adopte strategii nationale
privind securitatea cibernetica si planurile nationale de cooperare in domeniul
vizat; in al doilea rand, autoritatile nationale competente trebuie sa coopereze in
cadrul unei retele care sa permita o coordonare sigura si eficace, inclusiv
schimbul coordonat de informatii la nivelul U.E., pentru a contracara
amenintarile si incidentele in materie de securit ate cibernetica, pe baza planului
european de cooperare in domeniu; in al treilea rand, conform modelului
Directivei-cadru privind comunicatiile electronice, propunerea urmareste sa
asigure dezvoltarea unei culturi a gestionarii riscurilor si partajarea in formatiilor
de catre sectoarele public si privat.
26. De asemenea, Curtea retine considerentul 41 al preambulului
directivei care prevede ca *Prezenta directiva respecta drepturile fundamentale
si principiile recunoscute de Carta drepturilor fundamentale a Un iunii
Europene, in special dreptul la respectarea vietii private si a secretului
comunicatiilor, dreptul la protectia datelor cu caracter personal , libertatea de a
desfasura o activitate comerciala, dreptul de proprietate, dreptul la o cale de
atac eficien ta in fata unei instante judecatoresti si dreptul de a fi ascultat.
Prezenta directiva trebuie pusa in aplicare in conformitate cu aceste drepturi si
principii.*
27. Propunerea de directiva, in forma adoptata de Parlamentul
European, contine mai multe dispozitii cu caracter obligatoriu pentru statele
membre, dispozitii care ar urma sa fie transpuse in legislatia nationala a fiecarui
stat. Astfel , preambulul directivei NIS (considerentul 10) prevede ca autoritatile
competente si punctele unice de contact ar trebui sa fie organisme civile, care sa functioneze integral pe baza controlului democratic , si care nu ar trebui sa
desfasoare activitati in domeniul informatiilor , al aplicarii legii sau al apararii
si nici sa fie legate organizat ional in vreun fel de organismele active in aceste
domenii. Astfel, dispozitiile art.6 din directiva, in forma modificata de PE,
prevad ca *(1) Fiecare stat membru desemneaza una sau mai multe autoritati
nationale civile competente in domeniul securitatii retelelor si a sistemelor
informatice.*
28. In propunerea de Directiva NIS nu se prevede dreptul autoritatilor
desemnate de a accesa, la solicitarea motivata, datele stocate in retelele si
sistemele informatice , asa cum prev ede art.17 alin.(1) lit.a) din legea supusa
controlului de constitutionalitate, ci doar obligatia de notificare a riscurilor si
incidentelor cibernetice (art.14) si de a se supune auditarii pentru detinatorii de
infrastructuri critice (art.15). Astfel, in cazurile in care notificarile contin date cu
caracter personal, acestea sunt comunicate doar destinatarilor din cadrul
autoritatilor competente care trebuie sa prelucreze aceste date pentru a -si
indeplini sarcinile in conformita te cu un temei juridic adecv at, iar d atele
comunicate se limiteaza la ceea ce este necesar pentru indeplinirea sarcinilor
acestor destinatari - art.14 alin.(2a), in vreme ce autoritatile competente sunt
imputernicite sa solicite operatorilor de piata furnizarea de *dovezi privind
aplicarea efectiva a politicilor de securitate, precum rezultatele auditului de
securitate efectuat de auditori interni, de un organism calificat independent
sau de o autoritate nationala, si sa transmita dovezile autoritatii competente sau
punctului unic de contact*- art.15 alin.(2) din directiva.
29. De asemenea , art.3 din propunerea de directiva defineste notiunea
de operator de piata , ca fiind *un operator al unei infrastructuri care este
esentiala pentru mentinerea activitatilor economice si societale vitale in
domeniile energiei, transporturilor, serviciilor bancare, pietelor financiare, IXP
(Internet Exchange points), lanturilor de aprovizionare alimentara si sanatatii,
activitati a caro r denaturare sau distrugere ar avea un impact important intr -un
stat membru; o lista neexhaustiva a acestor operatori este prevazuta in anexa II, in masura in care reteaua si sistemele informatice vizate sunt legate de serviciile
esentiale.* Anexa II la pr opunerea de directiva - Lista operatorilor de piata,
vizeaza, pe de o parte, platforme de comert electronic , procesatori de plati
online, retele de socializare, motoare de cautare, servicii de cloud computing,
magazine de aplicatii online, si, pe de alta p arte, domeniile referitoare la
serviciile esentiale , precum energie, transporturi, banci, infrastructuri ale pietei
financiare si sectorul sanatatii. De asemenea, sub incidenta proiectului de
Directiva si, deci, a prevederilor privind securitatea ciberneti ca intra si domeniul
administratiilor publice (pct.26 din Preambul si Capitolul IV din propunerea de
Directiva).
30. Potrivit *Expunerii de motive* la Directiva, s e va solicita
intreprinderilor din sectoarele critice si administratiilor publice sa evalueze
riscurile cu care se confrunta si sa adopte masuri adecvate si proportionate de
asigurare a securitatii cibernetice. Aceste entitati vor trebui sa raporteze
autoritatilor competente orice incidente care afecteaza grav retelele si sistemele
lor informatice si care au un impact semnificativ asupra continuitatii serviciilor
critice si a aprovizionarii cu bunuri . Pentru a evita impunerea unei sarcini
disproportionate asupra micilor operatori, in special asupra IMM -urilor,
cerintele sunt proportionale cu riscurile la care sunt expuse reteaua sau sistemul
informatic in cauza si nu se aplica microintreprinderilor, ci vizeaza numai
entitatile critice si impun masuri proportionale cu riscurile. Astfel, art.14 alin.(8)
din propunerea de Directiva NIS stabileste ca microintreprinderile nu intra sub
incidenta directivei cu exceptia situatiei in care acestea actioneaza in calitate
de filiala a unui operator de piata.
31. In fine, potrivit art.15 alin.(6) din propunerea de Directiva, * Statele
membre se asigura ca orice obligatii impuse operatorilor de piata [...] pot fi
supuse controlului jurisdictional. *
32. La momentul efectuarii controlului de constitutionalitate, Curtea
retine ca, in legislatia nationala in domeniul securitatii , exista de ja in vigoare o
serie de reglementari, acte normative cu caracter primar sau secundar. Astfel, Ordonanta de urgenta a Guvernului nr.98/2010 privind identificarea,
desemnarea si protectia infrastructurilor critice, publicata in Monitorul Oficial
al Romaniei , Partea I, nr.757 din 12 noiembrie 2010 , aprobata prin Legea
nr.18/2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 183 din 16
martie 2011, stabileste cadrul legal privind identificarea, desemnarea
infrastructurilor critice nationale/europene si evaluarea necesitatii de a
imbunatati protectia acestora, in scopul cresterii capacitatii de asigurare a
stabilitatii, securitatii si sigurantei sistemelor economico -sociale si protectiei
persoanelor. Ordonanta transpune prevederile D irectivei 2008/114/CE a
Consiliului din 8 decembrie 2008 privind identificarea si desemnarea
infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a
protectiei acestora, publicata in Jurnalul Oficial al Uniunii Europene n r. L 345
din 23 decembrie 2008. Actul normativ defineste infrastructura critica
nationala, denumita ICN ca fiind un element, un sistem sau o componenta a
acestuia, aflat pe teritoriul national, care este esential pentru mentinerea
functiilor vitale ale societatii, a sanatatii, sigurantei, securitatii, bunastarii sociale
ori economice a persoanelor si a carui perturbare sau distrugere ar avea un
impact semnificativ la nivel national ca urmare a incapacitatii de a mentine
respectivele functii. Actul normativ stabileste cr iteriile intersectoriale de
identificare a ICN : criteriul privind victimele, evaluat in functie de numarul
posibil de decese sau vatamari; criteriul privind efectele economice, evaluat in
functie de importanta pierderilor economice si/sau a degradarii prod uselor sau
serviciilor, inclusiv eventualele efecte asupra mediului; criteriul privind efectul
asupra populatiei, evaluat in functie de impactul asupra increderii acesteia,
suferinta fizica sau perturbarea vietii cotidiene, inclusiv pierderea de servicii
esentiale. In conformitate cu procedura prevazuta de ordonanta de urgenta,
autoritatile publice responsabile identifica potentialele ICN care corespund
criteriilor sectoriale si intersectoriale.
Actul normativ contine 3 anexe :
Anexa nr.1 - Lista sectoarelor , subsectoarelor infrastructurii critice
nationale/infrastructurii critice europene (ICN/ICE) si autoritatilor publice responsabile;
Anexa nr.2 - Procedura de identificare de catre autoritatile publice
responsabile de infrastructuri critice care pot fi des emnate drept infrastructuri
critice nationale/infrastructuri critice europene (ICN/ICE) si
Anexa nr.3 - Procedura privind planul de securitate pentru operator.
33. In aplicarea ordonantei de urgenta, Guvernul a emis Hotararea
nr.718/2011, publicata in Monitoru l Oficial al Romaniei, Partea I, nr.555 din 4
august 2011 , prin care aproba Strategia nationala privind protectia
infrastructurilor critice.
34. Hotararea Guvernului nr.494/2011 , publicata in Monitorul Oficial
al Romaniei, Partea I, nr. 388 din 2 iunie 2011, reglementeaza infiintarea ca
institutie publica cu personalitate juridica, in coordonarea Ministerului
Comunicatiilor si Societatii Informationale, a Centrului National de Raspuns la
Incidente de Securitate Cibernetica - CERT-RO, structura independenta de
expertiza si cercetare -dezvoltare in domeniul protectiei infrastructurilor
cibernetice. Centrul este condus de un director general si de un director general
adjunct, sprijiniti de Comitetul de coordonare, din care fac parte reprezentanti ai
MCSI, Minister ului Apararii Nationale, Ministerului Administratiei si
Internelor, Serviciului Roman de Informatii, Serviciului de Informatii Externe,
Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza,
Oficiului Registrului National al Informatiil or Secrete de Stat si ai Autoritatii
Nationale pentru Administrare si Reglementare in Comunicatii. Hotararea de
Guvern defineste termeni si expresii precum infrastructura cibernetica, spatiu
cibernetic, securitate cibernetica, atac cibernetic, incident cib ernetic etc., si
stabileste atributiile CERT-RO.
