DreptOnline.ro, portal juridic, stiri, legislatie, raspunsuri juridice
Comunitate juridica online: DreptOnline.ro   AvocatRomania.ro   Avocat-Divort.ro   Avocat-Partaj.ro  


Intreaba un avocat

Sitemap

Comunitate
Home
Resurse
Tribuna
Jurisprudenta
Stiri
Dezbateri
Cariere
Comunitate
Dictionar juridic
Carti juridice
Evenimente

Monitorul Oficial
Monitorul Oficial
Arhiva Monitor

Raspunsuri juridice
Intreaba un avocat
Raspunsuri juridice
Arhiva raspunsuri

Traducatori
Cautare
Lista

Utile
Decizii RIL si NC
Hotarari CEDO
Informatii utile
Avocat
Legislatie
Legislatie pag 2
Divortul
Divort din strainatate
Personalitati
Interviuri
Modele cereri
Istorie
Adrese utile
Institutii
Curs valutar BNR
Calculator TVA
Verificare IBAN

Interactiv
Teste grila
Confruntare
Jurist vs Jurist
Dezbateri spete
Argumente
Jocul mintii
Test cunostinte
Fise tari
Afla profesia

User
Contact
Newsletter
Login
Inregistrare
Echipa DreptOnline
Linkuri
English

Login | Intreaba un avocat | Recomanda | Discutii |
Carti juridice Recursuri in interesul legii | Exceptii de neconstitutionalitate
   

Decizie neconstitutionalitate

Decizia nr. 17 din 21 ianuarie 2015 asupra obiectiei de neconstitutionalitate a dispozitiilor Legii privind securitatea cibernetica a Romaniei

Decizie neconstitutionalitate din 21-01-2015
Curtea Constitutionala
Anul 2016 [4 decizii]
Anul 2015 [17 decizii]
Anul 2014 [23 decizii]
Anul 2013 [10 decizii]
Anul 2012 [25 decizii]
Anul 2011 [17 decizii]
Anul 2010 [30 decizii]
Anul 2009 [36 decizii]
Anul 2008 [3 decizii]
Anul 2007 [36 decizii]
Anul 2006 [15 decizii]
Anul 2005 [11 decizii]
Anul 2004 [8 decizii]
Anul 2003 [14 decizii]
TOATE [249 decizii]
 Recursuri in interesul Legii, recursuri ICCJ
Anul 2015 [2 decizii]
Anul 2014 [13 decizii]
Anul 2013 [16 decizii]
Anul 2012 [16 decizii]
Anul 2011 [23 decizii]
Anul 2010 [8 decizii]
Anul 2009 [28 decizii]
Anul 2008 [46 decizii]
Anul 2007 [71 decizii]
Anul 2006 [31 decizii]
Anul 2005 [18 decizii]
Anul 2004 [1 decizii]
Anul 2003 [3 decizii]
TOATE [276 decizii]
Cautare decizii:    



Decizie neconstitutionalitate
Decizia nr. 17 din 21 ianuarie 2015 asupra obiectiei de neconstitutionalitate a dispozitiilor Legii privind securitatea cibernetica a Romaniei

Publicata in Monitorul Oficial nr. 79/2015 - M. Of. 79 / 30 ianuarie 2015


1. Pe rol se afla pronuntarea asupra obiectiei de neconstitutionalitate a dispozitiilor Legii privind securitatea cibernetica a Romaniei, obiectie formulata de un numar de 69 de deputati apartinand Grupului parlamentar al Partidului National Liberal din Camera Deputatilor.

2. Cu Adresa nr.2/6103 din 23 decembrie 2014, Secretarul general al Camerei Deputatilor a transmis Curtii Constitutionale sesizarea de neconstitutionalitate, care a fost inregistrata la Curtea Constitutionala sub nr.6188 din 23 decembrie 2014 si constituie ob iectul Dosarului nr.1419A/2014. La sesizare a fost anexata, in copie, Legea privind securitatea cibernetica a Romaniei.

3. In motivarea obiectiei de neconstitutionalitate , autorii sustin ca dispozitiile legale sunt contrare art.1 alin.(3) si ( 4) referitor la statul de drept si obligatia respectarii Constitutiei si a legilor. Se apreciaza ca legea criticata introduce multe confuzii si conditionari pentru detinatorii de infrastructuri cibernetice care sunt de natura a genera restrangeri ale drepturilor si liber tatilor fundamentale ale cetatenilor.
Prevederile legale nu respecta dispozitiile art.6 din Legea nr.24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative si incalca, astfel, principiul legalitatii, care este fundamental pentru buna functionare a statului de drept. La art.1 din lege se prevad doar obligatii pentru detinatorii de infrastructuri cibernetice fara a se stabili si drepturile acestora.
Enumerarea cuprinsa in art.2 a persoanelor/entitatilor carora li se aplica legea nu este una precisa, omitand sa prevada situatia intermediarilor de infrastructuri cibernetice, a infrastructurilor neoperationale, a actionarilor unor persoane juridice sau cea a fondatorilor unor asociatii sau fundatii care detin astfel de infrastructuri.

4. Autorii sesizarii sustin ca legea are probleme fundamentale de conceptie, propunand o serie de masuri cu efect limitativ asupra dreptului prevazut de art.26 alin.(1) din Constitutie privind via ta intima, familiala si privata, si incalca in mod evident regl ementarile europene aflate in dezbatere referitoare la securitatea informatiei in domeniul digital.

5. In temeiul legii criticate, autorii obiectiei de neconstitutionalitate sustin ca se restrang drepturi si libertati ale cetatenilor prin permiterea accesului la o infrastructura cibernetica si la datele continute de aceasta in urma unei simple solicitari motivate a institutiilor nominalizate de lege, comunicate detinatorilor de infrastructuri, fara aprobarea prealabila a unui judecator, asa cum prevede Codul d e procedura penala sau jurisprudenta Curtii Constitutionale, in Deciziile nr.440/2014 si nr.461/2014, fapt ce determina incalcarea prevederilor constitutionale cuprinse in art.23 alin.(1) referitor la inviolabilitatea libertatii individuale si a sigurantei persoanei si in art.28 privind secretul corespondentei.

6. Pe de alta parte, se arata ca prin dispozitiile art.10 din lege Serviciul Roman de Informatii este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica, organizarea si executarea activitatilor ce privesc securitatea cibernetica a Romaniei. In vreme ce Uniunea Europeana propune in proiectul de Directiva NIS (Network and Information System) ca institutiile care se ocupa de domeniul secur itatii cibernetice sa fie *organisme civile, care sa functioneze integral pe baza controlului democratic, si nu ar trebui sa desfasoare activitati in domeniul informatiilor*, Parlamentul Romaniei acorda acces nelimitat si nesupravegheat la toate datele inf ormatice detinute de persoane de drept public si privat unor institutii care nu indeplinesc niciuna din conditiile de mai sus. Faptul ca in jurisprudenta recenta a Curtii Constitutionale, aceasta a declarat neconstitutionalitatea a doua legi care, in esent a, incalcau aceleasi drepturi ca si legea supusa in prezent controlului, constituie un motiv serios pentru o dezbatere reala a implicatiilor Legii securitatii cibernetice si, intr -un cadru mai larg, a echilibrului dintre drepturile individuale si securitat ea nationala pe care Romania trebuie il asigure prin sistemul sau legal. Autorii sesizarii sustin ca posibilitatea accesarii fara mandat judecatoresc a datelor electronice provenind de la orice computer, indiferent de proprietarul sau, este o ingerinta nej ustificata in dreptul la protectia corespondentei, adica in dreptul la viata privata, drept garantat de art. 26 si 28 din Constitutie. O astfel de ingerinta nu numai ca nu este necesara intr -o societate democratica, dar ea are tocmai efectul contrar: submineaza esenta societatii democratice. Astfel, sub pretextul protectiei impotriva atacurilor cibernetice, orice fel de date pot fi accesate la bunul plac al puterii executive, fara existenta vreunui control al societatii civile.

7. In sesizarea de neconstituti onalitate, se arata ca art.148 alin.(2) din Constitutie este, de asemenea, incalcat prin netranspunerea corecta a reglementarilor comunitare in materie. Astfel, p revederile art.17 alin.(1) lit.a) nu sunt conforme cu jurisprudenta Curtii de Justitie a Uniun ii Europene, intrucat nu precizeaza exact ce date sunt necesare a fi detinute, iar cadrul in care se solicita aceste date nu prezinta suficiente garantii procesuale. Pentru indeplinirea acestei obligatii este necesara o monitorizare perpetua a tuturor pers oanelor, aspect ce creeaza o sarcina disproportionata pentru subiectii vizati si implica totodata incalcarea drepturilor persoanelor monitorizate fara sa existe in legatura cu acestea o suspiciune relativa la comiterea vreunei infractiuni. Se mai arata ca legea contravine din multe puncte de vedere si propunerii de Directiva NIS (Network & Information Security) care are ca scop protectia datelor personale ale cetatenilor, iar nu crearea de noi atributii pentru serviciile secrete. *In timp ce Directiva NIS a re drept scop protejarea sistemelor informatice si a datelor informatice ale cetatenilor, legea, in forma adoptata, reprezinta un cec in alb care poate fi folosit de serviciile de informatii pentru a controla orice persoana de drept privat (S.R.L., S.A., P .F.A., O.N.G.) care detine un sistem informatic (adica orice calculator sau smart -phone). Potentialul pentru abuzuri este, astfel, enorm. Acesta decurge din nenumaratele ambiguitati prezente in lege, incepand de la definirea vaga a detinatorilor de sisteme informatice si continuand cu obligatiile ce le revin celor care cad sub incidenta legii.*

8. In concluzie, autorii obiectiei de neconstitutionalitate apreciaza ca *intreaga arhitectura a actului normativ este de natura a permite incalcarea drepturilor fundamentale ale omului, fara a exista un remediu eficient impotriva unor astfel de incalcari*. Desi intr -o societate democratica limitele protectiei drepturilor fundamentale pot fi reduse in cazul unor pericole deosebite (terorism, infractiuni transfrontaliere) , probele obtinute prin aceste proceduri nu pot fi folosite in cazurile de drept comun (cele care nu implica protectia sigurantei nationale, asa cum este ea definita prin lege), acolo unde garantiile procedurale trebuie sa fie strict respectate. Or, *legea atacata nu instituie nicio interdictie de utilizare a datelor in orice alt mod decat cel necesar pentru protectia in fata atacurilor cibernetice, situatie ce poate submina garantia unui proces echitabil*.

9. In conformitate cu dispozitiile art.16 alin.(2) di n Legea nr.47/1992 privind organizarea si functionarea Curtii Constitutionale, sesizarea a fost comunicata presedintilor celor doua Camere ale Parlamentului, precum si Guvernului, pentru a comunica punctul lor de vedere.

10. Presedintele Camerei Deputatilor a transmis cu Adresa nr.2/51/7 ianuarie 2015, inregistrata la Curtea Constitutionala sub nr.99 din 7 ianuarie 2015, punctul sau de vedere, in care se apreciaza ca sesizarea de neconstitutionalitate este neintemeiata.

11. In argumentare se arata ca prevederile ar t. 1 din legea criticata se refera nu numai la obligatii pentru cei in drept, ci vizeaza solutii legislative care acopera intreaga problematica a relatiilor sociale ce reprezinta obiectul de reglementare al acestei legi. Astfel, legea porneste de la premis a ca masurile privind securitatea cibernetica trebuie sa asigure un mediu virtual sigur, care sa constituie un real suport pentru maximizarea beneficiilor cetatenilor, mediului de afaceri si societatii romanesti, in ansamblul ei. Toti detinatorii si utilizatorii de infrastructuri cibernetice, indiferent ca sunt intermediari sau nu, trebuie sa intreprinda masurile necesare pentru securitatea infrastructurilor proprii si sa nu afecteze securitatea celorlalti detinatori sau utilizatori.

12. Pe de alta parte, se arata ca, intrucat dispozitiile acestei legi se aplica numai persoanelor juridice de drept public sau privat, detinatoare de infrastructuri cibernetice, nu si persoanelor fizice, dispozitiile art. 26 alin. (1) din Constitutie nu au incidenta.

