DECIZIA Nr.

17
din 21 ianuarie 2015

asupra obieciei de neconstituionalitate a dispoziiilor Legii privind securitatea

cibernetic a Romniei
Publicat n Monitorul Oficial nr.79 din 30.01.2015

Augustin Zegrean preedinte

Valer Dorneanu judector
Toni Grebl judector
Petre Lzroiu judector
Mircea tefan Minea judector
Daniel Marius Morar judector
Mona-Maria Pivniceru judector
Pusks Valentin Zoltn judector
Tudorel Toader judector
Mihaela Senia Costinescu magistrat-asistent-ef

1. Pe rol se afl pronunarea asupra obieciei de neconstituionalitate a dispoziiilor Legii privind

securitatea cibernetic a Romniei, obiecie formulat de un numr de 69 de deputai aparinnd
Grupului parlamentar al Partidului Naional Liberal din Camera Deputailor.
2. Cu Adresa nr.2/6.103 din 23 decembrie 2014, secretarul general al Camerei Deputailor a
transmis Curii Constituionale sesizarea de neconstituionalitate, care a fost nregistrat la Curtea
Constituional cu nr.6.188 din 23 decembrie 2014 i constituie obiectul Dosarului nr.1.419A/2014. La
sesizare a fost anexat, n copie, Legea privind securitatea cibernetic a Romniei.
3. n motivarea obieciei de neconstituionalitate autorii susin c dispoziiile legale sunt
contrare art.1 alin.(3) i (4) referitor la statul de drept i obligaia respectrii Constituiei i a legilor. Se
apreciaz c legea criticat introduce multe confuzii i condiionri pentru deintorii de infrastructuri
cibernetice care sunt de natur a genera restrngeri ale drepturilor i libertilor fundamentale ale
cetenilor. Prevederile legale nu respect dispoziiile art.6 din Legea nr.24/2000 privind normele de
tehnic legislativ pentru elaborarea actelor normative i ncalc, astfel, principiul legalitii, care este
fundamental pentru buna funcionare a statului de drept. La art.1 din lege se prevd doar obligaii pentru
deintorii de infrastructuri cibernetice fr a se stabili i drepturile acestora. Enumerarea cuprins n
art.2 a persoanelor/entitilor crora li se aplic legea nu este una precis, omind s prevad situaia
intermediarilor de infrastructuri cibernetice, a infrastructurilor neoperaionale, a acionarilor unor
persoane juridice sau cea a fondatorilor unor asociaii ori fundaii care dein astfel de infrastructuri.
4. Autorii sesizrii susin c legea are probleme fundamentale de concepie, propunnd o serie de
msuri cu efect limitativ asupra dreptului prevzut de art.26 alin.(1) din Constituie privind viaa intim,
familial i privat, i ncalc n mod evident reglementrile europene aflate n dezbatere referitoare la
securitatea informaiei n domeniul digital.
5. n temeiul legii criticate, autorii obieciei de neconstituionalitate susin c se restrng drepturi i
liberti ale cetenilor prin permiterea accesului la o infrastructur cibernetic i la datele coninute de
aceasta n urma unei simple solicitri motivate a instituiilor nominalizate de lege, comunicate
deintorilor de infrastructuri, fr aprobarea prealabil a unui judector, aa cum prevede Codul de
procedur penal sau jurisprudena Curii Constituionale, n deciziile nr.440/2014 i nr.461/2014, fapt
ce determin nclcarea prevederilor constituionale cuprinse n art.23 alin.(1) referitor la inviolabilitatea
libertii individuale i a siguranei persoanei i n art.28 privind secretul corespondenei.
6. Pe de alt parte se arat c prin dispoziiile art.10 din lege Serviciul Romn de Informaii este
desemnat autoritate naional n domeniul securitii cibernetice, calitate n care asigur coordonarea
tehnic, organizarea i executarea activitilor ce privesc securitatea cibernetic a Romniei. n vreme
ce Uniunea European propune n proiectul de Directiv NIS (Network and Information System) ca
instituiile care se ocup de domeniul securitii cibernetice s fie organisme civile, care s funcioneze
integral pe baza controlului democratic, i nu ar trebui s desfoare activiti n domeniul informaiilor,
Parlamentul Romniei acord acces nelimitat i nesupravegheat la toate datele informatice deinute de
persoane de drept public i privat unor instituii care nu ndeplinesc niciuna din condiiile de mai sus.
Faptul c n jurisprudena recent a Curii Constituionale aceasta a declarat neconstituionalitatea a
dou legi care, n esen, nclcau aceleai drepturi ca i legea supus n prezent controlului constituie
un motiv serios pentru o dezbatere real a implicaiilor Legii securitii cibernetice i, ntr-un cadru mai
larg, a echilibrului dintre drepturile individuale i securitatea naional pe care Romnia trebuie l asigure
prin sistemul su legal. Autorii sesizrii susin c posibilitatea accesrii fr mandat judectoresc a
datelor electronice provenind de la orice computer, indiferent de proprietarul su, este o ingerin
nejustificat n dreptul la protecia corespondenei, adic n dreptul la via privat, drept garantat de
art.26 i 28 din Constituie. O astfel de ingerin nu numai c nu este necesar ntr-o societate
democratic, dar ea are tocmai efectul contrar: submineaz esena societii democratice. Astfel, sub
pretextul proteciei mpotriva atacurilor cibernetice, orice fel de date pot fi accesate la bunul plac al
puterii executive, fr existena vreunui control al societii civile.
7. n sesizarea de neconstituionalitate se arat c art.148 alin.(2) din Constituie este, de
asemenea, nclcat prin netranspunerea corect a reglementrilor comunitare n materie. Astfel,
prevederile art.17 alin.(1) lit.a) nu sunt conforme cu jurisprudena Curii de Justiie a Uniunii Europene,
ntruct nu precizeaz exact ce date sunt necesare a fi deinute, iar cadrul n care se solicit aceste
date nu prezint suficiente garanii procesuale. Pentru ndeplinirea acestei obligaii este necesar o
monitorizare perpetu a tuturor persoanelor, aspect ce creeaz o sarcin disproporionat pentru
subiecii vizai i implic totodat nclcarea drepturilor persoanelor monitorizate fr s existe n
legtur cu acestea o suspiciune relativ la comiterea vreunei infraciuni. Se mai arat c legea
contravine din multe puncte de vedere i propunerii de Directiv NIS (Network & Information Security)
care are ca scop protecia datelor personale ale cetenilor, iar nu crearea de noi atribuii pentru serviciile
secrete. n timp ce Directiva NIS are drept scop protejarea sistemelor informatice i a datelor
informatice ale cetenilor, legea, n forma adoptat, reprezint un cec n alb care poate fi folosit de
serviciile de informaii pentru a controla orice persoan de drept privat (S.R.L., S.A., P.F.A., O.N.G.)
care deine un sistem informatic (adic orice calculator sau smart-phone). Potenialul pentru abuzuri
este, astfel, enorm. Acesta decurge din nenumratele ambiguiti prezente n lege, ncepnd de la
definirea vag a deintorilor de sisteme informatice i continund cu obligaiile ce le revin celor care
cad sub incidena legii.
8. n concluzie, autorii obieciei de neconstituionalitate apreciaz c ntreaga arhitectur a actului
normativ este de natur a permite nclcarea drepturilor fundamentale ale omului, fr a exista un
remediu eficient mpotriva unor astfel de nclcri. Dei ntr-o societate democratic limitele proteciei
drepturilor fundamentale pot fi reduse n cazul unor pericole deosebite (terorism, infraciuni
transfrontaliere), probele obinute prin aceste proceduri nu pot fi folosite n cazurile de drept comun (cele
care nu implic protecia siguranei naionale, aa cum este ea definit prin lege), acolo unde garaniile
procedurale trebuie s fie strict respectate. Or, legea atacat nu instituie nicio interdicie de utilizare a
datelor n orice alt mod dect cel necesar pentru protecia n faa atacurilor cibernetice, situaie ce poate
submina garania unui proces echitabil.
9. n conformitate cu dispoziiile art.16 alin.(2) din Legea nr.47/1992 privind organizarea i
funcionarea Curii Constituionale, sesizarea a fost comunicat preedinilor celor dou Camere ale
Parlamentului, precum i Guvernului, pentru a comunica punctul lor de vedere.
10. Preedintele Camerei Deputailor a transmis cu Adresa nr.2/51/7 ianuarie 2015, nregistrat
la Curtea Constituional cu nr.99 din 7 ianuarie 2015, punctul su de vedere, n care se apreciaz c
sesizarea de neconstituionalitate este nentemeiat.
11. n argumentare se arat c prevederile art.1 din legea criticat se refer nu numai la obligaii
pentru cei n drept, ci vizeaz soluii legislative care acoper ntreaga problematic a relaiilor sociale
ce reprezint obiectul de reglementare al acestei legi. Astfel, legea pornete de la premisa c msurile
privind securitatea cibernetic trebuie s asigure un mediu virtual sigur, care s constituie un real suport
pentru maximizarea beneficiilor cetenilor, mediului de afaceri i societii romneti, n ansamblul ei.
Toi deintorii i utilizatorii de infrastructuri cibernetice, indiferent c sunt intermediari sau nu, trebuie
s ntreprind msurile necesare pentru securitatea infrastructurilor proprii i s nu afecteze securitatea
celorlali deintori sau utilizatori.
12. Pe de alt parte se arat c, ntruct dispoziiile acestei legi se aplic numai persoanelor
juridice de drept public sau privat, deintoare de infrastructuri cibernetice, nu i persoanelor fizice,
dispoziiile art.26 alin.(1) din Constituie nu au inciden.
13. n ceea ce privete criticile aduse art.17 din lege referitoare la accesul la date, Preedintele
Camerei Deputailor susine c legea vizeaz datele relevante lurii masurilor proactive i reactive la
nivelul infrastructurilor cibernetice, i nicidecum datele de trafic, astfel nct nu se aduce atingere
drepturilor prevzute la art.23 i 28 din Legea fundamental. Mai mult dect att, dispoziiile art.12 i
14 din legea criticat prevd c autoritile i instituiile publice cu atribuii n aplicarea acestei legi
asigur securitatea infrastructurilor cibernetice potrivit legii i competenelor legale. Aceste entiti sunt
aadar obligate i limitate strict de respectarea cadrului legal.
 14. Cu privire la desemnarea Serviciului Romn de Informaii ca autoritate naional n domeniul
securitii cibernetice se arat, pe de o parte, c Directiva NIS nu impune statelor membre ale Uniunii
Europene desemnarea unei autoriti civile i, pe de alt parte, c, potrivit art.1 din Legea nr.14/1992
privind organizarea i funcionarea Serviciului Romn de Informaii, activitatea acestei instituii este
supus controlului parlamentar efectuat prin intermediul Comisiei comune permanente a Camerei
Deputailor i a Senatului.
15. Guvernul a transmis punctul su de vedere prin Adresa nr.5/7.033/2014, nregistrat la Curtea
Constituional cu nr.146 din 13 ianuarie 2015, n care se arat c scopul Legii privind securitatea
cibernetic este de a asigura un cadru coerent de reglementare a relaiilor sociale desfurate n mediul
virtual, care s asigure realizarea securitii cibernetice a acestora, ca parte component a securitii
naionale a Romniei.
16. Cu privire la criticile de neconstituionalitate formulate, Guvernul apreciaz c citirea atent a
legii demonstreaz c aceste aspecte nu sunt reale, ci se bazeaz pe o interpretare tendenioas a
art.17 din lege, respectiv nu se ia n considerare contextul general de asigurare a securitii cibernetice.