35. Un alt act normativ emis in domeniul securitatii nationale il
constituie Hotararea Guvernului nr. 271/2013 , publicata in Monitorul Oficial
al Romaniei, Partea I, nr. 296 din 23 mai 2013, pentru aprobarea Strategiei de
securitate cibernetica a Romaniei si a Planului de actiune la nivel national
privind implementarea Sistemului national de securitate cibernetica .
36. Strategia de securitate cibernetica prezinta obiectivele, principiile si
directiile majore de acti une pentru cunoasterea, prevenirea si contracararea
amenintarilor, vulnerabilitatilor si riscurilor la adresa securitatii cibernetice a
Romaniei si pentru promovarea intereselor, valorilor si obiectivelor nationale in
spatiul cibernetic. In acest sens, sta bileste semnificatia termenilor si expresiilor
utilizati in domeniu, prevede infiintarea Sistemului national de securitate
cibernetica (SNSC) care reprezinta cadrul general de cooperare care reuneste
autoritati si institutii publice, cu responsabilitati si capabilitati in domeniu, in
vederea coordonarii actiunilor la nivel national pentru asigurarea securitatii
spatiului cibernetic, inclusiv prin cooperarea cu mediul academic si cel de
afaceri, asociatiile profesionale si organizatiile neguvernamentale. De asemenea,
prevede ca Consiliul operativ de securitate cibernetica (COSC) reprezinta
organismul prin care se realizeaza coordonarea unitara a SNSC. Din COSC fac
parte, in calitate de membri permanenti, reprezentanti ai Ministerului Apararii
Nationale, Minis terului Afacerilor Interne, Ministerului Afacerilor Externe,
Ministerului pentru Societatea Informationala, Serviciului Roman de Informatii,
Serviciului de Telecomunicatii Speciale, Serviciului de Informatii Externe,
Serviciului de Protectie si Paza, Ofici ului Registrului National pentru Informatii
Secrete de Stat, precum si secretarul Consiliului Suprem de Aparare a Tarii.
Conducerea COSC este asigurata de un presedinte (consilierul prezidential pe
probleme de securitate nationala) si un vicepresedinte (co nsilierul prim -
ministrului pe probleme de securitate nationala). Coordonatorul tehnic al COSC
este Serviciul Roman de Informatii, in conditiile legii.
37. Planul de actiune la nivel national privind implementarea
Sistemului national de securitate cibernetica este continut in Anexa nr.2 la
Hotarare si este un document clasificat.
38. La data de 27 mai 2014, Guvernul Romaniei initiaza proiectul de
lege privind securitatea cibernetica a Romaniei, care are ca scop completarea
cadrului legislativ in materia securitatii nationale, apreciind ca problematica
scuritatii cibernetice, ca parte a securitatii nationale, reprezinta o prioritate care impune adoptarea de masuri necesare dezvoltarii mecanismelor de aparare
cibernetica. Motivul emiterii actului normativ, asa cum reiese din *Expunerea de
motive* care il insoteste, il constituie *evolutia recenta a atacu rilor cibernetice
din tara noastra* care determina aprecierea ca *Romania este cu certitudine
vizata de entitati ostile in mediul virtual, nivelul de securitate cibernetica fiind,
in prezent, insuficient pentru a face fata unor atacuri de nivel ridicat ori cu
intentii distructive.* Legea vizeaza stabilirea cadrului general de reglementare a
activitatilor in domeniul securitatii cibernetice, definirea obligatiilor ce revin
persoanelor juridice de drept public sau privat in scopul protejarii
infrastructurilor cibernetice, precum si asigurarea cadrului general de cooperare
pentru realizarea securitatii cibernetice, prin constituirea Sistemului National de
Securitate Cibernetica.
39. Proiectul de lege a fost adoptat, la data de 17 septembrie 2014, de
Camera Deputati lor, in calitate de prima Camera sesizata, in temeiul art.75
alin.(2) teza a treia din Constitutie * ca urmare a depasirii termenului de 45 de
zile, iar la data de 19 decembrie 2014, Senatul Romaniei, in calitate de Camera
decizionala, a adoptat Legea priv ind securitatea cibernetica a Romaniei. Legea a
fost trimisa Presedintelui Romaniei pentru promulgare, iar in termenul prevazut
de lege, un numar de 69 de deputati a formulat cererea de sesizare a Curtii
Constitutionale, care face obiectul prezentului dosar.
40. Din analiza documentului elaborat de initiatorul legii intitulat
*Expunere de motive*, Sectiunea a 6 -a - Consultari efectuate in vederea
elaborarii proiectului de act normativ, la rubrica Informatii privind avizarea de
catre autoritatile competente, Curtea constata ca Guvernul mentioneaza doar
avizul Consiliului Legislativ.
41. Potrivit dispozitiilor art.1 din legea criticata, aceasta stabileste
cadrul general de reglementare a activitatilor in domeniul securitatii cibernetice
si obligatiile ce revin persoa nelor juridice de drept public sau privat in scopul
protejarii infrastructurilor cibernetice, iar dispozitiile art.3 alin.(1) din lege
stabilesc ca *securitatea cibernetica este componenta a se curitatii nationale a Romaniei*. Cu privire la domeniul de regl ementare a actului normativ supus
controlului de constitutionalitate, Curtea retine ca, in temeiul prevederilor
art.119 din Legea fundamentala, *Consiliul Suprem de Ap arare a Tarii
organizeaza si coordoneaza unitar activitatile care privesc apararea tarii si
securitatea nationala, participarea la mentinerea securitatii internationale si la
apararea colectiva in sistemele de alianta militara, precum si la actiuni de
mentinere sau de restabilire a pacii*. In aplicarea acestor prevederi, art.4 lit.d)
pct.1 din Legea nr. 415/2002 privind organizarea si functionarea Consiliului
Suprem de Aparare a Tarii , prevede, printre atributiile CSAT, ca acesta
*avizeaza proiectele de acte normative init iate sau emise de Guvern privind
securitatea nationala *. Pe de alta parte, potrivit art.9 alin.(1) din Legea
nr.24/2000 privind normele de tehnica legislativa pentru elaborarea actelor
normative, *In cazurile prevazute de lege, in faza de elaborare a proiectelor de
acte normative initiatorul trebuie sa solicite avizul autoritati lor interesate in
aplicarea acestora, in functie de obiectul reg lementarii*. De asemenea, art.31
alin.(3) din aceeasi lege prevede ca *Forma finala a instrumentelor de prezentare
si motivare a proiectelor de acte normative trebuie sa cuprinda referiri la a vizul
Consiliului Legislativ si, dupa caz, al Consiliului Suprem de Aparare a Tarii,
Curtii de Conturi sau Consiliului Economic si Social.* Asadar, in temeiul
dispozitiilor legale, Guvernul avea obligatia de a solicita avizul Consiliului
Suprem de Aparare a Tarii atunci cand a elaborat proiectul Legii privind
securitatea cibernetica a Romaniei.
42. Pentru argumentele expuse, intrucat in cadrul procedurii legislative ,
initiatorul nu a respectat obligatia legala, conform careia Consiliul Suprem de
Aparare a Tarii avizeaza proiectele de acte normative initiate sau emise de
Guvern privind securitatea nationala, Curtea constata ca actul normativ a fost
adoptat cu incalcarea prevederilor constitutionale ale art.1 alin.(5) care
consacra principiul legalitatii, si ale art.119 referitoare la atributiile
Consiliului Suprem de Aparare a Tarii .
43. Examinand continutul normativ al legii, Curtea retine ca aceasta
prevede infiintarea Sistemului National de Securitate Cibernetica , denumit
SNSC, care reuneste autoritatile si institutiile publice cu responsabilitati si
capacitati in domeniu (art.6). Coordonarea unitara a activitatilor SNSC se
realizeaza de catre Consiliul Operativ de Securitate Cibernetica, denumit COSC
(art.8). Serviciul Roman de Informatii este desemnat autor itate nationala in
domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a
COSC, precum si organizarea si executarea activitatilor care privesc securitatea
cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul
National de Securitate Cibernetica , denumit CNSC (art.10 alin.(1)). Sunt
desemnate autoritati in domeniul securitatii cibernetice pentru domeniile lor de
activitate, asigurand securitatea infrastructurilor cibernetice proprii sau aflate in
responsabilitate: Ministerul Apararii Nationale, Ministerul Afacerilor Interne,
Oficiul Registrului National al Informatiilor Secrete de Stat, Serviciul de
Informatii Externe, Serviciul de Telecomunicatii Speciale si Serviciul de
Protectie si Paza. Centrul National de R aspuns la Incidente de Securitate ,
denumit in continuare CERT -RO, reprezinta un punct national de contact cu
structurile de tip CERT care functioneaza in cadrul institutiilor sau autoritatilor
publice ori al altor persoane juridice de drept public sau priv at, nationale ori
internationale, cu respectarea competentelor ce revin celorlalte autoritati si
institutii publice cu atributii in domeniu, potrivit legii (art.10 alin.(5)).
Autoritatea implicata in securitatea infrastructurilor cibernetice detinute sau
administrate de furnizorii de retele publice de comunicatii electronice sau de
servicii de comunicatii electronice destinate publicului este Autoritatea
Nationala pentru Administrare si Reglementare in Comunicatii , denumita
ANCOM (art.13 alin.(2)), institut ie infiintata prin Ordonanta de urgenta
Guvernului nr.22/2009.
44. Un element de noutate adus de legea criticata, prin art.10 alin.(1), il
constituie desemnarea Serviciului Roman de Informatii ca autoritate
nationala in domeniul securitatii cibernetice , calit ate in care asigura organizarea si executarea activitatilor care privesc securitatea cibernetica a
Romaniei. In acest scop, in structura SRI functioneaza Centrul National de
Securitate Cibernetica (CNSC), care a fost constituit, organizat si functioneaza
deja in cadrul SRI, cu personal militar specializat, potrivit unor hotarari ale
Consiliului Suprem de Aparare a Tarii . Autoritatile si institutiile publice din
componenta COSC deleaga un reprezentant in cadrul CNSC. Potrivit art.11 din
lege, principalele at ributii ale CNSC vizeaza actiuni in scopul cunoasterii,
prevenirii, protectiei, reactiei si managementului consecintelor amenintarilor si
atacurilor cibernetice; asigurarea schimbului de date si informatii intre
autoritatile si institutiile publice compone nte ale SNSC; analiza si integrarea
datelor si informatiilor obtinute de autoritatile si institutiile publice componente
ale SNSC, in scopul stabilirii, intreprinderii sau propunerii masurilor ce se
impun pentru asigurarea securitatii cibernetice; asigurar ea colectarii si
identificarii evenimentelor survenite in spatiul cibernetic; primirea notificarilor
facute de persoanele juridice de drept public care detin sau administreaza
infrastructuri cibernetice de interes national ( ICIN); in caz de atac cibernetic ,
asigurarea colectarii si evaluarea datelor si informatiilor cu privire la incident,
propunerea sau luarea de masuri reactive de prima urgenta pentru asigurarea
integritatii datelor si remedierea situatiei de fapt, informarea organelor
competente pentru investigare si cercetare, sau, dupa caz, sesizarea organelor de
urmarire penala.