13. In ceea c e priveste criticile aduse art.17 din lege referitoare la accesul la date, Presedintele Camerei Deputatilor sustine ca legea vizeaza datele relevante luarii masurilor proactive si reactive la nivelul infrastructurilor cibernetice, si nicidecum datele de trafic, astfel incat nu se aduce atingere drepturilor prevazute la art. 23 si 28 din Legea fundamentala. Mai mult decat atat, dispozitiile art.12 si 14 din legea criticata prevad ca autoritatile si institutiile publice cu atributii in aplicarea acestei legi asigura securitatea infrastructurilor cibernetice potrivit legii si competentelor legale. Aceste entitati sunt asadar obligate si limitate strict de respectarea cadrului legal.

14. Cu privire la desemnarea Serviciului Roman de Informatii ca autoritate nationala in domeniul securitatii cibernetice, se arata, pe de o parte, ca Directiva NIS nu impune statelor membre ale Uniunii Europene desemnarea unei autoritati civile, si, pe de alta parte, ca, potrivit art.1 din Legea nr.14/1992 privind organizarea si functio narea Serviciului Roman de Informatii, activitatea acestei institutii este supusa controlului parlamentar efectuat prin intermediul Comisiei comune permanente a Camerei Deputatilor si a Senatului.

15. Guvernul a transmis punctul sau de vedere prin Adresa nr.5/7033/2014 inregistra ta la Curtea Constitutionala sub nr.146 din 13 ianuarie 2015, in care se arata ca scopul Legii privind securitatea cibernetica este de a asigura un cadru coerent de reglementare a relatiilor sociale desfasurate in mediul virtual, care s a asigure realizarea securitatii cibernetice a acestora, ca parte componenta a securitatii nationale a Romaniei.

16. Cu privire la criticile de neconstitutionalitate formulate, Guvernul apreciaza ca *citirea atenta a legii demonstreaza ca aceste aspecte nu sunt reale, ci se bazeaza pe o interpretare tendentioasa a art.17 din lege, respectiv nu se ia in considerare contextul general de asigurare a securitatii cibernetice*. Se arata ca autoritatile competente la care face referire articolul vor avea acces la date relevante ale detinatorilor de infrastructuri cibernetice pentru realizarea securitatii cibernetice, nu la mesaje ori alte date de continut stocate, procesate sau transmise de sistemul informatic. Datele vizate de aceasta lege sunt jurnalele sistemelor de stocare, prelucrare si transmitere a datelor (log -uri), date tehnice sau date de configurare ale sistemelor informatice, si nu includ mesaje ori alte date de continut. In situatia in care in urma analizei preliminare se constata ca se impun investigatii a profundate asupra datelor de continut, accesul la acestea si orice alte activitati care vizeaza restrangerea unor drepturi si libertati se realizeaza cu respectarea prevederilor legale in vigoare, respectiv in baza unui act de autorizare eliberat de judeca tor. In conditiile in care atacurile informatice se deruleaza foarte repede, pot provoca pagube materiale cetatenilor, pot afecta Infrastructurile Cibernetice de Interes National (ICIN -uri) sau chiar securitatea nationala, este ineficient ca autoritatile c ompetente sa astepte un aviz intocmit de un procuror si analizat si aprobat de un judecator pentru a obtine acces la date tehnice care nu lezeaza in vreun fel drepturile si libertatile constitutionale. Este fizic imposibil ca fiecare dintre aceste incident e sa fie investigate, de aceea autoritatile competente se concentreaza doar asupra celora care pot produce efecte negative semnificative, inclusiv in planul securitatii nationale. Guvernul sustine ca *astfel de clarificari vor fi introduse, insa, in normel e de aplicare a legii, in actul normativ prevederea fiind nominalizata doar la nivel conceptual*.

17. Cu privire la critica potrivit careia legea nu reglementeaza si *situatiile in care apar intermediari ce pun la dispozitie astfel de infrastructuri*, Guvernul mentioneaza ca in cazurile in care apar astfel de intermediari in fluxul infrastructurilor cibernetice, acestia se circumscriu calitatii de detinatori de astfel de infrastructuri, asa cum sunt definiti la art.2 din lege.

18. In consecinta, pentru considerentele prezentate, Guvernul apreciaza ca sesizarea de neconstitutionalitate a Legii privind securitatea cibernetica a Romaniei este neintemeiata.

19. Presedintele Senatului nu a comunicat punctul sau de vedere asupra obiectiei de neconstitutionalitate.


CURTEA,


examinand obiectia de neconstitutionalitate, raportul judecatorului -raportor, punctele de vedere ale Presedintelui Camerei Deputatilor si Guvernului , dispozitiile Legii privind securitatea cibernetica a Romaniei , precum si prevederile Constitutiei, retine urmatoarele:

20. Curtea a fost legal sesizata si este competenta, potrivit dispozitiilor art.146 lit. a) din Constitutie si ale art.1, art.10, art.15, art.16 si art.18 din Legea nr.47/1992, sa se pronunte asupra constitutionalitatii prevederilor legale criticate.

21. Obiectul controlului de constitutionalitate, astfel cum rezulta din sesizarea formulata, il constituie dispozitiile Legii privind securitatea cibernetica a Romaniei.

22. Dispozitiile constitutionale pretins a fi incalcate sunt cele ale art.1 alin.(3) si (5) referitoare la statul de drept si obligatia respectarii legii si a suprematiei Constitutiei, art.23 alin.(1) referitor la inviolabilitatea libertatii individuale si a sigurantei persoanei, art.26 privind viata intima, familiala si privata, art.28 privind secretul corespondentei , precum si cele ale art.148 referitor la integrarea in Uniunea Europeana.

23. Examinand obiectia de neconstitutionalitate, Curtea retine ca Leg ea privind securitatea cibernetica a Romaniei, care are ca scop completarea cadrului legislativ in materia securitatii nationale, a fost initiata de Guvernul Romaniei si, ulterior, adoptata de Parlament in data de 19 decembrie 2015. In *Expunerea de motive* care insoteste legea, Guvernul afirma ca, *prin adoptarea acestuia act normativ, Romania va continua sa transmita semnale puternice de racordare la realitatile internationale, fiind pe deplin constienta de necesitatea armonizarii c u demersurile similare ale statelor europene*, in lipsa unei atare reglementari, *tara noastra nu -si va putea armoniza demersurile pe dimensiunea securitatii cibernetice cu cele ale partenerilor sai din Uniunea Europeana si NATO, demersuri necesare unei ab ordari coerente si suficiente a provocarilor si oportunitatilor spatiului cibernetic*.

24. Cu privire la aspectele invocate, Curtea ia act de faptul ca, l a nivel european, in temeiul art.114 din Tratatul privind functionarea Uniunii Europene, a fost initiata procedura legislativa ordinara de adoptare a unei directive privind masuri de asigurare a unui nivel comun ridicat de securitate a retelelor si a informatiei in Uniune *“ Directiva NIS (Network and Information Security) . Initiativa apartine Comisiei Europen e, care la data de 7 februarie 2013 a transmis propunerea de directiva Consiliului si Parlamentului European. Propunerea de directiva a parcurs procedura primei lecturi in Parlamentul European, unde a fost adoptata cu modificari, la data de 13 martie 2014. La 10 iunie 2014, Comisia Europeana a exprimat un acord partial cu privire la modificarile Parlamentului. Prin urmare, la data solutionarii cauzei deduse judecatii Curtii Constitutionale, nu exista la nivelul Uniunii Europene un act normativ in vigoare cu privire la securitatea cibernetica.

25. Cu toate acestea, Curtea apreciaza relevante pentru domeniul de reglementare cateva aspecte retinute la nivelul institutiilor Uniunii cu privire la domeniul cercetat . Astfel, potrivit *Expunerii de motive* a directivei, necesitatea adoptarii actului normativ european consta, pe de o parte, in asigurarea rezilientei si stabilitatii retelelor si a sistemelor informatice, care sunt esentiale pentru definitivarea pietei di gitale unice si pentru buna functionare a pietei interne si, pe de alta parte, in asigurarea unei capacitati si a unei pregatiri similare la nivelul statelor membre de natura sa ofere o securitate globala a retelelor si a informatiei in cadrul sistemelor interconectate. Directiva propusa vizeaza urmatoarele obiective: in primul rand, solicita tuturor statelor membre sa se asigure ca este instituit un nivel minim de capacitati nationale prin infiintarea autoritatilor competente in materie de retele si sistem e informatice, sa creeze echipe de interventie in caz de urgenta informatica (Computer Emergency Response Teams - CERT) si sa adopte strategii nationale privind securitatea cibernetica si planurile nationale de cooperare in domeniul vizat; in al doilea rand, autoritatile nationale competente trebuie sa coopereze in cadrul unei retele care sa permita o coordonare sigura si eficace, inclusiv schimbul coordonat de informatii la nivelul U.E., pentru a contracara amenintarile si incidentele in materie de securit ate cibernetica, pe baza planului european de cooperare in domeniu; in al treilea rand, conform modelului Directivei-cadru privind comunicatiile electronice, propunerea urmareste sa asigure dezvoltarea unei culturi a gestionarii riscurilor si partajarea in formatiilor de catre sectoarele public si privat.

26. De asemenea, Curtea retine considerentul 41 al preambulului directivei care prevede ca *Prezenta directiva respecta drepturile fundamentale si principiile recunoscute de Carta drepturilor fundamentale a Un iunii Europene, in special dreptul la respectarea vietii private si a secretului comunicatiilor, dreptul la protectia datelor cu caracter personal , libertatea de a desfasura o activitate comerciala, dreptul de proprietate, dreptul la o cale de atac eficien ta in fata unei instante judecatoresti si dreptul de a fi ascultat. Prezenta directiva trebuie pusa in aplicare in conformitate cu aceste drepturi si principii.*

27. Propunerea de directiva, in forma adoptata de Parlamentul European, contine mai multe dispozitii cu caracter obligatoriu pentru statele membre, dispozitii care ar urma sa fie transpuse in legislatia nationala a fiecarui stat. Astfel , preambulul directivei NIS (considerentul 10) prevede ca autoritatile competente si punctele unice de contact ar trebui sa fie organisme civile, care sa functioneze integral pe baza controlului democratic , si care nu ar trebui sa desfasoare activitati in domeniul informatiilor , al aplicarii legii sau al apararii si nici sa fie legate organizat ional in vreun fel de organismele active in aceste domenii. Astfel, dispozitiile art.6 din directiva, in forma modificata de PE, prevad ca *(1) Fiecare stat membru desemneaza una sau mai multe autoritati nationale civile competente in domeniul securitatii retelelor si a sistemelor informatice.*

28. In propunerea de Directiva NIS nu se prevede dreptul autoritatilor desemnate de a accesa, la solicitarea motivata, datele stocate in retelele si sistemele informatice , asa cum prev ede art.17 alin.(1) lit.a) din legea supusa controlului de constitutionalitate, ci doar obligatia de notificare a riscurilor si incidentelor cibernetice (art.14) si de a se supune auditarii pentru detinatorii de infrastructuri critice (art.15). Astfel, in cazurile in care notificarile contin date cu caracter personal, acestea sunt comunicate doar destinatarilor din cadrul autoritatilor competente care trebuie sa prelucreze aceste date pentru a -si indeplini sarcinile in conformita te cu un temei juridic adecv at, iar d atele comunicate se limiteaza la ceea ce este necesar pentru indeplinirea sarcinilor acestor destinatari - art.14 alin.(2a), in vreme ce autoritatile competente sunt imputernicite sa solicite operatorilor de piata furnizarea de *dovezi privind aplicarea efectiva a politicilor de securitate, precum rezultatele auditului de securitate efectuat de auditori interni, de un organism calificat independent sau de o autoritate nationala, si sa transmita dovezile autoritatii competente sau punctului unic de contact*- art.15 alin.(2) din directiva.

29. De asemenea , art.3 din propunerea de directiva defineste notiunea de operator de piata , ca fiind *un operator al unei infrastructuri care este esentiala pentru mentinerea activitatilor economice si societale vitale in domeniile energiei, transporturilor, serviciilor bancare, pietelor financiare, IXP (Internet Exchange points), lanturilor de aprovizionare alimentara si sanatatii, activitati a caro r denaturare sau distrugere ar avea un impact important intr -un stat membru; o lista neexhaustiva a acestor operatori este prevazuta in anexa II, in masura in care reteaua si sistemele informatice vizate sunt legate de serviciile esentiale.* Anexa II la pr opunerea de directiva - Lista operatorilor de piata, vizeaza, pe de o parte, platforme de comert electronic , procesatori de plati online, retele de socializare, motoare de cautare, servicii de cloud computing, magazine de aplicatii online, si, pe de alta p arte, domeniile referitoare la serviciile esentiale , precum energie, transporturi, banci, infrastructuri ale pietei financiare si sectorul sanatatii. De asemenea, sub incidenta proiectului de Directiva si, deci, a prevederilor privind securitatea ciberneti ca intra si domeniul administratiilor publice (pct.26 din Preambul si Capitolul IV din propunerea de Directiva).