Se arat c autoritile competente la care face referire articolul vor avea acces la date relevante ale
deintorilor de infrastructuri cibernetice pentru realizarea securitii cibernetice, nu la mesaje ori alte
date de coninut stocate, procesate sau transmise de sistemul informatic. Datele vizate de aceast lege
sunt jurnalele sistemelor de stocare, prelucrare i transmitere a datelor (log-uri), date tehnice sau date
de configurare ale sistemelor informatice i nu includ mesaje ori alte date de coninut. n situaia n care
n urma analizei preliminare se constat c se impun investigaii aprofundate asupra datelor de coninut,
accesul la acestea i orice alte activiti care vizeaz restrngerea unor drepturi i liberti se realizeaz
cu respectarea prevederilor legale n vigoare, respectiv n baza unui act de autorizare eliberat de
judector. n condiiile n care atacurile informatice se deruleaz foarte repede, pot provoca pagube
materiale cetenilor, pot afecta infrastructurile cibernetice de interes naional (ICIN-uri) sau chiar
securitatea naional, este ineficient ca autoritile competente s atepte un aviz ntocmit de un
procuror i analizat i aprobat de un judector pentru a obine acces la date tehnice care nu lezeaz n
vreun fel drepturile i libertile constituionale. Este fizic imposibil ca fiecare dintre aceste incidente s
fie investigate, de aceea autoritile competente se concentreaz doar asupra acelora care pot produce
efecte negative semnificative, inclusiv n planul securitii naionale. Guvernul susine c astfel de
clarificri vor fi introduse, ns, n normele de aplicare a legii, n actul normativ prevederea fiind
nominalizat doar la nivel conceptual.
17. Cu privire la critica potrivit creia legea nu reglementeaz i situaiile n care apar intermediari
ce pun la dispoziie astfel de infrastructuri, Guvernul menioneaz c, n cazurile n care apar astfel de
intermediari n fluxul infrastructurilor cibernetice, acetia se circumscriu calitii de deintori de astfel
de infrastructuri, aa cum sunt definii la art.2 din lege.
18. n consecin, pentru considerentele prezentate, Guvernul apreciaz c sesizarea de
neconstituionalitate a Legii privind securitatea cibernetic a Romniei este nentemeiat.
19. Preedintele Senatului nu a comunicat punctul su de vedere asupra obieciei de
neconstituionalitate.

CURTEA,
examinnd obiecia de neconstituionalitate, raportul judectorului-raportor, punctele de vedere ale
Preedintelui Camerei Deputailor i Guvernului, dispoziiile Legii privind securitatea cibernetic a
Romniei, precum i prevederile Constituiei, reine urmtoarele:
20. Curtea a fost legal sesizat i este competent, potrivit dispoziiilor art.146 lit.a) din Constituie
i ale art.1, 10, 15, 16 i 18 din Legea nr.47/1992, s se pronune asupra constituionalitii prevederilor
legale criticate.
21. Obiectul controlului de constituionalitate, astfel cum rezult din sesizarea formulat, l
constituie dispoziiile Legii privind securitatea cibernetic a Romniei.
22. Dispoziiile constituionale pretins a fi nclcate sunt cele ale art.1 alin.(3) i (5) referitoare la
statul de drept i obligaia respectrii legii i a supremaiei Constituiei, art.23 alin.(1) referitor la
inviolabilitatea libertii individuale i a siguranei persoanei, art.26 privind viaa intim, familial i
privat, art.28 privind secretul corespondenei, precum i cele ale art.148 referitor la integrarea n
Uniunea European.
23. Examinnd obiecia de neconstituionalitate, Curtea reine c Legea privind securitatea
cibernetic a Romniei, care are ca scop completarea cadrului legislativ n materia securitii naionale,
a fost iniiat de Guvernul Romniei i, ulterior, adoptat de Parlament n data de 19 decembrie 2015.
n Expunerea de motive care nsoete legea, Guvernul afirm c, prin adoptarea acestuia act
normativ, Romnia va continua s transmit semnale puternice de racordare la realitile internaionale,
fiind pe deplin contient de necesitatea armonizrii cu demersurile similare ale statelor europene, n
lipsa unei atare reglementri, ara noastr nu-i va putea armoniza demersurile pe dimensiunea
securitii cibernetice cu cele ale partenerilor si din Uniunea European i NATO, demersuri necesare
unei abordri coerente i suficiente a provocrilor i oportunitilor spaiului cibernetic.
24. Cu privire la aspectele invocate, Curtea ia act de faptul c, la nivel european, n temeiul art.114
din Tratatul privind funcionarea Uniunii Europene, a fost iniiat procedura legislativ ordinar de
adoptare a unei directive privind msuri de asigurare a unui nivel comun ridicat de securitate a reelelor
i a informaiei n Uniune Directiva NIS (Network and Information Security). Iniiativa aparine
Comisiei Europene, care la data de 7 februarie 2013 a transmis propunerea de directiv Consiliului i
Parlamentului European. Propunerea de directiv a parcurs procedura primei lecturi n
Parlamentul European, unde a fost adoptat cu modificri, la data de 13martie 2014. La 10 iunie
2014, Comisia European a exprimat un acord parial cu privire la modificrile Parlamentului. Prin
urmare, la data soluionrii cauzei deduse judecii Curii Constituionale, nu exist la nivelul Uniunii
Europene un act normativ n vigoare cu privire la securitatea cibernetic.
25. Cu toate acestea, Curtea apreciaz relevante pentru domeniul de reglementare cteva
aspecte reinute la nivelul instituiilor Uniunii cu privire la domeniul cercetat. Astfel, potrivit
Expunerii de motive a directivei, necesitatea adoptrii actului normativ european const, pe de o parte,
n asigurarea rezilienei i stabilitii reelelor i a sistemelor informatice, care sunt eseniale pentru
definitivarea pieei digitale unice i pentru buna funcionare a pieei interne i, pe de alt parte, n
asigurarea unei capaciti i a unei pregtiri similare la nivelul statelor membre de natur s ofere o
securitate global a reelelor i a informaiei n cadrul sistemelor interconectate. Directiva propus
vizeaz urmtoarele obiective: n primul rnd, solicit tuturor statelor membre s se asigure c este
instituit un nivel minim de capaciti naionale prin nfiinarea autoritilor competente n materie de reele
i sisteme informatice, s creeze echipe de intervenie n caz de urgen informatic (Computer
Emergency Response Teams CERT) i s adopte strategii naionale privind securitatea cibernetic
i planurile naionale de cooperare n domeniul vizat; n al doilea rnd, autoritile naionale competente
trebuie s coopereze n cadrul unei reele care s permit o coordonare sigur i eficace, inclusiv
schimbul coordonat de informaii la nivelul U.E., pentru a contracara ameninrile i incidentele n
materie de securitate cibernetic, pe baza planului european de cooperare n domeniu; n al treilea rnd,
conform modelului Directivei-cadru privind comunicaiile electronice, propunerea urmrete s asigure
dezvoltarea unei culturi a gestionrii riscurilor i partajarea informaiilor de ctre sectoarele public i
privat.
26. De asemenea, Curtea reine considerentul 41 al preambulului directivei care prevede c
Prezenta directiv respect drepturile fundamentale i principiile recunoscute de Carta drepturilor
fundamentale a Uniunii Europene, n special dreptul la respectarea vieii private i a secretului
comunicaiilor, dreptul la protecia datelor cu caracter personal, libertatea de a desfura o activitate
comercial, dreptul de proprietate, dreptul la o cale de atac eficient n faa unei instane judectoreti
i dreptul de a fi ascultat. Prezenta directiv trebuie pus n aplicare n conformitate cu aceste drepturi
i principii.
27. Propunerea de directiv, n forma adoptat de Parlamentul European, conine mai multe
dispoziii cu caracter obligatoriu pentru statele membre, dispoziii care ar urma s fie transpuse n
legislaia naional a fiecrui stat. Astfel, preambulul directivei NIS (considerentul 10) prevede c
autoritile competente i punctele unice de contact ar trebui s fie organisme civile, care s
funcioneze integral pe baza controlului democratic i care nu ar trebui s desfoare activiti n
domeniul informaiilor, al aplicrii legii sau al aprrii i nici s fie legate organizaional n vreun fel de
organismele active n aceste domenii. Astfel, dispoziiile art.6 din directiv, n forma modificat de PE,
prevd c (1) Fiecare stat membru desemneaz una sau mai multe autoriti naionale civile
competente n domeniul securitii reelelor i a sistemelor informatice.
28. n propunerea de Directiv NIS nu se prevede dreptul autoritilor desemnate de a accesa,
la solicitarea motivat, datele stocate n reelele i sistemele informatice, aa cum prevede art.17
alin.(1) lit.a) din legea supus controlului de constituionalitate, ci doar obligaia de notificare a riscurilor
i incidentelor cibernetice (art.14) i de a se supune auditrii pentru deintorii de infrastructuri critice
(art.15). Astfel, n cazurile n care notificrile conin date cu caracter personal, acestea sunt comunicate
doar destinatarilor din cadrul autoritilor competente care trebuie s prelucreze aceste date pentru a-
i ndeplini sarcinile n conformitate cu un temei juridic adecvat, iar datele comunicate se limiteaz la
ceea ce este necesar pentru ndeplinirea sarcinilor acestor destinatari art.14 alin.(2a), n vreme ce
autoritile competente sunt mputernicite s solicite operatorilor de pia furnizarea de dovezi privind
aplicarea efectiv a politicilor de securitate, precum rezultatele auditului de securitate efectuat de
auditori interni, de un organism calificat independent sau de o autoritate naional i s transmit
dovezile autoritii competente sau punctului unic de contact art.15 alin.(2) din directiv.
 29. De asemenea, art.3 din propunerea de directiv definete noiunea de operator de pia ca
fiind un operator al unei infrastructuri care este esenial pentru meninerea activitilor economice i
societale vitale n domeniile energiei, transporturilor, serviciilor bancare, pieelor financiare, IXP (Internet
Exchange points), lanurilor de aprovizionare alimentar i sntii, activiti a cror denaturare sau
distrugere ar avea un impact important ntr-un stat membru; o list neexhaustiv a acestor operatori
este prevzut n anexaII, n msura n care reeaua i sistemele informatice vizate sunt legate de
serviciile eseniale. Anexa II la propunerea de directiv Lista operatorilor de pia vizeaz, pe de o
parte, platforme de comer electronic, procesatori de pli online, reele de socializare, motoare de
cutare, servicii de cloud computing, magazine de aplicaii online i, pe de alt parte, domeniile
referitoare la serviciile eseniale, precum energie, transporturi, bnci, infrastructuri ale pieei financiare
i sectorul sntii. De asemenea, sub incidena proiectului de directiv i, deci, a prevederilor privind
securitatea cibernetic intr i domeniul administraiilor publice (pct.26 din preambul i capitolul IV din
propunerea de directiv).
30. Potrivit Expunerii de motive la directiv se va solicita ntreprinderilor din sectoarele critice i
administraiilor publice s evalueze riscurile cu care se confrunt i s adopte msuri adecvate i
proporionate de asigurare a securitii cibernetice. Aceste entiti vor trebui s raporteze autoritilor
competente orice incidente care afecteaz grav reelele i sistemele lor informatice i care au un impact
semnificativ asupra continuitii serviciilor critice i a aprovizionrii cu bunuri. Pentru a evita impunerea
unei sarcini disproporionate asupra micilor operatori, n special asupra IMM-urilor, cerinele sunt
proporionale cu riscurile la care sunt expuse reeaua sau sistemul informatic n cauz i nu se aplic
microntreprinderilor, ci vizeaz numai entitile critice i impun msuri proporionale cu riscurile. Astfel,
art.14 alin.(8) din propunerea de Directiv NIS stabilete c microntreprinderile nu intr sub
incidena directivei cu excepia situaiei n care acestea acioneaz n calitate de filial a unui
operator de pia.
31. n fine, potrivit art.15 alin.(6) din propunerea de directiv, statele membre se asigur c
orice obligaii impuse operatorilor de pia [...] pot fi supuse controlului jurisdicional.
