CL despre cum scriem despre cloud

 

OUG Cloud - versiunea din M.O.

A apărut în M.O. 638 OUG-ul cu privire la utilizarea serviciilor de cloud de către instituțiile publice. Spuneam anterior că ultima versiune pusă în dezbatere fusese îmbunătățită spectaculos, totuși multe lucruri se pot întâmpla în preajma Ședinței de Guvern.

Oricum erau necesare, promise, și așteptate clauze tranzitorii - în special esențiale pentru ANIS și cloudul comercial.

Schimbări:

Trebuie menționat, succint, că au rezolvat câteva neclarități cu potențial stânjenitor. Cea mai spectaculoasă era Art.7 (1) care ducea la preluarea de către SRI și STS a securității cibernetice aferentă oricăror instituții din zona de apărare dacă acestea ar fi vrut să schimbe date cu aplicații din cloud. Greșeli mărunte se mai întâmplă, cu toate că Freud ar fi putut fi de altă părere.

S-au străduit să prevină proceduri de achiziție mai puțin transparente, frecvente în zona de securitate națională.

Au introdus termene pentru legislația subsecventă, în general de 90 de zile. Să produci în 3 luni „criteriile generale de asigurare a confidențialității, securității, interoperabilității, adaptării la standarde tehnice și semantice, respectiv a performanței aplicațiilor de tip SaaS găzduite în Platformă” este deosebit de ambițios, probabil i-au călit termenele din PNRR.

ANIS și industria ar face bine să se implice din prima zi, în ciuda perioadei de concedii.

În privința clauzelor tranzitorii, au rezolvat doar nevoile guvernamentale.

A fost introdus Art.17 (7) care și-a dorit protejarea proiectelor europene aflate în perioada de sustenabilitate. Va trebui însă îmbunătățit în parlament, în forma actuală permite ca AM-urile să ofere „indulgențe” și pentru viitoarele proiecte.

Situația serviciilor de cloud comercial rămâne în continuare incertă

Mă așteptam să fie declarată o perioadă de grație, între momentul publicării criteriilor și data interzicerii utilizării platformelor care nu s-au certificat. Mai grav, cu privire la mecanismul de certificare, Art.3 8 folosește cele 90 de zile nu ca termen de emitere ci doar ca termen de inițiere a HG-ului. Apoi mai sunt necesare 2 Ordine care nu au termen.

O situație interesantă este legată și de aplicarea Legii nr. 163/2021 (Legea 5G). La momentul promulgării am crezut că aplicarea ei in zona de IT va începe( Art.11 1) prin filtrarea producătorilor de echipamente în achizițiile publice din zona de apărare. Acum pare că Microsoft și alți furnizori de cloud vor trebui să dovedească (Art.10) că nu folosesc echipamente neautorizate sau să scape în 5 ani de ele.

Am impresia că cei de la ANIS mi-au dat nume de cod „Casandra” așa că voi urmări cu interes evoluțiile, din tribună.

În concluzie, textul OUG-ului a supraviețuit fără daune în circuitul de avizare (mă așteptam ca MJ să forțeze salvarea ONRC-ului). Este o discuție de purtat în Parlament însă știm deja tacticile MCID pentru blocarea propunerilor de amendamente, aceleași ca în cazul Legii Interoperabilității.

Din perspectiva intereselor mele, mă declar mulțumit.

Legea Interoperabilității - Raport la CDEP

Cred că voi începe un foileton despre OUG-ul pentru Cloud și legea Interoperabilității. Întâi cloud-ul, pentru că nu pot ignora cititorii abilitați să aprobe jaloanele PNRR.

Însă azi s-a discutat la CDEP Raportul pe interoperabilitate, de altfel într-o procedură parlamentară care va rămâne în istorie, și mă simt dator să aduc noutăți despre dubiul arhitectură distribuită vs centralizată a PNI, despre care am scris deja.

Azi, așadar, reprezentantul ANIS a cerut lămuriri de la dep PNL Sabin Sărmaș. Răspunsul a fost cam așa:

„Și eu am pus o întrebare despre acest nou alineat introdus, nu vorbim despre o centralizare a datelor, ar intra în conflict cu tot ce scrie în restul legii. Argumentul MAI a fost că aduce mai multă claritate. Din punctul nostru de vedere acest articol nu ajută foarte mult, nici nu încurcă foarte mult. Am avut un agreement și dorim să-l păstrăm în continuare.”

Nu-mi este clar azi care sunt acele alte articole din lege care garantează adoptarea unei arhitecturi distribuite. Vom vedea în M.O. , după ziua de azi forma textului îmi este incertă.

Însă, de principiu, nu există articole de lege inutile, nimeni nu le poate refuza valoarea de legiferare în interpretările judiciare, arbitrale sau administrative. Un articol prost scris va fi interpretat spre cea mai apropiată logică care-i oferă aplicabilitate.

Că lucrurile nu sunt clare, deducem și din spusele unui general STS prezent la comisie pentru divergența cu SRI (pe care, de altfel, au și pierdut-o).

Pe scurt SRI consideră că PNI este o aplicație SaaS în cloud-ul guvernamental, STS spune că va include o componentă consistentă PaaS și așa își raportează responsabilitățile.

Pentru noi este remarcabilă ideea de PaaS care implică direct existența unui transfer masiv de date, nu un simplu catalog de adrese și drepturi

Mă opresc aici, las discuțiile serioase pentru când vom fi bifat jalonul.

Legea Interoperabilității a fost votată în Senat

 Ieri s-a votat în prima cameră Legea Interoperabilității. Înainte a fost ședința de Raport comun al comisiilor de ITC și Administrație despre care voi relata în continuare.

Părea un demers simplu – Guvernul s-a înțeles asupra amendamentelor iar votul va fi fost corespunzător. Însă socoteala de acasă ....

Intenția de a vota toate amendamentele guvernului în bloc s-a năruit atunci când STS a arătat că acestea nu sunt cele convenite cu ei la MCID. Divergența era o formulare banală, era omis STS într-o înșiruire de instituții care urmau să asigure securitatea unui segment din platformă.

Pentru mine o expresie a nesiguranței și dezordinii instituționale în arhitectura administrației românești.

Nici măcar nu s-au axat pe adevăratul subiect. Atât comunicațiile cât și platforma centrală sunt relativ ușor de securizat. Însă mai există un segment, care teoretic face parte din PNI: pentru că registrul este definit chiar ca și/inclusiv ”fișier” există obligatoriu o aplicație care îl expune în PNI. Aceasta poate fi un modul dintr-o aplicație mare, de business, a instituției care operează registrul dar ar putea fi și o aplicație simplă, de tip ”agent”, care în multe cazuri va trebui furnizată de PNI.