30. Potrivit *Expunerii de motive* la Directiva, s e va solicita intreprinderilor din sectoarele critice si administratiilor publice sa evalueze riscurile cu care se confrunta si sa adopte masuri adecvate si proportionate de asigurare a securitatii cibernetice. Aceste entitati vor trebui sa raporteze autoritatilor competente orice incidente care afecteaza grav retelele si sistemele lor informatice si care au un impact semnificativ asupra continuitatii serviciilor critice si a aprovizionarii cu bunuri . Pentru a evita impunerea unei sarcini disproportionate asupra micilor operatori, in special asupra IMM -urilor, cerintele sunt proportionale cu riscurile la care sunt expuse reteaua sau sistemul informatic in cauza si nu se aplica microintreprinderilor, ci vizeaza numai entitatile critice si impun masuri proportionale cu riscurile. Astfel, art.14 alin.(8) din propunerea de Directiva NIS stabileste ca microintreprinderile nu intra sub incidenta directivei cu exceptia situatiei in care acestea actioneaza in calitate de filiala a unui operator de piata.

31. In fine, potrivit art.15 alin.(6) din propunerea de Directiva, * Statele membre se asigura ca orice obligatii impuse operatorilor de piata [...] pot fi supuse controlului jurisdictional. *

32. La momentul efectuarii controlului de constitutionalitate, Curtea retine ca, in legislatia nationala in domeniul securitatii , exista de ja in vigoare o serie de reglementari, acte normative cu caracter primar sau secundar. Astfel, Ordonanta de urgenta a Guvernului nr.98/2010 privind identificarea, desemnarea si protectia infrastructurilor critice, publicata in Monitorul Oficial al Romaniei , Partea I, nr.757 din 12 noiembrie 2010 , aprobata prin Legea nr.18/2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 183 din 16 martie 2011, stabileste cadrul legal privind identificarea, desemnarea infrastructurilor critice nationale/europene si evaluarea necesitatii de a imbunatati protectia acestora, in scopul cresterii capacitatii de asigurare a stabilitatii, securitatii si sigurantei sistemelor economico -sociale si protectiei persoanelor. Ordonanta transpune prevederile D irectivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora, publicata in Jurnalul Oficial al Uniunii Europene n r. L 345 din 23 decembrie 2008. Actul normativ defineste infrastructura critica nationala, denumita ICN ca fiind un element, un sistem sau o componenta a acestuia, aflat pe teritoriul national, care este esential pentru mentinerea functiilor vitale ale societatii, a sanatatii, sigurantei, securitatii, bunastarii sociale ori economice a persoanelor si a carui perturbare sau distrugere ar avea un impact semnificativ la nivel national ca urmare a incapacitatii de a mentine respectivele functii. Actul normativ stabileste cr iteriile intersectoriale de identificare a ICN : criteriul privind victimele, evaluat in functie de numarul posibil de decese sau vatamari; criteriul privind efectele economice, evaluat in functie de importanta pierderilor economice si/sau a degradarii prod uselor sau serviciilor, inclusiv eventualele efecte asupra mediului; criteriul privind efectul asupra populatiei, evaluat in functie de impactul asupra increderii acesteia, suferinta fizica sau perturbarea vietii cotidiene, inclusiv pierderea de servicii esentiale. In conformitate cu procedura prevazuta de ordonanta de urgenta, autoritatile publice responsabile identifica potentialele ICN care corespund criteriilor sectoriale si intersectoriale.
Actul normativ contine 3 anexe :
Anexa nr.1 - Lista sectoarelor , subsectoarelor infrastructurii critice nationale/infrastructurii critice europene (ICN/ICE) si autoritatilor publice responsabile;
Anexa nr.2 - Procedura de identificare de catre autoritatile publice responsabile de infrastructuri critice care pot fi des emnate drept infrastructuri critice nationale/infrastructuri critice europene (ICN/ICE) si
Anexa nr.3 - Procedura privind planul de securitate pentru operator.

33. In aplicarea ordonantei de urgenta, Guvernul a emis Hotararea nr.718/2011, publicata in Monitoru l Oficial al Romaniei, Partea I, nr.555 din 4 august 2011 , prin care aproba Strategia nationala privind protectia infrastructurilor critice.

34. Hotararea Guvernului nr.494/2011 , publicata in Monitorul Oficial al Romaniei, Partea I, nr. 388 din 2 iunie 2011, reglementeaza infiintarea ca institutie publica cu personalitate juridica, in coordonarea Ministerului Comunicatiilor si Societatii Informationale, a Centrului National de Raspuns la Incidente de Securitate Cibernetica - CERT-RO, structura independenta de expertiza si cercetare -dezvoltare in domeniul protectiei infrastructurilor cibernetice. Centrul este condus de un director general si de un director general adjunct, sprijiniti de Comitetul de coordonare, din care fac parte reprezentanti ai MCSI, Minister ului Apararii Nationale, Ministerului Administratiei si Internelor, Serviciului Roman de Informatii, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, Oficiului Registrului National al Informatiil or Secrete de Stat si ai Autoritatii Nationale pentru Administrare si Reglementare in Comunicatii. Hotararea de Guvern defineste termeni si expresii precum infrastructura cibernetica, spatiu cibernetic, securitate cibernetica, atac cibernetic, incident cib ernetic etc., si stabileste atributiile CERT-RO.

35. Un alt act normativ emis in domeniul securitatii nationale il constituie Hotararea Guvernului nr. 271/2013 , publicata in Monitorul Oficial al Romaniei, Partea I, nr. 296 din 23 mai 2013, pentru aprobarea Strategiei de securitate cibernetica a Romaniei si a Planului de actiune la nivel national privind implementarea Sistemului national de securitate cibernetica .

36. Strategia de securitate cibernetica prezinta obiectivele, principiile si directiile majore de acti une pentru cunoasterea, prevenirea si contracararea amenintarilor, vulnerabilitatilor si riscurilor la adresa securitatii cibernetice a Romaniei si pentru promovarea intereselor, valorilor si obiectivelor nationale in spatiul cibernetic. In acest sens, sta bileste semnificatia termenilor si expresiilor utilizati in domeniu, prevede infiintarea Sistemului national de securitate cibernetica (SNSC) care reprezinta cadrul general de cooperare care reuneste autoritati si institutii publice, cu responsabilitati si capabilitati in domeniu, in vederea coordonarii actiunilor la nivel national pentru asigurarea securitatii spatiului cibernetic, inclusiv prin cooperarea cu mediul academic si cel de afaceri, asociatiile profesionale si organizatiile neguvernamentale. De asemenea, prevede ca Consiliul operativ de securitate cibernetica (COSC) reprezinta organismul prin care se realizeaza coordonarea unitara a SNSC. Din COSC fac parte, in calitate de membri permanenti, reprezentanti ai Ministerului Apararii Nationale, Minis terului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informationala, Serviciului Roman de Informatii, Serviciului de Telecomunicatii Speciale, Serviciului de Informatii Externe, Serviciului de Protectie si Paza, Ofici ului Registrului National pentru Informatii Secrete de Stat, precum si secretarul Consiliului Suprem de Aparare a Tarii. Conducerea COSC este asigurata de un presedinte (consilierul prezidential pe probleme de securitate nationala) si un vicepresedinte (co nsilierul prim - ministrului pe probleme de securitate nationala). Coordonatorul tehnic al COSC este Serviciul Roman de Informatii, in conditiile legii.

37. Planul de actiune la nivel national privind implementarea Sistemului national de securitate cibernetica este continut in Anexa nr.2 la Hotarare si este un document clasificat.

38. La data de 27 mai 2014, Guvernul Romaniei initiaza proiectul de lege privind securitatea cibernetica a Romaniei, care are ca scop completarea cadrului legislativ in materia securitatii nationale, apreciind ca problematica scuritatii cibernetice, ca parte a securitatii nationale, reprezinta o prioritate care impune adoptarea de masuri necesare dezvoltarii mecanismelor de aparare cibernetica. Motivul emiterii actului normativ, asa cum reiese din *Expunerea de motive* care il insoteste, il constituie *evolutia recenta a atacu rilor cibernetice din tara noastra* care determina aprecierea ca *Romania este cu certitudine vizata de entitati ostile in mediul virtual, nivelul de securitate cibernetica fiind, in prezent, insuficient pentru a face fata unor atacuri de nivel ridicat ori cu intentii distructive.* Legea vizeaza stabilirea cadrului general de reglementare a activitatilor in domeniul securitatii cibernetice, definirea obligatiilor ce revin persoanelor juridice de drept public sau privat in scopul protejarii infrastructurilor cibernetice, precum si asigurarea cadrului general de cooperare pentru realizarea securitatii cibernetice, prin constituirea Sistemului National de Securitate Cibernetica.

39. Proiectul de lege a fost adoptat, la data de 17 septembrie 2014, de Camera Deputati lor, in calitate de prima Camera sesizata, in temeiul art.75 alin.(2) teza a treia din Constitutie *“ ca urmare a depasirii termenului de 45 de zile, iar la data de 19 decembrie 2014, Senatul Romaniei, in calitate de Camera decizionala, a adoptat Legea priv ind securitatea cibernetica a Romaniei. Legea a fost trimisa Presedintelui Romaniei pentru promulgare, iar in termenul prevazut de lege, un numar de 69 de deputati a formulat cererea de sesizare a Curtii Constitutionale, care face obiectul prezentului dosar.

40. Din analiza documentului elaborat de initiatorul legii intitulat *Expunere de motive*, Sectiunea a 6 -a - Consultari efectuate in vederea elaborarii proiectului de act normativ, la rubrica Informatii privind avizarea de catre autoritatile competente, Curtea constata ca Guvernul mentioneaza doar avizul Consiliului Legislativ.

41. Potrivit dispozitiilor art.1 din legea criticata, aceasta stabileste cadrul general de reglementare a activitatilor in domeniul securitatii cibernetice si obligatiile ce revin persoa nelor juridice de drept public sau privat in scopul protejarii infrastructurilor cibernetice, iar dispozitiile art.3 alin.(1) din lege stabilesc ca *securitatea cibernetica este componenta a se curitatii nationale a Romaniei*. Cu privire la domeniul de regl ementare a actului normativ supus controlului de constitutionalitate, Curtea retine ca, in temeiul prevederilor art.119 din Legea fundamentala, *Consiliul Suprem de Ap arare a Tarii organizeaza si coordoneaza unitar activitatile care privesc apararea tarii si securitatea nationala, participarea la mentinerea securitatii internationale si la apararea colectiva in sistemele de alianta militara, precum si la actiuni de mentinere sau de restabilire a pacii*. In aplicarea acestor prevederi, art.4 lit.d) pct.1 din Legea nr. 415/2002 privind organizarea si functionarea Consiliului Suprem de Aparare a Tarii , prevede, printre atributiile CSAT, ca acesta *avizeaza proiectele de acte normative init iate sau emise de Guvern privind securitatea nationala *. Pe de alta parte, potrivit art.9 alin.(1) din Legea nr.24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative, *In cazurile prevazute de lege, in faza de elaborare a proiectelor de acte normative initiatorul trebuie sa solicite avizul autoritati lor interesate in aplicarea acestora, in functie de obiectul reg lementarii*. De asemenea, art.31 alin.(3) din aceeasi lege prevede ca *Forma finala a instrumentelor de prezentare si motivare a proiectelor de acte normative trebuie sa cuprinda referiri la a vizul Consiliului Legislativ si, dupa caz, al Consiliului Suprem de Aparare a Tarii, Curtii de Conturi sau Consiliului Economic si Social.* Asadar, in temeiul dispozitiilor legale, Guvernul avea obligatia de a solicita avizul Consiliului Suprem de Aparare a Tarii atunci cand a elaborat proiectul Legii privind securitatea cibernetica a Romaniei.