32. La momentul efecturii controlului de constituionalitate, Curtea reine c, n legislaia naional
n domeniul securitii, exist deja n vigoare o serie de reglementri, acte normative cu caracter primar
sau secundar. Astfel, Ordonana de urgen a Guvernului nr.98/2010 privind identificarea,
desemnarea i protecia infrastructurilor critice, publicat n Monitorul Oficial al Romniei, Partea I,
nr.757 din 12 noiembrie 2010, aprobat cu modificri prin Legea nr.18/2011, publicat n Monitorul
Oficial al Romniei, Partea I, nr.183 din 16 martie 2011, stabilete cadrul legal privind identificarea,
desemnarea infrastructurilor critice naionale/europene i evaluarea necesitii de a mbunti protecia
acestora, n scopul creterii capacitii de asigurare a stabilitii, securitii i siguranei sistemelor
economico-sociale i proteciei persoanelor. Ordonana transpune prevederile Directivei 2008/114/CE
a Consiliului din 8 decembrie 2008 privind identificarea i desemnarea infrastructurilor critice europene
i evaluarea necesitii de mbuntire a proteciei acestora, publicat n Jurnalul Oficial al Uniunii
Europene seria L nr.345 din 23decembrie 2008. Actul normativ definete infrastructura critic naional,
denumit ICN, ca fiind un element, un sistem sau o component a acestuia, aflat pe teritoriul naional,
care este esenial pentru meninerea funciilor vitale ale societii, a sntii, siguranei, securitii,
bunstrii sociale ori economice a persoanelor i a crui perturbare sau distrugere ar avea un impact
semnificativ la nivel naional ca urmare a incapacitii de a menine respectivele funcii. Actul normativ
stabilete criteriile intersectoriale de identificare a ICN: criteriul privind victimele, evaluat n funcie de
numrul posibil de decese sau vtmri; criteriul privind efectele economice, evaluat n funcie de
importana pierderilor economice i/sau a degradrii produselor ori serviciilor, inclusiv eventualele efecte
asupra mediului; criteriul privind efectul asupra populaiei, evaluat n funcie de impactul asupra
ncrederii acesteia, suferina fizic sau perturbarea vieii cotidiene, inclusiv pierderea de servicii
eseniale. n conformitate cu procedura prevzut de ordonana de urgen, autoritile publice
responsabile identific potenialele ICN care corespund criteriilor sectoriale i intersectoriale. Actul
normativ conine 3 anexe: anexa nr.1 Lista sectoarelor, subsectoarelor infrastructurii critice
naionale/infrastructurii critice europene (ICN/ICE) i autoritilor publice responsabile; anexa nr.2
Procedura de identificare de ctre autoritile publice responsabile de infrastructuri critice care pot fi
desemnate drept infrastructuri critice naionale/infrastructuri critice europene (ICN/ICE) i anexa nr.3
Procedura privind planul de securitate pentru operator.
33. n aplicarea ordonanei de urgen, Guvernul a emis Hotrrea nr.718/2011, publicat n
Monitorul Oficial al Romniei, Partea I, nr.555 din 4 august 2011, prin care aprob Strategia naional
privind protecia infrastructurilor critice.
34. Hotrrea Guvernului nr.494/2011, publicat n Monitorul Oficial al Romniei, Partea I, nr.388
din 2 iunie 2011, reglementeaz nfiinarea ca instituie public cu personalitate juridic, n coordonarea
Ministerului Comunicaiilor i Societii Informaionale, a Centrului Naional de Rspuns la Incidente de
Securitate Cibernetic CERT-RO, structur independent de expertiz i cercetare-dezvoltare n
domeniul proteciei infrastructurilor cibernetice. Centrul este condus de un director general i de un
director general adjunct, sprijinii de Comitetul de coordonare, din care fac parte reprezentani ai MCSI,
Ministerului Aprrii Naionale, Ministerului Administraiei i Internelor, Serviciului Romn de Informaii,
Serviciului de Informaii Externe, Serviciului de Telecomunicaii Speciale, Serviciului de Protecie i
Paz, Oficiului Registrului Naional al Informaiilor Secrete de Stat i ai Autoritii Naionale pentru
Administrare i Reglementare n Comunicaii. Hotrrea de Guvern definete termeni i expresii precum
infrastructur cibernetic, spaiu cibernetic, securitate cibernetic, atac cibernetic, incident cibernetic
etc. i stabilete atribuiile CERT-RO.
35. Un alt act normativ emis n domeniul securitii naionale l constituie Hotrrea Guvernului
nr.271/2013 pentru aprobarea Strategiei de securitate cibernetic a Romniei i a Planului de aciune
la nivel naional privind implementarea Sistemului naional de securitate cibernetic, publicat n
Monitorul Oficial al Romniei, Partea I, nr.296 din 23 mai 2013.
36. Strategia de securitate cibernetic prezint obiectivele, principiile i direciile majore de aciune
pentru cunoaterea, prevenirea i contracararea ameninrilor, vulnerabilitilor i riscurilor la adresa
securitii cibernetice a Romniei i pentru promovarea intereselor, valorilor i obiectivelor naionale n
spaiul cibernetic. n acest sens stabilete semnificaia termenilor i expresiilor utilizai n domeniu,
prevede nfiinarea Sistemului naional de securitate cibernetic (SNSC) care reprezint cadrul general
de cooperare care reunete autoriti i instituii publice cu responsabiliti i capabiliti n domeniu, n
vederea coordonrii aciunilor la nivel naional pentru asigurarea securitii spaiului cibernetic, inclusiv
prin cooperarea cu mediul academic i cel de afaceri, asociaiile profesionale i organizaiile
neguvernamentale. De asemenea prevede c Consiliul operativ de securitate cibernetic (COSC)
reprezint organismul prin care se realizeaz coordonarea unitar a SNSC. Din COSC fac parte, n
calitate de membri permaneni, reprezentani ai Ministerului Aprrii Naionale, Ministerului Afacerilor
Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informaional, Serviciului Romn
de Informaii, Serviciului de Telecomunicaii Speciale, Serviciului de Informaii Externe, Serviciului de
Protecie i Paz, Oficiului Registrului Naional pentru Informaii Secrete de Stat, precum i secretarul
Consiliului Suprem de Aprare a rii. Conducerea COSC este asigurat de un preedinte (consilierul
prezidenial pe probleme de securitate naional) i un vicepreedinte (consilierul prim-ministrului pe
probleme de securitate naional). Coordonatorul tehnic al COSC este Serviciul Romn de Informaii,
n condiiile legii.
37. Planul de aciune la nivel naional privind implementarea Sistemului naional de securitate
cibernetic este coninut n anexa nr.2 la hotrre i este un document clasificat.
38. La data de 27 mai 2014, Guvernul Romniei iniiaz proiectul de lege privind securitatea
cibernetic a Romniei, care are ca scop completarea cadrului legislativ n materia securitii naionale,
apreciind c problematica securitii cibernetice, ca parte a securitii naionale, reprezint o prioritate
care impune adoptarea de msuri necesare dezvoltrii mecanismelor de aprare cibernetic. Motivul
emiterii actului normativ, aa cum reiese din Expunerea de motive care l nsoete, l constituie
evoluia recent a atacurilor cibernetice din ara noastr care determin aprecierea c Romnia este
cu certitudine vizat de entiti ostile n mediul virtual, nivelul de securitate cibernetic fiind, n prezent,
insuficient pentru a face fa unor atacuri de nivel ridicat ori cu intenii distructive. Legea vizeaz
stabilirea cadrului general de reglementare a activitilor n domeniul securitii cibernetice, definirea
obligaiilor ce revin persoanelor juridice de drept public sau privat n scopul protejrii infrastructurilor
cibernetice, precum i asigurarea cadrului general de cooperare pentru realizarea securitii cibernetice,
prin constituirea Sistemului Naional de Securitate Cibernetic.
39. Proiectul de lege a fost adoptat, la data de 17 septembrie 2014, de Camera Deputailor, n
calitate de prim Camer sesizat, n temeiul art.75 alin.(2) teza a treia din Constituie ca urmare a
depirii termenului de 45 de zile, iar la data de 19decembrie 2014, Senatul Romniei, n calitate de
Camer decizional, a adoptat Legea privind securitatea cibernetic a Romniei. Legea a fost trimis
Preedintelui Romniei pentru promulgare, iar, n termenul prevzut de lege, un numr de 69 de
deputai a formulat cererea de sesizare a Curii Constituionale, care face obiectul prezentului dosar.
40. Din analiza documentului elaborat de iniiatorul legii intitulat Expunere de motive, seciunea
a 6-a Consultri efectuate n vederea elaborrii proiectului de act normativ, la rubrica Informaii privind
avizarea de ctre autoritile competente, Curtea constat c Guvernul menioneaz doar avizul
Consiliului Legislativ.
41. Potrivit dispoziiilor art.1 din legea criticat, aceasta stabilete cadrul general de reglementare
a activitilor n domeniul securitii cibernetice i obligaiile ce revin persoanelor juridice de drept public
sau privat n scopul protejrii infrastructurilor cibernetice, iar dispoziiile art.3 alin.(1) din lege stabilesc
c securitatea cibernetic este component a securitii naionale a Romniei. Cu privire la domeniul
de reglementare a actului normativ supus controlului de constituionalitate, Curtea reine c, n temeiul
prevederilor art.119 din Legea fundamental, Consiliul Suprem de Aprare a rii organizeaz i
coordoneaz unitar activitile care privesc aprarea rii i securitatea naional, participarea la
meninerea securitii internaionale i la aprarea colectiv n sistemele de alian militar, precum i
la aciuni de meninere sau de restabilire a pcii. n aplicarea acestor prevederi, art.4 lit.d) pct.1 din
Legea nr.415/2002 privind organizarea i funcionarea Consiliului Suprem de Aprare a rii prevede,
printre atribuiile CSAT, c acesta avizeaz proiectele de acte normative iniiate sau emise de
Guvern privind securitatea naional. Pe de alt parte, potrivit art.9 alin.(1) din Legea nr.24/2000
privind normele de tehnic legislativ pentru elaborarea actelor normative, n cazurile prevzute de
lege, n faza de elaborare a proiectelor de acte normative iniiatorul trebuie s solicite avizul autoritilor
interesate n aplicarea acestora, n funcie de obiectul reglementrii. De asemenea, art.31 alin.(3) din
aceeai lege prevede c Forma final a instrumentelor de prezentare i motivare a proiectelor de acte
normative trebuie s cuprind referiri la avizul Consiliului Legislativ i, dup caz, al Consiliului Suprem
de Aprare a rii, Curii de Conturi sau Consiliului Economic i Social. Aadar, n temeiul dispoziiilor
legale, Guvernul avea obligaia de a solicita avizul Consiliului Suprem de Aprare a rii atunci cnd a
elaborat proiectul Legii privind securitatea cibernetic a Romniei.
42. Pentru argumentele expuse, ntruct n cadrul procedurii legislative, iniiatorul nu a respectat
obligaia legal, conform creia Consiliul Suprem de Aprare a rii avizeaz proiectele de acte
normative iniiate sau emise de Guvern privind securitatea naional, Curtea constat c actul
normativ a fost adoptat cu nclcarea prevederilor constituionale ale art.1 alin.(5) care consacr
principiul legalitii i ale art.119 referitoare la atribuiile Consiliului Suprem de Aprare a rii.
43. Examinnd coninutul normativ al legii, Curtea reine c aceasta prevede nfiinarea Sistemului
Naional de Securitate Cibernetic, denumit SNSC, care reunete autoritile i instituiile publice cu
responsabiliti i capaciti n domeniu (art.6). Coordonarea unitar a activitilor SNSC se realizeaz
de ctre Consiliul Operativ de Securitate Cibernetic, denumit COSC (art.8). Serviciul Romn de
Informaii este desemnat autoritate naional n domeniul securitii cibernetice, calitate n care asigur
coordonarea tehnic a COSC, precum i organizarea i executarea activitilor care privesc securitatea
cibernetic a Romniei. n acest scop, n structura SRI funcioneaz Centrul Naional de Securitate
Cibernetic, denumit CNSC [art.10 alin.(1)]. Sunt desemnate autoriti n domeniul securitii cibernetice
pentru domeniile lor de activitate, asigurnd securitatea infrastructurilor cibernetice proprii sau aflate n
responsabilitate: Ministerul Aprrii Naionale, Ministerul Afacerilor Interne, Oficiul Registrului Naional
al Informaiilor Secrete de Stat, Serviciul de Informaii Externe, Serviciul de Telecomunicaii Speciale i
Serviciul de Protecie i Paz. Centrul Naional de Rspuns la Incidente de Securitate, denumit n
continuare CERT-RO, reprezint un punct naional de contact cu structurile de tip CERT care
funcioneaz n cadrul instituiilor sau autoritilor publice ori al altor persoane juridice de drept public
sau privat, naionale ori internaionale, cu respectarea competenelor ce revin celorlalte autoriti i
instituii publice cu atribuii n domeniu, potrivit legii [art.10 alin.(5)]. Autoritatea implicat n securitatea
infrastructurilor cibernetice deinute sau administrate de furnizorii de reele publice de comunicaii
electronice sau de servicii de comunicaii electronice destinate publicului este Autoritatea Naional
pentru Administrare i Reglementare n Comunicaii, denumit ANCOM [art.13 alin.(2)], instituie
nfiinat prin Ordonana de urgen Guvernului nr.22/2009.