Cine va ”siguranța” acest agent ? Este această funcționalitate o poartă pentru a produce un leverage legal asupra întregii aplicații de business?

Această aplicație/agent nu este deloc un subiect simplu.

Cu ocazia OUG140/2020 (semnăturile calificate pentru profesioniști) m-am lovit practic exact de acest lucru. Instituții publice care țin liste de persoane autorizate în excell și, prin urmare, cer să prezinți documente scrise pentru dovedirea calității. Atunci am propus o platformă comună pentru întreținerea acestor registre, OAR ar fi donat-o, însă transformare instituțională necesară și COVID-ul au blocat demersul.

Nici tehnic nu este simplu. În 2013 a exista un proiect al SGG de BI care colecta date din diverse surse. Am propus atunci o masină virtuală bazată pe Open Source care să extragă date prin ODBC/SQL și să le expună către centru. Rezultatul ? Platformă Oracle, agenți locali Oracle. Simplu de implementat pentru câteva surse de date, prohibitiv pentru câteva mii, câte vor fi când PNI va integra administrația locală cu toate componentele sale.

Furnizarea și securizarea acestei componente locale va fi extrem de dificilă: financiar, operațional și politic.

Dar să nu fiu pretențios.

Cu ocazia divergenței despre roluri am realizat că nici cei implicați (cu S dar nu de la Senat) nu au o idee clară despre arhitectura aplicației. 

Iar Senatorii s-au înfuriat constatând că sunt obligați să voteze o divergență. Au lăsat-o spre soluționare către camera decizională. Ba chiar au dorit să dezbată și amendamentul propus de AMR, inițial considerat hopeless în urma respingerii de către guvern. A fost însușit formal de dl președinte al Comisiei de Administrație sen. UDMR Császár, cu sprijinul celor doi senatori USR, Trifan și Negoi.

Așa am ajuns să-l susțin ca delegat din partea AMR, așa a ajuns să fie votat cu doar 2 abțineri.

Însă .... nu poți reclama presiunea cât timp s-au pus singuri cu spatele la zid amânând de 3 săptămâni votul. Mai ales .... este esențial pentru noi toți să existe în fiecare comisie măcar un parlamentar capabil și dispus să înțeleagă legea discutată până la ultimul amănunt și chiar dincolo de el.

ICI ne dă foc

𝑀𝑎𝑟𝑖𝑐𝑖𝑐𝑎 𝑒 𝑔𝑎𝑔𝑖𝑐𝑎 𝑚𝑒𝑎! 𝐴𝑚 𝑠𝑐𝑟𝑖𝑠-𝑜 𝑝𝑒 3200 𝑑𝑒 𝑧𝑖𝑑𝑢𝑟𝑖.

𝑆̦𝑖 𝑡𝑜𝑡𝑢𝑠̦𝑖 𝑔𝑜𝑙𝑎𝑛𝑖𝑖 𝑓𝑎𝑐 𝑐𝑜𝑎𝑑𝑎̆ 𝑙𝑎 𝑢𝑠̦𝑎 𝑒𝑖.

𝐷𝑒𝑐𝑎̂𝑡 𝑠𝑎̆ 𝑠𝑡𝑟𝑖𝑐𝑖 𝑎𝑡𝑎̂𝑡𝑒𝑎 𝑧𝑢𝑔𝑟𝑎̆𝑣𝑒𝑙𝑖 𝑛𝑢 𝑒𝑟𝑎 𝑚𝑎𝑖 𝑏𝑢𝑛 𝑢𝑛 𝐶𝑒𝑟𝑡𝑖𝑓𝑖𝑐𝑎𝑡 𝑑𝑒 𝐶𝑎̆𝑠𝑎̆𝑡𝑜𝑟𝑖𝑒? 𝑁𝑢 𝑑𝑒 𝑎𝑙𝑡𝑎, 𝑑𝑎𝑟 𝐴𝑟𝑡.304 𝑑𝑖𝑛 𝐶𝑜𝑑𝑢𝑙 𝑃𝑒𝑛𝑎𝑙 𝑝𝑒𝑑𝑒𝑝𝑠𝑒𝑠̦𝑡𝑒 𝑎𝑑𝑢𝑙𝑡𝑒𝑟𝑢𝑙 𝑐𝑢 𝑝𝑎̂𝑛𝑎̆ 𝑙𝑎 6 𝑙𝑢𝑛𝑖 𝑑𝑒 𝑖̂𝑛𝑐ℎ𝑖𝑠𝑜𝑎𝑟𝑒.

Valoarea informației nu este intrinsecă ci vine din contextul în care este aplicată aceasta. Nu hârtia certificatului are valoare ci angajamentul statului că va acționa în baza lui.

Contextul este important. Biserica Ortodoxă nu oficiază nunți în exteriorul Bisericii, Primăria o poate face. Diferă mijloacele ulterioare de enforcement – statul te constrânge fizic, biserica se bazează pe condiționarea morală la care măreția clădirii bisericii contribuie semnificativ.

⚠️Trebuie să avem grijă cum și cui asociem imaginea statului.

Nu putem uita cum CEC, bancă de stat, a garantat, aparent, pentru FNI.

Această postare este demult amânată. Problema însă devine reală iar hate-ul inevitabil.

Implementarea blockchain poate fi sigură. În curând, prin eIDAS2 va exista și un cadru legal de recunoaștere a acestei fiabilități. Va fi o probă legală de sine stătătoare în trasabilitatea informației.

Blockchain este o tehnologie societală. Are sens numai în măsura în care cât mai mulți oameni colaborează într-un scop comun, fie el materializat și în operarea de noduri. La nivel superior, de business, aceeași oameni recunosc implicit valoarea informației găzduită de acele noduri.

Dincolo de o anumită amploare mișcările sociale sunt absorbite de stat, internalizate și legiferate. Pragul este dat de subiect și profilul psihologic al participanților. Unii oameni doresc ca guvernul să rezolve toate problemele, alții iubesc statul minimal.

Tehnologia blockchain are un mesaj social iar acesta este adresat preponderent celor care doresc să țină guvernul cât mai departe de viața lor. Just sau whishfull thinking, acești oameni înțeleg și își asumă consecințele.

Încă nu am auzit pe nimeni să spună că cei care au pierdut averi în speculații cripto merită ajutor social.

