În MO 918 a fost publicată aseară OUG privind înființarea Directoratului Național de Securitate Cibernetică. Un document consistent, cu multe amănunte ce merită analizate iată însă, la cald, principalele noutăți strategice aduse în organizarea societății românești.
Apare un nou tip de instituție, teoretic ”în subordinea Guvernului și în coordonarea prim-ministrului” practic sub controlul CSAT respectiv al Președintelui României. Simplificând pentru o descriere facilă, DNSC are puterea unui minister, directorul său dă Ordine echivalente unui Ordin de ministru însă, spre deosebire de un ministru, selecția directorului se face nu de un mecanism politic ci de CSAT. Tot CSAT joacă rolul de mecanism de aprobare, control și evaluare pe care HG-urile și ședințele de guvern îl joacă pentru ministere.
O altă decizie strategică este decăderea importanței în privința securității cibernetice a unor instituții precum SPP sau ORNIS – o decizie mult amânată de mândrii instituționale.
DNSC primește rolul de ”autoritatea competenta la nivel național pentru spațiul cibernetic național civil”. Dacă formularea legislației NIS avea grijă să limiteze explicit rolul CERT-RO doar la anumite entități și activități, formularea acestui OUG sugerează o acoperire totală sau cel puțin este pregătită pentru aceasta. Le va rămâne celor care doresc să ”evadeze” să coreleze legi și principii pentru a susține acest lucru. Nu vor fi însă mulți, există morcovi și bețe îndeajuns pentru a crea și susține o comunitate, de companii și chiar persoane fizice, aliniată în ”comunitatea CSIRT din România”. DNSC își asumă, cu ambiție, rolul de dezvoltator al acestei industrii și totodată comunități. Acoperă, de asemenea, și alte activități economice precum laboratoare de testare și dezvoltatorii de tehnologie.
Un alt paragraf interpretabil este ” îndeplinește atribuțiile de autoritate națională pentru furnizorii de servicii de găzduire/hosting, de servicii tip cloud, de servicii de identificare electronica, de servicii de încredere pentru tranzacțiile electronice și furnizorii de rețele de distribuție de conținut”. Din lipsa mențiunii ”în domeniu securității cibernetice” putem înțelege că ADR pierde rolul de avizator pentru furnizorii de certificate calificate și poate chiar pentru data-centere. Cum aceste avize se refereau preponderent la garanțiile de siguranță aferente acestor furnizori nu s-ar putea spune că este ceva ilogic, însă lasă ADR practic fără niciun rol de autoritate publică.
În concluzie avem un Director cu 5 adjuncți și 1250 de colegi care emit Ordine cu o putere juridică similară unui HG sub controlul CSAT. Vor emite norme, vor controla activitățile asociate domeniului cybersecurity, vor finanța cercetarea și activitatea economică din domeniu. Vor reprezenta România pe plan internațional în toate aceste domenii. O soluție eficace pentru o problemă reală, în același timp un eșec al guvernelor ultimilor ani care nu au reușit să producă o soluție civilă funcțională, bazată pe reprezentativitate și incluziune a societății civile.