44. Un element de noutate adus de legea criticat, prin art.10 alin.(1), l constituie desemnarea
Serviciului Romn de Informaii ca autoritate naional n domeniul securitii cibernetice, calitate
n care asigur organizarea i executarea activitilor care privesc securitatea cibernetic a Romniei.
n acest scop, n structura SRI funcioneaz Centrul Naional de Securitate Cibernetic (CNSC), care a
fost constituit, organizat i funcioneaz deja n cadrul SRI, cu personal militar specializat, potrivit unor
hotrri ale Consiliului Suprem de Aprare a rii. Autoritile i instituiile publice din componena
COSC deleag un reprezentant n cadrul CNSC. Potrivit art.11 din lege, principalele atribuii ale CNSC
vizeaz aciuni n scopul cunoaterii, prevenirii, proteciei, reaciei i managementului consecinelor
ameninrilor i atacurilor cibernetice; asigurarea schimbului de date i informaii ntre autoritile i
instituiile publice componente ale SNSC; analiza i integrarea datelor i informaiilor obinute de
autoritile i instituiile publice componente ale SNSC, n scopul stabilirii, ntreprinderii sau propunerii
msurilor ce se impun pentru asigurarea securitii cibernetice; asigurarea colectrii i identificrii
evenimentelor survenite n spaiul cibernetic; primirea notificrilor fcute de persoanele juridice de drept
public care dein sau administreaz infrastructuri cibernetice de interes naional (ICIN); n caz de atac
cibernetic, asigurarea colectrii i evaluarea datelor i informaiilor cu privire la incident, propunerea sau
luarea de msuri reactive de prim urgen pentru asigurarea integritii datelor i remedierea situaiei
de fapt, informarea organelor competente pentru investigare i cercetare sau, dup caz, sesizarea
organelor de urmrire penal.
 45. De asemenea, art.15 alin.(8) din lege stabilete obligaia tuturor persoanelor juridice de drept
public sau privat deintori de ICIN de a transmite cu celeritate datele privind starea de securitate
cibernetic la nivelul acestora ctre CNSC, conform competenelor prevzute de lege.
46. Cu privire la desemnarea SRI, recte CNSC, ca autoritate naional n domeniul securitii
cibernetice, autorii criticilor de neconstituionalitate susin c legiuitorul acord acces nelimitat i
nesupravegheat la toate datele informatice deinute de persoane de drept public i privat unei instituii
care nu ndeplinete condiia referitoare la un organism civil, supus controlului democratic.
47. n analiza de constituionalitate, Curtea pornete de la premisa c strategia de securitate
cibernetic i legea privind securitatea cibernetic au un rol important n asigurarea securitii naionale
a Romniei, pe de o parte, i a proteciei persoanei fa de riscurile la adresa vieii private i a proteciei
datelor cu caracter personal n mediul online, pe de alt parte. Cu privire la aceste aspecte analizate
coroborat, prin Hotrrea din 6 septembrie 1978, pronunat n Cauza Klass i alii mpotriva Germaniei,
Curtea European a Drepturilor Omului a apreciat c Societile democratice sunt ameninate n
prezent de modaliti complexe de spionaj i de terorism, astfel c statul trebuie s fie capabil, pentru a
combate eficient aceste ameninri, s supravegheze n mod secret elementele subversive care
opereaz pe teritoriul su (paragraful 42). Cu toate acestea, Curtea, contient de pericolul, inerent
msurilor de supraveghere secret, de a submina, chiar de a distruge democraia sub motivul aprrii
acesteia, afirm c statele nu pot lua, n numele combaterii spionajului i terorismului, orice msur pe
care acestea o consider adecvat (paragraful 49).
48. n aceast lumin, Curtea Constituional trebuie s verifice dac reglementarea domeniului
vizat concord cu respectarea dreptului la via intim, familial i privat, cu inviolabilitatea secretului
corespondenei, cu dreptul la protecia datelor cu caracter personal, valori fundamentale care ar trebui
s reprezinte principii directoare ale politicii de securitate cibernetic la nivel naional, i s se asigure
c legislaia adoptat nu conduce la msuri care ar constitui interferene neconstituionale cu drepturile
menionate. Aa fiind, Curtea apreciaz c, pentru asigurarea unui climat de ordine, guvernat de
principiile unui stat de drept, democratic, nfiinarea sau identificarea unui organism responsabil cu
coordonarea problemelor de securitate a sistemelor i reelelor cibernetice, precum i a informaiei, care
s constituie punctul de contact pentru relaionarea cu organismele similare din strintate [aa cum
prevede art.10 alin.(4) din lege], inclusiv al cooperrii transfrontaliere la nivelul Uniunii Europene, trebuie
s vizeze un organism civil, care s funcioneze integral pe baza controlului democratic, iar nu o
autoritate care desfoar activiti n domeniul informaiilor, al aplicrii legii sau al aprrii ori care s
reprezinte o structur a vreunui organism care activeaz n aceste domenii.
49. n ceea ce privete dispoziiile art.1 alin.(3), teza nti din Constituie, care consacr principiul
statului de drept, Curtea a reinut n jurisprudena sa (a se vedea Decizia nr.70 din 18aprilie 2000,
publicat n Monitorul Oficial al Romniei, Partea I, nr.334 din 19 iulie 2000) c exigenele acestuia
privesc scopurile majore ale activitii statale, prefigurate n ceea ce ndeobte este numit ca fiind
domnia legii, sintagm ce implic subordonarea statului fa de drept, asigurarea acelor mijloace care
s permit dreptului s cenzureze opiunile politice i, n acest cadru, s pondereze eventualele tendine
abuzive, discreionare, ale structurilor etatice. Statul de drept asigur supremaia Constituiei, corelarea
legilor i tuturor actelor normative cu aceasta, existena regimului de separaie a puterilor publice, care
trebuie s acioneze n limitele legii, i anume n limitele unei legi ce exprim voina general. Statul de
drept consacr o serie de garanii, inclusiv jurisdicionale, care s asigure respectarea drepturilor i
libertilor cetenilor prin autolimitarea statului, respectiv ncadrarea autoritilor publice n
coordonatele dreptului.
50. n analiza Curii, opiunea pentru desemnarea n calitate de autoritate naional n domeniul
securitii cibernetice a unui organism civil, iar nu a unei entiti militare cu activitate n domeniul
informaiilor, se justific prin necesitatea prentmpinrii riscului de a deturna scopul legii securitii
cibernetice n sensul folosirii atribuiilor conferite prin aceast lege de ctre serviciile de informaii n
scopul obinerii de informaii i date cu consecina nclcrii drepturilor constituionale la via intim,
familial i privat i la secretul corespondenei. Or, tocmai acest lucru nu evit legea supus controlului
de constituionalitate prin desemnarea SRI i a structurii sale militarizate CNSC.
51. Astfel, examinnd atribuiile stabilite de actul normativ supus controlului, apare cu eviden
intenia legiuitorului de a stabili n competena CNSC colectarea tuturor datelor privind starea de
securitate a infrastructurii, oricare ar fi natura acestora, att din mediul public, ct i din cel privat. Or, n
condiiile n care Centrul Naional de Securitate Cibernetic constituie o structur militar, n cadrul unui
serviciu de informaii, subordonat ierarhic conducerii acestei instituii, deci sub un control direct militar-
administrativ, apare cu eviden c o atare entitate nu ndeplinete condiiile cu privire la garaniile
necesare respectrii drepturilor fundamentale referitoare la via intim, familial i privat i la secretul
corespondenei.
 52. De asemenea, n condiiile n care autoritatea naional desemnat deservete drept punct
unic de contact naional n domeniul securitii reelelor i al sistemelor informatice, asigurnd
relaionarea cu organismele similare din cadrul Uniunii Europene, mprejurarea c Romnia
desemneaz o autoritate care nu ar ndeplini exigenele actului normativ european, aflat n curs de
adoptare, pune sub semnul ntrebrii att o eventual concordan a reglementrii naionale cu cea de
drept european, ct i cooperarea efectiv ntre instituii care, dei au acelai scop, nu se ntemeiaz
pe o structur organizatoric similar i nu funcioneaz sub un control democratic.
53. Pentru toate aceste argumente, Curtea constat c dispoziiile art.10 alin.(1) din legea
supus controlului ncalc prevederile constituionale ale art.1 alin.(3) i (5) referitoare la statul
de drept i principiul legalitii, precum i cele ale art.26 i art.28 privind via intim, familial i
privat, respectiv secretul corespondenei, din perspectiva lipsei garaniilor necesare garantrii
acestor drepturi.
54. Curtea observ c dispoziiile art.2 prevd sfera de inciden a legii, sub aspectul destinatarilor
si, artnd c persoanele juridice de drept public sau privat crora le sunt aplicabile prevederile legale,
intitulai generic deintori de infrastructuri cibernetice, sunt: proprietarii, administratorii, operatorii
sau utilizatorii de infrastructuri cibernetice, definite la art.5 lit.g) ca fiind infrastructuri din domeniul
tehnologiei informaiei i comunicaii, constnd n sisteme informatice, aplicaii aferente, reele i servicii
de comunicaii electronice.
55. Definirea expresiei deintori de infrastructuri cibernetice este deosebit de important,
deoarece includerea n aceast categorie implic pentru persoanele vizate obligaia de a respecta
prevederile legii, pe de o parte, i justificarea pentru autoritile desemnate de lege cu competene n
domeniul securitii cibernetice de a dispune msuri speciale n ceea ce le privete.
56. Obligaiile care incumb destinatarilor legii vizeaz asigurarea rezilienei infrastructurilor
cibernetice, respectiv capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident
sau atac cibernetic i de a reveni la starea de normalitate. Aceast stare este meninut n urma aplicrii
unui ansamblu de msuri proactive i reactive prin care se asigur confidenialitatea, integritatea,
disponibilitatea, autenticitatea i nonrepudierea informaiilor n format electronic, a resurselor i
serviciilor publice sau private, din spaiul cibernetic. Includerea n sfera de inciden a legii a
utilizatorilor de infrastructuri cibernetice, deci a tuturor persoanelor juridice care utilizeaz reele i
servicii de comunicaii electronice, ridic probleme legate de modul n care acestea pot s i
ndeplineasc obligaiile i responsabilitile prevzute de lege, n condiiile n care nu sunt proprietari,
administratori sau operatori ai infrastructurilor cibernetice pe care le utilizeaz, iar legea face vorbire n
cuprinsul art.16, despre infrastructuri cibernetice proprii sau aflate n responsabilitate. Mai mult, n
msura n care obligaiile i responsabilitile cad att n sarcina proprietarilor, administratorilor sau
operatorilor infrastructurilor cibernetice, ct i a utilizatorilor acestor infrastructuri, iar legea nu stabilete
sensul noiunii de utilizator, rezult c obligaiile i responsabilitile se exercit n mod concurent la
nivelul fiecrui sistem sau fiecrei reele informatice. Spre exemplu, potrivit art.16 alin.(1) lit.a) i b) din
lege, att proprietarul, ct i utilizatorul sunt obligai s aplice politici de securitate, s identifice i s
implementeze msurile tehnice i organizatorice adecvate pentru a gestiona eficient riscurile de
securitate. ns, exist posibilitatea ca, uneori, politicile de securitate, msurile tehnice i, mai ales, cele
organizatorice, considerate adecvate de cele dou entiti, s nu coincid sau s nu fie compatibile,
astfel nct finalitatea urmrit de lege s nu fie atins. Or, destinatarii legii trebuie s aib o
reprezentare clar i corect a normelor juridice aplicabile, astfel nct s i adapteze conduita i s
prevad consecinele ce decurg din nerespectarea acestora, lipsa unei reglementri predictibile n acest
sens constituind premisa unei aplicri neunitare, discreionare, n activitatea de securizare cibernetic
a Romniei.