Însă cele două lumi nu trebuie să se întrepătrundă‼️ 

Nu trebuie ca cei care sunt dispuși să cheltuie pentru întreținerea a 3200 de copii ale bazei de date, doar pentru siguranță și independență, să se unească cu cei care cred că statul trebuie să garanteze baza de date, prin lege și eficient economic.

„𝑃𝑟𝑖𝑛 𝑖𝑛𝑡𝑒𝑟𝑚𝑒𝑑𝑖𝑢𝑙 𝑎𝑐𝑒𝑠𝑡𝑒𝑖 𝑝𝑙𝑎𝑡𝑓𝑜𝑟𝑚𝑒 𝐼𝐶𝐼 𝐵𝑢𝑐𝑢𝑟𝑒𝑠̦𝑡𝑖 𝑖̂𝑛𝑐𝑢𝑟𝑎𝑗𝑒𝑎𝑧𝑎̆ 𝑐𝑒𝑡𝑎̆𝑡̦𝑒𝑛𝑖𝑖, 𝑚𝑒𝑑𝑖𝑢𝑙 𝑑𝑒 𝑎𝑓𝑎𝑐𝑒𝑟𝑖 𝑠̦𝑖 𝑖𝑛𝑠𝑡𝑖𝑡𝑢𝑡̦𝑖𝑖𝑙𝑒 𝑠𝑡𝑎𝑡𝑢𝑙𝑢𝑖 𝑠𝑎̆ 𝑐𝑜𝑙𝑎𝑏𝑜𝑟𝑒𝑧𝑒 𝑖̂𝑛 𝑝𝑟𝑜𝑖𝑒𝑐𝑡𝑒 𝑐𝑢 𝑢𝑡𝑖𝑙𝑖𝑡𝑎𝑡𝑒 𝑐𝑜𝑚𝑢𝑛𝑎̆, 𝑎𝑣𝑎̂𝑛𝑑 𝑙𝑎 𝑑𝑖𝑠𝑝𝑜𝑧𝑖𝑡̦𝑖𝑒 𝑢𝑛 𝑚𝑒𝑑𝑖𝑢 𝑟𝑒𝑔𝑙𝑒𝑚𝑒𝑛𝑡𝑎𝑡, 𝑟𝑎𝑝𝑖𝑑 𝑠̦𝑖 𝑠𝑖𝑔𝑢𝑟 𝑑𝑒 𝑡𝑟𝑎𝑛𝑧𝑎𝑐𝑡̦𝑖𝑜𝑛𝑎𝑟𝑒 𝑎 𝑒𝑙𝑒𝑚𝑒𝑛𝑡𝑒𝑙𝑜𝑟 𝑑𝑖𝑔𝑖𝑡𝑎𝑙𝑖𝑧𝑎𝑡𝑒, 𝑝𝑒𝑟𝑠𝑜𝑛𝑎𝑙𝑖𝑧𝑎𝑡𝑒 𝑠̦𝑖 𝑝𝑟𝑜𝑝𝑟𝑖𝑖 𝑖̂𝑛 𝑑𝑜𝑚𝑒𝑛𝑖𝑖 𝑝𝑟𝑒𝑐𝑢𝑚 – 𝑒𝑑𝑢𝑐𝑎𝑡̦𝑖𝑒, 𝑝𝑟𝑜𝑝𝑟𝑖𝑒𝑡𝑎𝑡𝑒 𝑖𝑛𝑡𝑒𝑙𝑒𝑐𝑡𝑢𝑎𝑙𝑎̆, 𝑎𝑠𝑖𝑔𝑢𝑟𝑎̆𝑟𝑖 𝑑𝑖𝑔𝑖𝑡𝑎𝑙𝑒, 𝑐𝑎𝑑𝑎𝑠𝑡𝑟𝑢 𝑖𝑚𝑜𝑏𝑖𝑙𝑖𝑎𝑟, 𝑡𝑖𝑡𝑙𝑢𝑟𝑖 𝑑𝑒 𝑝𝑟𝑜𝑝𝑟𝑖𝑒𝑡𝑎𝑡𝑒, 𝑐𝑒𝑟𝑡𝑖𝑓𝑖𝑐𝑎𝑡𝑒 𝑑𝑒 𝑎𝑢𝑡𝑒𝑛𝑡𝑖𝑐𝑖𝑡𝑎𝑡𝑒, 𝑐𝑒𝑟𝑡𝑖𝑓𝑖𝑐𝑎𝑡𝑒 𝑒𝑛𝑒𝑟𝑔𝑒𝑡𝑖𝑐𝑒, 𝑙𝑎𝑛𝑡̦𝑢𝑟𝑖 𝑑𝑒 𝑑𝑖𝑠𝑡𝑟𝑖𝑏𝑢𝑡̦𝑖𝑒 𝑠̦𝑖 𝑎𝑝𝑟𝑜𝑣𝑖𝑧𝑖𝑜𝑛𝑎𝑟𝑒, 𝑎𝑟𝑡𝑎̆, 𝑠𝑡𝑟𝑎̂𝑛𝑔𝑒𝑟𝑒 𝑑𝑒 𝑓𝑜𝑛𝑑𝑢𝑟𝑖 𝑠̦𝑖 𝑛𝑢𝑚𝑒𝑟𝑜𝑎𝑠𝑒 𝑎𝑙𝑡𝑒 𝑎𝑐𝑡𝑖𝑣𝑒 𝑐𝑎𝑟𝑒 𝑠𝑒 𝑝𝑟𝑒𝑡𝑒𝑎𝑧𝑎̆ 𝑑𝑖𝑔𝑖𝑡𝑎𝑙𝑖𝑧𝑎̆𝑟𝑖𝑖.”

⚠️ICI este o entitate publică aflată sub coordonarea Secretariatului General al Guvernului. Din multe puncte de vedere Guvernul României ”este în ICI” mai mult decât a fost în CEC în scandalul FNI. 

Mai mult, conducerea ICI nu ezită să-și clameze suportul din partea SGG când prezintă astfel de proiecte instituțiilor publice.

Real, acele NFT-uri nu au nicio valoare legală adusă de administratorul ICI. Sunt foarte sceptic că ANCPI va publica hash-uri de Carte Funciară sau că ar lua vreodată în considerare tranzacții imobiliare astfel înregistrate.

Însă se vor găsi destui oameni care să confunde informația cu contextul legal. Și care să creadă astfel în valoarea acestor NFT-uri pentru că, nu-i așa, sunt acolo, lângă actele de proprietate, drepturi comerciale și chiar banii guvernului.

