Aderarea României la Uniunea Europeană, la 1 ianuarie 2007, a produs numeroase schimbări cu efecte pozitive resimțite la toate nivelurile – de exemplu, stabilitate macroeconomică obținută prin eliminarea incertitudinii ratei de schimb și a costurilor de tranzacție cu Uniunea Europeană. Aceleași schimbări au creat, însă, și premisele materializării unor amenințări externe.
Pentru respectarea principiului supremației dreptului Uniunii Europene, România s-a aliniat la normele juridice ale Uniunii, și a aplicat cu prioritate aceste norme în ordinea juridică națională.
În ceea ce privește securitatea națională, reforma în plan juridic a avut misiunea de a încadra și a acoperi o nouă serie de amenințări la adresa statului, în contextul liberei circulații și a dezvoltării tehnologice. Între noile amenințări se numără și cele de natură cibernetică. Mare parte din faptele penale ce puteau fi săvârșite și încadrate la acest capitol nu erau prevăzute în vechiul Cod Penal.
Recomandări europene
La 10 ani de la aderarea României la Uniunea Europeană se impune efectuarea unei analize a modului în care a decurs procesul de reformă. Sunt puse în balanță avantajele aderării la Uniunea Europeană și raportul cost-efort implicat în dezvoltarea statului. Înainte de aderarea propriu-zisă, în Raportul de țară din 2003 al raportorului UE pentru România, Emma Nicholson, a fost subliniată necesitatea soluționării celor două probleme majore ale țării noastre înainte de aderare, respectiv eradicarea corupției și punerea în aplicare a reformei, ceea ce s-a tradus în recomandări pentru autoritățile statului. Recomandările au vizat inclusiv independența și funcționarea sistemului judiciar, astfel că România urma să fie monitorizată în ceea ce privește implementarea legislației europene în domeniul justiției.
Încheierea negocierilor de aderare a fost confirmată la Summitul de la Bruxelles, din 16-17 decembrie 2004. În data de 25 aprilie 2005 a fost semnat, la Luxembourg, tratatul de aderare. Doi ani mai târziu, România a devenit stat membru al Uniunii Europene, iar în raportul de țară premergător aderării se preciza că țara noastră a făcut progrese semnificative în alinierea legislației interne la legislația Uniunii Europene.
După semnarea tratatului a urmat un proces intens de monitorizare de către Comisia Europeană, pentru a se verifica stadiul îndeplinirii condițiilor asumate de România în procesul aderării. Finalizarea acestui proces nu exclude posibilitatea activării clauzelor de salvgardare, în cazul în care reformarea accelerată a tuturor domeniilor de interes nu este păstrată ca prioritate.
Una din amenințările la adresa membrilor Uniunii este reprezentată de utilizarea mediului online sau cibernetic în scop terorist, în agresiuni cu motivație statală sau în proliferarea crimei organizate.
Directiva NIS, cadrul securității cibernetice
În acest scop, Uniunea Europeană a adoptat, în data de 6 iulie 2016, Directiva NIS (Network Internet Security) al cărei scop este asigurarea unui nivel crescut de securizare a informațiilor și implicit a rețelelor ce vehiculează aceste informații, la nivelul tuturor țărilor membre. După adoptarea directivei, fiecare stat membru are la dispoziție 21 de luni pentru transpunerea acesteia în legislația națională și încă 6 luni pentru a identifica operatorii de interes național.
Directiva NIS oferă cadrul legal pentru creșterea nivelului securității cibernetice prin stabilirea, la nivel național, a unor echipe de răspuns rapid la incidente (de exemplu CERT – Computer Emergency Response Team) și a unei autorități competente de tip NIS. De asemenea, directiva acordă o importanță deosebită cooperării între statele membre și alcătuirii unor grupuri de lucru care să faciliteze schimbul de informații despre incidentele cibernetice, riscuri și amenințări ce pot viza un anumit stat.
Nu în ultimul rând, directiva NIS abordează problema culturii de securitate în sectoare de interes cum ar fi cel financiar-bancar, sănătatea, transporturile, domeniul energetic și infrastructurile cibernetice de interes național. Responsabilitatea identificării problemelor și riscurilor în aceste sectoare va reveni principalilor furnizori identificați anterior la nivel național, aceștia având totodată și responsabilitatea de a notifica instituțiile abilitate să ia măsurile adecvate. Furnizorii de servicii specializate, cum ar fi motoarele de căutare, serviciile de stocare în cloud și magazinele online trebuie să se supună prevederilor acestei directive.