45. De asemenea, art.15 alin.(8) din lege stabileste obligatia tuturor
persoanelor juridice de drept public sau privat detinatori de ICIN de a transmite
cu celeritate datele privin d starea de securitate cibernetica la nivelul acestora
catre CNSC, conform competentelor prevazute de lege.
46. Cu privire la desemnarea SRI, recte CNSC, ca autoritate nationala
in domeniul securitatii cibernetice, autorii criticilor de neconstitutionalitate
sustin ca legiuitorul acorda acces nelimitat si nesupravegheat la toate datele
informatice detinute de persoane de drept public si privat unei institutii care nu indeplineste conditia referitoare la un organism civil, supus controlului
democratic.
47. In analiza de constitutionalitate, Curtea porneste de la premisa ca
strategia de securitate cibernetica si legea privind securitatea cibernetica a u un
rol important in asigurarea securitatii nationale a Romaniei, pe de o parte, si a
protectiei persoanei fata de riscurile la adresa vietii private si a protectiei datelor
cu cara cter personal in mediul online, pe de alta parte. Cu privire la aceste
aspecte analizate coroborat, prin Hotararea din 6 septembrie 1978, pronuntata in
Cauza Klass si altii impotriva Germaniei, Curtea Europeana a Drepturilor
Omului a apreciat ca *Societatile democratice sunt amenintate in prezent de
modalitati complexe de spionaj si de terorism, astfel ca statul trebuie sa fie
capabil, pentru a combate eficient aceste amenintari, sa su pravegheze in mod
secret elementele subversive care opereaza pe teritoriul sau* (paragraful 42). Cu
toate acestea, Curtea, constienta de pericolul, inerent masurilor de supraveghere
secreta, *de a submina, chiar de a distruge democratia sub motivul aparari i
acesteia, afirma ca statele nu pot lua, in numele combaterii spionajului si
terorismului, orice masura pe care acestea o considera adecvata* (paragraful 49).
48. In aceasta lumina , Curtea Constitutionala trebuie sa verifice daca
reglementarea domeniului vizat concorda cu respectarea dreptului la viata
intima, familiala si privata, cu inviolabilitatea secretului corespondentei, cu
dreptul la protectia datelor cu caracter personal, valori fundamentele care ar
trebui sa reprezinte principii directoare ale po liticii de securitate cibernetica la
nivel national, si sa se asigure ca legislatia adoptata nu conduce la masuri care ar
constitui interferente neconstitutionale cu drepturile mentionate. Asa fiind,
Curtea apreciaza ca, pentru asigurarea unui climat de or dine, guvernat de
principiile unui stat de drept, democratic, infiintarea sau identificarea unui
organism responsabil cu coordonarea problemelor de securitate a sistemelor si
retelelor cibernetice, precum si a informatiei, care sa constituie punctul de
contact pentru relationarea cu organismele similare din strainatate (asa cum
prevede art.10 alin.(4) din lege), inclusiv al cooperarii transfrontaliere la nivelul Uniunii Europene, trebuie sa vizeze un organism civil, care sa functioneze
integral pe baza cont rolului democratic , iar nu o autoritate care desfasoara
activitati in domeniul informatiilor, al aplicarii legii sau al apararii ori care sa
reprezinte o structura a vreunui organism care activeaza in aceste domenii.
49. In ceea ce priveste dispozitiile art.1 alin.(3), teza intai din
Constitutie, care consacra principiul statului de drept, Curtea a retinut in
jurisprudenta sa (a se vedea Decizia nr.70 din 18 aprilie 2000, publicata in
Monitorul Oficial al Romaniei, Partea I, nr.334 din 19 iulie 2000) ca exigen tele
acestuia privesc scopurile majore ale activitatii statale, prefigurate in ceea ce
indeobste este numit ca fiind domnia legii, sintagma ce implica subordonarea
statului fata de drept, asigurarea acelor mijloace care sa permita dreptului sa
cenzureze optiunile politice si, in acest cadru, sa pondereze eventualele tendinte
abuzive, discretionare, ale structurilor etatice. Statul de drept asigura suprematia
Constitutiei, corelarea legilor si tuturor actelor normative cu aceasta, existenta
regimului de sepa ratie a puterilor publice, care trebuie sa actioneze in limitele
legii, si anume in limitele unei legi ce exprima vointa generala. Statul de drept
consacra o serie de garantii, inclusiv jurisdictionale, care sa asigure
respectarea drepturilor si libertatil or cetatenilor prin autolimitarea statului,
respectiv incadrarea autoritatilor publice in coordonatele dreptului .
50. In analiza Curtii, o ptiunea pentru desemnarea in calitate de
autoritate nationala in domeniul securitatii cibernetice a unui organism civil, iar
nu a unei entitati militare cu activitate in domeniul informatiilor, se justifica prin
necesitatea preintampinarii riscului de a de turna scopul legii securitatii
cibernetice in sensul folosirii atributiilor conferite prin aceasta lege de catre
serviciile de informatii in scopul obtinerii de informatii si date cu consecinta
incalcarii drepturilor constitutionale la viata intima, famili ala si privata si la
secretul corespondentei. Or, tocmai acest lucru nu evita legea supusa controlului
de constitutionalitate prin desemnarea SRI si a structurii sale militarizate CNSC.
51. Astfel, examinand atributiile stabilite de actul normativ supus
controlului, apare cu evidenta intentia legiuitorului de a stabili in competenta CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii,
oricare ar fi natura acestora, atat din mediul public, cat si din cel privat. Or, in
conditiile in ca re Centrul National de Securitate Cibernetica constituie o
structura militara, in cadrul unui serviciu de informatii, subordonata ierarhic
conducerii acestei institutii, deci sub un control direct militar -administrativ,
apare cu evidenta ca o atare entitat e nu indeplineste conditiile cu privire la
garantiile necesare respectarii drepturilor fundamentale referitoare la viata
intima, familiala si privata si la secretul corespondentei .
52. De asemenea, in conditiile in care autoritatea nationala desemnata
deserveste drept punct unic de contact national in domeniul securitatii retelelor
si al sistemelor informatice, asigurand relationarea cu organismele similare din
cadrul Uniunii Europene, imprejurarea ca Romania desemneaza o autoritate care
nu ar indeplini exigentele actului normativ european , aflat in curs de adoptare,
pune sub semnul intrebarii atat o eventuala concordanta a reglementarii
nationale cu cea de drept european, cat si cooperarea efectiva intre institutii care,
desi au acelasi scop, nu se intemeiaza pe o structura organizatorica similara si nu
functioneaza sub un control democratic.
53. Pentru toate aceste argumente, Curtea constata ca dispozitiile
art.10 alin.(1) din legea supusa controlului incalca prevederile
constitutionale ale art.1 alin.(3) si (5) referitoare la statul de drept si
principiul legalitatii, precum si cele ale art.26 si art.28 privind viata intima,
familiala si privata, respectiv secretul corespondentei, din perspectiva lipsei
garantiilor necesare garantarii acestor drepturi.
54. Curtea observa ca d ispozitiile art.2 prevad sfera de incidenta a legii,
sub aspectul destinatarilor sai, aratand ca persoanele juridice de drept public sau
privat carora le sunt aplicabile prevederile legale, intitulati generic detinatori de
infrastructuri ci bernetice, sunt: proprietarii, administratorii, operatorii sau
utilizatorii de infrastructuri cibernetice, definite la art.5 lit.g) ca fiind
infrastructuri din domeniul tehnologiei informatiei si comunicatii, constand in sisteme informatice, aplicatii afer ente, retele si servicii de comunicatii
electronice.
55. Definirea expresiei *detinatori de infrastructuri cibernetice* este
deosebit de importanta, deoarece includerea in aceasta categorie implica pentru
persoanele vizate obligatia de a respecta prevederile l egii, pe de o parte, si
justificarea pentru autoritatile desemnate de lege cu competente in domeniul
securitatii cibernetice de a dispune masuri speciale in ceea ce le priveste.
56. Obligatiile care incumba destinatarilor legii vizeaza asigurarea
rezilientei infrastructurilor cibernetice, respectiv capacitatea componentelor
infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic si de a
reveni la starea de normalitate. Aceasta stare este mentinuta in urma aplicarii
unui ansamblu de masuri proactive si reactive prin care se asigura
confidentialitatea, integritatea, disponibilitatea, autenticitatea si nonrepudierea
informatiilor in format electronic, a resurselor si serviciilor publice sau private,
din spatiul cibernetic. Includerea in sfera de incidenta a legii a utilizatorilor de
infrastructuri cibernetice , deci a tuturor persoanelor juridice care utilizeaza
retele si servicii de comunicatii electronice, ridica probleme legate de modul in
care acestea pot sa -si indeplineasca obligatiile si r esponsabilitatile prevazute de
lege, in conditiile in care nu sunt proprietari, administratori sau operatori ai
infrastructurilor cibernetice pe care le utilizeaza, iar legea face vorbire in
cuprinsul art.16, despre infrastructuri cibernetice proprii sau a flate in
responsabilitate. Mai mult, in masura in care obligatiile si responsabilitatile cad
atat in sarcina proprietarilor, administratorilor sau operatorilor infrastructurilor
cibernetice, cat si a utilizatorilor acestor infrastructuri, iar legea nu sta bileste
sensul notiunii de utilizator, rezulta ca obligatiile si responsabilitatile se exercita
in mod concurent la nivelul fiecarui sistem sau fiecarei retele informatice. Spre
exemplu, potrivit art.16 alin.(1) lit.a) si b) din lege, atat proprietarul, ca t si
utilizatorul sunt obligati sa aplice politici de securitate, sa identifice si sa
implementeze masurile tehnice si organizatorice adecvate pentru a gestiona
eficient riscurile de securitate. Insa, exista posibilitatea ca, uneori, politicile de 23 securitate, masurile tehnice si, mai ales, cele organizatorice, considerate
adecvate de cele doua entitati, sa nu coincida sau sa nu fie compatibile, astfel
incat finalitatea urmarita de lege sa nu fie atinsa. Or, destinatarii legii trebuie sa
aiba o reprezentare clara si corecta a normelor juridice aplicabile, astfel incat sa
isi adapteze conduita si sa prevada consecintele ce decurg din nerespectarea
acestora, lipsa unei reglementari predictibile in acest sens constituind premisa
unei aplicari neunitare, discreti onare, in activitatea de securizare cibernetica a
Romaniei.