Este o inițiativă greșită‼️

La nivelul SGG ICI are prea puțină atenție acordată, este lăsat pe mână câtorva oameni care, iată, par să nu înțeleagă sau chiar aderă la plan.

Dacă echipa ICI este atrasă de aceste umbre este ok. Statul însă trebuie să-și retragă orice afiliere cu ICI, spre exemplu prin vânzare, și, mai ales, trebuie eliminată orice valență de putere publică precum este administrarea RO TLD.

link https://www.oranoua.ro/ici-bucuresti-si-elrond-network-pun-bazele-unor-platforme-de-tranzactionare-de-active-digitale-nft-pentru-institutii-si-modernizeaza-sistemul-clasic-de-dns-si-tld-utilizand-tehnologia-blockchain-si/ 

Bombe sub presiune în Legea Interoperabilității

Mâine este Comisie Comună de Raport la Senat iar Guvernul României va susține un amendament care schimbă profund natura legii interoperabilității.

Prin:

După alin.(1) se introduce un nou alineat, respectiv alin.(2), care va avea următorul cuprins: 

„(2) Prezenta lege reglementează crearea, operaționalizarea și administrarea instrumentului/mijlocului necesar pentru livrarea într-un format integrat a mai multor servicii electronice prin implementarea platformei de interoperabilitate.”. 

Se transformă platforma natională de interoperabilitate dintr-o abordare distribuită, în care există un catalog central de resurse și ACL-uri dar schimbul de date este direct între instituții, către o abordare centralizată, în care toate datele curg printr-un singur punct, la ADR. Mai mult se implică că vorbim nu numai de date ci și de servicii, adică de un portal unic în care se vor regăsi toate serviciile publice electronice.

Ambele abordări arhitecturale sunt valide, și răspândite prin lume.

Este însă deranjant că într-o lungă procedură de co-creare a acestei legi cu societatea civilă s-a tot evitat discutarea acestei alegeri arhitecturale iar astăzi este introdusă într-un pachet mare de amendamente pentru care oferă senatorilor doar 2-3 ore de analiză.

Pentru că .... criza de timp PNRR.

După 3 săptămâni de amânări pe ordinea de zi a Comisiei ITC din Senat.

OUG Cloud a fost modificat substanțial peste noapte

A fost publicată noua versiune de OUG pentru Cloudul Guvernamental, modificată după dezbaterea publică de Luni. Link în primul comentariu.

Foarte la cald – este un neașteptat progres.

👉viziunea devine cu adevărat globală, avem „Cloud-ul Privat Guvernamental” CPG  al ADR+STS+SRI alături de alte cloud-uri ale unor instituții publice sau ale furnizorilor privați. Acest pachet se va numi „Platforma de Cloud Guvernamental” fiind abordarea obligatorie pentru toate entitățile publice.

👉este permisă utilizarea CPG și de către autoritățile locale

👉este desemnată ADR ca factor principal de decizie în operaționalizarea CPG

👉este creată o relație corectă operator-împuternicit din perspectiva GDPR

👉sunt permise aplicații private în marketplace-ul CPG cu respectarea unor condiții de calitate

👉vor fi definite condiții pentru folosirea serviciilor de cloud comerciale

Se putea mai bine? Desigur!

Pentru o noapte de lucru progresul este incredibil.

La prima vedere cea mai mare problema este lipsa unor clauze tranzitorii care să suspende condiționalitățile (Cap.IV) aplicabile cloud-ului comercial până sunt emise normele de certificare ale acestuia. Altfel ajungem in paradigma legii fără norme care nu este aplicată de entitatea publică, în acest caz care nu mai cumpără servicii de cloud.

O chestiune ușor rezolvabilă.

În viitorul apropiat ar trebui ca ANIS și alte organizații să creeze un task force care să sprijine masiv guvernul în scrierea legislației secundare. Mă tem că lăsați singuri vor fi depășiți de complexitatea acestei sarcini.

P.S. de mâine reîncep să-i caut la virgule.

Link „OUG final”: https://www.research.gov.ro/.../_oug-mcid_adr_sts_sri_oug...

Desfășurare dezbatere OUG Cloud

Am participat ieri la dezbaterea publică pentru OUG-ul Cloudului Guvernamental. Link către înregistrare în primul comentariu, aici câte ceva despre eveniment.

În primul rând trebuie să observ impactul organizării de calitate. În mod tradițional ne înghesuiam într-o sală din bld. Libertății unde era foarte cald și stăteam pe scaune incomode. În timp acumulai o stare de nervozitate ce era decontată de prezidiu la nivel subconștient. Ieri am avut o sală tip cinematograf, cu AC, în care s-au răspândit și coagulat poate 50 de participanți, toți cunoscuți în domeniile lor de activitate. O atmosferă mult mai calmă și civilizată decât am fost obișnuit.

Eu am trăit încă o dată acea experiență în care interlocutorul îți confirmă inclusiv non-verbal acordul său cu ce spui dar ulterior, probabil și în acest caz, nu se schimbă nimic.

Totuși am pledat pentru acceptarea in cloud a companiilor private producătoare de aplicații SaaS. Am explicat că este benefică concurența acestora și că ADR nu este bine să fie singurul furnizor. Am fost întrebat dacă pentru aplicațiile mainstream nu este cazul să fie oferită o aplicație gratis de către stat, am răspuns cu (aproape) o glumă – atunci când este observat succesul unei aplicații oferite de un privat, precum procedează Microsoft, ADR să cumpere aplicația (sau să facă una similară pentru că în EU nu sunt protejate analiza de business și modalitatea de utilizare a aplicațiilor informatice).

Desigur, pentru a ajunge în cloud, aplicația va trebui să treacă teste de securitate, interoperabilitate, standardizare a datelor și semantică.

Apoi am abordat problema încrederii.

Am argumentat că pentru utilizator este esențial să aibă un singur interlocutor atunci când utilizează o aplicație SaaS, care să răspundă în fața sa pentru calitatea serviciului. Este descurajantă ideea de a fi pasat cu problema ta între MCID-ADR-STS-SRI. Și prin GDPR, în utilizarea unei aplicații SaaS, furnizorul nu poate fi decât „împuternicit”, există numeroasă jurisprudență UE în acest sens.

Nu în ultimul rând am spus că nou introdusul control parlamentar este o glumă inutilă, nu impresionează (pozitiv) pe nimeni.

Spre final am mai avut o intervenție în care am argumentat că impunerea unui ghid pentru achiziția serviciilor de cloud comercial, deși necesar, va descuraja utilizarea acestora deoarece instituțiile nu au capacitatea de a evalua (stufoasele) condițiile juridice de utilizare. Soluția corectă este ca ADR să facă această evaluare iar în catalogul de produse din SICAP aceste servicii să aibă o viză de endorsment. 