42. Pentru argumentele expuse, intrucat in cadrul procedurii legislative , initiatorul nu a respectat obligatia legala, conform careia Consiliul Suprem de Aparare a Tarii avizeaza proiectele de acte normative initiate sau emise de Guvern privind securitatea nationala, Curtea constata ca actul normativ a fost adoptat cu incalcarea prevederilor constitutionale ale art.1 alin.(5) care consacra principiul legalitatii, si ale art.119 referitoare la atributiile Consiliului Suprem de Aparare a Tarii .

43. Examinand continutul normativ al legii, Curtea retine ca aceasta prevede infiintarea Sistemului National de Securitate Cibernetica , denumit SNSC, care reuneste autoritatile si institutiile publice cu responsabilitati si capacitati in domeniu (art.6). Coordonarea unitara a activitatilor SNSC se realizeaza de catre Consiliul Operativ de Securitate Cibernetica, denumit COSC (art.8). Serviciul Roman de Informatii este desemnat autor itate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC, precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica , denumit CNSC (art.10 alin.(1)). Sunt desemnate autoritati in domeniul securitatii cibernetice pentru domeniile lor de activitate, asigurand securitatea infrastructurilor cibernetice proprii sau aflate in responsabilitate: Ministerul Apararii Nationale, Ministerul Afacerilor Interne, Oficiul Registrului National al Informatiilor Secrete de Stat, Serviciul de Informatii Externe, Serviciul de Telecomunicatii Speciale si Serviciul de Protectie si Paza. Centrul National de R aspuns la Incidente de Securitate , denumit in continuare CERT -RO, reprezinta un punct national de contact cu structurile de tip CERT care functioneaza in cadrul institutiilor sau autoritatilor publice ori al altor persoane juridice de drept public sau priv at, nationale ori internationale, cu respectarea competentelor ce revin celorlalte autoritati si institutii publice cu atributii in domeniu, potrivit legii (art.10 alin.(5)). Autoritatea implicata in securitatea infrastructurilor cibernetice detinute sau administrate de furnizorii de retele publice de comunicatii electronice sau de servicii de comunicatii electronice destinate publicului este Autoritatea Nationala pentru Administrare si Reglementare in Comunicatii , denumita ANCOM (art.13 alin.(2)), institut ie infiintata prin Ordonanta de urgenta Guvernului nr.22/2009.

44. Un element de noutate adus de legea criticata, prin art.10 alin.(1), il constituie desemnarea Serviciului Roman de Informatii ca autoritate nationala in domeniul securitatii cibernetice , calit ate in care asigura organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica (CNSC), care a fost constituit, organizat si functioneaza deja in cadrul SRI, cu personal militar specializat, potrivit unor hotarari ale Consiliului Suprem de Aparare a Tarii . Autoritatile si institutiile publice din componenta COSC deleaga un reprezentant in cadrul CNSC. Potrivit art.11 din lege, principalele at ributii ale CNSC vizeaza actiuni in scopul cunoasterii, prevenirii, protectiei, reactiei si managementului consecintelor amenintarilor si atacurilor cibernetice; asigurarea schimbului de date si informatii intre autoritatile si institutiile publice compone nte ale SNSC; analiza si integrarea datelor si informatiilor obtinute de autoritatile si institutiile publice componente ale SNSC, in scopul stabilirii, intreprinderii sau propunerii masurilor ce se impun pentru asigurarea securitatii cibernetice; asigurar ea colectarii si identificarii evenimentelor survenite in spatiul cibernetic; primirea notificarilor facute de persoanele juridice de drept public care detin sau administreaza infrastructuri cibernetice de interes national ( ICIN); in caz de atac cibernetic , asigurarea colectarii si evaluarea datelor si informatiilor cu privire la incident, propunerea sau luarea de masuri reactive de prima urgenta pentru asigurarea integritatii datelor si remedierea situatiei de fapt, informarea organelor competente pentru investigare si cercetare, sau, dupa caz, sesizarea organelor de urmarire penala.

45. De asemenea, art.15 alin.(8) din lege stabileste obligatia tuturor persoanelor juridice de drept public sau privat detinatori de ICIN de a transmite cu celeritate datele privin d starea de securitate cibernetica la nivelul acestora catre CNSC, conform competentelor prevazute de lege.

46. Cu privire la desemnarea SRI, recte CNSC, ca autoritate nationala in domeniul securitatii cibernetice, autorii criticilor de neconstitutionalitate sustin ca legiuitorul acorda acces nelimitat si nesupravegheat la toate datele informatice detinute de persoane de drept public si privat unei institutii care nu indeplineste conditia referitoare la un organism civil, supus controlului democratic.

47. In analiza de constitutionalitate, Curtea porneste de la premisa ca strategia de securitate cibernetica si legea privind securitatea cibernetica a u un rol important in asigurarea securitatii nationale a Romaniei, pe de o parte, si a protectiei persoanei fata de riscurile la adresa vietii private si a protectiei datelor cu cara cter personal in mediul online, pe de alta parte. Cu privire la aceste aspecte analizate coroborat, prin Hotararea din 6 septembrie 1978, pronuntata in Cauza Klass si altii impotriva Germaniei, Curtea Europeana a Drepturilor Omului a apreciat ca *Societatile democratice sunt amenintate in prezent de modalitati complexe de spionaj si de terorism, astfel ca statul trebuie sa fie capabil, pentru a combate eficient aceste amenintari, sa su pravegheze in mod secret elementele subversive care opereaza pe teritoriul sau* (paragraful 42). Cu toate acestea, Curtea, constienta de pericolul, inerent masurilor de supraveghere secreta, *de a submina, chiar de a distruge democratia sub motivul aparari i acesteia, afirma ca statele nu pot lua, in numele combaterii spionajului si terorismului, orice masura pe care acestea o considera adecvata* (paragraful 49).

48. In aceasta lumina , Curtea Constitutionala trebuie sa verifice daca reglementarea domeniului vizat concorda cu respectarea dreptului la viata intima, familiala si privata, cu inviolabilitatea secretului corespondentei, cu dreptul la protectia datelor cu caracter personal, valori fundamentele care ar trebui sa reprezinte principii directoare ale po liticii de securitate cibernetica la nivel national, si sa se asigure ca legislatia adoptata nu conduce la masuri care ar constitui interferente neconstitutionale cu drepturile mentionate. Asa fiind, Curtea apreciaza ca, pentru asigurarea unui climat de or dine, guvernat de principiile unui stat de drept, democratic, infiintarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor si retelelor cibernetice, precum si a informatiei, care sa constituie punctul de contact pentru relationarea cu organismele similare din strainatate (asa cum prevede art.10 alin.(4) din lege), inclusiv al cooperarii transfrontaliere la nivelul Uniunii Europene, trebuie sa vizeze un organism civil, care sa functioneze integral pe baza cont rolului democratic , iar nu o autoritate care desfasoara activitati in domeniul informatiilor, al aplicarii legii sau al apararii ori care sa reprezinte o structura a vreunui organism care activeaza in aceste domenii.

49. In ceea ce priveste dispozitiile art.1 alin.(3), teza intai din Constitutie, care consacra principiul statului de drept, Curtea a retinut in jurisprudenta sa (a se vedea Decizia nr.70 din 18 aprilie 2000, publicata in Monitorul Oficial al Romaniei, Partea I, nr.334 din 19 iulie 2000) ca exigen tele acestuia privesc scopurile majore ale activitatii statale, prefigurate in ceea ce indeobste este numit ca fiind domnia legii, sintagma ce implica subordonarea statului fata de drept, asigurarea acelor mijloace care sa permita dreptului sa cenzureze optiunile politice si, in acest cadru, sa pondereze eventualele tendinte abuzive, discretionare, ale structurilor etatice. Statul de drept asigura suprematia Constitutiei, corelarea legilor si tuturor actelor normative cu aceasta, existenta regimului de sepa ratie a puterilor publice, care trebuie sa actioneze in limitele legii, si anume in limitele unei legi ce exprima vointa generala. Statul de drept consacra o serie de garantii, inclusiv jurisdictionale, care sa asigure respectarea drepturilor si libertatil or cetatenilor prin autolimitarea statului, respectiv incadrarea autoritatilor publice in coordonatele dreptului .

50. In analiza Curtii, o ptiunea pentru desemnarea in calitate de autoritate nationala in domeniul securitatii cibernetice a unui organism civil, iar nu a unei entitati militare cu activitate in domeniul informatiilor, se justifica prin necesitatea preintampinarii riscului de a de turna scopul legii securitatii cibernetice in sensul folosirii atributiilor conferite prin aceasta lege de catre serviciile de informatii in scopul obtinerii de informatii si date cu consecinta incalcarii drepturilor constitutionale la viata intima, famili ala si privata si la secretul corespondentei. Or, tocmai acest lucru nu evita legea supusa controlului de constitutionalitate prin desemnarea SRI si a structurii sale militarizate CNSC.

51. Astfel, examinand atributiile stabilite de actul normativ supus controlului, apare cu evidenta intentia legiuitorului de a stabili in competenta CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, atat din mediul public, cat si din cel privat. Or, in conditiile in ca re Centrul National de Securitate Cibernetica constituie o structura militara, in cadrul unui serviciu de informatii, subordonata ierarhic conducerii acestei institutii, deci sub un control direct militar -administrativ, apare cu evidenta ca o atare entitat e nu indeplineste conditiile cu privire la garantiile necesare respectarii drepturilor fundamentale referitoare la viata intima, familiala si privata si la secretul corespondentei .

52. De asemenea, in conditiile in care autoritatea nationala desemnata deserveste drept punct unic de contact national in domeniul securitatii retelelor si al sistemelor informatice, asigurand relationarea cu organismele similare din cadrul Uniunii Europene, imprejurarea ca Romania desemneaza o autoritate care nu ar indeplini exigentele actului normativ european , aflat in curs de adoptare, pune sub semnul intrebarii atat o eventuala concordanta a reglementarii nationale cu cea de drept european, cat si cooperarea efectiva intre institutii care, desi au acelasi scop, nu se intemeiaza pe o structura organizatorica similara si nu functioneaza sub un control democratic.

53. Pentru toate aceste argumente, Curtea constata ca dispozitiile art.10 alin.(1) din legea supusa controlului incalca prevederile constitutionale ale art.1 alin.(3) si (5) referitoare la statul de drept si principiul legalitatii, precum si cele ale art.26 si art.28 privind viata intima, familiala si privata, respectiv secretul corespondentei, din perspectiva lipsei garantiilor necesare garantarii acestor drepturi.

54. Curtea observa ca d ispozitiile art.2 prevad sfera de incidenta a legii, sub aspectul destinatarilor sai, aratand ca persoanele juridice de drept public sau privat carora le sunt aplicabile prevederile legale, intitulati generic detinatori de infrastructuri ci bernetice, sunt: proprietarii, administratorii, operatorii sau utilizatorii de infrastructuri cibernetice, definite la art.5 lit.g) ca fiind infrastructuri din domeniul tehnologiei informatiei si comunicatii, constand in sisteme informatice, aplicatii afer ente, retele si servicii de comunicatii electronice.

55. Definirea expresiei *detinatori de infrastructuri cibernetice* este deosebit de importanta, deoarece includerea in aceasta categorie implica pentru persoanele vizate obligatia de a respecta prevederile l egii, pe de o parte, si justificarea pentru autoritatile desemnate de lege cu competente in domeniul securitatii cibernetice de a dispune masuri speciale in ceea ce le priveste.