57. In concluzie, intrucat notiunile cu care opereaza legea nu
delimiteaza in mod neechivoc sfera de incidenta a normelor cuprinse in actul
supus controlului de constitutionalitate, Curtea retine ca a cesta nu are un
caracter precis si previzibil, si, prin urmare, dispozitiile art.2 contravin art.1
alin.(5) din Legea fundamentala .
58. Curtea retine ca t uturor detinatorilor de infrastructuri cibernetice le
sunt aplicabile dispozitiile art.16 (care stabilesc obligatiile ce le incumba), si ale
art.17 (care consacra responsabilitatile pe care acestia trebuie sa le
indeplineasca). Printre responsabilitatile acestor persoane este si aceea de a
acorda sprijinul necesar, la solicitarea motivata a Serviciului Roman d e
Informatii, Ministerului Apararii Nationale, Ministerului Afacerilor Interne,
Oficiului Registrului National al Informatiilor Secrete de Stat, Serviciului de
Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de
Protectie si Paza, C ERT-RO si ANCOM, in indeplinirea atributiilor ce le revin
acestora, si *sa permita accesul reprezentantilor desemnati in acest scop la
datele detinute, relevante in contextul solicitarii* . Textul de lege impune o
dubla analiza: prima, din perspectiva tipului de date la care se permite accesul, a
doua, din perspectiva modalitatii in care se realizeaza accesul.
59. Cu privire la primul aspect, desi legislatia privind protectia datelor
cu caracter personal nu este mentio nata in mod expres in lege, accesul la datele
detinute de persoanele care cad sub incidenta legii, nu exclude accesarea,
prelucrarea si utilizarea datelor cu caracter personal . De asemenea, avand in vedere ca infrastructurile cibernetice constau in sisteme informatice, in retele si
servicii de comunicatii electronice, care faciliteaza stocarea si transferul de date,
apare ca fiind evident ca tipul de date cuprinse in aceste sisteme si retele sunt
inclusiv date care privesc viata privata a persoanelor utiliz atoare. Prevederea in
temeiul careia accesul se realizeaza cu privire la *datele detinute, relevante in
contextul solicitarii* permite interpretarea potrivit careia autoritatilor desemnate
de lege trebuie sa li se permita accesul la oricare din datele stoc ate in aceste
infrastructuri cibernetice, daca autoritatile apreciaza ca respectivele date prezinta
relevanta. Se remarca, astfel, caracterul nepredictibil al reglementarii, atat sub
aspectul tipului de date accesate, cat si al evaluarii relevantei datelor solicitate,
de natura sa creeze premisele unor aplicari discretionare de catre autoritatile
enumerate in ipoteza normei. Astfel, datele la care se poate solicita accesul pot
viza, de exemplu, jurnalele sistemelor de stocare, prelucrare si transmitere a
datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele
sau orice alte date de continut. Lipsa unei reglementari legale precise, care sa
determine cu exactitate sfera acelor date necesare identificarii evenimentelor
survenite in s patiul cibernetic (amenintari, atacuri sau incidente cibernetice),
deschide posibilitatea unor abuzuri din partea autoritatilor competente. Or,
cadrul normativ intr -un domeniu atat de sensibil trebuie sa se realizeze intr -o
maniera clara, previzibila si li psita de confuzie, astfel incat sa fie indepartata, pe
cat posibil, eventualitatea arbitrariului sau a abuzului celor chemati sa aplice
dispozitiile legale.
60. Cu privire la aceste probleme, Curtea deja a decis intr -o maniera
indubitabila, prin Decizia nr.44 0 din 8 iulie 2014, publicata in Monitorul Oficial
al Romaniei, Partea I, nr.653 din 4 septembrie 2014, statuand ca, *datele care fac
obiectul reglementarii, desi au un caracter predominant tehnic, sunt retinute in
scopul furnizarii informatiilor cu privir e la persoana si viata sa privata. Chiar
daca, potrivit art.1 alin.(3) din lege, aceasta nu se aplica si continutului
comunicarii sau informatiilor consultate in timpul utilizarii unei retele de
comunicatii electronice, celelalte date retinute, avand ca sc op identificarea apelantului si a apelatului, respectiv a utilizatorului si a destinatarului unei
informatii comunicate pe cale electronica, a sursei, destinatiei, datei, orei si
duratei unei comunicari, a tipului de comunicare, a echipamentului de
comunicatie sau a dispozitivelor folosite de utilizator, a locatiei echipamentului
de comunicatii mobile, precum si a altor «date necesare» * nedefinite in lege
*, sunt de natura sa prejudicieze manifestarea libera a dreptului la comunicare
sau la exprimare. In c oncret, datele avute in vedere conduc la concluzii foarte
precise privind viata privata a persoanelor ale caror date au fost pastrate,
concluzii ce pot viza obiceiurile din viata cotidiana, locurile de sedere
permanenta sau temporara, deplasarile zilnice s au alte deplasari, activitatile
desfasurate, relatiile sociale ale acestor persoane si mediile sociale frecventate
de ele. Or, o atare limitare a exercitiului dreptului la viata intima, familiala si
privata si la secretul corespondentei, precum si a libert atii de exprimare trebuie
sa aiba loc intr -o maniera clara, previzibila si lipsita de echivoc, astfel incat sa
fie indepartata, pe cat posibil, eventualitatea arbitrarului sau a abuzului
autoritatilor in acest domeniu*.(paragraful 56)
61. De asemenea, Curtea de Justitie a Uniunii Europene a retinut, prin
Hotararea din 8 aprilie 2014, pronuntata in cauzele conexate C -293/12 *
Digital Rights Ireland Ltd impotriva Minister for Communications, Marine and
Natural Resources si altii * si C -594/12 * Kärntner Landesregierung si altii.
ca datele ce fac obiectul reglementarii Directivei 2006/24/CE, invalidate, conduc
la concluzii foarte precise privind viata privata a persoanelor ale caror date au
fost pastrate, concluzii ce pot viza obiceiurile din v iata cotidiana, locurile de
sedere permanenta sau temporara, deplasarile zilnice sau alte deplasari,
activitatile desfasurate, relatiile sociale ale acestor persoane si mediile sociale
frecventate de ele (paragraful 27) si ca, in aceste conditii, chiar dac a, potrivit
art.1 alin.(2) si art.5 alin.(2) din Directiva 2006/24/CE, este interzisa pastrarea
continutului comunicatiilor si al informatiilor consultate prin utilizarea unei
retele de comunicatii electronice, pastrarea datelor in cauza poate afecta
utilizarea de catre abonati sau de catre utilizatorii inregistrati a mijloacelor de comunicare prevazute de aceasta directiva si, in consecinta, libertatea lor de
exprimare, garantata prin art.11 din Carta (paragraful 28).
62. De altfel, accesul la date vizeaza dat ele unei infrastructuri
cibernetice (infrastructura definita de art.5 lit.g) din lege ca fiind un sistem
informatic, aplicatii aferente, retele si servicii de comunicatii electronice) in
sensul legii supusa controlului de constitutionalitate se suprapune cu notiunea de
*acces la un sistem informatic*, reglementata de art.138 alin.(1) lit.b) si alin.(3)
din Codul de procedura penala, care consta in *patrunderea intr -un sistem
informatic sau mijloc de stocare a datelor informatice, fie direct, fie de la
distanta, prin intermediul unor programe specializate ori prin intermediul unei
retele, in scopul de a identifica probe*. De asemenea, in acelasi context, prin
date detinute se intelege *datele informatice* reglementate de art.138 alin.(5)
din Codul de procedura penala, care sunt *orice reprezentare de fapte, informatii
sau concepte, sub o forma adecvata prelucrarii intr -un sistem informatic,
inclusiv un program capabil sa determine executarea unei functii de catre un
sistem informatic*. Or, accesul la un sistem informatic in scopul obtinerii
acestor date constituie una dintre metodele speciale de supraveghere sau
cercetare potrivit art.138 alin.(13) din Codul de procedura penala, masura care
poate fi dispusa doar in conditiile art.140 (de catre judecator) sau a art.141 (de
catre procuror, pentru o durata de maxim 48 de ore). De asemenea, datele
relevante pot fi si cele generate sau prelucrate de catre furnizorii de retele
publice de comunicatii electronice sau furnizorii de servicii de comunicatii
electronice des tinate publicului si retinute de catre acestia, insa si acestea pot fi
obtinute doar cu autorizarea judecatorului, conform art.152 din Codul de
procedura penala.
63. Cu privire la cel de -al doilea aspect, legea criticata se limiteaza la a
preciza care sunt aut oritatile care pot solicita accesul la datele detinute pe baza
formularii unei solicitari motivate, fara a reglementa modalitatea in care se
realizeaza accesul efectiv la datele detinute, asa incat persoanele ale caror date
au fost pastrate sa beneficieze de garantii suficiente care sa le asigure protectia impotriva abuzurilor si a oricarui acces sau utilizari ilicite. Astfel, legea nu
prevede criterii obiective care sa limiteze la strictul necesar numarul de persoane
care au acces si pot utiliza ulterior d atele pastrate, si nu stabileste ca accesul
autoritatilor nationale la datele stocate este conditionat de controlul prealabil
efectuat de catre o instanta judecatoreasca , care sa limiteze acest acces si
utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmarit.