Directiva NIS urmărește coordonarea instituțiilor guvernamentale cu furnizorii privați de servicii, pentru limitarea pagubelor pe care incidentele cibernetice le pot cauza rețelei de telecomunicații a Europei. Prevenirea și reacția la incidentele cibernetice trebuie transpusă la nivel național într-o lege care să guverneze buna desfășurare a procesului de protecție a infrastructurilor cibernetice.
Infracțiunile cibernetice în legislația națională
Legislația națională actuală nu conține articole referitoare la intruziunile cibernetice în infrastructurile de interes național. Restricțiile pentru securizarea mediului virtual ar impieta asupra exprimării libere a individului. În schimb, în Codul Penal din 1 februarie 2014 sunt definiți termenii de instrument de plată electronică, sistem informatic, date informatice și sunt preluate și modificate infracțiuni din Legea nr. 161/2003 și alte infracțiuni din legi speciale care fac referire la domeniul criminalității informatice. Mai departe, este prevăzută infracțiunea de hărțuire, neprevăzută anterior de Codul Penal sau de legile speciale, fiind luat în calcul și elementul virtual prin precizarea „comunicări prin mijloace de transmitere la distanță“.
Frauda informatică regăsită anterior în Legea nr.161/2003, a fost preluată fără modificări, cu excepția faptului că noua lege reduce limita de pedeapsă de la 12 la 7 ani. Același lucru s-a întâmplat și cu infracțiunile de efectuare de operațiuni financiare în mod fraudulos și acceptarea operațiunilor financiare efectuate în mod fraudulos.
Modificarea infracțiunii de violare a secretului corespondenței, față de legislația penală anterioară, constă în aducerea unei cauze justificative speciale care devine esențială dacă făptuitorul a surprins săvârșirea unei infracțiuni sau contribuie la dovedirea acesteia, sau a unor fapte de interes public, limita de pedeapsă fiind redusă.
Falsificarea de titluri de credit sau instrumente de plată, a ținut cont de introducerea monedei euro, ca monedă de plată nouă ce poate fi supusă falsificării, dar nu apare nicăieri ca monedă de plată bitcoin-ul, deși este principala modalitate de plată anonimizată și falsificabilă.
Falsul informatic preia cu unele modificări infracțiunea de fals informatic prevăzută în Legea nr. 161/2003. În acest caz, elementul material este completat cu o nouă acțiune – introducerea de date informatice.
Titlul VII al Codului Penal – Infracțiuni contra siguranței publice, prezintă la Capitolul VI – Infracțiuni contra siguranței și integrității sistemelor informatice infracțiunile de acces ilegal la un sistem informatic, interceptarea ilegală a unei transmisii de date informatice, alterarea integrității datelor informatice, perturbarea funcționării sistemelor informatice, transferul neautorizat de date informatice și operațiuni ilegale cu dispozitive sau programe informatice.
Ceea ce nu tratează niciunul din aceste articole este cum se împarte vina și ce pedepse ar trebui să primească individul dacă acesta utilizează un sistem informatic în scop terorist, sau infectează o infrastructură cibernetică de interes național, lucru ce pune în pericol viața și integritatea semenilor săi. De asemenea, frauda la votul electronic nu era prevăzută nici în Codul Penal, nici în legile speciale.
O adaptare continuă
În concluzie după zece ani de la aderarea României la Uniunea Europeană schimbările continuă, mai ales în ceea ce privește dreptul românesc, care se adaptează permanent, atât la nevoile societății, cât și la reglementările impuse de organismele europene. O dovadă a acestui fapt este aceea că noua amenințare cibernetică – identificată întâi la nivel social și profesional prin creșterea cererii de specialiști în securitate cibernetică pe piața românească s-a transpus într-o directivă a Uniunii Europene, care impune schimbări în structura dreptului românesc.
Securitatea cibernetică a României are nevoie de un fundament legislativ care trebuie dezvoltat în acord cu Agenda electronică pentru Europa și cu Directiva NIS, ca parte a strategiei de securitate cibernetică a Uniunii Europene.
Abstract
As part of the European Union cyber security strategy, the Network Internet Security Directive is aiming to establish an agreement between the governing system and the private service providers, in order to limit the damage that cyber incidents may cause to the European telecommunication network. The Directive seeks to prevent and react to these incidents and it must be translated into a Romanian law of cyber security. This law is suppose to govern the proper deployment of the cyber infrastructures protection process.
Autori: Antonia-Luciana Mîrzac şi Raluca Stanciu