Rumänische Version der EU-Cybersecurity-Richtlinie ermöglicht den richterlosen Zugriff auf Daten

Mehr als ein Dutzend rumänische Nichtregierungsorganisationen protestieren gegen neue Cybersicherheitsgesetze des Parlaments In der vergangenen Woche würden Unternehmen gezwungen sein, den nationalen Geheimdiensten Zugang zu ihren Daten ohne Gerichtsbeschluss zu verschaffen.

Das Gesetz könnte sich auch auf Unternehmen aus Europa und darüber hinaus auswirken, da Rumänien ein Zentrum für IT-Outsourcing und Softwareentwicklung ist. Viele multinationale Konzerne wie Amazon, Microsoft, Adobe Systems, Siemens und Intel haben Forschungs- und Entwicklungszentren im Land.

Das Gesetz, dem nur die Unterschrift des Präsidenten fehlt, basiert auf dem kommenden Netzwerk und den Informationen der Europäischen Union Sicherheitsrichtlinie (NIS), ein Rechtsrahmen zur Stärkung der Cybersicherheit in der EU, insbesondere in Schlüsselbereichen wie der kritischen Infrastruktur.

Im März hat das Europäische Parlament eine Neufassung der vorgeschlagenen NIS-Richtlinie angenommen. Es fordert die Mitgliedstaaten auf, nationale Cybersicherheitsstrategien zu entwickeln und zentrale Behörden zu benennen, die die Reaktion auf Cyberbedrohungen und -vorfälle koordinieren.

Es schafft auch neue Anforderungen für Betreiber kritischer Infrastrukturen, etwa im Energie-, Verkehrs-, Bank- und Finanzmarkt oder Gesundheitsbereiche, um die Risiken, denen sie ausgesetzt sind, zu bewerten und geeignete Maßnahmen zu ergreifen, um die Sicherheit ihrer Netze und Informationen zu gewährleisten. Sie müssen auch Vorfälle den nationalen Cybersicherheitsbehörden melden.

Kritiker des neuen rumänischen Gesetzes behaupten, dass es zu weit gefasst, wahrscheinlich verfassungswidrig ist und die E.U. Empfehlung, dass die für die nationale Cybersicherheit zuständige Behörde eine zivile Stelle sein sollte, die nicht mit Strafverfolgung, nachrichtendienstlicher Aufklärung oder Landesverteidigung verbunden ist.

Im Gegensatz zur NIS - Richtlinie, die sich auf Betreiber kritischer Infrastrukturen konzentriert, gilt der rumänische Gesetzentwurf für alle Organisationen private, die Cyberinfrastructures besitzen, verwalten, betreiben oder nutzen. Cyberinfrastructure ist im Gesetz definiert als "Infrastruktur im Bereich der Informationstechnologie und Kommunikation, bestehend aus Informationssystemen, verwandten Anwendungen, Netzwerken und elektronischen Kommunikationsdiensten."

Dies bedeutet, dass das Gesetz für alle öffentlichen Institutionen, private Unternehmen und andere rechtlich etablierte Organisationen, die Computer und Netzwerke betreiben.

"Ein Unternehmen mit einem Computer kann kein nationales Cybersicherheitsproblem darstellen", sagte die rumänische Vereinigung für Technologie und Internet (ApTI) in einem Blogbeitrag. Das Gesetz muss nur für öffentliche und private Einrichtungen gelten, die als Betreiber kritischer Infrastrukturen von nationaler Bedeutung identifiziert wurden, und sie sollten im Gesetz klar aufgeführt sein, sagte die Organisation.

ApTI ist ein Mitglied der Europäischen Digitalen Rechte (EDRi), eine paneuropäische Vereinigung von Organisationen für digitale Rechte.

Ein weiteres Problem ist, dass das Gesetz verlangt, dass Unternehmen den rumänischen Nachrichtendienst (SRI) - das rumänische Äquivalent der US-amerikanischen National Security Agency - und ein halbes Dutzend anderer Regierungen bereitstellen Agenturen mit Unterstützung und Zugang zu ihren Daten nur auf einer "motivierten Anfrage", nicht eine gerichtliche Anordnung.

Die Agenturen, die Daten auf diese Weise anfordern könnten, nach Art. 17 des Gesetzes, sind der rumänische Nachrichtendienst, das Ministerium für Nationale Verteidigung, das Ministerium für auswärtige Angelegenheiten, das Nationale Standesamt für Verschlusssachen, der Auslandsnachrichtendienst, der Spezial-Telekommunikationsdienst, der Schutz- und Wachdienst, CERT-RO und die Nationale Behörde für Management und Regulierung in der Kommunikation (ANCOM).

ApTI und andere zivilgesellschaftliche Organisationen glauben, dass dies die verfassungsmäßigen Rechte der Bürger verletzen würde, da viele Unternehmen und Organisationen Daten über Privatpersonen verarbeiten oder speichern.

"Wer entscheidet, ob diese Anfragen ausreichend motiviert sind und welche Daten relevant sind? " ApTI sagte. "Warum nicht ein Richter, wie es derzeit in der Strafprozessordnung festgelegt ist?"

Die dritte Ausgabe mit der aktuellen Form des Gesetzes ist, dass sie SRI als nationale Behörde bezeichnet, die für die Cybersicherheit zuständig ist. Dies scheint der EU - Richtlinie zu widersprechen, in der es heißt: "Die zuständigen Behörden und die zentralen Anlaufstellen sollten zivile Einrichtungen sein, die einer uneingeschränkten demokratischen Kontrolle unterliegen und keine Aufgaben im Bereich der Nachrichtendienste, der Strafverfolgung oder der Verteidigung erfüllen sollten Organisationen, die in diesen Bereichen tätig sind. "

13 Nichtregierungsorganisationen, darunter auch ApTI, schickten am Montag einen Brief an den neuen rumänischen Präsidenten Klaus Iohannis sowie an das rumänische Parlament, den rumänischen Obersten Gerichtshof der Republik Kassation und Justiz und der Volksanwalt, drängen sie, das Verfassungsgericht offiziell zu bitten, das Gesetz zu überprüfen. Dies ist ein erforderliches Verfahren, bevor das Verfassungsgericht entscheiden kann, ob ein Gesetz grundlegende verfassungsmäßige Rechte verletzt.

Eine andere Möglichkeit wäre, dass der Präsident das Gesetz nicht verkündet und es dem Parlament zur erneuten Prüfung zurückgibt.

"Seit seinem ersten Englisch: www.eu2006.gv.at/en/News/Speeches_I...05annan.html Der Präsident sieht sich in einer Situation, in der er sein Engagement für die Achtung der Menschenrechte in Rumänien unter Beweis stellen kann ", heißt es in dem Brief.