Garantiile legale privind utilizarea in concret a datelor retinute nu sunt suficiente
si adecvate pentru a indeparta teama ca drepturile personale, de natura intima,
sunt violate, asa incat manifestarea acestora sa aiba loc intr-o maniera
acceptabila (a se vedea in acest sens si Decizia nr.440/2012, paragraful 57).
64. Solicitarile de acces la datele retinute in vederea utilizarii lor in
scopul prevazut de lege, formulate de catre organele de stat desemnate
autoritati in domeniul securitatii cibernetice pentru domeniile lor de activitate,
nu sunt supuse autorizarii sau aprobarii instantei judecatoresti , lipsind astfel
garantia unei protectii eficiente a datelor pastrate impotriva riscurilor de abuz
precum si impotriva oricarui ac ces si a oricarei utilizari ilicite a acestor date.
Aceasta imprejurare este de natura a constitui o ingerinta in drepturile
fundamentale la viata intima, familiala si privata si a secretului corespondentei
si, prin urmare, contravine dispozitiilor constit utionale care consacra si
protejeaza aceste drepturi. Lipsa unor astfel de autorizari a fost criticata, printre
altele, si de catre Curtea de Justitie a Uniunii Europene prin Hotararea din 8
aprilie 2014, aceasta lipsa echivaland cu insuficienta garantiilo r procesuale
necesare ocrotirii dreptului la viata privata si a celorlalte drepturi consacrate de
art.7 din Carta drepturilor si libertatilor fundamentale si a dreptului fundamental
la protectia datelor cu caracter personal, consacrat de art.8 din Carta (p aragraful
62).
65. In concluzie, in conditiile in care masurile adoptate prin legea
supusa controlului de constitutionalitate nu au un caracter precis si previzibil,
ingerinta statului in exercitarea drepturilor constitutionale la viata intima,
familiala si pr ivata si la secretul corespondentei, desi prevazuta de lege, nu este formulata clar, riguros si exhaustiv pentru a oferi incredere cetatenilor,
caracterul strict necesar intr -o societate democratica nu este pe deplin justificat,
iar proportionalitatea masu rii nu este asigurata prin reglementarea unor garantii
corespunzatoare, consideram ca dispozitiile art.17 alin.(1) lit.a) din Legea
privind securitatea cibernetica a Romaniei incalca prevederile art.1 alin.(5),
art.26, art.28, si art.53 din Constitutie. Asadar, limitarea exercitiului acestor
drepturi personale in considerarea unor drepturi colective si interese publice, ce
vizeaza securitatea cibernetica rupe justul echilibru care ar trebui sa existe intre
interesele si drepturile individuale, pe de o p arte, si cele ale societatii, pe de alta
parte, legea criticata nereglementand garantii suficiente care sa permita
asigurarea unei protectii eficiente a datelor fata de riscurile de abuz, precum si
fata de orice accesare si utilizare ilicita a datelor cu c aracter personal (ad similis,
Decizia nr.461/2014, paragraful 44).
66. In continuarea analizei sale, Curtea observa ca, din coroborarea
dispozitiilor art.2 cu art.19 si art.20 din lege, rezulta ca, in cadrul detinatorilor de
infrastructuri cibernetice, se cree aza o subcategorie * detinatorii de
infrastructuri cibernetice de interes national (ICIN ), care, potrivit art.2 lit.h) din
lege, reprezinta infrastructurile cibernetice care sustin servicii publice sau de
interes public, ori servicii ale societatii informa tionale, a caror afectare poate
aduce atingere securitatii nationale, sau prejudicii grave statului roman ori
cetatenilor acestuia. Acestia sunt cuprinsi in Catalogul ICIN , intocmit de
Ministerul pentru Societatea Informationala, cu consultarea COSC, la
propunerea CNSC sau, dupa caz, a CERT -RO, si a ANCOM. Potrivit art.19
alin.(1), catalogul este aprobat prin hotarare a Guvernului . Identificarea ICIN
se realizeaza pe baza criteriilor de selectie cuprinse in metodologia elaborata de
Serviciul Roman de Inform atii si Ministerul pentru Societatea Informationala si
este aprobata prin hotarare de Guvern.
67. Cu privire la aceste aspecte, Curtea apreciaza ca modalitatea prin
care se stabilesc criteriile in functie de care se realizeaza selectia
infrastructurilor cibernetice de interes national si, implicit, a detinatorilor ICIN nu respecta cerintele de previzibilitate, certitudine si transparenta .
Astfel, trimiterea la o legislatie infralegala, respectiv hotarari de Guvern, acte
normative caracterizate printr -un g rad sporit de instabilitate, pentru
reglementarea criteriilor in functie de care devin incidente obligatii in materia
securitatii nationale incalca principiul constitutional al legalitatii, consacrat de
art.1 alin.(5) din Constitutie. Optiunea pentru o ata re modalitate de reglementare
apare cu atat mai nejustificata cu cat intr -o materie similara, cea a identificarii
infrastructurilor critice nationale, Ordonanta de urgenta a Guvernului nr.98/2010
stabileste in chiar continutul sau criteriile intersectorial e de identificare a ICN.
Mai mult, prin Anexa la actul normativ se aproba lista sectoarelor,
subsectoarelor infrastructurii critice nationale/infrastructurii critice europene
(ICN/ICE) si autoritatilor publice responsabile (energetic, tehnologia informatiei
si comunicatii, alimentare cu apa, alimentatie, sanatate, securitate nationala,
administratie, transporturi, industria chimica si nucleara, spatiu si cercetare). Or,
in cazul Legii privind securitatea cibernetica, dispozitiile art.19 fac trimitere la
acte normative cu forta juridica inferioara legii, identificarea ICIN realizandu-se
pe baza unei metodologii elaborate de Serviciul Roman de Informatii si de
Ministerul pentru Societatea Informationala, in baza unei proceduri
neprevazute de lege, netransparen te, si deci, susceptibila de a fi calificata
arbitrara.
68. Prin urmare, Curtea retine ca atat criteriile in functie de care se
realizeaza selectia infrastructurilor cibernetice de interes national, cat si
modalitatea prin care se stabilesc acestea trebuie pre vazute de lege , iar actul
normativ de reglementare primara trebuie sa contina o lista cat mai completa
a domeniilor in care sunt incidente prevederile legale .
69. Pe de alta parte, Curtea apreciaza ca obligatiile ce decurg din
Legea securitatii cibernetice a Romaniei trebuie sa fie aplicabile in
exclusivitate persoanelor juridice de drept public sau privat detinatoare sau
care au in responsabilitate ICIN (care includ, in baza legii, si administratiile
publice), intrucat numai situatiile de pericol cu privire l a o infrastructura de interes national pot avea implicatii asupra securitatii Romaniei, prin
dimensiunea, dispersia si accesibilitatea unei astfel de infrastructuri, prin
efectele economice, evaluate in functie de importanta pierderilor economice
si/sau a degradarii produselor sau serviciilor, prin efectele asupra populatiei,
evaluate in functie de impactul asupra increderii acesteia sau perturbarea vietii
cotidiene, inclusiv prin pierderea unor servicii esentiale. Or, dispozitiile legale in
forma supusa co ntrolului de constitutionalitate prezinta un grad mare de
generalitate, obligatiile vizand totalitatea detinatorilor de infrastructuri
cibernetice, constand in sisteme informatice, aplicatii aferente, retele si servicii
de comunicatii electronice, indifere nt de importanta acestora care poate viza
interesul national sau doar un interes de grup sau chiar particular. Pentru a evita
impunerea unei sarcini disproportio nate asupra micilor operatori, cerintele
trebuie sa fie proportionale cu riscurile la care sunt expuse reteaua sau sistemul
informatic in cauza si nu trebuie aplicat detinatorilor de infrastructuri cibernetice
cu importanta nesemnificativa din punct de vedere al interesului general. Prin
urmare, riscurile vor trebui identificate la nivelul entitatil or care activeaza in
domenii esentiale/vitale pentru buna desfasurare a serviciilor publice nationale,
care vor decide ce masuri trebuie adoptate pentru a atenua riscurile respective.
70. Pentru motivele expuse mai sus, apreciem ca dispozitiile art.19
alin.(1) si (3) din Legea securitatii cibernetice a Romaniei incalca
prevederile art.1 alin.(5) din C onstitutie, intrucat nu respect a cerintele de
previzibilitate, stabilitate si certitudine.
71. In continuare, Curtea retine ca d ispozitiile art.20 si art.21 alin.(2)
din legea criticata prevad obligatiile care incumba persoanelor juridice de
drept public sau privat care detin sau au in responsabilitate ICIN , printre care
sa efectueze anual auditari de securitate cibernetica sau sa permita efectuarea
unor astfel de auditari la solicitarea motivata a autoritatilor competente potrivit
prezentei legi, sa constituie structuri sau sa desemneze persoane responsabile cu
prevenirea, identificarea si reactia la incidentele cibernetice, sa not ifice imediat,
dupa caz, CNSC, CERT -RO, ANCOM sau autoritatile desemnate, in conditiile legii, in domeniul securitatii cibernetice cu privire la riscurile si incidentele
cibernetice care, prin efectul lor, pot aduce prejudicii de orice natura
utilizatorilor sau beneficiarilor serviciilor lor. De asemenea, in cazul in care au
fost notificate riscuri sau incidente cibernetice, detinatorii de ICIN au obligatia
sa permita autoritatilor competente sa intervina pentru identificarea si analizarea
cauzelor incident elor cibernetice, respectiv pentru inlaturarea sau reducerea
efectelor incidentelor cibernetice, sa retina si sa asigure integritatea datelor
referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data
notificarii.
72. Legea stabileste ca sunt exceptate de la aplicarea acestor dispozitii
autoritatile prevazute la art.10 alin.(1) si (2) din lege , respectiv Serviciul
Roman de Informatii, Ministerul Apararii Nationale, Ministerul Afacerilor
Interne, Oficiul Registrului National al Informatiilor S ecrete de Stat, Serviciul
de Informatii Externe, Serviciul de Telecomunicatii Speciale si Serviciul de
Protectie si Paza. Or, Curtea considera nejustificata aceasta exceptare in
conditiile in care si autoritatile enumerate desfasoara activitati in domeniul
securitatii nationale, sunt detinatoare de ICIN sau au in responsabilitate ICIN si
sunt susceptibile a face obiectul unor atacuri cibernetice.