57. n concluzie, ntruct noiunile cu care opereaz legea nu delimiteaz n mod neechivoc sfera
de inciden a normelor cuprinse n actul supus controlului de constituionalitate, Curtea reine c acesta
nu are un caracter precis i previzibil, i, prin urmare, dispoziiile art.2 contravin art.1 alin.(5) din
Legea fundamental.
58. Curtea reine c tuturor deintorilor de infrastructuri cibernetice le sunt aplicabile dispoziiile
art.16 (care stabilesc obligaiile ce le incumb) i ale art.17 (care consacr responsabilitile pe care
acetia trebuie s le ndeplineasc). Printre responsabilitile acestor persoane este i aceea de
aacorda sprijinul necesar, la solicitarea motivat a Serviciului Romn de Informaii, Ministerului
Aprrii Naionale, Ministerului Afacerilor Interne, Oficiului Registrului Naional al Informaiilor Secrete
de Stat, Serviciului de Informaii Externe, Serviciului de Telecomunicaii Speciale, Serviciului de
Protecie i Paz, CERT-RO i ANCOM, n ndeplinirea atribuiilor ce le revin acestora, i s
permit accesul reprezentanilor desemnai n acest scop la datele deinute, relevante n
contextul solicitrii. Textul de lege impune o dubl analiz: prima, din perspectiva tipului de date la
care se permite accesul, a doua, din perspectiva modalitii n care se realizeaz accesul.
 59. Cu privire la primul aspect, dei legislaia privind protecia datelor cu caracter personal nu este
menionat n mod expres n lege, accesul la datele deinute de persoanele care cad sub incidena legii
nu exclude accesarea, prelucrarea i utilizarea datelor cu caracter personal. De asemenea, avnd n
vedere c infrastructurile cibernetice constau n sisteme informatice, n reele i servicii de comunicaii
electronice, care faciliteaz stocarea i transferul de date, apare ca fiind evident c tipul de date cuprinse
n aceste sisteme i reele sunt inclusiv date care privesc viaa privat a persoanelor utilizatoare.
Prevederea n temeiul creia accesul se realizeaz cu privire la datele deinute, relevante n contextul
solicitrii permite interpretarea potrivit creia autoritilor desemnate de lege trebuie s li se permit
accesul la oricare din datele stocate n aceste infrastructuri cibernetice, dac autoritile apreciaz c
respectivele date prezint relevan. Se remarc, astfel, caracterul nepredictibil al reglementrii, att
sub aspectul tipului de date accesate, ct i al evalurii relevanei datelor solicitate, de natur s creeze
premisele unor aplicri discreionare de ctre autoritile enumerate n ipoteza normei. Astfel, datele la
care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare i
transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau
orice alte date de coninut. Lipsa unei reglementri legale precise, care s determine cu exactitate sfera
acelor date necesare identificrii evenimentelor survenite n spaiul cibernetic (ameninri, atacuri sau
incidente cibernetice), deschide posibilitatea unor abuzuri din partea autoritilor competente. Or, cadrul
normativ ntr-un domeniu att de sensibil trebuie s se realizeze ntr-o manier clar, previzibil i lipsit
de confuzie, astfel nct s fie ndeprtat, pe ct posibil, eventualitatea arbitrariului sau a abuzului celor
chemai s aplice dispoziiile legale.
60. Cu privire la aceste probleme, Curtea deja a decis ntr-o manier indubitabil, prin Decizia
nr.440 din 8 iulie 2014, publicat n Monitorul Oficial al Romniei, Partea I, nr.653 din 4 septembrie
2014, statund c, datele care fac obiectul reglementrii, dei au un caracter predominant tehnic, sunt
reinute n scopul furnizrii informaiilor cu privire la persoana i viaa sa privat. Chiar dac, potrivit art.1
alin.(3) din lege, aceasta nu se aplic i coninutului comunicrii sau informaiilor consultate n timpul
utilizrii unei reele de comunicaii electronice, celelalte date reinute, avnd ca scop identificarea
apelantului i a apelatului, respectiv a utilizatorului i a destinatarului unei informaii comunicate pe cale
electronic, a sursei, destinaiei, datei, orei i duratei unei comunicri, a tipului de comunicare, a
echipamentului de comunicaie sau a dispozitivelor folosite de utilizator, a locaiei echipamentului de
comunicaii mobile, precum i a altor date necesare nedefinite n lege , sunt de natur s
prejudicieze manifestarea liber a dreptului la comunicare sau la exprimare. n concret, datele avute n
vedere conduc la concluzii foarte precise privind viaa privat a persoanelor ale cror date au fost
pstrate, concluzii ce pot viza obiceiurile din viaa cotidian, locurile de edere permanent sau
temporar, deplasrile zilnice sau alte deplasri, activitile desfurate, relaiile sociale ale acestor
persoane i mediile sociale frecventate de ele. Or, o atare limitare a exerciiului dreptului la via intim,
familial i privat i la secretul corespondenei, precum i a libertii de exprimare trebuie s aib loc
ntr-o manier clar, previzibil i lipsit de echivoc, astfel nct s fie ndeprtat, pe ct posibil,
eventualitatea arbitrarului sau a abuzului autoritilor n acest domeniu. (paragraful 56)
61. De asemenea, Curtea de Justiie a Uniunii Europene a reinut, prin Hotrrea din 8 aprilie 2014,
pronunat n cauzele conexate C-293/12 Digital Rights Ireland Ltd mpotriva Minister for
Communications, Marine and Natural Resources i alii i C-594/12 Krntner Landesregierung i
alii, c datele ce fac obiectul reglementrii Directivei 2006/24/CE a Parlamentului European i a
Consiliului din 15 martie 2006 privind pstrarea datelor generate sau prelucrate n legtur cu furnizarea
serviciilor de comunicaii electronice accesibile publicului sau de reele de comunicaii publice i de
modificare a Directivei 2002/58/CE, invalidate, conduc la concluzii foarte precise privind viaa privat a
persoanelor ale cror date au fost pstrate, concluzii ce pot viza obiceiurile din viaa cotidian, locurile
de edere permanent sau temporar, deplasrile zilnice sau alte deplasri, activitile desfurate,
relaiile sociale ale acestor persoane i mediile sociale frecventate de ele (paragraful 27) i c, n aceste
condiii, chiar dac, potrivit art.1 alin.(2) i art.5 alin.(2) din Directiva 2006/24/CE, este interzis pstrarea
coninutului comunicaiilor i al informaiilor consultate prin utilizarea unei reele de comunicaii
electronice, pstrarea datelor n cauz poate afecta utilizarea de ctre abonai sau de ctre utilizatorii
nregistrai a mijloacelor de comunicare prevzute de aceast directiv i, n consecin, libertatea lor
de exprimare, garantat prin art.11 din Cart (paragraful 28).
62. De altfel, accesul la date care vizeaz datele unei infrastructuri cibernetice [infrastructur
definit de art.5 lit.g) din lege ca fiind un sistem informatic, aplicaii aferente, reele i servicii de
comunicaii electronice] n sensul legii supus controlului de constituionalitate se suprapune cu
noiunea de acces la un sistem informatic, reglementat de art.138 alin.(1) lit.b) i alin.(3) din Codul
de procedur penal, care const n ptrunderea ntr-un sistem informatic sau mijloc de stocare a
datelor informatice, fie direct, fie de la distan, prin intermediul unor programe specializate ori prin
intermediul unei reele, n scopul de a identifica probe. De asemenea, n acelai context, prin date
deinute se nelege datele informatice reglementate de art.138 alin.(5) din Codul de procedur penal,
care sunt orice reprezentare de fapte, informaii sau concepte, sub o form adecvat prelucrrii ntr-un
sistem informatic, inclusiv un program capabil s determine executarea unei funcii de ctre un sistem
informatic. Or, accesul la un sistem informatic n scopul obinerii acestor date constituie una dintre
metodele speciale de supraveghere sau cercetare potrivit art.138 alin.(13) din Codul de procedur
penal, msur care poate fi dispus doar n condiiile art.140 (de ctre judector) sau a art.141 (de
ctre procuror, pentru o durat de maximum 48 de ore). De asemenea, datele relevante pot fi i cele
generate sau prelucrate de ctre furnizorii de reele publice de comunicaii electronice sau furnizorii de
servicii de comunicaii electronice destinate publicului i reinute de ctre acetia, ns i acestea pot fi
obinute doar cu autorizarea judectorului, conform art.152 din Codul de procedur penal.
63. Cu privire la cel de-al doilea aspect, legea criticat se limiteaz la a preciza care sunt autoritile
care pot solicita accesul la datele deinute pe baza formulrii unei solicitri motivate, fr a reglementa
modalitatea n care se realizeaz accesul efectiv la datele deinute, aa nct persoanele ale cror date
au fost pstrate s beneficieze de garanii suficiente care s le asigure protecia mpotriva abuzurilor i
a oricrui acces sau utilizri ilicite. Astfel, legea nu prevede criterii obiective care s limiteze la strictul
necesar numrul de persoane care au acces i pot utiliza ulterior datele pstrate i nu stabilete c
accesul autoritilor naionale la datele stocate este condiionat de controlul prealabil efectuat de ctre
o instan judectoreasc, care s limiteze acest acces i utilizarea lor la ceea ce este strict necesar
pentru realizarea obiectivului urmrit. Garaniile legale privind utilizarea n concret a datelor reinute nu
sunt suficiente i adecvate pentru a ndeprta teama c drepturile personale, de natur intim, sunt
violate, aa nct manifestarea acestora s aib loc ntr-o manier acceptabil (a se vedea n acest
sens i Decizia nr.440 din 3 mai 2012, publicat n Monitorul Oficial al Romniei, Partea I, nr.527 din 30
iulie 2012, paragraful 57).
64. Solicitrile de acces la datele reinute n vederea utilizrii lor n scopul prevzut de lege,
formulate de ctre organele de stat desemnate autoriti n domeniul securitii cibernetice
pentru domeniile lor de activitate, nu sunt supuse autorizrii sau aprobrii instanei
judectoreti, lipsind astfel garania unei protecii eficiente a datelor pstrate mpotriva riscurilor de
abuz, precum i mpotriva oricrui acces i a oricrei utilizri ilicite a acestor date. Aceast mprejurare
este de natur a constitui o ingerin n drepturile fundamentale la via intim, familial i privat i a
secretului corespondenei i, prin urmare, contravine dispoziiilor constituionale care consacr i
protejeaz aceste drepturi. Lipsa unor astfel de autorizri a fost criticat, printre altele, i de ctre Curtea
de Justiie a Uniunii Europene prin Hotrrea din 8aprilie 2014, aceast lips echivalnd cu insuficiena
garaniilor procesuale necesare ocrotirii dreptului la viaa privat i a celorlalte drepturi consacrate de
art.7 din Carta drepturilor i libertilor fundamentale i a dreptului fundamental la protecia datelor cu
caracter personal, consacrat de art.8 din Cart (paragraful 62).
65. n concluzie, n condiiile n care msurile adoptate prin legea supus controlului de
constituionalitate nu au un caracter precis i previzibil, ingerina statului n exercitarea drepturilor
constituionale la via intim, familial i privat i la secretul corespondenei, dei prevzut de lege,
nu este formulat clar, riguros i exhaustiv pentru a oferi ncredere cetenilor, caracterul strict necesar
ntr-o societate democratic nu este pe deplin justificat, iar proporionalitatea msurii nu este asigurat
prin reglementarea unor garanii corespunztoare, considerm c dispoziiile art.17 alin.(1) lit.a) din
Legea privind securitatea cibernetic a Romniei ncalc prevederile art.1 alin.(5), art.26, art.28
i art.53 din Constituie. Aadar, limitarea exerciiului acestor drepturi personale n considerarea unor
drepturi colective i interese publice, ce vizeaz securitatea cibernetic, rupe justul echilibru care ar
trebui s existe ntre interesele i drepturile individuale, pe de o parte, i cele ale societii, pe de alt
parte, legea criticat nereglementnd garanii suficiente care s permit asigurarea unei protecii
eficiente a datelor fa de riscurile de abuz, precum i fa de orice accesare i utilizare ilicit a datelor
cu caracter personal (ad similis, Decizia nr.461 din 16 septembrie 2014, publicat n Monitorul Oficial al
Romniei, Partea I, nr.775 din 24 octombrie 2014, paragraful 44).