56. Obligatiile care incumba destinatarilor legii vizeaza asigurarea rezilientei infrastructurilor cibernetice, respectiv capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic si de a reveni la starea de normalitate. Aceasta stare este mentinuta in urma aplicarii unui ansamblu de masuri proactive si reactive prin care se asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si nonrepudierea informatiilor in format electronic, a resurselor si serviciilor publice sau private, din spatiul cibernetic. Includerea in sfera de incidenta a legii a utilizatorilor de infrastructuri cibernetice , deci a tuturor persoanelor juridice care utilizeaza retele si servicii de comunicatii electronice, ridica probleme legate de modul in care acestea pot sa -si indeplineasca obligatiile si r esponsabilitatile prevazute de lege, in conditiile in care nu sunt proprietari, administratori sau operatori ai infrastructurilor cibernetice pe care le utilizeaza, iar legea face vorbire in cuprinsul art.16, despre infrastructuri cibernetice proprii sau a flate in responsabilitate. Mai mult, in masura in care obligatiile si responsabilitatile cad atat in sarcina proprietarilor, administratorilor sau operatorilor infrastructurilor cibernetice, cat si a utilizatorilor acestor infrastructuri, iar legea nu sta bileste sensul notiunii de utilizator, rezulta ca obligatiile si responsabilitatile se exercita in mod concurent la nivelul fiecarui sistem sau fiecarei retele informatice. Spre exemplu, potrivit art.16 alin.(1) lit.a) si b) din lege, atat proprietarul, ca t si utilizatorul sunt obligati sa aplice politici de securitate, sa identifice si sa implementeze masurile tehnice si organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Insa, exista posibilitatea ca, uneori, politicile de 23 securitate, masurile tehnice si, mai ales, cele organizatorice, considerate adecvate de cele doua entitati, sa nu coincida sau sa nu fie compatibile, astfel incat finalitatea urmarita de lege sa nu fie atinsa. Or, destinatarii legii trebuie sa aiba o reprezentare clara si corecta a normelor juridice aplicabile, astfel incat sa isi adapteze conduita si sa prevada consecintele ce decurg din nerespectarea acestora, lipsa unei reglementari predictibile in acest sens constituind premisa unei aplicari neunitare, discreti onare, in activitatea de securizare cibernetica a Romaniei.

57. In concluzie, intrucat notiunile cu care opereaza legea nu delimiteaza in mod neechivoc sfera de incidenta a normelor cuprinse in actul supus controlului de constitutionalitate, Curtea retine ca a cesta nu are un caracter precis si previzibil, si, prin urmare, dispozitiile art.2 contravin art.1 alin.(5) din Legea fundamentala .

58. Curtea retine ca t uturor detinatorilor de infrastructuri cibernetice le sunt aplicabile dispozitiile art.16 (care stabilesc obligatiile ce le incumba), si ale art.17 (care consacra responsabilitatile pe care acestia trebuie sa le indeplineasca). Printre responsabilitatile acestor persoane este si aceea de a acorda sprijinul necesar, la solicitarea motivata a Serviciului Roman d e Informatii, Ministerului Apararii Nationale, Ministerului Afacerilor Interne, Oficiului Registrului National al Informatiilor Secrete de Stat, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, C ERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora, si *sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii* . Textul de lege impune o dubla analiza: prima, din perspectiva tipului de date la care se permite accesul, a doua, din perspectiva modalitatii in care se realizeaza accesul.

59. Cu privire la primul aspect, desi legislatia privind protectia datelor cu caracter personal nu este mentio nata in mod expres in lege, accesul la datele detinute de persoanele care cad sub incidenta legii, nu exclude accesarea, prelucrarea si utilizarea datelor cu caracter personal . De asemenea, avand in vedere ca infrastructurile cibernetice constau in sisteme informatice, in retele si servicii de comunicatii electronice, care faciliteaza stocarea si transferul de date, apare ca fiind evident ca tipul de date cuprinse in aceste sisteme si retele sunt inclusiv date care privesc viata privata a persoanelor utiliz atoare. Prevederea in temeiul careia accesul se realizeaza cu privire la *datele detinute, relevante in contextul solicitarii* permite interpretarea potrivit careia autoritatilor desemnate de lege trebuie sa li se permita accesul la oricare din datele stoc ate in aceste infrastructuri cibernetice, daca autoritatile apreciaza ca respectivele date prezinta relevanta. Se remarca, astfel, caracterul nepredictibil al reglementarii, atat sub aspectul tipului de date accesate, cat si al evaluarii relevantei datelor solicitate, de natura sa creeze premisele unor aplicari discretionare de catre autoritatile enumerate in ipoteza normei. Astfel, datele la care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare si transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau orice alte date de continut. Lipsa unei reglementari legale precise, care sa determine cu exactitate sfera acelor date necesare identificarii evenimentelor survenite in s patiul cibernetic (amenintari, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autoritatilor competente. Or, cadrul normativ intr -un domeniu atat de sensibil trebuie sa se realizeze intr -o maniera clara, previzibila si li psita de confuzie, astfel incat sa fie indepartata, pe cat posibil, eventualitatea arbitrariului sau a abuzului celor chemati sa aplice dispozitiile legale.

60. Cu privire la aceste probleme, Curtea deja a decis intr -o maniera indubitabila, prin Decizia nr.44 0 din 8 iulie 2014, publicata in Monitorul Oficial al Romaniei, Partea I, nr.653 din 4 septembrie 2014, statuand ca, *datele care fac obiectul reglementarii, desi au un caracter predominant tehnic, sunt retinute in scopul furnizarii informatiilor cu privir e la persoana si viata sa privata. Chiar daca, potrivit art.1 alin.(3) din lege, aceasta nu se aplica si continutului comunicarii sau informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice, celelalte date retinute, avand ca sc op identificarea apelantului si a apelatului, respectiv a utilizatorului si a destinatarului unei informatii comunicate pe cale electronica, a sursei, destinatiei, datei, orei si duratei unei comunicari, a tipului de comunicare, a echipamentului de comunicatie sau a dispozitivelor folosite de utilizator, a locatiei echipamentului de comunicatii mobile, precum si a altor Β«date necesareΒ» *” nedefinite in lege *”, sunt de natura sa prejudicieze manifestarea libera a dreptului la comunicare sau la exprimare. In c oncret, datele avute in vedere conduc la concluzii foarte precise privind viata privata a persoanelor ale caror date au fost pastrate, concluzii ce pot viza obiceiurile din viata cotidiana, locurile de sedere permanenta sau temporara, deplasarile zilnice s au alte deplasari, activitatile desfasurate, relatiile sociale ale acestor persoane si mediile sociale frecventate de ele. Or, o atare limitare a exercitiului dreptului la viata intima, familiala si privata si la secretul corespondentei, precum si a libert atii de exprimare trebuie sa aiba loc intr -o maniera clara, previzibila si lipsita de echivoc, astfel incat sa fie indepartata, pe cat posibil, eventualitatea arbitrarului sau a abuzului autoritatilor in acest domeniu*.(paragraful 56)

61. De asemenea, Curtea de Justitie a Uniunii Europene a retinut, prin Hotararea din 8 aprilie 2014, pronuntata in cauzele conexate C -293/12 *” Digital Rights Ireland Ltd impotriva Minister for Communications, Marine and Natural Resources si altii *” si C -594/12 *” KΓ€rntner Landesregierung si altii. ca datele ce fac obiectul reglementarii Directivei 2006/24/CE, invalidate, conduc la concluzii foarte precise privind viata privata a persoanelor ale caror date au fost pastrate, concluzii ce pot viza obiceiurile din v iata cotidiana, locurile de sedere permanenta sau temporara, deplasarile zilnice sau alte deplasari, activitatile desfasurate, relatiile sociale ale acestor persoane si mediile sociale frecventate de ele (paragraful 27) si ca, in aceste conditii, chiar dac a, potrivit art.1 alin.(2) si art.5 alin.(2) din Directiva 2006/24/CE, este interzisa pastrarea continutului comunicatiilor si al informatiilor consultate prin utilizarea unei retele de comunicatii electronice, pastrarea datelor in cauza poate afecta utilizarea de catre abonati sau de catre utilizatorii inregistrati a mijloacelor de comunicare prevazute de aceasta directiva si, in consecinta, libertatea lor de exprimare, garantata prin art.11 din Carta (paragraful 28).

62. De altfel, accesul la date vizeaza dat ele unei infrastructuri cibernetice (infrastructura definita de art.5 lit.g) din lege ca fiind un sistem informatic, aplicatii aferente, retele si servicii de comunicatii electronice) in sensul legii supusa controlului de constitutionalitate se suprapune cu notiunea de *acces la un sistem informatic*, reglementata de art.138 alin.(1) lit.b) si alin.(3) din Codul de procedura penala, care consta in *patrunderea intr -un sistem informatic sau mijloc de stocare a datelor informatice, fie direct, fie de la distanta, prin intermediul unor programe specializate ori prin intermediul unei retele, in scopul de a identifica probe*. De asemenea, in acelasi context, prin date detinute se intelege *datele informatice* reglementate de art.138 alin.(5) din Codul de procedura penala, care sunt *orice reprezentare de fapte, informatii sau concepte, sub o forma adecvata prelucrarii intr -un sistem informatic, inclusiv un program capabil sa determine executarea unei functii de catre un sistem informatic*. Or, accesul la un sistem informatic in scopul obtinerii acestor date constituie una dintre metodele speciale de supraveghere sau cercetare potrivit art.138 alin.(13) din Codul de procedura penala, masura care poate fi dispusa doar in conditiile art.140 (de catre judecator) sau a art.141 (de catre procuror, pentru o durata de maxim 48 de ore). De asemenea, datele relevante pot fi si cele generate sau prelucrate de catre furnizorii de retele publice de comunicatii electronice sau furnizorii de servicii de comunicatii electronice des tinate publicului si retinute de catre acestia, insa si acestea pot fi obtinute doar cu autorizarea judecatorului, conform art.152 din Codul de procedura penala.

63. Cu privire la cel de -al doilea aspect, legea criticata se limiteaza la a preciza care sunt aut oritatile care pot solicita accesul la datele detinute pe baza formularii unei solicitari motivate, fara a reglementa modalitatea in care se realizeaza accesul efectiv la datele detinute, asa incat persoanele ale caror date au fost pastrate sa beneficieze de garantii suficiente care sa le asigure protectia impotriva abuzurilor si a oricarui acces sau utilizari ilicite. Astfel, legea nu prevede criterii obiective care sa limiteze la strictul necesar numarul de persoane care au acces si pot utiliza ulterior d atele pastrate, si nu stabileste ca accesul autoritatilor nationale la datele stocate este conditionat de controlul prealabil efectuat de catre o instanta judecatoreasca , care sa limiteze acest acces si utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmarit. Garantiile legale privind utilizarea in concret a datelor retinute nu sunt suficiente si adecvate pentru a indeparta teama ca drepturile personale, de natura intima, sunt violate, asa incat manifestarea acestora sa aiba loc intr-o maniera acceptabila (a se vedea in acest sens si Decizia nr.440/2012, paragraful 57).

64. Solicitarile de acces la datele retinute in vederea utilizarii lor in scopul prevazut de lege, formulate de catre organele de stat desemnate autoritati in domeniul securitatii cibernetice pentru domeniile lor de activitate, nu sunt supuse autorizarii sau aprobarii instantei judecatoresti , lipsind astfel garantia unei protectii eficiente a datelor pastrate impotriva riscurilor de abuz precum si impotriva oricarui ac ces si a oricarei utilizari ilicite a acestor date. Aceasta imprejurare este de natura a constitui o ingerinta in drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si, prin urmare, contravine dispozitiilor constit utionale care consacra si protejeaza aceste drepturi. Lipsa unor astfel de autorizari a fost criticata, printre altele, si de catre Curtea de Justitie a Uniunii Europene prin Hotararea din 8 aprilie 2014, aceasta lipsa echivaland cu insuficienta garantiilo r procesuale necesare ocrotirii dreptului la viata privata si a celorlalte drepturi consacrate de art.7 din Carta drepturilor si libertatilor fundamentale si a dreptului fundamental la protectia datelor cu caracter personal, consacrat de art.8 din Carta (p aragraful 62).

65. In concluzie, in conditiile in care masurile adoptate prin legea supusa controlului de constitutionalitate nu au un caracter precis si previzibil, ingerinta statului in exercitarea drepturilor constitutionale la viata intima, familiala si pr ivata si la secretul corespondentei, desi prevazuta de lege, nu este formulata clar, riguros si exhaustiv pentru a oferi incredere cetatenilor, caracterul strict necesar intr -o societate democratica nu este pe deplin justificat, iar proportionalitatea masu rii nu este asigurata prin reglementarea unor garantii corespunzatoare, consideram ca dispozitiile art.17 alin.(1) lit.a) din Legea privind securitatea cibernetica a Romaniei incalca prevederile art.1 alin.(5), art.26, art.28, si art.53 din Constitutie. Asadar, limitarea exercitiului acestor drepturi personale in considerarea unor drepturi colective si interese publice, ce vizeaza securitatea cibernetica rupe justul echilibru care ar trebui sa existe intre interesele si drepturile individuale, pe de o p arte, si cele ale societatii, pe de alta parte, legea criticata nereglementand garantii suficiente care sa permita asigurarea unei protectii eficiente a datelor fata de riscurile de abuz, precum si fata de orice accesare si utilizare ilicita a datelor cu c aracter personal (ad similis, Decizia nr.461/2014, paragraful 44).

