AVIZ
referitor la proiectul de Ordonanță de urgență pentru modificarea și completarea Legii nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice
Analizând proiectul de Ordonanță de urgență pentru modificarea și completarea Legii nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, transmis de Secretariatul General al Guvernului cu adresa nr.322 din 16.12.2019 și înregistrat la Consiliul Legislativ cu nr.D1066 din 16.12.2019
CONSILIUL LEGISLATIV
În temeiul art.2 alin.1 lit.a) din Legea nr.73/1993, republicată și art.46(2) din Regulamentul de organizare și funcționare a Consiliului Legislativ,
Avizează favorabil proiectul de ordonanță de urgență, cu următoarele observații și propuneri:
1. Proiectul de ordonanță de urgență are ca obiect prorogarea termenelor prevăzute la art.24 alin.(51) și (61) din Legea nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare.
Totodată, se preconizează și prorogarea termenului prevăzut la art.II din Ordonanța Guvernului nr.2/2019 pentru modificarea și completarea Legii nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, aprobată prin Legea nr.231/2019.
2. Din punct de vedere al dreptului european, demersul normativ de față cade de-o manieră generală sub incidența reglementărilor statuate la nivelul Uniunii Europene, subsumate normelor din segmentul legislativ Spațiul de libertate, securitate și justiție, în sectorul Programe.
La nivelul dreptului european derivat, sunt incidente dispozițiile Directivei (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr.194 din data de 19 iulie 2017 (Directiva NIS), transpuse în totalitate în dreptul intern prin Legea nr.326/2018 privind asigurarea unui nivel comun de securitate a rețelelor și sistemelor informatice, intrată în vigoare la data de 12 ianuarie 2019.
Potrivit inițiatorului, până în prezent, în procesul privind adoptarea legislației subsecvente nu s-au finalizat actele normative necesare pentru implementarea Legii nr.362/2018, respectiv identificarea operatorilor de servicii esențiale, furnizorilor de servicii digitale, formatorilor și furnizorilor de servicii de formare a membrilor echipelor CSIRT și a auditorilor de securitate informatică, fapt ce conduce la imposibilitatea implementării, la nivel național, a Directivei (UE) 2016/1148.
Subliniem faptul că implementarea națională a Directivei NIS presupune identificarea și desfășurarea unui proces complex (un termen de cel puțin 2 ani de la intrarea în vigoare a acesteia), respectiv identificarea furnizorilor de servicii de formatare a membrilor echipei CSIRT și a auditorilor de securitate informatică, urmat de operaționalizarea efectivă a Legii nr.326/2018.
Mai mult decât atât, este invocată scrisoarea adresată României de către Comisia Europeană în cauza nr.2019/2214 (operatori servicii esențiale) de punere în întârziere, prin care Comisia reclamă încălcarea de către țara noastră a obligațiilor care îi revin în temeiul art.5 alin.(7) din Directiva (UE) 2016/1164, respectiv, faptul că termenele stabilite prin actul european în cauză nu pot fi respectate de statul român. În acest context, neîndeplinirea termenelor stabilite de directivă duce la escaladarea procedurii de infringement, respectiv la trecerea la etapa de judecată la Curtea de Justiție a Uniunii Europene și în final la amendarea României pentru neîndeplinirea obligațiilor ce decurg din directiva menționată.
În aceste condiții, prin actualul proiect de act normativ, inițiatorul a introdus prorogarea termenului de la care se va opera modificarea modalității de finanțare a CERT-RO, asigurând astfel continuitatea finanțării, dar și pentru a permite alcătuirea corespunzătoare a bugetului de stat în termenele legale specifice acestei activități, la o dată ulterioară.
3. Apreciem că se impune o completare a Notei de fundamentare, precum și a preambulului, în sensul dezvoltării elementelor de fapt și de drept care au determinat promovarea prezentului proiect de ordonanță de urgență, precum și o detaliere a eventualelor efecte negative, pentru a fi respectate prevederile art.115 alin.(4) din Constituția României, republicată, conform cărora Guvernul poate adopta ordonanțe de urgență numai în situații extraordinare a căror reglementare nu poate fi amânată și ale art.43 alin.(3) din Legea nr.24/2000, republicată, cu modificările și completările ulterioare, potrivit cărora preambulul ordonanțelor de urgență trebuie să cuprindă și prezentarea elementelor de fapt și de drept în susținerea situației extraordinare ce impune recurgerea la această cale de reglementare.
4. Având în vedere că se preconizează prorogarea unor termene din Legea nr.362/2018, cu modificările și completările ulterioare, precum și din Ordonanța Guvernului nr.2/2019, aprobată prin Legea nr.231/2019, pentru a exprima corect obiectul de reglementare, titlul trebuie reformulat. Propunem ca acesta să fie redactat astfel:
Ordonanță de urgență pentru prorogarea unor termene prevăzute la art.24 alin.(51) și (61) din Legea nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, precum și a termenului prevăzut la art.II din Ordonanța Guvernului nr.2/2019 pentru modificarea și completarea Legii nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.