73. Potrivit dispozitiilor art.20 alin.(1) lit.c) din lege, persoanele
juridice de drept public sau privat care det in sau au in responsabilitate ICIN au
obligatia sa permita efectuarea unor auditari de securitate cibernetica la
solicitarea motivata a autoritatilor competente. Auditarile sunt realizate de SRI
sau de catre furnizori de servicii de securitate cibernetica. Cu alte cuvinte,
intrucat SRI este autoritate nationala in domeniul securitatii cibernetice, deci
autoritate competenta, potrivit legii, sa solicite persoanelor juridice de drept
public sau privat care detin sau au in responsabilitate ICIN efectuarea unor
auditari de securitate cibernetica, exista posibilitatea reala ca aceasta institutie
sa se afle concomitent in pozitia solicitantului auditului, a celui care efectueaza
auditul, a celui caruia i se comunica rezultatul auditului si, in fine, in pozitia
celui care constata o eventuala contraventie, potrivit art.28 lit.e) din lege, si aplica sanctiunea, potrivit art.30 lit.c) din lege . Or, o atare situatie este
inacceptabila intr-o societate guvernata de principiile statului de drept.
Dispozitiile legale sunt susceptibile de a genera o aplicare discretionara, chiar
abuziva a legii, fiind nepermis ca toate atributiile din domeniul reglementat sa
fie concentrate in sarcina unei singure institutii. Curtea apreciaza ca auditul
trebuie sa fie efectuat de auditori i nterni sau de un organism calificat
independent care sa verifice conformitatea aplicarii politicilor de securitate
cibernetica la nivelul infrastructurilor cibernetice si sa transmita rezultatul
evaluarii efectuate autoritatii competente sau punctului unic de contact.
74. Pornind de la definitia notiunii de *audit de securitate cibernetica*,
prevazuta in art.5 lit.d ), care stabileste ca aceasta reprezinta o evaluare
sistematica, detaliata, masurabila si tehnica a modului in care politicile de
securitate cibernetica sunt aplicate la nivelul infrastructurilor cibernetice,
precum si emiterea de recomandari pentru minimi zarea riscurilor identificate,
Curtea retine ca, in acceptiunea legii, aceasta auditare presupune doar o evaluare
a politicilor de securitate cibernetica si nicidecum accesul la datele stocate in
infrastructurile cibernetice.
75. In ceea ce priveste norma prevazuta de art.20 alin.(1) lit.h) si anume
obligatia de a notifica imediat, dupa caz, CNSC, CERT -RO, ANCOM sau
autoritatile desemnate, in conditiile legii, in domeniul securitatii cibernetice cu
privire la riscurile si incidentele cibernetice, Curtea conside ra ca aceasta ar
trebui sa stabileasca cu exactitate circumstantele in care este necesara
notificarea, precum si continutul notificarii, inclusiv tipurile de date cu caracter
personal care ar trebui notificate, si, daca este cazul, in ce masura notificarea si
documentele sale justificative vor include detalii privind datele cu caracter
personal afectate de un incident specific de securitate (precum adresele IP) .
Este important sa se tina seama de faptul ca autoritatilor competente in domeniul
securitatii retelelor si informatiei ar trebui sa li se permita sa colecteze si sa
prelucreze date cu caracter personal in cadrul unui incident de securitate doar
daca este strict necesar pentru atingerea obiectivelor de interes public urmarite de lege, cu respectarea p rincipiului proportionalitatii. De asemenea, legea
trebuie sa prevada garantii adecvate pentru a se asigura protectia efectiva a
datelor prelucrate de autoritatile competente privind securitatea cibernetica si nu
trebuie sa excluda obligatia de notificare a cazurilor de incalcare a protectiei
datelor cu caracter personal in temeiul legislatiei aplicabile in materie, potrivit
art. 21 si 22 din Legea nr.477/2001 pentru protectia persoanelor cu privire la
prelucrarea datelor cu caracter personal si libera circ ulatie a acestor date.
Analizand, insa, dispozitiile art.20 alin.(2), Curtea constata ca legiuitorul
deleaga atributia sa de legiferare Ministerului pentru Societatea
Informationala, ANCOM sau autoritatilor desemnate, in conditiile legii , in
domeniul secur itatii cibernetice, care vor stabili *cerintele minime de securitate
cibernetica, modalitatea de notificare, precum si datele si informatiile care
insotesc in mod obligatoriu notificarea, care se aproba prin ordine sau decizii
emise in termen de 90 de zile de la intrarea in vigoare a legii, de conducatorii
autoritatilor sau institutiilor publice respective , publicate in Monitorul Oficial al
Romaniei, Partea I*. Trimiterea la acte administrative, cu o forta juridica
inferioara legii, intr-un domeniu critic pentru securitatea nationala, cu impact
asupra drepturilor si libertatilor fundamentale ale cetatenilor, incalca
prevederile constitutionale cuprinse in art.1 alin.(5) referitoare la principiul
legalitatii. O dispozitie legala trebuie sa fie precisa, neechi voca, sa instituie
norme clare, previzibile, a caror aplicare sa nu permita arbitrariul sau abuzul. De
asemenea, norma trebuie sa reglementeze in mod unitar, uniform, sa stabileasca
cerinte minimale aplicabile tuturor destinatarilor sai. Or, atata vreme ca t ordinele
sau deciziile sunt emise de conducatorii autoritatilor sau institutiilor publice
desemnate de lege, apare cu evidenta ca legea relativizeaza in mod nepermis
reglementarea acestui domeniu , lasand la latitudinea fiecarei entitati stabilirea,
in mod diferentiat, a unor masuri esentiale, precum cerintele minime de
securitate cibernetica, modalitatea de notificare, precum si datele si informatiile
care insotesc notificarea. Pe de alta parte, enumerand autoritatile care stabilesc
aceste aspecte, legiuitorul omite chiar Consiliul Suprem de Aparare a Tarii, care potrivit art.9 alin.(1) lit.f) din lege, aproba propunerile COSC privind cerintele
minime de securitate cibernetica si politici de securitate cibernetica pentru
autoritatile si institutiile public e prevazute la art.10 alin. (l) si (2) din lege.
76. In concluzie, Curtea constata ca dispozitiile art.20 alin.(1) lit.c) si
lit.h) coroborate cu art.20 alin.(2) sunt neconstitutionale, intrucat contravin
prevederilor art.1 alin.(3) si (5), art.26 si art.28 din Constitutie.
77. Din analiza legii, Curtea retine ca aceasta omite sa reglementeze
posibilitatea subiectilor carora le este destinata legea, in sarcina carora au fost
instituite obligatii si responsabilitati, de a contesta in justitie actele
administrative incheiate cu privire la indeplinirea acestor obligatii si care sunt
susceptibile a prejudicia un drept sau un interes legitim.
78. Potrivit art. 21 din Constitutie, orice persoana se poate adresa
justitiei pentru apararea drepturilor, libertatilor si intereselor sale legitime. Prin
Decizia nr. 1 din 8 febru arie 1994 , publicata in Monitorul Oficial al Romaniei,
Partea I, nr. 69 din 16 martie 1994, Curtea Constitutionala a statuat ca liberul
acces la justitie presupune accesul la toate mijloacele procedurale prin care se
infaptuieste actul de justitie. S -a con siderat ca legiuitorul are competenta
exclusiva de a stabili regulile de desfasurare a procesului in fata instantelor
judecatoresti, astfel cum rezulta din art. 126 alin. (2) din Constitutie. Totodata,
in jurisprudenta sa (Decizia nr. 71 din 15 ianuarie 2009 , publicata in Monitorul
Oficial al Romaniei, Partea I, nr. 49 din 27 ianuarie 2009 ), Curtea a retinut ca
liberul acces la justitie este pe deplin respectat ori de cate ori partea interesata, in
vederea valorificarii unui drept sau interes legitim, a putut sa se adreseze cel
putin o singura data unei instante nationale.
79. Pe de alta parte, p otrivit art.6 paragraful 1 din Conventia pentru
apararea drepturilor omului si a libertatilor fundamentale , orice persoana are
dreptul la judecarea in mod echitabil a cauzei sale, de catre o instanta
independenta si impartiala, care va hotari asupra incalcarii drepturilor si
obligatiilor sale cu caracter civil. Curtea Europeana a Drepturilor Omului a
statuat in jurisprudenta sa, cu titlu general, ca art. 6 paragraful 1 din Conventie 35 garanteaza oricarei persoane dreptul de a aduce in fata unei instante orice
pretentie referitoare la drepturi si obligatii cu caracter civil (a se vedea Hotararea
din 21 februarie 1975, pronuntata in Cauza Golder impotriva Marii Britanii,
paragraful 36, si Hotararea din 20 decembrie 2011, pronuntata in Cauza Dokic
impotriva Serbiei, paragraful 35). De asemenea, in Hotararea din 26 i anuarie
2006, pronuntata in Cauza Lungoci impotriva Romaniei , paragraful 36,
publicata in Monitorul Oficial Romaniei, Partea I, nr. 588 din 7 iulie 2006, s -a
aratat ca accesul liber la justitie implica prin natura sa o reglementare din partea
statului si p oate fi supus unor limitari, atat timp cat nu este atinsa substanta
dreptului.
80. Romania este un stat de drept in care, potrivit art.1 alin.(5) din
Constitutie, *respectarea Constitutiei, a suprematiei sale si a legilor este
obligatorie*. In conditiile in ca re art.20 alin.(1) din Constitutie prevede ca
dispozitiile constitutionale privind drepturile si libertatile cetatenilor vor fi
interpretate si aplicate in concordanta cu Declaratia Universala a Drepturilor
Omului, cu pactele si cu celelalte tratate la car e Romania este parte, iar art.21
din Constitutie consacra liberul acces la justitie, a carei exercitare, potrivit
alin.(2), nicio lege nu o poate ingradi, Parlamentul are indatorirea de a legifera
norme corespunzatoare pentru asigurarea reala a respectarii acestui drept, in
lipsa caruia nu se poate concepe existenta statului de drept, prevazuta prin art.1
alin.(3) din Constitutie. Fara indeplinirea acestei indatoriri, normele
constitutionale mentionate ar avea un caracter pur declarativ, situatie
inadmisibila pentru un stat care impartaseste valorile democratice ce fac parte
din ordinea publica europeana, asa cum este prefigurat de Conventia Europeana
a Drepturilor Omului si de Carta drepturilor fundamentale a Uniunii Europene
(in acest sens, este si Decizia Curtii Constitutionale nr.233 din 15 februarie
2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr.340 din 17 mai
2011).