După prima mea intervenție a vorbit Radu Puchiu care a pledat direct împotriva rolului decizional al STS, ba chiar a intrat într-un dialog cu directorul acestei instituții.

Au mai vorbit două ONG-uri cu referire la aspecte din zona drepturilor cetățenești precum și ANIS și membri marcanți (Oracle, Microsoft) care au pledat pentru perfecționarea proiectului în direcția deschiderii către piață și concurență a serviciilor.

Integrarea cu Moldova (eIDAS #57)

Integrarea „excepțională” cu Rep. Moldova este atât o necesitate obiectivă, adusă de numărul mare de oameni cu interese în ambele țări, cât și rezonantă la nivel istoric și emoțional.

Toată stima mea pentru cei care își dedică timpul și energia acestor proiecte 👏

Prima inițiativă de acest fel pe care am analizat-o, a fost, prin 2010, ideea de a elimina tarifele de roaming între cele două țări. Poate fi impusă de guvernul moldovean dar nu și de cel român, ținuți fiind româniii de principiile pieței unice europene. De aceea tot vedem declarații în acest sens, ba chiar de curând a fost și un protocol interguvernamental, dar nu vedem rezultate. Poate fi obținut numai printr-o negociere netransparentă cu operatorii mobili activi în România, greu când la noi nu există „ein mann ein wort ”.

În schimb noua idee a Min. Burduja poate fi rezolvată creativ. Și aici există Regulamentul UE eIDAS care nu permite o abordare de natură juridică însă există posibilitatea mecanismului tehnic  de semnare încrucișată (mesh trust). Pe scurt, fiecare parte își inserează un certificat în lanțul de încredere al celeilalte părți.

Soluția nu ar contrazice eIDAS, ar funcționa tehnic însă ar putea activa sensibilități instituționale dacă nu naționale. Nu degeaba CA vine de la Certificate Authority - va fi necesară încredere și externalizare a autorității statale, însă de ce am avea politicieni dacă nu pentru a construi asta?

https://protv.md/.../ministrul-roman-sebastian-ioan...

Invitație dezbatere OUG Cloud, text catastrofal

Trebuie să recunosc că am fost foarte dezamăgit de versiunea de ieri a OUG-ului dedicat cloudului guvernamental. Atât de mult încât Luni mă duc la spectacol cu un râs isteric, vă aștept cât mai mulți, e loc destul și nu este necesară înregistrarea (link în primul comentariu împreună cu documentul analizat).

Dezamăgirea vine din promisiunile deșarte auzite pe la Digi24 despre care am scris. Mai ales că autorul a fost promovat în ecosistem, dacă înainte deciziile se luau în paradigma „MCID împreună cu ADR, cu sprijinul STS și SRI” acum sunt „MCID împreună cu ADR, STS și SRI”. Așadar de acum le voi spune cei 4M de la 4 mușchetari.

Să trecem la treabă.

Clar și irevocabil, se interzice accesul administrației publice locale la serviciile cloudului guvernamental. Art.1 (1)

Au lucrat la definiții și în general construcția este mult mai îngrijită. Totuși Art.2 g) are o definiție despre „date” care diferă de alte norme în vigoare și agravează confuzia dintre date / informații / documente. Mai important, au introdus în definiția infrastructurii de bază de cloud și licențele, se rezolvă astfel problema softului rescris de la zero de stat (cu excepția softului de migrare). 

Totuși Art.10 (1) uită să menționeze că infrastructura de bază administrată de STS este proprietate „publică” a statului în oglindă cu celelalte prevederi. Consecința ar fi dificultatea ulterioară de a transfera infrastructura de la STS către altă entitate.

Tot apropo de roluri, Art.9 (1) ne spune că cei 4M sunt operatori asociați. Nu cred că poate fi valabil și pentru ADR în calitatea sa de migrator de aplicați și operator al acestora. Aici avem o noutate, ADR confiscă cu ocazia migrării proprietatea intelectuală obținută de instituțiile publice în urma OUG 41/2016❗️. Astfel ADR devine un prestator de servicii IT complete, care susțin misiunea publică (activitatea) instituției client, deci nu poate fi decât împuternicitul acesteia.

Procedura de migrare în cloud este contradictorie ‼️

1️⃣ ADR solicită informații de la instituția vizată (Art.19)

2️⃣ Comitetului de e-Guvernare propune instituția (Art.8 (1))

3️⃣ Se emite un HG în acest sens (Art.8 (1))

4️⃣ ADR notifică instituția publică (Art.18 (9)) urmând ca migrarea să fie finalizată în maxim 2 ani.

5️⃣ ADR se apucă de migrare

Însă ....

De ce este nevoie de notificare 4️⃣ dacă există  HG 3️⃣ în Monitorul Oficial ⁉️

Ce înseamnă „Entitățile publice 𝗶̂𝘀̦𝗶 migrează aplicațiile” de la Art.8 (2) dacă ADR are exclusivitate ⁉️

„Comitetul de e-guvernare” este cel înființat pentru SIPOCA20 ? 

⚠️Că tot am vorbit de exclusivități ... nu există, în ciuda celor promise public, implicarea companiilor private ca furnizoare de servicii SaaS în cloud-ul guvernamental.

Însă culmea neclarității este:

𝐴𝑟𝑡. 11 -

(1) 𝐴𝑢𝑡𝑜𝑟𝑖𝑡𝑎̆𝑡̦𝑖𝑙𝑒 𝑠̦𝑖/𝑠𝑎𝑢 𝑒𝑛𝑡𝑖𝑡𝑎̆𝑡̦𝑖𝑙𝑒 𝑝𝑢𝑏𝑙𝑖𝑐𝑒 𝑙𝑜𝑐𝑎𝑙𝑒 𝑝𝑜𝑡 𝑑𝑒𝑧𝑣𝑜𝑙𝑡𝑎 𝑖𝑛𝑓𝑟𝑎𝑠𝑡𝑟𝑢𝑐𝑡𝑢𝑟𝑖 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑡𝑖𝑐𝑒 𝑑𝑒 𝑡𝑖𝑝 𝑐𝑙𝑜𝑢𝑑 𝑠𝑎𝑢 𝑝𝑜𝑡 𝑢𝑡𝑖𝑙𝑖𝑧𝑎 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑖 𝑑𝑒 𝑡𝑖𝑝 𝑐𝑙𝑜𝑢𝑑 𝑓𝑢𝑟𝑛𝑖𝑧𝑎𝑡𝑒 𝑑𝑒 𝑒𝑛𝑡𝑖𝑡𝑎̆𝑡̦𝑖 𝑝𝑟𝑖𝑣𝑎𝑡𝑒, 𝑛𝑒𝑐𝑒𝑠𝑎𝑟𝑒 𝑓𝑢𝑛𝑐𝑡̦𝑖𝑜𝑛𝑎̆𝑟𝑖𝑖

𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑖𝑙𝑜𝑟 𝑝𝑢𝑏𝑙𝑖𝑐𝑒 𝑑𝑖𝑔𝑖𝑡𝑎𝑙𝑒 𝑝𝑒 𝑐𝑎𝑟𝑒 𝑙𝑒 𝑔𝑒𝑠𝑡𝑖𝑜𝑛𝑒𝑎𝑧𝑎̆, 𝑖̂𝑛 𝑐𝑜𝑛𝑑𝑖𝑡̦𝑖𝑖𝑙𝑒 𝑖̂𝑛 𝑐𝑎𝑟𝑒 𝑛𝑢 𝑠𝑢𝑛𝑡 𝑔𝑎̆𝑧𝑑𝑢𝑖𝑡𝑒, 𝑟𝑒𝑠𝑝𝑒𝑐𝑡𝑖𝑣 𝑑𝑒𝑧𝑣𝑜𝑙𝑡𝑎𝑡𝑒 𝑖̂𝑛 𝐶𝑙𝑜𝑢𝑑-𝑢𝑙 𝐺𝑢𝑣𝑒𝑟𝑛𝑎𝑚𝑒𝑛𝑡𝑎𝑙.

Cum APL nu are acces în cloud-ul guvernamental Art.1 (1), entitățile private nu pot deservi din cloud (exclusivitate ADR pe SaaS) îmi este greu să înțeleg despre cine se vorbește că ar fi găzduit sau dezvoltat.

⚠️Alt praf în ochi este noua găselniță numită Control Parlamentar.

Spre deosebire de alte exemple, dealtfel nefuncționale, de astfel de măsură asiguratorie, în cazul nostru Raportul nu îl face 4M ci chiar parlamentarii din comisiile ITC 🤣😊🤣, acesta se citește în plen și .... nimic! Nu există un vot, nu există consecințe !

În general nu există consecințe pentru nimic, nu există sancțiuni în lege iar toate aspectele critice sunt reglementate la nivel de HG sau Ordin, astfel nu poate fi  atrasă răspunderea penală a abuzului în serviciu. Inclusiv acel „Ghid de Guvernanță a Cloud-ului” poate fi ignorat fără consecințe în loc să avem, ca peste tot în lume, un market de servicii de cloud avizate de o entitate specializată. 

În concluzie ....

După atâta timp și dezbatere publică vedem că STS și SRI devin de egală importanță decizională cu MCID și ADR. Prin Art.18 (7) la MCID apare un alt grup de experți externi (cei din proaspătul task-force sunt personal propriu al MCID), și restul 4M capătă dreptul de a-și crea noi UIP-uri cu personal salarizat corespunzător. În rest nicio problema ridicată nu și-a găsit rezolvarea, nu există colaborare cu industria IT și nici o abordare eficientă de migrare astfel încât să vedem beneficii în urma sumelor mari cheltuite.

Legea Interoprabilității - o nouă amânare

Astăzi a avut loc o nouă ședință a comisiei ITC din Senat, pe legea interoperabilității. Practic ce fusese amânat săptămâna trecută deoarece MCID nu avea încă o opinie pe amendamentele propuse de STS, MAI, AMR și ARB.

Astăzi am aflat această opinie - se opun tuturor amendamentelor!

Au fost susținute doar cele ale MAI și AMR, paradoxal guvernul le consideră bune dar le respinge deoarece consideră că modificarea proiectului ar duce la amânări datorită necesarelor consultări cu Comisia Europeană.

Senatorii s-au cam ofuscat plecând de la ideea că dacă modificările sunt bune de ce să nu le aplicăm acum ? Și așa s-a mai amânat o săptămână, timp în care MCID și ADR ar trebui să aibă consultări cu MAI și AMR și să identifice pe texte care sunt punctele problematice.

Nu cred că cele 2 propuneri trebuie tratate la pachet. Nici nu prea cred în povestea cu analiza pe text a Comisiei Europene.

Mai degrabă cred în minima rezistență și refuzul de a-ți complica viața. Sper să mi se dovedească că m-am înșelat.

Achiziție EUDI Wallet (eIDAS #56)

Astăzi Comisia Europeană a demarat achiziția pentru European Digital Identity Wallet. Se va selecta un furnizor care, până la finalul acestui an, va livra un prototip MVP pentru a fi testat de statele membre în large scale projects. Finalizare Q4 2023.

Valoare estimată: 26 mil euro.

Aplicația finalizată (aplicație de mobil + platforme server conexe) vor fi puse la dispoziție de CE ca Open Source.

EUDI Wallet este doar gazda și modalitatea de comunicare a datelor. Inițializarea sa cu date se va face pornind de la un mijloc de identificare cu nivel de asigurare „Ridicat” apoi sunt colectate date online de la unul sau mai mulți furnizori de registre de bază precum și certificate de semnare de la furnizorii specializați.

Concepția high-level aparține unui grup de lucru organizat de CE cu mai bine de 1 an în urmă. 

În Romania ....

Nu există niciun plan de creare a unei scheme naționale de identitate cu nivel „ridicat”. Singura instituție care ar putea practic face asta este MAI în marja proiectului CEI.

Conceptul de furnizor de atribute certificate este schizofrenic între aspectul tehnic care se vrea implementat de PSCID și aspectul legal care este legat de operatorul registrului. Ideea de a folosi PSCID ca proxy/intermediar necesită o construcție juridică foarte pretențioasă la nivel de lege, cu aliniere la eIDAS-ul nou.

Rămân în continuare uimit de lipsa de viziune și planificare a Guvernului României atât timp cât CE și-a publicat clar intențiile și roadmap-ul, ba chiar ne-a cerut și opinia asupra lor.

link procedură achiziție și specificații tehnice: https://ted.europa.eu/udl?uri=TED:NOTICE:309685-2022:TEXT:EN:HTML&src=0

Poziții oficiale vs legea Interoperabilității

Am vești deloc bune despre proiectul de lege al interoperabilității. Astăzi la Senat, la comisia ITC, au fost prezentate pozițiile oficiale ale instituțiilor interesate:

👉STS a propus ca platforma să fie operată de el în locul ADR și să fie găzduită în cloudul guvernamental. Argumentele aduse derivă din relația directă cu participanții pe care o are deja în calitate de ISP precum și din abilitățile tehnice superioare comparat cu ADR.