66. n continuarea analizei sale, Curtea observ c, din coroborarea dispoziiilor art.2 cu art.19 i
art.20 din lege, rezult c, n cadrul deintorilor de infrastructuri cibernetice, se creeaz o subcategorie
deintorii de infrastructuri cibernetice de interes naional (ICIN), care, potrivit art.2 lit.h) din lege,
reprezint infrastructurile cibernetice care susin servicii publice sau de interes public ori servicii ale
societii informaionale, a cror afectare poate aduce atingere securitii naionale sau prejudicii grave
statului romn ori cetenilor acestuia. Acetia sunt cuprini n Catalogul ICIN, ntocmit de Ministerul
pentru Societatea Informaional, cu consultarea COSC, la propunerea CNSC sau, dup caz, a CERT-
RO i a ANCOM. Potrivit art.19 alin.(1), catalogul este aprobat prin hotrre a Guvernului.
Identificarea ICIN se realizeaz pe baza criteriilor de selecie cuprinse n metodologia elaborat de
Serviciul Romn de Informaii i Ministerul pentru Societatea Informaional i este aprobat prin
hotrre de Guvern.
 67. Cu privire la aceste aspecte, Curtea apreciaz c modalitatea prin care se stabilesc criteriile
n funcie de care se realizeaz selecia infrastructurilor cibernetice de interes naional i,
implicit, a deintorilor ICIN nu respect cerinele de previzibilitate, certitudine i transparen.
Astfel, trimiterea la o legislaie infralegal, respectiv hotrri de Guvern, acte normative caracterizate
printr-un grad sporit de instabilitate, pentru reglementarea criteriilor n funcie de care devin incidente
obligaii n materia securitii naionale ncalc principiul constituional al legalitii, consacrat de art.1
alin.(5) din Constituie. Opiunea pentru o atare modalitate de reglementare apare cu att mai
nejustificat cu ct ntr-o materie similar, cea a identificrii infrastructurilor critice naionale, Ordonana
de urgen a Guvernului nr.98/2010 stabilete n chiar coninutul su criteriile intersectoriale de
identificare a ICN. Mai mult, prin anexa la actul normativ se aprob lista sectoarelor, subsectoarelor
infrastructurii critice naionale/infrastructurii critice europene (ICN/ICE) i autoritilor publice
responsabile (energetic, tehnologia informaiei i comunicaii, alimentare cu ap, alimentaie, sntate,
securitate naional, administraie, transporturi, industria chimic i nuclear, spaiu i cercetare). Or, n
cazul Legii privind securitatea cibernetic, dispoziiile art.19 fac trimitere la acte normative cu for
juridic inferioar legii, identificarea ICIN realizndu-se pe baza unei metodologii elaborate de Serviciul
Romn de Informaii i de Ministerul pentru Societatea Informaional, n baza unei proceduri
neprevzute de lege, netransparente, i deci, susceptibil de a fi calificat arbitrar.
68. Prin urmare, Curtea reine c att criteriile n funcie de care se realizeaz selecia
infrastructurilor cibernetice de interes naional, ct i modalitatea prin care se stabilesc acestea
trebuie prevzute de lege, iar actul normativ de reglementare primar trebuie s conin o list
ct mai complet a domeniilor n care sunt incidente prevederile legale.
69. Pe de alt parte, Curtea apreciaz c obligaiile ce decurg din Legea securitii cibernetice
a Romniei trebuie s fie aplicabile n exclusivitate persoanelor juridice de drept public sau
privat deintoare sau care au n responsabilitate ICIN (care includ, n baza legii, i administraiile
publice), ntruct numai situaiile de pericol cu privire la o infrastructur de interes naional pot avea
implicaii asupra securitii Romniei, prin dimensiunea, dispersia i accesibilitatea unei astfel de
infrastructuri, prin efectele economice, evaluate n funcie de importana pierderilor economice i/sau a
degradrii produselor sau serviciilor, prin efectele asupra populaiei, evaluate n funcie de impactul
asupra ncrederii acesteia sau perturbarea vieii cotidiene, inclusiv prin pierderea unor servicii eseniale.
Or, dispoziiile legale n forma supus controlului de constituionalitate prezint un grad mare de
generalitate, obligaiile viznd totalitatea deintorilor de infrastructuri cibernetice, constnd n sisteme
informatice, aplicaii aferente, reele i servicii de comunicaii electronice, indiferent de importana
acestora care poate viza interesul naional sau doar un interes de grup ori chiar particular. Pentru a
evita impunerea unei sarcini disproporionate asupra micilor operatori, cerinele trebuie s fie
proporionale cu riscurile la care sunt expuse reeaua sau sistemul informatic n cauz i nu trebuie
aplicat deintorilor de infrastructuri cibernetice cu importan nesemnificativ din punctul de vedere al
interesului general. Prin urmare, riscurile vor trebui identificate la nivelul entitilor care activeaz n
domenii eseniale/vitale pentru buna desfurare a serviciilor publice naionale, care vor decide ce
msuri trebuie adoptate pentru a atenua riscurile respective.
70. Pentru motivele expuse mai sus apreciem c dispoziiile art.19 alin.(1) i (3) din Legea
securitii cibernetice a Romniei ncalc prevederile art.1 alin.(5) din Constituie, ntruct nu
respect cerinele de previzibilitate, stabilitate i certitudine.
71. n continuare, Curtea reine c dispoziiile art.20 i art.21 alin.(2) din legea criticat prevd
obligaiile care incumb persoanelor juridice de drept public sau privat care dein sau au n
responsabilitate ICIN, printre care s efectueze anual auditri de securitate cibernetic ori s permit
efectuarea unor astfel de auditri la solicitarea motivat a autoritilor competente potrivit prezentei legi,
s constituie structuri sau s desemneze persoane responsabile cu prevenirea, identificarea i reacia
la incidentele cibernetice, s notifice imediat, dup caz, CNSC, CERT-RO, ANCOM ori autoritile
desemnate, n condiiile legii, n domeniul securitii cibernetice cu privire la riscurile i incidentele
cibernetice care, prin efectul lor, pot aduce prejudicii de orice natur utilizatorilor sau beneficiarilor
serviciilor lor. De asemenea, n cazul n care au fost notificate riscuri sau incidente cibernetice, deintorii
de ICIN au obligaia s permit autoritilor competente s intervin pentru identificarea i analizarea
cauzelor incidentelor cibernetice, respectiv pentru nlturarea sau reducerea efectelor incidentelor
cibernetice, s rein i s asigure integritatea datelor referitoare la incidentele cibernetice pentru o
perioad de 6 luni de la data notificrii.
72. Legea stabilete c sunt exceptate de la aplicarea acestor dispoziii autoritile prevzute la
art.10 alin.(1) i (2) din lege, respectiv Serviciul Romn de Informaii, Ministerul Aprrii Naionale,
Ministerul Afacerilor Interne, Oficiul Registrului Naional al Informaiilor Secrete de Stat, Serviciul de
Informaii Externe, Serviciul de Telecomunicaii Speciale i Serviciul de Protecie i Paz. Or, Curtea
consider nejustificat aceast exceptare n condiiile n care i autoritile enumerate desfoar
activiti n domeniul securitii naionale, sunt deintoare de ICIN sau au n responsabilitate ICIN i
sunt susceptibile a face obiectul unor atacuri cibernetice.
73. Potrivit dispoziiilor art.20 alin.(1) lit.c) din lege, persoanele juridice de drept public sau privat
care dein ori au n responsabilitate ICIN au obligaia s permit efectuarea unor auditri de
securitate cibernetic la solicitarea motivat a autoritilor competente. Auditrile sunt realizate de SRI
sau de ctre furnizori de servicii de securitate cibernetic. Cu alte cuvinte, ntruct SRI este autoritate
naional n domeniul securitii cibernetice, deci autoritate competent, potrivit legii, s solicite
persoanelor juridice de drept public sau privat care dein ori au n responsabilitate ICIN efectuarea unor
auditri de securitate cibernetic, exist posibilitatea real ca aceast instituie s se afle concomitent
n poziia solicitantului auditului, a celui care efectueaz auditul, a celui cruia i se comunic rezultatul
auditului i, n fine, n poziia celui care constat o eventual contravenie, potrivit art.28 lit.e) din lege,
i aplic sanciunea, potrivit art.30 lit.c) din lege. Or, o atare situaie este inacceptabil ntr-o societate
guvernat de principiile statului de drept. Dispoziiile legale sunt susceptibile de a genera o aplicare
discreionar, chiar abuziv a legii, fiind nepermis ca toate atribuiile din domeniul reglementat s fie
concentrate n sarcina unei singure instituii. Curtea apreciaz c auditul trebuie s fie efectuat de
auditori interni sau de un organism calificat independent care s verifice conformitatea aplicrii politicilor
de securitate cibernetic la nivelul infrastructurilor cibernetice i s transmit rezultatul evalurii
efectuate autoritii competente sau punctului unic de contact.
74. Pornind de la definiia noiunii de audit de securitate cibernetic, prevzut n art.5 lit.d), care
stabilete c aceasta reprezint o evaluare sistematic, detaliat, msurabil i tehnic a modului n
care politicile de securitate cibernetic sunt aplicate la nivelul infrastructurilor cibernetice, precum i
emiterea de recomandri pentru minimizarea riscurilor identificate, Curtea reine c, n accepiunea legii,
aceast auditare presupune doar o evaluare a politicilor de securitate cibernetic i nicidecum accesul
la datele stocate n infrastructurile cibernetice.
75. n ceea ce privete norma prevzut de art.20 alin.(1) lit.h), i anume obligaia de a notifica
imediat, dup caz, CNSC, CERT-RO, ANCOM sau autoritile desemnate, n condiiile legii, n
domeniul securitii cibernetice cu privire la riscurile i incidentele cibernetice, Curtea consider c
aceasta ar trebui s stabileasc cu exactitate circumstanele n care este necesar notificarea, precum
i coninutul notificrii, inclusiv tipurile de date cu caracter personal care ar trebui notificate, i, dac
este cazul, n ce msur notificarea i documentele sale justificative vor include detalii privind datele cu
caracter personal afectate de un incident specific de securitate (precum adresele IP). Este important s
se in seama de faptul c autoritilor competente n domeniul securitii reelelor i informaiei ar trebui
s li se permit s colecteze i s prelucreze date cu caracter personal n cadrul unui incident de
securitate doar dac este strict necesar pentru atingerea obiectivelor de interes public urmrite de lege,
cu respectarea principiului proporionalitii. De asemenea, legea trebuie s prevad garanii adecvate
pentru a se asigura protecia efectiv a datelor prelucrate de autoritile competente privind securitatea
cibernetic i nu trebuie s exclud obligaia de notificare a cazurilor de nclcare a proteciei datelor cu
caracter personal n temeiul legislaiei aplicabile n materie, potrivit art.21 i 22 din Legea nr.677/2001
pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a
acestor date. Analiznd, ns, dispoziiile art.20 alin.(2), Curtea constat c legiuitorul deleag atribuia
sa de legiferare Ministerului pentru Societatea Informaional, ANCOM sau autoritilor desemnate, n
condiiile legii, n domeniul securitii cibernetice, care vor stabili cerinele minime de securitate
cibernetic, modalitatea de notificare, precum i datele i informaiile care nsoesc n mod obligatoriu
notificarea, care se aprob prin ordine sau decizii emise n termen de 90 de zile de la intrarea n vigoare
a legii, de conductorii autoritilor sau instituiilor publice respective, publicate n Monitorul Oficial al
Romniei, Partea I. Trimiterea la acte administrative, cu o for juridic inferioar legii, ntr-un
domeniu critic pentru securitatea naional, cu impact asupra drepturilor i libertilor
fundamentale ale cetenilor, ncalc prevederile constituionale cuprinse n art.1 alin.(5)
referitoare la principiul legalitii. O dispoziie legal trebuie s fie precis, neechivoc, s instituie
norme clare, previzibile, a cror aplicare s nu permit arbitrariul sau abuzul. De asemenea, norma
trebuie s reglementeze n mod unitar, uniform, s stabileasc cerine minimale aplicabile tuturor
destinatarilor si. Or, atta vreme ct ordinele sau deciziile sunt emise de conductorii autoritilor sau
instituiilor publice desemnate de lege, apare cu eviden c legea relativizeaz n mod nepermis
reglementarea acestui domeniu, lsnd la latitudinea fiecrei entiti stabilirea, n mod difereniat, a unor
msuri eseniale, precum cerinele minime de securitate cibernetic, modalitatea de notificare, precum
i datele i informaiile care nsoesc notificarea. Pe de alt parte, enumernd autoritile care stabilesc
aceste aspecte, legiuitorul omite chiar Consiliul Suprem de Aprare a rii, care potrivit art.9 alin.(1)
lit.f) din lege, aprob propunerile COSC privind cerinele minime de securitate cibernetic i politici de
securitate cibernetic pentru autoritile i instituiile publice prevzute la art.10 alin.(1) i (2) din lege.
