Versión rumana de la directiva de ciberseguridad de la UE permite acceso sin autorización a datos

Más de una docena de organizaciones no gubernamentales rumanas protestan contra la nueva legislación de seguridad cibernética aprobada por el parlamento la semana pasada que obligaría a las empresas a proporcionar a las agencias nacionales de inteligencia del país acceso a sus datos sin una orden judicial.

La ley también podría afectar a las empresas de Europa y más allá, ya que Rumanía es un centro de externalización de TI y desarrollo de software. Muchas corporaciones multinacionales como Amazon, Microsoft, Adobe Systems, Siemens e Intel tienen centros de investigación y desarrollo en el país.

La ley, que solo carece de la firma del presidente, se basa en la próxima red e información de la Unión Europea. Directiva de Seguridad (NIS), un marco legislativo que apunta a fortalecer la ciberseguridad en toda la UE, particularmente en áreas clave como la infraestructura crítica.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

Una versión modificada de la La propuesta de Directiva NIS fue aprobada por el Parlamento Europeo en marzo. Requiere que los estados miembros desarrollen estrategias nacionales de seguridad cibernética y designen autoridades centrales a cargo de coordinar la respuesta a las amenazas cibernéticas e incidentes.

También crea nuevos requisitos para los operadores de infraestructura crítica, como los de energía, transporte, banca, mercado financiero. o sectores de la salud, para evaluar los riesgos que enfrentan y adoptar medidas apropiadas para garantizar la seguridad de sus redes e información. También tendrán que informar incidentes a las autoridades nacionales de seguridad cibernética.

Los críticos de la nueva ley rumana afirman que es demasiado amplia, probablemente inconstitucional e ignora a E.U. recomendación de que la autoridad responsable de ciberseguridad nacional sea un organismo civil no vinculado a la aplicación de la ley, inteligencia o defensa nacional.

A diferencia de la Directiva NIS, que se centra en los operadores de infraestructura crítica, el proyecto de ley rumano se aplica a todas las organizaciones, públicas o privado, que posee, administra, opera o usa ciberinfrastructuras. La ciberinfraestructura se define en la ley como "infraestructura en el campo de la tecnología de la información y las comunicaciones, que consiste en sistemas de información, aplicaciones relacionadas, redes y servicios de comunicación electrónica". Esto significa que la ley se aplicaría a todas las instituciones públicas, empresas privadas y otras organizaciones legalmente establecidas que operan computadoras y redes.

"Una compañía con una computadora no puede representar un problema nacional de ciberseguridad", dijo en una publicación de blog la Asociación Rumana de Tecnología e Internet (ApTI). La ley debe aplicarse solo a las entidades públicas y privadas que se identifican como operadores de infraestructura crítica de importancia nacional y deben estar claramente enumeradas en la ley, dijo la organización.

ApTI es miembro de European Digital Rights (EDRi), una asociación paneuropea de organizaciones de derechos digitales.

Otro problema es que la ley requiere que las compañías proporcionen el Servicio de Inteligencia Rumano (SRI) -el equivalente rumano de la Agencia de Seguridad Nacional de EE. UU .- y media docena de otras agencias gubernamentales con asistencia y acceso a sus datos basados ​​solo en una "solicitud motivada", no en una orden judicial.

Las agencias que podrían solicitar datos de esta manera, de acuerdo con el art. 17 de la ley, son el Servicio de Inteligencia Rumano, el Ministerio de Defensa Nacional, el Ministerio de Relaciones Exteriores, la Oficina Nacional de Registro de Información Clasificada, el Servicio de Inteligencia Extranjera, el Servicio Especial de Telecomunicaciones, el Servicio de Protección y Guardia, CERT-RO y la Autoridad Nacional de Gestión y Regulación en Comunicaciones (ANCOM).

ApTI y otras organizaciones de la sociedad civil creen que esto violaría los derechos constitucionales de los ciudadanos, ya que muchas empresas y organizaciones procesan y almacenan datos sobre o generados por particulares.

"¿Quién decide si estas solicitudes están suficientemente motivadas y qué datos son relevantes?", Dijo ApTI. "¿Por qué no un juez, como está estipulado actualmente en el código de procedimiento penal?"

El tercer problema con la forma actual de la ley es que designa al SRI como la autoridad nacional a cargo de la ciberseguridad. Esto parece contradecir la Directiva EU NIS, que dice que: "Las autoridades competentes y los puntos únicos de contacto deberían ser civiles, sujetos a una supervisión democrática plena y no deberían desempeñar ninguna tarea en el ámbito de la inteligencia, la aplicación de la ley o la defensa o vincularse organizativamente en cualquier forma con organismos activos en esos campos. "

Trece organizaciones no gubernamentales, incluida ApTI, enviaron una carta el lunes al nuevo presidente de Rumanía, Klaus Iohannis, así como al Parlamento rumano, el Tribunal Superior de Rumanía. Casación y Justicia y el Defensor del Pueblo, instándolos a pedir oficialmente al Tribunal Constitucional que revise la ley. Este es un procedimiento requerido antes de que el Tribunal Constitucional pueda decidir si una ley viola los derechos constitucionales básicos.

Otra opción sería que el presidente no promulgue la ley y la devuelva al Parlamento para su reexamen.

"Desde su primera vez Durante el día en el cargo, el presidente se enfrenta a una situación en la que puede demostrar su compromiso con el respeto de los derechos humanos en Rumania ", decía la carta.