👉MAI susține proiectul dacă controlul asupra accesării registrului rămâne doar la operatorul său (ADR nu se mai implică în acest sens) și dacă se scot din text cele câteva registre nominalizate expres (unele de la MAI) urmând ca registrele de bază să fie identificate ulterior prin HG.

👉MCID ar fi avut ceva propuneri dar textul concret încă nu ajunsese la reprezentantul său care astfel nu a putut spune decât că ar exista ceva.

⚠️ADR nu a participat, nu știu dacă a fost invitată.

👉ANIS susține ideea inițială dar are nevoie de timp pentru a evalua noile propuneri.

❌Administrația Locală care a trimis propuneri prin AMR nu a fost invitată iar propunerile sale nu au fost menționate nici măcar ca primite.

Așadar ...

Da, ar avea sens să fie în cloud dar ce facem până este acesta gata? Da, STS este mai competent tehnic decât ADR, are reprezentanți în fiecare județ, dar este îndeajuns ?

Lipsa oricărui control extern în privința deschiderii registrelor este exact situația de azi, cu nonrezultatele cunoscute. Pare că MAI vrea să interoperabilizeze registrele sale cândva, când se va decide că-i este convenabil, nimeni nu-l va putea obliga să inițieze HG-ul necesar.

MCID este agățat de bara scării ultimului vagon, ADR a rămas prin gara. Restul instituțiilor și probleme interoperabilității par a nu conta în ochii comisiei IT de la Senat, de altfel astăzi subiectul a atras un cvorum foarte discutabil. 

Concluzia ❓ S-a amânat proiectul.

OUG Cloud și analiza Consiliului Legislativ

Mâine este pe OZ la Senat, ca primă cameră, comisia de ITC, proiectul de lege a interoperabilității. Prilej să analizăm recolta de avize aferente:

👉Consiliul Economic și Social a avizat favorabil, fără comentarii.

👉Consiliul Concurenței a considerat că nu există elemente în coliziune cu concurența sau ajutorul de stat.

👉Consiliul Legislativ are o opinie de o lungime peste medie, axat în principal pe observația că textul nu întrunește criteriile de claritate, precizie, previzibilitate și predictibilitate urmată de 12 pagini de corecturi sugerate.

Avem însă și câteva ridicări de sprâncene din partea CL. Astfel:

👉La 4.1 ne atrage atenția că legea, așa cum este scrisă, va fi aplicabilă domeniilor de ordine publică și apărare națională fiind exceptat doar domeniul securității naționale. Ne sugerează că aceste trei domenii sunt îndeobște tratate unitar.

👉La 4.15 cu privire la Art.18 – cel cu obligarea companiilor private să modifice aplicațiile publice – ne spune că formularea este lipsită de claritate și oferă o reformulare mai favorabilă pentru companii, care adresează doar contractele SaaS.

👉La 4.16 ne spune că articolul care obligă MFP să bugeteze fonduri pentru interoprabilitate in Bugetul Național este inutil și de eliminat

👉La 4.19, despre avizul CTE, ne spun că formularea este stângace și trebuie rescrisă, fără a părea că CL înțelege contextul și limitările funcționării CTE.

⚠️Este un proiect de lege important, ar fi fost de dorit să existe mai multă transparență în comisie, inclusiv posibilitatea de a viziona online lucrările. Cine are trecere pe la președintele comisiei, sen PSD Humelnicu Marius, este binevenit cu o vorbă de susținere.

link analiză Consiliul Legislativ: https://senat.ro/Legis/PDF/2022/22L353LG.pdf

Interviu min Burduja

Avem o nouă intervenție publică a min MCID Burduja. Văd că nu se ferește de întrebări, a răspuns clar și concret la tot ce a putut să-l întrebe gazda. În afara de cele scrise în rezumatul atașat înregistrării, selecția mea adaugă recunoaștere faptului că, instituțional, mai sunt responsabilități de reglat între MCID și ADR precum și faptul că Min Justiției și MAI vor rămâne în afara cloud-ului guvernamental.

După cum am anticipat ne spune că, cu 2 zile în urmă, s-a înțeles cu CE în privința jalonului dedicat semnării contractului de cloud interpretându-l ca fiind semnarea contractului de finanțare. 

Nu în mod surprinzător pentru un om politic are tendința să preia orice afirmație convenabilă chiar dacă nu o poate controla. Mă refer la ideea că C4R va reface site-ul ministerului și, mai ales, că PSCID va rezolva autentificarea pentru site-urile de eguvernare.

Pentru a nu fi nevoie să se parcurgă postările anterioare reiau aceast CAVEAT: identificarea și autentificare au o puternică valență juridică, precedentă aspectelor tehnice. PSCID se construiește în totală absență a normelor legale în privința identificării și autentificării persoanelor, prin copierea unor procedee tehnice folosite in vestul UE. Însă ... 

👉Procedeele tehnice din vest nu sunt compatibile cu CI de carton aflate astăzi în circulație, fapt marcat prin neacceptarea acestor CI în identificarea la distanță în acele țări, spre exemplu în Germania. Chestiune legată direct de lipsa elementelor tehnice de securizare utilizabile într-o sesiune video.

👉A crescut în ultima vreme ostilitatea autorităților naționale pentru protecția datelor personale față de folosirea datelor biometrice pentru identificare și autentificare, respectiv selfie sau flux video. Platforma franceză Aliciem, care oricum avea o procedură mult mai solidă tehnic decât cea descrisă în CS al PSCID, a fost abandonată și înlocuită prin „Décret n° 2022-676 du 26 avril 2022” cu o altă platformă, SGIN, care folosește cip-ul de pe actul francez dar nu și datele biometrice ale posesorului. O discuție cu ANSPDCP pe acest proiect este de mult timp întârziată.

Foarte bun accentul pus pe final în zona alfabetizării digitale, sublinierea necesității pentru succesul eguvernării. Și dacă tot are critici și temeri cu privire la modul în care a fost gândit PNRR sugestia mea ar fi să se aplece peste jaloanele 186 și 187, din perspectiva mea cele mai riscante din C7 PNRR, care își propun să renoveze și să digitalizeze peste 1000 de biblioteci transformându-le în hub-uri de dezvoltare a competențelor digitale.

link interviu: https://www.digi24.ro/.../sebastian-burduja-ministrul...