 76. n concluzie, Curtea constat c dispoziiile art.20 alin.(1) lit.c) i lit.h) coroborate cu art.20
alin.(2) sunt neconstituionale, ntruct contravin prevederilor art.1 alin.(3) i (5), art.26 i art.28
din Constituie.
77. Din analiza legii, Curtea reine c aceasta omite s reglementeze posibilitatea subiecilor
crora le este destinat legea, n sarcina crora au fost instituite obligaii i responsabiliti, de
a contesta n justiie actele administrative ncheiate cu privire la ndeplinirea acestor obligaii i care
sunt susceptibile a prejudicia un drept sau un interes legitim.
78. Potrivit art.21 din Constituie, orice persoan se poate adresa justiiei pentru aprarea
drepturilor, libertilor i intereselor sale legitime. Prin Decizia nr.1 din 8 februarie 1994, publicat n
Monitorul Oficial al Romniei, Partea I, nr.69 din 16martie 1994, Curtea Constituional a statuat c
liberul acces la justiie presupune accesul la toate mijloacele procedurale prin care se nfptuiete actul
de justiie. S-a considerat c legiuitorul are competena exclusiv de a stabili regulile de desfurare a
procesului n faa instanelor judectoreti, astfel cum rezult din art.126 alin.(2) din Constituie.
Totodat, n jurisprudena sa (Decizia nr.71 din 15 ianuarie 2009, publicat n Monitorul Oficial al
Romniei, Partea I, nr.49 din 27 ianuarie 2009), Curtea a reinut c liberul acces la justiie este pe deplin
respectat ori de cte ori partea interesat, n vederea valorificrii unui drept sau interes legitim, a putut
s se adreseze cel puin o singur dat unei instane naionale.
79. Pe de alt parte, potrivit art.6 paragraful 1 din Convenia pentru aprarea drepturilor omului i
a libertilor fundamentale, orice persoan are dreptul la judecarea n mod echitabil a cauzei sale, de
ctre o instan independent i imparial, care va hotr asupra nclcrii drepturilor i obligaiilor sale
cu caracter civil. Curtea European a Drepturilor Omului a statuat n jurisprudena sa, cu titlu general,
c art.6 paragraful 1 din Convenie garanteaz oricrei persoane dreptul de a aduce n faa unei instane
orice pretenie referitoare la drepturi i obligaii cu caracter civil (a se vedea Hotrrea din 21 februarie
1975, pronunat n Cauza Golder mpotriva Marii Britanii, paragraful 36, i Hotrrea din 20 decembrie
2011, pronunat n Cauza Dokic mpotriva Serbiei, paragraful 35). De asemenea, n Hotrrea din 26
ianuarie 2006, pronunat n Cauza Lungoci mpotriva Romniei, paragraful 36, publicat n Monitorul
Oficial Romniei, Partea I, nr.588 din 7 iulie 2006, s-a artat c accesul liber la justiie implic prin natura
sa o reglementare din partea statului i poate fi supus unor limitri, att timp ct nu este atins substana
dreptului.
80. Romnia este un stat de drept n care, potrivit art.1 alin.(5) din Constituie, respectarea
Constituiei, a supremaiei sale i a legilor este obligatorie. n condiiile n care art.20 alin.(1) din
Constituie prevede c dispoziiile constituionale privind drepturile i libertile cetenilor vor fi
interpretate i aplicate n concordan cu Declaraia Universal a Drepturilor Omului, cu pactele i cu
celelalte tratate la care Romnia este parte, iar art.21 din Constituie consacr liberul acces la justiie, a
crei exercitare, potrivit alin.(2), nicio lege nu o poate ngrdi, Parlamentul are ndatorirea de a legifera
norme corespunztoare pentru asigurarea real a respectrii acestui drept, n lipsa cruia nu se poate
concepe existena statului de drept, prevzut prin art.1 alin.(3) din Constituie. Fr ndeplinirea acestei
ndatoriri, normele constituionale menionate ar avea un caracter pur declarativ, situaie inadmisibil
pentru un stat care mprtete valorile democratice ce fac parte din ordinea public european, aa
cum este prefigurat de Convenia European a Drepturilor Omului i de Carta drepturilor fundamentale
a Uniunii Europene (n acest sens, este i Decizia Curii Constituionale nr.233 din 15 februarie 2011,
publicat n Monitorul Oficial al Romniei, Partea I, nr.340 din 17 mai 2011).
81. Avnd n vedere aceste considerente de principiu, Curtea constat c lipsa oricrei prevederi
n coninutul legii prin care s se asigure posibilitatea persoanei ale crei drepturi, liberti sau
interese legitime au fost afectate prin acte sau fapte care au ca temei dispoziiile Legii privind
securitatea cibernetic a Romniei de a se adresa unei instane judectoreti independente i
impariale contravine prevederilor art.1 alin.(3) i (5), art.21, precum i art.6 din Convenia pentru
aprarea drepturilor omului i a libertilor fundamentale.
82. Potrivit dispoziiilor art.27 alin.(1), monitorizarea i controlul aplicrii prevederilor legii criticate
se asigur, potrivit competenelor stabilite prin lege, de ctre Camera Deputailor i Senat, Administraia
Prezidenial, Guvern, CSAT, precum i instituiile i autoritile publice prevzute la art.10 alin.(1) i
(2), pentru infrastructurile cibernetice proprii sau aflate n responsabilitate, Serviciul Romn de Informaii
pentru infrastructurile cibernetice proprii sau aflate n responsabilitate, precum i pentru deintorii de
ICIN persoane juridice de drept public, Ministerul pentru Societatea Informaional, respectiv ANCOM,
dup caz, pentru deintorii de ICIN, persoane juridice de drept privat.
83. Opiunea legiuitorului de a atribui competene de monitorizare i control al aplicrii
prevederilor legale Camerei Deputailor, Senatului, Administraiei Prezideniale, Secretariatul
General al Guvernului i CSAT-ului, n condiiile n care art.10 alin.(1) i (2) stabilete autoritile
competente n domeniul securitii cibernetice privind infrastructurile cibernetice proprii sau aflate n
responsabilitate, fr a include n aceast categorie autoritile enumerate mai sus, acestea regsindu-
se n ntregul act normativ n categoria persoane juridice drept public, n sarcina crora incumb
respectarea obligaiilor prevzute de lege, denot inconsecven i genereaz confuzie cu privire
la regimul juridic aplicabil acestor instituii. Din interpretarea coroborat a dispoziiilor art.20 alin.(1)
cu cele ale art.21 alin.(1) lit.a) rezult c, pe de o parte, Parlamentul, Administraia Prezidenial,
Secretariatul General al Guvernului i CSAT au obligaia, de exemplu, de a permite efectuarea unor
auditri de securitate cibernetic efectuate de SRI sau de a notifica CNSC cu privire la riscurile i
incidentele cibernetice, pe de alt parte, ele vor monitoriza i controla respectarea acestor obligaii, iar,
n cazul nendeplinirii dispoziiilor legale, potrivit art.28 coroborat cu art.30 lit.c) din lege, autoritile i
vor aplica lor nsele sanciuni, ca urmare a constatrii contraveniilor. Curtea constat, aadar, c
legiuitorul eludeaz principiile de drept potrivit crora controlul trebuie efectuat de o entitate
independent, exterioar autoritii controlate, iar prin normele edictate face iluzorie respectarea
obligaiilor referitoare la securitatea cibernetic. Mai mult, dispoziiile n temeiul crora Parlamentul,
Administraia Prezidenial, Secretariatul General al Guvernului i CSAT devin ageni constatatori ai
svririi de contravenii i dispun aplicarea de sanciuni contravenionale vdesc ignorarea principiilor
de drept care guverneaz un stat democratic, respectiv a principiului separaiei puterilor n stat,
prevzut de art.1 alin.(4) din Constituie i a principiului legalitii, consacrat de art.1 alin.(5).
Astfel, n virtutea legii criticate, autoritatea legiuitoare, Administraia Prezidenial, Guvernul sau CSAT,
autoriti de rang constituional ale cror atribuii sunt expres prevzute n Legea fundamental, se
subrog n atribuii care, potrivit Ordonanei Guvernului nr.2/2001 privind regimul juridic al contraveniilor
(la care legea criticat face, de altfel, trimitere), revin n competena autoritilor administraiei publice
centrale sau locale.
84. Pe de alt parte, Curtea observ c legea supus controlului nu stabilete competene de
control i monitorizare fa de toi deintorii de infrastructuri cibernetice, dispoziiile art.27 alin.(1)
stabilind aceste competene doar n ceea ce privete persoanele juridice de drept public sau privat,
deintoare de ICIN. Or, n condiiile n care legea prevede, la art.15, 16 i 17, obligaii i responsabiliti
pentru toate persoanele juridice de drept public sau privat deintoare de infrastructuri cibernetice, iar
art.28 lit.a), b), c) calific drept contravenii nerespectarea respectivelor obligaii, omisiunea legislativ
cu privire la autoritatea competent s efectueze controlul deintorilor de infrastructuri care nu sunt
calificate ICIN viciaz constituionalitatea textului legal cuprins n art.27 alin.(1), din perspectiva
art.1 alin.(5) din Constituie. Normele edictate n materie contravenional, att n ceea ce privete
fapta incriminat, ct i procedura de constatare i sancionare a acesteia trebuie s fie clare, precise,
previzibile, astfel nct destinatarul lor s i poat conforma conduita prescripiei legale.
85. De asemenea, Curtea reine c dispoziiile art.30 din lege conin prevederi referitoare la
constatarea contraveniilor i aplicarea sanciunilor. Curtea face o prim observaie cu privire la
confuzia generat de textul legal ca urmare a necorelrii cu prevederile art.28 care consacr
contraveniile svrite prin nerespectarea dispoziiilor legale. Astfel, Curtea identific: omisiunea
identificrii autoritii competente s constate i s aplice sanciunea pentru contraveniile prevzute de
art.28 lit.i) i j) svrite de persoane juridice de drept privat; omisiunea identificrii autoritii
competente s constate i s aplice sanciunea pentru contraveniile prevzute de art.28 lit.a), i) i j)
svrite de persoane juridice de drept public; sancionarea contravenional reglementat de art.30
lit.c) pentru nerespectarea unor obligaii de ctre autoritile i instituiile publice prevzute la art.27
alin.(1) lit.a) din lege, cu privire la infrastructurile cibernetice proprii, obligaii de la care acestea erau
exceptate, potrivit art.20 alin.(1) teza a doua [contravenii prevzute de art.28 lit.e)h) din lege].
86. n jurisprudena sa, Curtea Constituional a reinut n repetate rnduri c orice act normativ
trebuie s ndeplineasc anumite condiii calitative, printre acestea numrndu-se previzibilitatea, ceea
ce presupune c acesta trebuie s fie suficient de precis i clar pentru a putea fi aplicat (a se vedea,
spre exemplu, Decizia nr.189 din 2 martie 2006, publicat n Monitorul Oficial al Romniei, Partea I,
nr.307 din 5 aprilie 2006, Decizia nr.903 din 6 iulie 2010, publicat n Monitorul Oficial al Romniei,
Partea I, nr.584 din 17 august 2010, sau Decizia nr.26 din 18 ianuarie 2012, publicat n Monitorul
Oficial al Romniei, Partea I, nr.116 din 15 februarie 2012). n acelai sens, Curtea European a
Drepturilor Omului a statuat c legea trebuie, ntr-adevr, s fie accesibil justiiabilului i previzibil n
ceea ce privete efectele sale. Pentru ca legea s satisfac cerina de previzibilitate, ea trebuie s
precizeze cu suficient claritate ntinderea i modalitile de exercitare a puterii de apreciere a
autoritilor n domeniul respectiv, innd cont de scopul legitim urmrit, pentru a oferi persoanei o
protecie adecvat mpotriva arbitrariului. n plus, nu poate fi considerat lege dect o norm enunat
cu suficient precizie, pentru a permite ceteanului s i adapteze conduita n funcie de aceasta;
apelnd la nevoie la consiliere de specialitate n materie, el trebuie s fie capabil s prevad, ntr-o
msur rezonabil, fa de circumstanele speei, consecinele care ar putea rezulta dintr-o anumit
fapt (a se vedea Hotrrea din 4mai 2000, pronunat n Cauza Rotaru mpotriva Romniei, paragraful
52, i Hotrrea din 25 ianuarie 2007, pronunat n Cauza Sissanis mpotriva Romniei, paragraful 66).