66. In continuarea analizei sale, Curtea observa ca, din coroborarea dispozitiilor art.2 cu art.19 si art.20 din lege, rezulta ca, in cadrul detinatorilor de infrastructuri cibernetice, se cree aza o subcategorie *“ detinatorii de infrastructuri cibernetice de interes national (ICIN ), care, potrivit art.2 lit.h) din lege, reprezinta infrastructurile cibernetice care sustin servicii publice sau de interes public, ori servicii ale societatii informa tionale, a caror afectare poate aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia. Acestia sunt cuprinsi in Catalogul ICIN , intocmit de Ministerul pentru Societatea Informationala, cu consultarea COSC, la propunerea CNSC sau, dupa caz, a CERT -RO, si a ANCOM. Potrivit art.19 alin.(1), catalogul este aprobat prin hotarare a Guvernului . Identificarea ICIN se realizeaza pe baza criteriilor de selectie cuprinse in metodologia elaborata de Serviciul Roman de Inform atii si Ministerul pentru Societatea Informationala si este aprobata prin hotarare de Guvern.

67. Cu privire la aceste aspecte, Curtea apreciaza ca modalitatea prin care se stabilesc criteriile in functie de care se realizeaza selectia infrastructurilor cibernetice de interes national si, implicit, a detinatorilor ICIN nu respecta cerintele de previzibilitate, certitudine si transparenta . Astfel, trimiterea la o legislatie infralegala, respectiv hotarari de Guvern, acte normative caracterizate printr -un g rad sporit de instabilitate, pentru reglementarea criteriilor in functie de care devin incidente obligatii in materia securitatii nationale incalca principiul constitutional al legalitatii, consacrat de art.1 alin.(5) din Constitutie. Optiunea pentru o ata re modalitate de reglementare apare cu atat mai nejustificata cu cat intr -o materie similara, cea a identificarii infrastructurilor critice nationale, Ordonanta de urgenta a Guvernului nr.98/2010 stabileste in chiar continutul sau criteriile intersectorial e de identificare a ICN. Mai mult, prin Anexa la actul normativ se aproba lista sectoarelor, subsectoarelor infrastructurii critice nationale/infrastructurii critice europene (ICN/ICE) si autoritatilor publice responsabile (energetic, tehnologia informatiei si comunicatii, alimentare cu apa, alimentatie, sanatate, securitate nationala, administratie, transporturi, industria chimica si nucleara, spatiu si cercetare). Or, in cazul Legii privind securitatea cibernetica, dispozitiile art.19 fac trimitere la acte normative cu forta juridica inferioara legii, identificarea ICIN realizandu-se pe baza unei metodologii elaborate de Serviciul Roman de Informatii si de Ministerul pentru Societatea Informationala, in baza unei proceduri neprevazute de lege, netransparen te, si deci, susceptibila de a fi calificata arbitrara.

68. Prin urmare, Curtea retine ca atat criteriile in functie de care se realizeaza selectia infrastructurilor cibernetice de interes national, cat si modalitatea prin care se stabilesc acestea trebuie pre vazute de lege , iar actul normativ de reglementare primara trebuie sa contina o lista cat mai completa a domeniilor in care sunt incidente prevederile legale .

69. Pe de alta parte, Curtea apreciaza ca obligatiile ce decurg din Legea securitatii cibernetice a Romaniei trebuie sa fie aplicabile in exclusivitate persoanelor juridice de drept public sau privat detinatoare sau care au in responsabilitate ICIN (care includ, in baza legii, si administratiile publice), intrucat numai situatiile de pericol cu privire l a o infrastructura de interes national pot avea implicatii asupra securitatii Romaniei, prin dimensiunea, dispersia si accesibilitatea unei astfel de infrastructuri, prin efectele economice, evaluate in functie de importanta pierderilor economice si/sau a degradarii produselor sau serviciilor, prin efectele asupra populatiei, evaluate in functie de impactul asupra increderii acesteia sau perturbarea vietii cotidiene, inclusiv prin pierderea unor servicii esentiale. Or, dispozitiile legale in forma supusa co ntrolului de constitutionalitate prezinta un grad mare de generalitate, obligatiile vizand totalitatea detinatorilor de infrastructuri cibernetice, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice, indifere nt de importanta acestora care poate viza interesul national sau doar un interes de grup sau chiar particular. Pentru a evita impunerea unei sarcini disproportio nate asupra micilor operatori, cerintele trebuie sa fie proportionale cu riscurile la care sunt expuse reteaua sau sistemul informatic in cauza si nu trebuie aplicat detinatorilor de infrastructuri cibernetice cu importanta nesemnificativa din punct de vedere al interesului general. Prin urmare, riscurile vor trebui identificate la nivelul entitatil or care activeaza in domenii esentiale/vitale pentru buna desfasurare a serviciilor publice nationale, care vor decide ce masuri trebuie adoptate pentru a atenua riscurile respective.

70. Pentru motivele expuse mai sus, apreciem ca dispozitiile art.19 alin.(1) si (3) din Legea securitatii cibernetice a Romaniei incalca prevederile art.1 alin.(5) din C onstitutie, intrucat nu respect a cerintele de previzibilitate, stabilitate si certitudine.

71. In continuare, Curtea retine ca d ispozitiile art.20 si art.21 alin.(2) din legea criticata prevad obligatiile care incumba persoanelor juridice de drept public sau privat care detin sau au in responsabilitate ICIN , printre care sa efectueze anual auditari de securitate cibernetica sau sa permita efectuarea unor astfel de auditari la solicitarea motivata a autoritatilor competente potrivit prezentei legi, sa constituie structuri sau sa desemneze persoane responsabile cu prevenirea, identificarea si reactia la incidentele cibernetice, sa not ifice imediat, dupa caz, CNSC, CERT -RO, ANCOM sau autoritatile desemnate, in conditiile legii, in domeniul securitatii cibernetice cu privire la riscurile si incidentele cibernetice care, prin efectul lor, pot aduce prejudicii de orice natura utilizatorilor sau beneficiarilor serviciilor lor. De asemenea, in cazul in care au fost notificate riscuri sau incidente cibernetice, detinatorii de ICIN au obligatia sa permita autoritatilor competente sa intervina pentru identificarea si analizarea cauzelor incident elor cibernetice, respectiv pentru inlaturarea sau reducerea efectelor incidentelor cibernetice, sa retina si sa asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data notificarii.

72. Legea stabileste ca sunt exceptate de la aplicarea acestor dispozitii autoritatile prevazute la art.10 alin.(1) si (2) din lege , respectiv Serviciul Roman de Informatii, Ministerul Apararii Nationale, Ministerul Afacerilor Interne, Oficiul Registrului National al Informatiilor S ecrete de Stat, Serviciul de Informatii Externe, Serviciul de Telecomunicatii Speciale si Serviciul de Protectie si Paza. Or, Curtea considera nejustificata aceasta exceptare in conditiile in care si autoritatile enumerate desfasoara activitati in domeniul securitatii nationale, sunt detinatoare de ICIN sau au in responsabilitate ICIN si sunt susceptibile a face obiectul unor atacuri cibernetice.

73. Potrivit dispozitiilor art.20 alin.(1) lit.c) din lege, persoanele juridice de drept public sau privat care det in sau au in responsabilitate ICIN au obligatia sa permita efectuarea unor auditari de securitate cibernetica la solicitarea motivata a autoritatilor competente. Auditarile sunt realizate de SRI sau de catre furnizori de servicii de securitate cibernetica. Cu alte cuvinte, intrucat SRI este autoritate nationala in domeniul securitatii cibernetice, deci autoritate competenta, potrivit legii, sa solicite persoanelor juridice de drept public sau privat care detin sau au in responsabilitate ICIN efectuarea unor auditari de securitate cibernetica, exista posibilitatea reala ca aceasta institutie sa se afle concomitent in pozitia solicitantului auditului, a celui care efectueaza auditul, a celui caruia i se comunica rezultatul auditului si, in fine, in pozitia celui care constata o eventuala contraventie, potrivit art.28 lit.e) din lege, si aplica sanctiunea, potrivit art.30 lit.c) din lege . Or, o atare situatie este inacceptabila intr-o societate guvernata de principiile statului de drept. Dispozitiile legale sunt susceptibile de a genera o aplicare discretionara, chiar abuziva a legii, fiind nepermis ca toate atributiile din domeniul reglementat sa fie concentrate in sarcina unei singure institutii. Curtea apreciaza ca auditul trebuie sa fie efectuat de auditori i nterni sau de un organism calificat independent care sa verifice conformitatea aplicarii politicilor de securitate cibernetica la nivelul infrastructurilor cibernetice si sa transmita rezultatul evaluarii efectuate autoritatii competente sau punctului unic de contact.

74. Pornind de la definitia notiunii de *audit de securitate cibernetica*, prevazuta in art.5 lit.d ), care stabileste ca aceasta reprezinta o evaluare sistematica, detaliata, masurabila si tehnica a modului in care politicile de securitate cibernetica sunt aplicate la nivelul infrastructurilor cibernetice, precum si emiterea de recomandari pentru minimi zarea riscurilor identificate, Curtea retine ca, in acceptiunea legii, aceasta auditare presupune doar o evaluare a politicilor de securitate cibernetica si nicidecum accesul la datele stocate in infrastructurile cibernetice.

75. In ceea ce priveste norma prevazuta de art.20 alin.(1) lit.h) si anume obligatia de a notifica imediat, dupa caz, CNSC, CERT -RO, ANCOM sau autoritatile desemnate, in conditiile legii, in domeniul securitatii cibernetice cu privire la riscurile si incidentele cibernetice, Curtea conside ra ca aceasta ar trebui sa stabileasca cu exactitate circumstantele in care este necesara notificarea, precum si continutul notificarii, inclusiv tipurile de date cu caracter personal care ar trebui notificate, si, daca este cazul, in ce masura notificarea si documentele sale justificative vor include detalii privind datele cu caracter personal afectate de un incident specific de securitate (precum adresele IP) . Este important sa se tina seama de faptul ca autoritatilor competente in domeniul securitatii retelelor si informatiei ar trebui sa li se permita sa colecteze si sa prelucreze date cu caracter personal in cadrul unui incident de securitate doar daca este strict necesar pentru atingerea obiectivelor de interes public urmarite de lege, cu respectarea p rincipiului proportionalitatii. De asemenea, legea trebuie sa prevada garantii adecvate pentru a se asigura protectia efectiva a datelor prelucrate de autoritatile competente privind securitatea cibernetica si nu trebuie sa excluda obligatia de notificare a cazurilor de incalcare a protectiei datelor cu caracter personal in temeiul legislatiei aplicabile in materie, potrivit art. 21 si 22 din Legea nr.477/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circ ulatie a acestor date. Analizand, insa, dispozitiile art.20 alin.(2), Curtea constata ca legiuitorul deleaga atributia sa de legiferare Ministerului pentru Societatea Informationala, ANCOM sau autoritatilor desemnate, in conditiile legii , in domeniul secur itatii cibernetice, care vor stabili *cerintele minime de securitate cibernetica, modalitatea de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea, care se aproba prin ordine sau decizii emise in termen de 90 de zile de la intrarea in vigoare a legii, de conducatorii autoritatilor sau institutiilor publice respective , publicate in Monitorul Oficial al Romaniei, Partea I*. Trimiterea la acte administrative, cu o forta juridica inferioara legii, intr-un domeniu critic pentru securitatea nationala, cu impact asupra drepturilor si libertatilor fundamentale ale cetatenilor, incalca prevederile constitutionale cuprinse in art.1 alin.(5) referitoare la principiul legalitatii. O dispozitie legala trebuie sa fie precisa, neechi voca, sa instituie norme clare, previzibile, a caror aplicare sa nu permita arbitrariul sau abuzul. De asemenea, norma trebuie sa reglementeze in mod unitar, uniform, sa stabileasca cerinte minimale aplicabile tuturor destinatarilor sai. Or, atata vreme ca t ordinele sau deciziile sunt emise de conducatorii autoritatilor sau institutiilor publice desemnate de lege, apare cu evidenta ca legea relativizeaza in mod nepermis reglementarea acestui domeniu , lasand la latitudinea fiecarei entitati stabilirea, in mod diferentiat, a unor masuri esentiale, precum cerintele minime de securitate cibernetica, modalitatea de notificare, precum si datele si informatiile care insotesc notificarea. Pe de alta parte, enumerand autoritatile care stabilesc aceste aspecte, legiuitorul omite chiar Consiliul Suprem de Aparare a Tarii, care potrivit art.9 alin.(1) lit.f) din lege, aproba propunerile COSC privind cerintele minime de securitate cibernetica si politici de securitate cibernetica pentru autoritatile si institutiile public e prevazute la art.10 alin. (l) si (2) din lege.