5. La primul paragraf din preambul, pentru o informare corectă și completă, propunem ca, după titlul Legii nr.362/2018, să fie plasată sintagma cu modificările și completările ulterioare.
Observația este valabilă pentru toate cazurile când este menționată această lege.
Totodată, contextul impune ca expresia fiind publicată să fie înlocuită prin cuvântul publicată.
La al treilea paragraf, având în vedere că, în cadrul Legii nr.362/2018, cu modificările și completările ulterioare, denumirea prescurtată CSIRT este folosită pentru a desemna echipa de răspuns la incidente de securitate informatică, sugerăm ca, pentru corelare, să se analizeze dacă nu este cazul utilizării acestei din urmă denumiri.
La al patrulea paragraf, pentru exprimarea corectă a categoriei actului normativ invocat, dar și pentru precizia textului, propunem ca menționarea acestuia să fie realizată sub următoarea formă: ordonanța Guvernului nr.2/2019 pentru modificarea și completarea Legii nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, aprobată prin Legea nr.231/2019.
Totodată, propunem înlocuirea sintagmei finanțarea cheltuielilor curente și de capital ale Centrului Național de Răspuns la Incidente de Securitate Cibernetică CERT-RO să fie asigurate integral de la bugetul de stat cu sintagma asigurarea finanțării cheltuielilor curente și de capital ale Centrului Național de Răspuns la Incidente de Securitate Cibernetică CERT-RO integral de la bugetul de stat, care se potrivește mai bine în context.
În același timp, pentru rigoarea redactării, propunem înlocuirea sintagmei să fie modificată finanțare cu sintagma să fie modificată modalitatea de finanțare.
La al cincilea paragraf, din aceleași considerente, propunem ca sintagma aplicarea prevederilor ( ) începând cu data de 1 ianuarie 2020, nu poate fi aplicabilă să fie înlocuită cu sintagma prevederile ( ) nu pot fi aplicate începând cu data de 1 ianuarie 2020.
Textul acestui paragraf trebuie însă disjuns, astfel încât sintagma având în vedere cele de mai sus să constituie începutul unui alt paragraf.
În plus, pentru un limbaj normativ adecvat, propunem înlocuirea sintagmei modificări la legea bugetului nefiind aplicabile cu sintagma modificări la legea bugetului de stat neputând fi aduse, precum și a expresiei nu deținem cu sintagma nu sunt deținute.
La al șaselea paragraf actual, propunem eliminarea parantezelor, care nu sunt agreate de normele de tehnică legislativă.
La al șaptelea paragraf actual, pentru un stil normativ adecvat, propunem inserarea sintagmei având în vedere că, după cuvântul totodată, dar și revederea sintagmei precum și la adaptarea instituției la cerințele ( ), implicit la asigurarea, care nu se integrează coerent în context.
În același timp, pentru un plus de precizie, menționarea actului european se va realiza după cum urmează: Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016.
Reiterăm observația pentru toate situațiile similare.
La al optulea paragraf actual, pentru o exprimare adecvată stilului normativ, propunem ca textul să debuteze astfel:
Ținând seama de faptul că trecerea CERT-RO
Totodată, pentru corectitudinea exprimării, este necesară înlocuirea sintagmei riscuri de compromiterea proiectelor cu sintagma riscuri de compromitere a proiectelor.
La al nouălea paragraf actual, pentru mai multă precizie, este necesară înlocuirea cuvântului bugetului cu expresia bugetului de stat.
Textul celui de al doisprezecelea paragraf actual trebuie plasat în continuarea celui de al unsprezecelea paragraf actual, cu care are legătură ideatică, cu următoarea formulare pentru partea de debut: cât și pentru neîndeplinirea obligației de transpunere completă a .
Pentru un plus de rigoare normativă, propunem ca textul celui de al paisprezecelea paragraf actual să înceapă în felul următor:
Având în vedere și faptul că procesul de implementare
6. Pentru a răspunde exigențelor tehnicii legislative, propunem ca partea dispozitivă a proiectului reprezentând conținutul propriu-zis al reglementării să fie reformulată, astfel încât fiecare prorogare în parte să fie cuprinsă într-un articol de sine-stătător, cu următoarele formulări:
Art.I. Termenele prevăzute la art.24 alin.(51) și (61) din Legea nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, publicată în Monitorul Oficial al României, Partea I, nr.21 din 9 ianuarie 2019, cu modificările și completările ulterioare, se prorogă până la data de 1 ianuarie 2022.
Art.II. Termenul prevăzut la art.II din Ordonanța Guvernului nr.2/2019 pentru modificarea și completarea Legii nr.362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, publicată în Monitorul Oficial al României, Partea I, nr.80 din 31 ianuarie 2019, aprobată prin Legea nr.231/2019, se prorogă până la data de 31 decembrie 2021.
PREȘEDINTE
dr. Dragoș ILIESCU
București
Nr.1011/17.12.2019