Șopârle de Cloud

Am povestit în emisiunea de la radio despre concordatul istoric dintre SRI și STS care a dat o șansă cloud-ului guvernamental. În general respectat, poate mai puțin de unele contacte periferice, este un exemplu  demn de urmat de cealaltă „problemă” – bătălia din mediul de afaceri. Un al doilea prag de care se poate împiedica, mortal, proiectul de cloud va fi testat zilele acestea în CDEP, cameră decizională, odată cu Legea de aprobare a OUG 30/2022 cunoscută ca PLx 226/2022.

Aranjamentul agreat, inclusiv prin Memorandum, a împărțit responsabilitățile după cum am mai scris: STS cu IaaS și PaaS, ADR cu SaaS și migrare, SRI cu implicare directă în „siguranțarea” activității ADR și a instituțiilor publice utilizatoare. De la acel moment fiecare partener a început o cursă sub mare presiune pentru a-și rezolva task-urile alocate.

Primele jaloane au fost simple, cunoscute dinainte de August 2021, și ușor de rezolvat în avans.

👉M142 – Q4 2021 – formarea la MCID a unei echipe (azi cunoscută ca task-force) menită a asigura monitorizarea reformelor și investițiilor din capitolul digital al PNRR

👉M143 – Q1 2022 – prezentarea unei viziuni clare și de calitate cu privire la modul, în special instituțional, de organizare a cloud-ului

👉M144 și M145 – Q2 2022 – intrarea în vigoare a legislație specifice pentru cloud și interoperabilitate

👉M153 – Q2 2022 – semnarea contractului pentru implementarea cloudului

👉M154 – Q4 2024 – infrastructura de cloud este parțial finalizată, este posibilă utilizarea acesteia de 30 de instituții

👉M155 – Q4 2025 – cloudul este complet finalizat.

⚠️Oricare proiect din PNRR trebuie finalizat cel târziu în Q4 2025. Degeaba amâni jaloane, 2025 este fixat prin Regulament UE iar nefinalizarea proiectului impune returnarea banilor. Din acest motiv CE a cerut să fie propuse în PNRR doar proiecte mature, eventual chiar cu implementarea începută și așa am ajuns să ne rugăm de STS să ne deturneze 2 data centere aflate pe la jumătatea construcției.

Să vedem ce s-a întâmplat în realitate ❗️

Imediat după semnarea PNRR s-a dezintegrat guvernul PNL-USR iar MCID a fost blocat luni bune de miniștrii interimari sau care au plecat înainte de a se apuca de treabă. Un subiect simplu precum M142 a fost declarat îndeplinit cu întârziere, în Ianuarie 2022 prin HG33/2022.

M143 a fost blocat până în Decembrie 2021 (6 luni pierdute) de lipsa concordatului, soluția Min Teleman ca decizia să fie luată de un consultant fiind de o naivitate evidentă. 

Apoi s-a lucrat intens, în paralel, pentru M143, M144 și M145 cu ADR în trenă și MCID/Sabin Sărmaș disperat agățați de balaur, dornici să pară că au hățurile în mână (volanul era deja furat). Sabin s-a scoborât pe cât de elegant a putut, Min Boloș și-a astupat ochii și urechile cu speranța plecării, dar MCID nu are această oportunitate.

M153 părea, până azi, marele Hop. Așa cum au scris în PNRR, ad-literam, ar trebui ca toată achiziția să fie un contract unic, cu un integrator. Nu este clar beneficiarul, dacă este unic sau o asociere, dar sunt menționate ADR și STS, nu și SRI. Din fericire există probabil flexibilitate la nivelul CE, vor fi finanțați toți trei, ba chiar ar putea considera contractul de finanțare îndeajuns pentru satisfacerea jalonului.

Partea ADR-ului din M154 este lejeră dacă nu au cumva de gând să doarmă următorul an, STS în general se ține de ce-și asumă. M155 este doar o scalare, nu ar fi probleme.

Care este atunci problema ❓

Revenind la task-force și M152 MCID ne-a spus că, de fapt, nu a rezolvat nimic în Ianuarie. Nu a găsit oameni competenți la salariile din minister și, oricum, ar fi păcat să nu dea salarii mari dacă tot sunt decontate din PNRR. Și dacă tot sunt 16 posturi la MCID de ce să nu fie și 50 la ADR ? Așa a apărut OUG 30 din Martie 2022. Unii le-au zis sinecuri, eu am zis să dăm o șansă celor mai buni specialiști.

Însă diavolul este în detalii iar „sinecurile” sunt întotdeauna o bună țintă falsă.

În Art. 3 (2) al OUG 30 este listată, aparent absolut inutil, un fel de fișă de post pentru angajații task-force care include „elaborarea caracteristicilor tehnice ale componentei tehnice de cloud”. Adică experții MCID ar avea decizia asupra proiectului tehnic al STS și ADR.

Este dubios cum un angajat are stabilită prin lege o atribuție care lipsește angajatorului său ‼️

A adăuga această atribuție către MCID nu este numai contrar Memorandumului dar vine în coliziune directă cu legislația achizițiilor publice și Directiva UE care îi stă la bază. Pentru că instituția achizitoare are responsabilitatea finală pentru ce cumpără, input-urile externe pot fi doar sub formă de consultanță care este însușită, sau nu, discreționar.

Însă înainte de legalitate discutăm de oportunitate și experiențele anterioare. Un număr de ani a existat la AADR un grup de experți finanțați pe PO-AT într-o abordare similară cu task-force-ul MCID care, și ei, ofereau consultanță instituțiilor publice pentru elaborarea proiectelor ITC. Bine primiți inițial de administrația publică le-au scăzut ulterior puternic acțiunile când unii au fost observați ca având și puternice conexiuni politice (fostul consilier de stat pentru IT in guvernul Orban, Radu Nicolescu a fost anterior unul dintre ei) iar în CTS am avut discuții aprinse pe unele dintre proiectele lor.

Am toată speranța în noul task-force.

Însă nimeni nu poate ignora posibilitatea ca legăturile lor cu furnizorii IT să nu fie imediat și complet încetate. Aranjamentul în care ei decid iar STS și ADR asumă este intangibil penal, pe sistemul deciziei în 2 pași atât de la modă astăzi.

Greu de spus de ce a ajuns OUG 30 să aibă acel articol. Mulți se pot gândi la multe, îi vom vedea în Parlament cum se vor poziționa. Mă aștept ca unii chiar să vadă cele mai negre scenarii, inclusiv STS.