81. Avand in vedere aceste considerente de principiu, Curtea constata
ca lipsa oricarei prevederi in continutul legii prin care sa se asigure posibilitatea persoanei ale carei drepturi, libertati sau interese legitime au
fost afectate prin acte sau fapte care au ca temei dispozitiile Legii privind
securitatea cibernetica a Romaniei de a se adresa unei instante
judecatoresti independente si impartial e contravine prevederilor art.1
alin.(3) si (5), art.21, precum si art.6 din Conventia pentru apararea
drepturilor omului si a libertatilor fundamentale .
82. Potrivit dispozitiilor art.27 alin.(1), monitorizarea si controlul
aplicarii prevederilor legii criticate se asigura, potrivit competentelor stabilite
prin lege, de catre Camera Deputatilor si Senat, Administratia Prezidentiala,
Guvern, CSAT, precum si institutiile si autoritatile publice prevazute la art. 10
alin. (1) si (2), pentru infrastructurile cibernetice proprii sau aflate in
responsabilitate, Serviciul Roman de Informatii pentru infrastructurile
cibernetice proprii sau af late in responsabilitate, precum si pentru detinatorii de
ICIN persoane juridice de drept public, Ministerul pentru Societatea
Informationala, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN,
persoane juridice de drept privat.
83. Optiunea legiuitorului de a atribui competente de monitorizare si
control al aplicarii prevederilor legale Camerei Deputatilor, Senatului,
Administratiei Prezidentiale, Secretariatul General al Guvernului si CSAT -
ului, in conditiile in care art.10 alin.(1) si (2) stabileste autoritatile competente
in domeniul securitatii cibernetice privind infrastructurile cibernetice proprii sau
aflate in responsabilitate, fara a include in aceasta categorie autoritatile
enumerate mai sus, acestea regasindu -se in intregul act normativ in categoria
persoane juridice drept public, in sarcina carora incumba respectarea obligatiilor
prevazute de lege, denota inconsecventa si genereaza confuzie cu privire la
regimul juridic aplicabil acestor institutii. Din interpretarea corobo rata a
dispozitiilor art.20 alin.(1) cu cele ale art.21 alin.(1) lit.a), rezulta ca, pe de o
parte, Parlamentul, Administratia Prezidentiala, Secretariatul General al
Guvernului si CSAT au obligatia, de exemplu, de a permite efectuarea unor
auditari de sec uritate cibernetica efectuate de SRI sau de a notifica CNSC cu privire la riscurile si incidentele cibernetice, pe de alta parte, ele vor monitoriza
si controla respectarea acestor obligatii, iar, in cazul neindeplinirii dispozitiilor
legale, potrivit art. 28 coroborat cu art30 lit.c) din lege, autoritatile isi vor
aplica lor insele sanctiuni, ca urmare a constatarii contraventiilor . Curtea
constata, asadar , ca legiuitorul eludeaza principiile de drept potrivit carora
controlul trebuie efectuat de o entitate independenta, exterioara autoritatii
controlate, iar prin normele edictate face iluzorie respectarea obligatiilor
referitoare la securitatea cibernetica. Mai mult, dispozitiile in temeiul carora
Parlamentul, Administratia Prezidentiala, Secretariatul Gene ral al Guvernului si
CSAT devin agenti constatatori ai savarsirii de contraventii si dispun aplicarea
de sanctiuni contraventionale vadesc ignorarea principi ilor de drept care
guverneaza un stat democratic, respectiv a principiului separatiei puterilor in
stat, prevazut de art.1 alin.(4) din Constitutie si a principiului legalitatii,
consacrat de art.1 alin.(5) . Astfel, in virtutea legii criticate, autoritatea
legiuitoare, administratia prezidentiala, Guvernul sau CSAT, autoritatii de rang
constitutional ale caror atributii sunt expres prevazute in Legea fundamentala, se
subroga in atributii care, potrivit Ordon antei Guvernului nr.2/2001 privind
regimul juridic al contraventiilor (la care legea criticata face, de altfel,
trimitere), revin in competenta autoritatilor administratiei publice centrale sau
locale.
84. Pe de alta parte, Curtea observa ca legea supusa contr olului nu
stabileste competente de control si monitorizare fata de toti detinatorii de
infrastructuri cibernetice, dispozitiile art.27 alin.(1) stabilind aceste
competente doar in ceea ce priveste persoanele juridice de drept public sau
privat, detinatoare de ICIN. Or, in conditiile in care legea prevede, la art.15, 16
si 17, obligatii si responsabilitati pentru toate persoanele juridice de drept public
sau privat detinatoare de infrastructuri cibernetice, iar art.28 lit.a), b), c) califica
drept contravent ii nerespectarea respectivelor obligatii, omisiunea legislativa cu
privire la autoritatea competenta sa efectueze controlul detinatorilor de
infrastructuri care nu sunt calificate ICIN viciaza constitutionalitatea textului legal cuprins in art.27 alin.(1), din perspectiva art.1 alin.(5) din Constitutie .
Normele edictate in materie contraventionala, atat in ceea ce priveste fapta
incriminata, cat si procedura de constatare si sanctionare a acesteia, trebuie sa fie
clare, precise, previzibile, astfel incat de stinatarul lor sa isi poata conforma
conduita prescriptiei legale.
85. De asemenea, Curtea retine ca d ispozitiile art.30 din lege contin
prevederi referitoare la constatarea contraventiilor si aplicarea sanctiunilor.
Curtea face o prima observatie cu privire la confuzia generata de textul legal ca
urmare a necorelarii cu prevederile art.28 care consacra contraventiile
savarsite prin nerespectarea dispozitiilor legale. Astfel, Curtea identifica:
omisiunea identificarii autoritatii competente sa constate si sa ap lice sanctiunea
pentru contraventiile prevazute de art.28 lit.i) si j) savarsite de persoane juridice
de drept privat; omisiunea identificarii autoritatii competente sa constate si sa
aplice sanctiunea pentru contraventiile prevazute de art.28 lit.a), i) si j) savarsite
de persoane juridice de drept public; sanctionarea contraventionala
reglementata de art.30 lit.c) pentru nerespectarea unor obligatii de catre
autoritatile si institutiile publice prevazute la art.27 alin.(l) lit. a) din lege, cu
privire la infrastructurile cibernetice proprii, obligatii de la care acestea erau
exceptate, potrivit art.20 alin.(1) teza a doua (contraventii prevazute de art.28
li.e)-h) din lege).
86. In jurisprudenta sa, Curtea Constitutionala a retinut in repetate
randuri ca orice act normativ trebuie sa indeplineasca anumite conditii calitative,
printre acestea numarandu -se previzibilitatea, ceea ce presupune ca acesta
trebuie sa fie suficient de precis si clar pentru a putea fi aplicat (a se vedea, spre
exemplu, Decizia nr. 189 din 2 martie 2006, publicata in Monitorul Oficial al
Romaniei, Partea I, nr. 307 din 5 aprilie 2006, Decizia nr. 903 din 6 iulie 2010,
publicata in Monitorul Oficial al Romaniei, Partea I, nr. 584 din 17 august 2010
sau Decizia nr. 26 din 18 ianuarie 2012 , publicata in Monitorul Oficial al
Romaniei, Partea I, nr. 116 din 15 februarie 2012). In acelasi sens, Curtea
Europeana a Drepturilor Omului a statuat ca legea trebuie, intr -adevar, sa fie accesibila justitiabilului si previzibila in ceea ce priveste efe ctele sale. Pentru ca
legea sa satisfaca cerinta de previzibilitate, ea trebuie sa precizeze cu suficienta
claritate intinderea si modalitatile de exercitare a puterii de apreciere a
autoritatilor in domeniul respectiv, tinand cont de scopul legitim urmari t, pentru
a oferi persoanei o protectie adecvata impotriva arbitrariului. In plus, nu poate fi
considerata *lege* decat o norma enuntata cu suficienta precizie, pentru a
permite cetateanului sa isi adapteze conduita in functie de aceasta ; apeland la
nevoie la consiliere de specialitate in materie, el trebuie sa fie capabil sa
prevada, intr -o masura rezonabila, fata de circumstantele spetei, consecintele
care ar putea rezulta dintr-o anumita fapta (a se vedea Hotararea din 4 mai 2000,
pronuntata in Cauza Rotaru impotriva Romaniei , paragraful 52, si Hotararea din
25 ianuarie 2007, pronuntata in Cauza Sissanis impotriva Romaniei , paragraful
66).
87. Asa fiind, Curtea apreciaza ca imprecizia textelor de lege supuse
controlului de constitutionalitate, constand in lipsa stabilirii cu suficienta
claritate a procedurilor de monitorizare si control, respectiv a celor privind
constatarea si sanctionarea contraventiilor , afecteaza, pe cale de consecinta, si
garantiile constitutionale si conventionale care caracterizeaza dre ptul la un
proces echitabil, inclusiv componenta sa privind dreptul la aparare. De altfel,
Curtea Europeana a Drepturilor Omului a retinut, in esenta, ca nerespectarea
garantiilor fundamentale, care protejeaza presupusii autori ai unor fapte ilicite,
in fa ta posibilelor abuzuri ale autoritatilor desemnate sa -i urmareasca si sa -i
sanctioneze, reprezinta un aspect ce trebuie examinat in temeiul art. 6 din
Conventia pentru apararea drepturilor omului si a libertatilor fundamentale (a se
vedea, spre exemplu, Ho tararea din 4 octombrie 2007, pronuntata in Cauza Anghel impotriva Romaniei , paragraful 68).
88. Pentru ca dreptul la un proces echitabil sa nu ramana teoretic si
iluzoriu, normele juridice trebuie sa fie clare, precise si explicite, astfel incat sa
il poata a vertiza in mod neechivoc pe destinatarul acestora asupra gravitatii
consecintelor nerespectarii enunturilor legale pe care le cuprind. In lumina celor enuntate mai sus, Curtea retine ca, in mod evident, prevederile art.27 alin.(1) si
30 din lege, caracteri zate printr -o tehnica legislativa deficitara, nu intrunesc
exigentele de claritate, precizie si previzibilitate si sunt astfel incompatibile
cu principiul fundamental privind respectarea Constitutiei, a suprematiei
sale si a legilor, prevazut de art. 1 alin. (5) din Constitutie si cu dreptul la un
proces echitabil, prevazut de art. 21 alin. (3) din Constitutie, precum si de
art.6 din Conventia pentru apararea drepturilor omului si a libertatilor
fundamentale.