 87. Aa fiind, Curtea apreciaz c imprecizia textelor de lege supuse controlului de
constituionalitate, constnd n lipsa stabilirii cu suficient claritate a procedurilor de monitorizare i
control, respectiv a celor privind constatarea i sancionarea contraveniilor, afecteaz, pe cale de
consecin, i garaniile constituionale i convenionale care caracterizeaz dreptul la un proces
echitabil, inclusiv componenta sa privind dreptul la aprare. De altfel, Curtea European a Drepturilor
Omului a reinut, n esen, c nerespectarea garaniilor fundamentale, care protejeaz presupuii autori
ai unor fapte ilicite, n faa posibilelor abuzuri ale autoritilor desemnate s i urmreasc i s i
sancioneze, reprezint un aspect ce trebuie examinat n temeiul art.6 din Convenia pentru aprarea
drepturilor omului i a libertilor fundamentale (a se vedea, spre exemplu, Hotrrea din 4 octombrie
2007, pronunat n Cauza Anghel mpotriva Romniei, paragraful 68).
88. Pentru ca dreptul la un proces echitabil s nu rmn teoretic i iluzoriu, normele juridice
trebuie s fie clare, precise i explicite, astfel nct s l poat avertiza n mod neechivoc pe destinatarul
acestora asupra gravitii consecinelor nerespectrii enunurilor legale pe care le cuprind. n lumina
celor enunate mai sus, Curtea reine c, n mod evident, prevederile art.27 alin.(1) i 30 din lege,
caracterizate printr-o tehnic legislativ deficitar, nu ntrunesc exigenele de claritate, precizie i
previzibilitate i sunt astfel incompatibile cu principiul fundamental privind respectarea
Constituiei, a supremaiei sale i a legilor, prevzut de art.1 alin.(5) din Constituie i cu dreptul
la un proces echitabil, prevzut de art.21 alin.(3) din Constituie, precum i de art.6 din Convenia
pentru aprarea drepturilor omului i a libertilor fundamentale.
89. Potrivit dispoziiilor art.27 alin.(2) din lege, n cadrul activitii de monitorizare i control,
persoanele desemnate de conductorii autoritilor prevzute la art.27 alin.(1) au dreptul s solicite
declaraii sau orice documente necesare pentru efectuarea controlului, s fac inspecii, inclusiv
inopinate, la orice instalaie, incint sau infrastructur, destinate ICIN, i s primeasc, la cerere
sau la faa locului, informaii sau justificri. Norma cuprins n art.27 alin.(2) lit.b) care permite
autoritilor publice prevzute de art.10 alin.(1) i (2) din lege s fac inspecii la orice instalaie, incint
sau infrastructur destinat ICIN, aflat n responsabilitatea lor, presupune accesul la o anumit locaie,
cu privire la anumite obiecte, sisteme informatice de stocare, prelucrare i transmitere a datelor, inclusiv
a celor cu caracter personal, acces care pune n discuie protecia drepturilor constituionale la via
intim, familial i privat i la secretul corespondenei. Or, n msura n care noiunile cu care legea
opereaz (instalaii, incinte i infrastructuri) nu sunt n mod predictibil determinate, iar sfera datelor
asupra crora se realizeaz controlul este incert, Curtea apreciaz c legea criticat nu reglementeaz
garanii care s permit o protecie eficient mpotriva riscurilor de abuz, precum i fa de orice
accesare i utilizare ilicit a datelor cu caracter personal. n vreme ce noiunea de infrastructur
cibernetic e definit prin lege, noiunea de instalaie folosit n textul de la art.27 alin.(2) lit.b) poate
reprezenta tot un sistem informatic ori o reea sau serviciu de comunicaii electronice, avnd n vedere
domeniul de reglementare al legii i definiiile cuprinse n aceasta, astfel c accesul la aceste sisteme
informatice nu poate fi permis dect cu autorizarea judectorului. De asemenea, noiunea de incint
poate semnifica i locul unde se gsesc aceste sisteme informatice, caz n care Curtea reine c sunt
aplicabile dispoziiile privind percheziia domiciliar prevzut de art.157167 din Codul de procedur
penal, n sensul c aceast msur nu poate fi dispus dect de un judector.
90. Fa de cele prezentate, trimiterea la respectarea prevederilor legale n vigoare este una
confuz, ntruct nu sunt identificate ca fiind prevederi aplicabile nici dispoziiile Codului de procedur
penal, indicate mai sus, i nici prevederile altor acte normative.
91. Prin urmare, considerentele deciziilor Curii Constituionale nr.440/2014 i nr.461/2014 sunt
valabile mutatis mutandis, astfel c argumentele expuse n prealabil cu privire la neconstituionalitatea
dispoziiilor art.17 alin.(1) lit.a) din Legea privind securitatea cibernetic a Romniei sunt pe deplin
sustenabile i n ceea ce privete dispoziiile art.27 alin.(2) din lege. Aa fiind, Curtea conchide c
acestea ncalc prevederile art.1 alin.(5), art.26, art.28 i art.53 din Constituie.
92. Dincolo de aspectele punctuale a cror neconstituionalitate a fost motivat supra, Curtea
constat c ntregul act normativ sufer de deficiene sub aspectul respectrii normelor de tehnic
legislativ, a coerenei, a claritii, a previzibilitii, de natur a determina nclcarea principiului
legalitii, consacrat de art.1 alin.(5) din Constituie. Astfel, legea face trimiteri n mai multe cazuri
la reglementarea unor aspecte eseniale n economia domeniului reglementat la acte legislative
secundare, precum hotrri de Guvern, norme metodologice, ordine sau decizii ori proceduri stabilite
de comun acord. A se vedea n acest sens dispoziiile art.15 alin.(2), art.17 alin.(1) lit.b), art.19 alin.(1)
i (3), art.20 alin.(2), art.23 alin.(2), (5) i (6) i art.30 lit.d) din lege.
93. De asemenea, cu excepia cazurilor n care trimiterea vizeaz chiar legea securitii
cibernetice, situaie n care s-a folosit sintagma prezenta lege, legea folosete n repetate rnduri
sintagmele potrivit legii, conform competenelor prevzute de lege sau n condiiile legii, fr a
preciza concret la dispoziiile cror legi se face trimiterea. Aceast situaie se regsete n cuprinsul
art.7 alin.(1) lit.d), art.10 alin.(2) i (5), art.11 alin.(1) lit.j), art.15 alin.(8), art.19 alin.(6), art.20 alin.(1)
lit.h), art.21 alin.(1), art.21 alin.(2) lit.d), art.27 alin.(1), art.27 alin.(2) lit.b) din lege. Cu privire la aceste
aspecte, Curtea menioneaz c, potrivit art.39 alin.(1) Referirea la alt act normativ, din Legea
nr.24/2000 privind normele de tehnic legislativ pentru elaborarea actelor normative, referirea ntr-
un act normativ la alt act normativ se face prin precizarea categoriei juridice a acestuia, a
numrului su, a titlului i a datei publicrii acelui act sau numai a categoriei juridice i a numrului,
dac astfel orice confuzie este exclus.
94. Pe de alt parte, Curtea constat c dispoziiile art.6 alin.(1), art.8 alin.(1) i ale art.10 alin.(1)
teza a doua din lege consacr organisme/instituii/autoriti nfiinate n baza unor acte normative
anterioare, respectiv hotrri ale Guvernului (SNSC i COSC) sau hotrri ale Consiliului Suprem
de Aprare a rii (CNSC), care au precedat apariia actului de reglementare primar prin care se
stabilete cadrul general de reglementare a domeniului securitii cibernetice. Astfel, prin adoptarea lor
se creeaz confuzie cu privire la stabilirea datei de la care aceste entiti iau fiin i i exercit
competenele data adoptrii hotrrii de Guvern/hotrrii CSAT sau data la care va intra n vigoare
Legea securitii cibernetice n Romnia.
95. n ceea ce privete aspectele referitoare la criteriile de claritate, precizie, previzibilitate i
predictibilitate pe care un text de lege trebuie s le ndeplineasc, Curtea constat c autoritatea
legiuitoare, Parlamentul sau Guvernul, dup caz, are obligaia de a edicta norme care s respecte
trsturile mai sus artate. Potrivit art.8 alin.(4) teza nti din Legea nr.24/2000, textul legislativ trebuie
s fie formulat clar, fluent i inteligibil, fr dificulti sintactice i pasaje obscure sau echivoce, iar
potrivit art.36 alin.(1) din aceeai lege, actele normative trebuie redactate ntr-un limbaj i stil juridic
specific normativ, concis, sobru, clar i precis, care s exclud orice echivoc, cu respectarea strict a
regulilor gramaticale i de ortografie.
96. Curtea constat c prin reglementarea normelor de tehnic legislativ legiuitorul a impus o
serie de criterii obligatorii pentru adoptarea oricrui act normativ, a cror respectare este necesar
pentru a asigura sistematizarea, unificarea i coordonarea legislaiei, precum i coninutul i forma
juridic adecvate pentru fiecare act normativ. Astfel, respectarea acestor norme concur la asigurarea
unei legislaii care respect principiul securitii raporturilor juridice, avnd claritatea i previzibilitatea
necesar.
97. Pentru toate argumentele prezentate, Curtea constat c Legea privind securitatea
cibernetic a Romniei este viciat n integralitatea ei, astfel c obiecia de neconstituionalitate
urmeaz a fi admis i constatat neconstituionalitatea actului normativ, n ansamblul su.
98. n acord cu jurisprudena sa, Curtea reine c, n situaia determinat de constatarea
neconstituionalitii legii n ansamblul su, pronunarea unei astfel de decizii are un efect definitiv cu
privire la actul normativ, consecina fiind ncetarea procesului legislativ n privina respectivei
reglementri.
99. Pe de alt parte, n condiiile n care prevederile art.61 alin.(1) din Constituie stabilesc c
Parlamentul este organul reprezentativ suprem al poporului romn i unica autoritate legiuitoare a rii,
competena de legiferare a acestuia cu privire la un anumit domeniu nu poate fi limitat dac legea
astfel adoptat respect exigenele Legii fundamentale. Prin urmare, opiunea legiuitorului de a legifera
n materia n care Curtea Constituional a admis o sesizare de neconstituionalitate cu privire la o lege
n ansamblul su presupune parcurgerea tuturor fazelor procesului legislativ prevzut de Constituie i
de regulamentele celor dou Camere ale Parlamentului (a se vedea n acest sens Decizia Curii
Constituionale nr.308 din 28 martie 2012, publicat n Monitorul Oficial al Romniei, Partea I, nr.309
din 9 mai 2012).
100. Pentru considerentele artate, n temeiul art.146 lit.a) i al art.147 alin.(4) din Constituie,
precum i al art.11 alin.(1) lit.A.a), al art.15 alin.(1) i al art.18 alin.(2) din Legea nr.47/1992, cu majoritate
de voturi,

CURTEA CONSTITUIONAL
n numele legii
DECIDE:
Admite obiecia de neconstituionalitate i constat c Legea privind securitatea cibernetic a
Romniei este neconstituional, n ansamblul ei.
Definitiv i general obligatorie.
Decizia se comunic Preedintelui Romniei, preedinilor celor dou Camere ale Parlamentului
i prim-ministrului i se public n Monitorul Oficial al Romniei, Partea I.
Pronunat n edina din data de 21 ianuarie 2015.