76. In concluzie, Curtea constata ca dispozitiile art.20 alin.(1) lit.c) si lit.h) coroborate cu art.20 alin.(2) sunt neconstitutionale, intrucat contravin prevederilor art.1 alin.(3) si (5), art.26 si art.28 din Constitutie.

77. Din analiza legii, Curtea retine ca aceasta omite sa reglementeze posibilitatea subiectilor carora le este destinata legea, in sarcina carora au fost instituite obligatii si responsabilitati, de a contesta in justitie actele administrative incheiate cu privire la indeplinirea acestor obligatii si care sunt susceptibile a prejudicia un drept sau un interes legitim.

78. Potrivit art. 21 din Constitutie, orice persoana se poate adresa justitiei pentru apararea drepturilor, libertatilor si intereselor sale legitime. Prin Decizia nr. 1 din 8 febru arie 1994 , publicata in Monitorul Oficial al Romaniei, Partea I, nr. 69 din 16 martie 1994, Curtea Constitutionala a statuat ca liberul acces la justitie presupune accesul la toate mijloacele procedurale prin care se infaptuieste actul de justitie. S -a con siderat ca legiuitorul are competenta exclusiva de a stabili regulile de desfasurare a procesului in fata instantelor judecatoresti, astfel cum rezulta din art. 126 alin. (2) din Constitutie. Totodata, in jurisprudenta sa (Decizia nr. 71 din 15 ianuarie 2009 , publicata in Monitorul Oficial al Romaniei, Partea I, nr. 49 din 27 ianuarie 2009 ), Curtea a retinut ca liberul acces la justitie este pe deplin respectat ori de cate ori partea interesata, in vederea valorificarii unui drept sau interes legitim, a putut sa se adreseze cel putin o singura data unei instante nationale.

79. Pe de alta parte, p otrivit art.6 paragraful 1 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale , orice persoana are dreptul la judecarea in mod echitabil a cauzei sale, de catre o instanta independenta si impartiala, care va hotari asupra incalcarii drepturilor si obligatiilor sale cu caracter civil. Curtea Europeana a Drepturilor Omului a statuat in jurisprudenta sa, cu titlu general, ca art. 6 paragraful 1 din Conventie 35 garanteaza oricarei persoane dreptul de a aduce in fata unei instante orice pretentie referitoare la drepturi si obligatii cu caracter civil (a se vedea Hotararea din 21 februarie 1975, pronuntata in Cauza Golder impotriva Marii Britanii, paragraful 36, si Hotararea din 20 decembrie 2011, pronuntata in Cauza Dokic impotriva Serbiei, paragraful 35). De asemenea, in Hotararea din 26 i anuarie 2006, pronuntata in Cauza Lungoci impotriva Romaniei , paragraful 36, publicata in Monitorul Oficial Romaniei, Partea I, nr. 588 din 7 iulie 2006, s -a aratat ca accesul liber la justitie implica prin natura sa o reglementare din partea statului si p oate fi supus unor limitari, atat timp cat nu este atinsa substanta dreptului.

80. Romania este un stat de drept in care, potrivit art.1 alin.(5) din Constitutie, *respectarea Constitutiei, a suprematiei sale si a legilor este obligatorie*. In conditiile in ca re art.20 alin.(1) din Constitutie prevede ca dispozitiile constitutionale privind drepturile si libertatile cetatenilor vor fi interpretate si aplicate in concordanta cu Declaratia Universala a Drepturilor Omului, cu pactele si cu celelalte tratate la car e Romania este parte, iar art.21 din Constitutie consacra liberul acces la justitie, a carei exercitare, potrivit alin.(2), nicio lege nu o poate ingradi, Parlamentul are indatorirea de a legifera norme corespunzatoare pentru asigurarea reala a respectarii acestui drept, in lipsa caruia nu se poate concepe existenta statului de drept, prevazuta prin art.1 alin.(3) din Constitutie. Fara indeplinirea acestei indatoriri, normele constitutionale mentionate ar avea un caracter pur declarativ, situatie inadmisibila pentru un stat care impartaseste valorile democratice ce fac parte din ordinea publica europeana, asa cum este prefigurat de Conventia Europeana a Drepturilor Omului si de Carta drepturilor fundamentale a Uniunii Europene (in acest sens, este si Decizia Curtii Constitutionale nr.233 din 15 februarie 2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr.340 din 17 mai 2011).

81. Avand in vedere aceste considerente de principiu, Curtea constata ca lipsa oricarei prevederi in continutul legii prin care sa se asigure posibilitatea persoanei ale carei drepturi, libertati sau interese legitime au fost afectate prin acte sau fapte care au ca temei dispozitiile Legii privind securitatea cibernetica a Romaniei de a se adresa unei instante judecatoresti independente si impartial e contravine prevederilor art.1 alin.(3) si (5), art.21, precum si art.6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale .

82. Potrivit dispozitiilor art.27 alin.(1), monitorizarea si controlul aplicarii prevederilor legii criticate se asigura, potrivit competentelor stabilite prin lege, de catre Camera Deputatilor si Senat, Administratia Prezidentiala, Guvern, CSAT, precum si institutiile si autoritatile publice prevazute la art. 10 alin. (1) si (2), pentru infrastructurile cibernetice proprii sau aflate in responsabilitate, Serviciul Roman de Informatii pentru infrastructurile cibernetice proprii sau af late in responsabilitate, precum si pentru detinatorii de ICIN persoane juridice de drept public, Ministerul pentru Societatea Informationala, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN, persoane juridice de drept privat.

83. Optiunea legiuitorului de a atribui competente de monitorizare si control al aplicarii prevederilor legale Camerei Deputatilor, Senatului, Administratiei Prezidentiale, Secretariatul General al Guvernului si CSAT - ului, in conditiile in care art.10 alin.(1) si (2) stabileste autoritatile competente in domeniul securitatii cibernetice privind infrastructurile cibernetice proprii sau aflate in responsabilitate, fara a include in aceasta categorie autoritatile enumerate mai sus, acestea regasindu -se in intregul act normativ in categoria persoane juridice drept public, in sarcina carora incumba respectarea obligatiilor prevazute de lege, denota inconsecventa si genereaza confuzie cu privire la regimul juridic aplicabil acestor institutii. Din interpretarea corobo rata a dispozitiilor art.20 alin.(1) cu cele ale art.21 alin.(1) lit.a), rezulta ca, pe de o parte, Parlamentul, Administratia Prezidentiala, Secretariatul General al Guvernului si CSAT au obligatia, de exemplu, de a permite efectuarea unor auditari de sec uritate cibernetica efectuate de SRI sau de a notifica CNSC cu privire la riscurile si incidentele cibernetice, pe de alta parte, ele vor monitoriza si controla respectarea acestor obligatii, iar, in cazul neindeplinirii dispozitiilor legale, potrivit art. 28 coroborat cu art30 lit.c) din lege, autoritatile isi vor aplica lor insele sanctiuni, ca urmare a constatarii contraventiilor . Curtea constata, asadar , ca legiuitorul eludeaza principiile de drept potrivit carora controlul trebuie efectuat de o entitate independenta, exterioara autoritatii controlate, iar prin normele edictate face iluzorie respectarea obligatiilor referitoare la securitatea cibernetica. Mai mult, dispozitiile in temeiul carora Parlamentul, Administratia Prezidentiala, Secretariatul Gene ral al Guvernului si CSAT devin agenti constatatori ai savarsirii de contraventii si dispun aplicarea de sanctiuni contraventionale vadesc ignorarea principi ilor de drept care guverneaza un stat democratic, respectiv a principiului separatiei puterilor in stat, prevazut de art.1 alin.(4) din Constitutie si a principiului legalitatii, consacrat de art.1 alin.(5) . Astfel, in virtutea legii criticate, autoritatea legiuitoare, administratia prezidentiala, Guvernul sau CSAT, autoritatii de rang constitutional ale caror atributii sunt expres prevazute in Legea fundamentala, se subroga in atributii care, potrivit Ordon antei Guvernului nr.2/2001 privind regimul juridic al contraventiilor (la care legea criticata face, de altfel, trimitere), revin in competenta autoritatilor administratiei publice centrale sau locale.

84. Pe de alta parte, Curtea observa ca legea supusa contr olului nu stabileste competente de control si monitorizare fata de toti detinatorii de infrastructuri cibernetice, dispozitiile art.27 alin.(1) stabilind aceste competente doar in ceea ce priveste persoanele juridice de drept public sau privat, detinatoare de ICIN. Or, in conditiile in care legea prevede, la art.15, 16 si 17, obligatii si responsabilitati pentru toate persoanele juridice de drept public sau privat detinatoare de infrastructuri cibernetice, iar art.28 lit.a), b), c) califica drept contravent ii nerespectarea respectivelor obligatii, omisiunea legislativa cu privire la autoritatea competenta sa efectueze controlul detinatorilor de infrastructuri care nu sunt calificate ICIN viciaza constitutionalitatea textului legal cuprins in art.27 alin.(1), din perspectiva art.1 alin.(5) din Constitutie . Normele edictate in materie contraventionala, atat in ceea ce priveste fapta incriminata, cat si procedura de constatare si sanctionare a acesteia, trebuie sa fie clare, precise, previzibile, astfel incat de stinatarul lor sa isi poata conforma conduita prescriptiei legale.

85. De asemenea, Curtea retine ca d ispozitiile art.30 din lege contin prevederi referitoare la constatarea contraventiilor si aplicarea sanctiunilor. Curtea face o prima observatie cu privire la confuzia generata de textul legal ca urmare a necorelarii cu prevederile art.28 care consacra contraventiile savarsite prin nerespectarea dispozitiilor legale. Astfel, Curtea identifica: omisiunea identificarii autoritatii competente sa constate si sa ap lice sanctiunea pentru contraventiile prevazute de art.28 lit.i) si j) savarsite de persoane juridice de drept privat; omisiunea identificarii autoritatii competente sa constate si sa aplice sanctiunea pentru contraventiile prevazute de art.28 lit.a), i) si j) savarsite de persoane juridice de drept public; sanctionarea contraventionala reglementata de art.30 lit.c) pentru nerespectarea unor obligatii de catre autoritatile si institutiile publice prevazute la art.27 alin.(l) lit. a) din lege, cu privire la infrastructurile cibernetice proprii, obligatii de la care acestea erau exceptate, potrivit art.20 alin.(1) teza a doua (contraventii prevazute de art.28 li.e)-h) din lege).

86. In jurisprudenta sa, Curtea Constitutionala a retinut in repetate randuri ca orice act normativ trebuie sa indeplineasca anumite conditii calitative, printre acestea numarandu -se previzibilitatea, ceea ce presupune ca acesta trebuie sa fie suficient de precis si clar pentru a putea fi aplicat (a se vedea, spre exemplu, Decizia nr. 189 din 2 martie 2006, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 307 din 5 aprilie 2006, Decizia nr. 903 din 6 iulie 2010, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 584 din 17 august 2010 sau Decizia nr. 26 din 18 ianuarie 2012 , publicata in Monitorul Oficial al Romaniei, Partea I, nr. 116 din 15 februarie 2012). In acelasi sens, Curtea Europeana a Drepturilor Omului a statuat ca legea trebuie, intr -adevar, sa fie accesibila justitiabilului si previzibila in ceea ce priveste efe ctele sale. Pentru ca legea sa satisfaca cerinta de previzibilitate, ea trebuie sa precizeze cu suficienta claritate intinderea si modalitatile de exercitare a puterii de apreciere a autoritatilor in domeniul respectiv, tinand cont de scopul legitim urmari t, pentru a oferi persoanei o protectie adecvata impotriva arbitrariului. In plus, nu poate fi considerata *lege* decat o norma enuntata cu suficienta precizie, pentru a permite cetateanului sa isi adapteze conduita in functie de aceasta ; apeland la nevoie la consiliere de specialitate in materie, el trebuie sa fie capabil sa prevada, intr -o masura rezonabila, fata de circumstantele spetei, consecintele care ar putea rezulta dintr-o anumita fapta (a se vedea Hotararea din 4 mai 2000, pronuntata in Cauza Rotaru impotriva Romaniei , paragraful 52, si Hotararea din 25 ianuarie 2007, pronuntata in Cauza Sissanis impotriva Romaniei , paragraful 66).