89. Potrivit dispozitiilor art.27 alin.(2) din leg e, in cadrul activitatii de
monitorizare si control, persoanele desemnate de conducatorii autoritatilor
prevazute la art.27 alin.(1) au dreptul sa solicite declaratii sau orice documente
necesare pentru efectuarea controlului, sa faca inspectii, inclusiv inopinate, la
orice instalatie, incinta sau infrastructura, destinate ICIN , si sa primeasca, la
cerere sau la fata locului, informatii sau justificari. Norma cuprinsa in art.27
alin.(2) lit.b) care permite autoritatilor publice prevazute de art.10 alin.(1) si (2)
din lege sa faca inspectii la orice instalatie, incinta sau infrastructura destinata
ICIN, aflata in responsabilitatea lor, presupune accesul la o anumita locatie, cu
privire la anumite obiecte, sisteme informatice de stocare, prelucrare si
transmitere a datelor, inclusiv a celor cu caracter personal, acces care pune in
discutie protectia drepturilor constitutionale la viata intima, familiala si privata
si la secretul corespondentei. Or, in masura in care notiunile cu care legea
opereaza (instalatii, incinte si infrastructuri) nu sunt in mod predictibil
determinate, iar sfera datelor asupra carora se realizeaza controlul este incerta,
Curtea apreciaza ca legea criticata nu reglementeaza garantii care sa permita o
protectie eficienta impotriva riscuril or de abuz, precum si fata de orice accesare
si utilizare ilicita a datelor cu caracter personal. In vreme ce notiunea de
infrastructura cibernetica e definita prin lege, notiunea de instalatie folosita in
textul de art.27 alin.(2) lit.b) poate reprezenta tot un sistem informatic ori o retea
sau serviciu de comunicatii electronice, avand in vedere domeniul de
reglementare al legii si definitiile cuprinse in aceasta , astfel ca accesul la aceste sisteme informatice nu poate fi permis decat cu autorizarea jude catorului. De
asemenea, notiunea de incinta poate semnifica si locul unde se gasesc aceste
sisteme informatice, caz in care Curtea retine ca sunt aplicabile dispozitiile
privind perchezitia domiciliara prevazuta de art.157-167 din Codul de procedura
penala, in sensul ca aceasta masura nu poate fi dispusa decat de un judecator.
90. Fata de cele prezentate, trimiterea la *respectarea prevederilor
legale in vigoare* este una confuza , intrucat nu sunt identificate ca fiind
prevederi aplicabile nici dispozitiile Codului de procedura penala, indicate mai
sus, si nici prevederile altor acte normative.
91. Prin urmare, considerentele Deciziilor Curtii Constitutionale
nr.440/2014 si nr.461/2014 sunt valabile mutatis mutandis, astfel ca argumentele
expuse in prealabil cu privire la neconstitutionalitatea dispozitiilor art.17 alin.(1)
lit.a) din Legea privind securitatea cibernetica a Romaniei sunt pe deplin
sustenabile si in ceea ce priveste dispozitiile art.27 alin.(2) din lege . Asa fiind,
Curtea conchide ca acestea incalca prevederile art.1 alin.(5), art.26, art.28, si
art.53 din Constitutie.
92. Dincolo de aspectele punctuale a caror neconstitutionalitate a fost
motivata supra, Curtea constata ca intregul act normativ sufera de deficiente sub
aspectul respectarii normelor de tehnica legislativa, a coerentei , a claritatii , a
previzibilitatii, de natura a determina incalcarea principiului legalitatii,
consacrat de art.1 alin.(5) din Constitutie . Astfel, legea face trimiteri in mai
multe cazuri la reglementarea unor aspecte esentiale in economia domeniului
reglementat la acte legislative secundare , precum hotarari de Guvern, norme
metodologice, ordine sau decizii sau *pro ceduri stabilite de comun a cord*. A se
vedea in acest sens dispozitiile art.15 alin.(2), art.17 alin.(1) lit.b), art.19 alin.(1)
si (3), art.20 alin.(2), art.23 alin .(2), (5) si (6), art.30 lit.d) din lege.
93. De asemenea, cu exceptia cazurilor in care trimiterea vizeaza chiar
legea securitatii cibernetice, situatie in care s -a folosit sintagma *prezenta lege*,
legea foloseste in repetate randuri sintagmele *potrivit legii*, *conform
competentelor prevazute de lege* sau *in conditiile legii*, fara a preciza concret la dispozitiile caror legi se face trimiterea . Aceasta situatie se regaseste
in cuprinsul art.7 alin.(1) lit.d), art.10 alin.(2) si (5), art.11 alin.(1) lit.j), art.15
alin.(8), art.19 alin.(6), art.20 alin.(1) lit .h), art.21 alin.(1), art.21 alin.(2) lit.d),
art.27 alin.(1), art.27 alin.(2) lit.b) din lege . Cu privire la aceste aspecte, Curtea
mentioneaza ca, potrivit art.39 alin.(1) - Referirea la alt act normativ , din Legea
nr.24/2000 privind normele de tehnica l egislativa pentru elaborarea actelor
normative, *referirea intr -un act normativ la alt act normativ se face prin
precizarea categoriei juridice a acestuia, a numarului sau, a titlului si a datei
publicarii acelui act sau numai a categoriei juridice si a nu marului, daca astfel
orice confuzie este exclusa.*
94. Pe de alta parte, Curtea constata ca dispozitiile art.6 alin.(1), art.8
alin.(1) si ale art.10 alin.(1) teza a doua din lege consacra
organisme/institutii/autoritati infiintate in baza unor acte normative
anterioare, respectiv hotarari ale Guvernului (SNSC si COSC) sau hotarari
ale Consiliului Suprem de Aparare a Țarii (CNSC), care au precedat aparitia
actului de reglementare primara prin care se stabileste cadrul general de
reglementare a domeniului secur itatii cibernetice. Astfel, prin adoptarea lor se
creeaza confuzie cu privire la stabilirea datei de la care aceste entitati iau fiinta
si isi exercita competentele - data adoptarii hotararii de Guvern/hotararii CSAT
sau data la care va intra in vigoare Le gea securitatii cibernetice in Romania .
95. In ceea ce priveste aspectele referitoare la criteriile de claritate,
precizie, previzibilitate si predictibilitate pe care un text de lege trebuie sa le
indeplineasca, Curtea constata ca autoritatea legiuitoare, Parlamentul sau
Guvernul, dupa caz, are obligatia de a edicta norme care sa respecte trasaturile
mai sus aratate. Potrivit art.8 alin. (4) teza intai din Legea nr.24/2000, *textul
legislativ trebuie sa fie formulat clar, fluent si inteligibil, fara dificultati
sintactice si pasaje obscure sau echivoce* , iar potrivit art. 36 alin.(1) din aceeasi
lege, *actele normative trebuie redactate intr -un limbaj si stil juridic specific
normativ, concis, sobru, clar si precis, care sa excluda orice echivoc, cu
respectarea stricta a regulilor gramaticale si de ortografie *.
96. Curtea constata ca prin reglementarea normelor de tehnica
legislativa legiuitorul a impus o serie de criterii obligatorii pentru adoptarea
oricarui act normativ, a caror respectare este necesara pentru a asigura
sistematizarea, unificarea si coordonarea legislatiei, precum si continutul si
forma juridica adecvate pentru fiecare act normativ. Astfel, respectarea acestor
norme concura la asigurarea unei legislatii care respecta principiul securitatii
raporturilor juridice, avand claritatea si previzibilitatea necesara.
97. Pentru toate argumente le prezentate , Curtea constata ca Legea
privind securitatea cibernetica a Romaniei este viciata in integralita tea ei,
astfel ca obiectia de neconstitutionalitate urmeaza a fi admisa si constatata
neconstitutionalitatea actului normativ, in ansamblul sau.
98. In acord cu jurisprudenta sa, Curtea retine ca, i n situatia determinata
de constatarea neconstitutionalitatii legii in ansamblul sau, pronuntarea unei
astfel de decizii are un ef ect definitiv cu privire la actul normativ, consecinta
fiind incetarea procesului legislativ in privinta respectivei reglementari.
99. Pe de alta parte, in cond itiile in care prevederile art. 61 alin.(1) din
Constitutie stabilesc ca *Parlamentul este organul reprezentativ suprem al
poporului roman si unica autoritate legiuitoare a tarii*, competenta de legiferare
a acestuia cu privire la un anumit domeniu nu poate fi limitata daca legea astfel
adoptata respecta exigentele Legii fundamentale. Prin urmare, optiunea
legiuitorului de a legifera in materia in care Curtea Constitutionala a admis o
sesizare de neconstitutionalitate cu privire la o lege in ansamblul sau presupune
parcurgerea tuturor faz elor procesului legislativ prevazut de Constitutie si de
regulamentele celo r doua Camere ale Parlamentului (a se vedea in acest sens
Decizia Curtii Constitutionale nr.308 din 28 martie 2012, publicata in Monitorul
Oficial al Romaniei, Partea I, nr.309 din 9 mai 2012).
DECIZIE
100. Pentru considerentele aratate, in temeiul art. 146 lit. a) si al art. 147
alin. (4) din Constitutie, precum si al art. 11 alin. (1) lit. A.a), al art. 15 alin. (1)
si al art. 18 alin. (2) din Legea nr. 47/1992, cu majoritate de voturi,
CURTEA CONSTITUTIONALA
In numele legii
DECIDE:
Admite obiectia de neconstitutionalitate si constata ca Legea privind
securitatea cibernetica a Romaniei este neconstitutionala, in ansamblul ei.
Definitiva si general obligatorie.
Decizia se comunica Presedintelui Romaniei, presedintilor celor doua
Camere ale Parlamentului si prim -ministrului si se publica in Monitorul Oficial
al Romaniei, Partea I.
Pronuntata in sedinta din data de 21 ianuarie 2015.
|
|