87. Asa fiind, Curtea apreciaza ca imprecizia textelor de lege supuse controlului de constitutionalitate, constand in lipsa stabilirii cu suficienta claritate a procedurilor de monitorizare si control, respectiv a celor privind constatarea si sanctionarea contraventiilor , afecteaza, pe cale de consecinta, si garantiile constitutionale si conventionale care caracterizeaza dre ptul la un proces echitabil, inclusiv componenta sa privind dreptul la aparare. De altfel, Curtea Europeana a Drepturilor Omului a retinut, in esenta, ca nerespectarea garantiilor fundamentale, care protejeaza presupusii autori ai unor fapte ilicite, in fa ta posibilelor abuzuri ale autoritatilor desemnate sa -i urmareasca si sa -i sanctioneze, reprezinta un aspect ce trebuie examinat in temeiul art. 6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale (a se vedea, spre exemplu, Ho tararea din 4 octombrie 2007, pronuntata in Cauza Anghel impotriva Romaniei , paragraful 68).

88. Pentru ca dreptul la un proces echitabil sa nu ramana teoretic si iluzoriu, normele juridice trebuie sa fie clare, precise si explicite, astfel incat sa il poata a vertiza in mod neechivoc pe destinatarul acestora asupra gravitatii consecintelor nerespectarii enunturilor legale pe care le cuprind. In lumina celor enuntate mai sus, Curtea retine ca, in mod evident, prevederile art.27 alin.(1) si 30 din lege, caracteri zate printr -o tehnica legislativa deficitara, nu intrunesc exigentele de claritate, precizie si previzibilitate si sunt astfel incompatibile cu principiul fundamental privind respectarea Constitutiei, a suprematiei sale si a legilor, prevazut de art. 1 alin. (5) din Constitutie si cu dreptul la un proces echitabil, prevazut de art. 21 alin. (3) din Constitutie, precum si de art.6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale.

89. Potrivit dispozitiilor art.27 alin.(2) din leg e, in cadrul activitatii de monitorizare si control, persoanele desemnate de conducatorii autoritatilor prevazute la art.27 alin.(1) au dreptul sa solicite declaratii sau orice documente necesare pentru efectuarea controlului, sa faca inspectii, inclusiv inopinate, la orice instalatie, incinta sau infrastructura, destinate ICIN , si sa primeasca, la cerere sau la fata locului, informatii sau justificari. Norma cuprinsa in art.27 alin.(2) lit.b) care permite autoritatilor publice prevazute de art.10 alin.(1) si (2) din lege sa faca inspectii la orice instalatie, incinta sau infrastructura destinata ICIN, aflata in responsabilitatea lor, presupune accesul la o anumita locatie, cu privire la anumite obiecte, sisteme informatice de stocare, prelucrare si transmitere a datelor, inclusiv a celor cu caracter personal, acces care pune in discutie protectia drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei. Or, in masura in care notiunile cu care legea opereaza (instalatii, incinte si infrastructuri) nu sunt in mod predictibil determinate, iar sfera datelor asupra carora se realizeaza controlul este incerta, Curtea apreciaza ca legea criticata nu reglementeaza garantii care sa permita o protectie eficienta impotriva riscuril or de abuz, precum si fata de orice accesare si utilizare ilicita a datelor cu caracter personal. In vreme ce notiunea de infrastructura cibernetica e definita prin lege, notiunea de instalatie folosita in textul de art.27 alin.(2) lit.b) poate reprezenta tot un sistem informatic ori o retea sau serviciu de comunicatii electronice, avand in vedere domeniul de reglementare al legii si definitiile cuprinse in aceasta , astfel ca accesul la aceste sisteme informatice nu poate fi permis decat cu autorizarea jude catorului. De asemenea, notiunea de incinta poate semnifica si locul unde se gasesc aceste sisteme informatice, caz in care Curtea retine ca sunt aplicabile dispozitiile privind perchezitia domiciliara prevazuta de art.157-167 din Codul de procedura penala, in sensul ca aceasta masura nu poate fi dispusa decat de un judecator.

90. Fata de cele prezentate, trimiterea la *respectarea prevederilor legale in vigoare* este una confuza , intrucat nu sunt identificate ca fiind prevederi aplicabile nici dispozitiile Codului de procedura penala, indicate mai sus, si nici prevederile altor acte normative.

91. Prin urmare, considerentele Deciziilor Curtii Constitutionale nr.440/2014 si nr.461/2014 sunt valabile mutatis mutandis, astfel ca argumentele expuse in prealabil cu privire la neconstitutionalitatea dispozitiilor art.17 alin.(1) lit.a) din Legea privind securitatea cibernetica a Romaniei sunt pe deplin sustenabile si in ceea ce priveste dispozitiile art.27 alin.(2) din lege . Asa fiind, Curtea conchide ca acestea incalca prevederile art.1 alin.(5), art.26, art.28, si art.53 din Constitutie.

92. Dincolo de aspectele punctuale a caror neconstitutionalitate a fost motivata supra, Curtea constata ca intregul act normativ sufera de deficiente sub aspectul respectarii normelor de tehnica legislativa, a coerentei , a claritatii , a previzibilitatii, de natura a determina incalcarea principiului legalitatii, consacrat de art.1 alin.(5) din Constitutie . Astfel, legea face trimiteri in mai multe cazuri la reglementarea unor aspecte esentiale in economia domeniului reglementat la acte legislative secundare , precum hotarari de Guvern, norme metodologice, ordine sau decizii sau *pro ceduri stabilite de comun a cord*. A se vedea in acest sens dispozitiile art.15 alin.(2), art.17 alin.(1) lit.b), art.19 alin.(1) si (3), art.20 alin.(2), art.23 alin .(2), (5) si (6), art.30 lit.d) din lege.

93. De asemenea, cu exceptia cazurilor in care trimiterea vizeaza chiar legea securitatii cibernetice, situatie in care s -a folosit sintagma *prezenta lege*, legea foloseste in repetate randuri sintagmele *potrivit legii*, *conform competentelor prevazute de lege* sau *in conditiile legii*, fara a preciza concret la dispozitiile caror legi se face trimiterea . Aceasta situatie se regaseste in cuprinsul art.7 alin.(1) lit.d), art.10 alin.(2) si (5), art.11 alin.(1) lit.j), art.15 alin.(8), art.19 alin.(6), art.20 alin.(1) lit .h), art.21 alin.(1), art.21 alin.(2) lit.d), art.27 alin.(1), art.27 alin.(2) lit.b) din lege . Cu privire la aceste aspecte, Curtea mentioneaza ca, potrivit art.39 alin.(1) - Referirea la alt act normativ , din Legea nr.24/2000 privind normele de tehnica l egislativa pentru elaborarea actelor normative, *referirea intr -un act normativ la alt act normativ se face prin precizarea categoriei juridice a acestuia, a numarului sau, a titlului si a datei publicarii acelui act sau numai a categoriei juridice si a nu marului, daca astfel orice confuzie este exclusa.*

94. Pe de alta parte, Curtea constata ca dispozitiile art.6 alin.(1), art.8 alin.(1) si ale art.10 alin.(1) teza a doua din lege consacra organisme/institutii/autoritati infiintate in baza unor acte normative anterioare, respectiv hotarari ale Guvernului (SNSC si COSC) sau hotarari ale Consiliului Suprem de Aparare a Țarii (CNSC), care au precedat aparitia actului de reglementare primara prin care se stabileste cadrul general de reglementare a domeniului secur itatii cibernetice. Astfel, prin adoptarea lor se creeaza confuzie cu privire la stabilirea datei de la care aceste entitati iau fiinta si isi exercita competentele - data adoptarii hotararii de Guvern/hotararii CSAT sau data la care va intra in vigoare Le gea securitatii cibernetice in Romania .

95. In ceea ce priveste aspectele referitoare la criteriile de claritate, precizie, previzibilitate si predictibilitate pe care un text de lege trebuie sa le indeplineasca, Curtea constata ca autoritatea legiuitoare, Parlamentul sau Guvernul, dupa caz, are obligatia de a edicta norme care sa respecte trasaturile mai sus aratate. Potrivit art.8 alin. (4) teza intai din Legea nr.24/2000, *textul legislativ trebuie sa fie formulat clar, fluent si inteligibil, fara dificultati sintactice si pasaje obscure sau echivoce* , iar potrivit art. 36 alin.(1) din aceeasi lege, *actele normative trebuie redactate intr -un limbaj si stil juridic specific normativ, concis, sobru, clar si precis, care sa excluda orice echivoc, cu respectarea stricta a regulilor gramaticale si de ortografie *.

96. Curtea constata ca prin reglementarea normelor de tehnica legislativa legiuitorul a impus o serie de criterii obligatorii pentru adoptarea oricarui act normativ, a caror respectare este necesara pentru a asigura sistematizarea, unificarea si coordonarea legislatiei, precum si continutul si forma juridica adecvate pentru fiecare act normativ. Astfel, respectarea acestor norme concura la asigurarea unei legislatii care respecta principiul securitatii raporturilor juridice, avand claritatea si previzibilitatea necesara.

97. Pentru toate argumente le prezentate , Curtea constata ca Legea privind securitatea cibernetica a Romaniei este viciata in integralita tea ei, astfel ca obiectia de neconstitutionalitate urmeaza a fi admisa si constatata neconstitutionalitatea actului normativ, in ansamblul sau.

98. In acord cu jurisprudenta sa, Curtea retine ca, i n situatia determinata de constatarea neconstitutionalitatii legii in ansamblul sau, pronuntarea unei astfel de decizii are un ef ect definitiv cu privire la actul normativ, consecinta fiind incetarea procesului legislativ in privinta respectivei reglementari.

99. Pe de alta parte, in cond itiile in care prevederile art. 61 alin.(1) din Constitutie stabilesc ca *Parlamentul este organul reprezentativ suprem al poporului roman si unica autoritate legiuitoare a tarii*, competenta de legiferare a acestuia cu privire la un anumit domeniu nu poate fi limitata daca legea astfel adoptata respecta exigentele Legii fundamentale. Prin urmare, optiunea legiuitorului de a legifera in materia in care Curtea Constitutionala a admis o sesizare de neconstitutionalitate cu privire la o lege in ansamblul sau presupune parcurgerea tuturor faz elor procesului legislativ prevazut de Constitutie si de regulamentele celo r doua Camere ale Parlamentului (a se vedea in acest sens Decizia Curtii Constitutionale nr.308 din 28 martie 2012, publicata in Monitorul Oficial al Romaniei, Partea I, nr.309 din 9 mai 2012).
DECIZIE




100. Pentru considerentele aratate, in temeiul art. 146 lit. a) si al art. 147 alin. (4) din Constitutie, precum si al art. 11 alin. (1) lit. A.a), al art. 15 alin. (1) si al art. 18 alin. (2) din Legea nr. 47/1992, cu majoritate de voturi,


CURTEA CONSTITUTIONALA‚
In numele legii
DECIDE:


Admite obiectia de neconstitutionalitate si constata ca Legea privind securitatea cibernetica a Romaniei este neconstitutionala, in ansamblul ei.

Definitiva si general obligatorie.

Decizia se comunica Presedintelui Romaniei, presedintilor celor doua Camere ale Parlamentului si prim -ministrului si se publica in Monitorul Oficial al Romaniei, Partea I.

Pronuntata in sedinta din data de 21 ianuarie 2015.






Sectiune Decizii neconstitutionalitate (NC) si Recursuri admise in interesul legii (RIL)





Termeni juridici, grupare tematica




Coordonator
Magdalena Popeanga

Website administrat de
Alioth Software 		Politica de securitate
Termeni si conditii
 RSS DreptOnline.ro - Canale RSS juridice 		15 useri online

Useri autentificati: