𝗔𝗺 𝗶̂𝗻𝗻𝗲𝗯𝘂𝗻𝗶𝘁 ?

M-a lovit peste nas OUG 140/2022 care intră spre aprobare în Senat și nu mi-a mirosit deloc bine.

Prin OUG se înființează, ca obligație PNRR, o nouă instituție: 

👉Oficiul pentru Licenţă Industrială, ca organ de specialitate al administraţiei publice centrale, cu personalitate juridică, în subordinea Guvernului şi în coordonarea prim-ministrului, având rolul de raţionalizare, simplificare şi digitalizare a procedurilor specifice în vederea acordării licenţei industriale unice.

Oficiul își va crea o platformă software: Punctul de contact unic electronic pentru licenţe industriale – PCUEL cu următoarele features:

Art. 21 - Accesul la PCUEL

(1) Prin intermediul PCUEL se asigură acces la următoarele informații de interes public:

a) procesul de acordare a licenţei industriale unice;

b) formularele disponibile în format electronic;

c) datele de contact ale autorităţilor competente,;

d) datele de contact ale Oficiului;

e) legislaţia autorităţilor competente aplicabilă emiterii actelor administrative prevăzute la art. 4 lit. g), precum şi legislaţia aplicabilă procesului de acordare a licenţei industriale unice;

f) instrucţiunile de utilizare a PCUEL;

g) informaţiile cu privire la căile de atac disponibile în cazul unui litigiu.

Cu termen de implementare 31.12.2023.

Prima verificare: lista de avizatori. Apare MCID printr-un sds, lipsește ADR.

A doua verificare: PNRR. Pag. 336 Componenta 9, Reforma 1. Nu există obligativitatea înființării unei noi instituții⚠️ ci doar „intrarea în vigoare a legii de punere în aplicare a regimului unic de acordare a licențelor industriale”.

Pag.337 Investiția 1: „Investiția va consta în înființarea și punerea pe deplin în funcțiune a unei platforme digitale publice care va furniza servicii publice întreprinderilor legate de înființarea/ieșirea de pe piață a firmelor, autorizarea reprezentanțelor străine în România și obținerea de licențe pentru industrie.”

⚠️Așadar în 12 luni cineva crede că: se va emite HG-ul care reglementează organigrama noii instituții, se va face rectificare bugetară pentru finanțarea ei, vor fi angajate persoane, angajații vor scrie proiectul și vor derula achiziția publică, câștigătorul va livra platforma ‼️ ‼️

𝗔𝗺 𝗶̂𝗻𝗻𝗲𝗯𝘂𝗻𝗶𝘁 ?

Mic îndrumar pentru voluntarii la stat

Aceasta va fi o postare extrem de lungă, dar necesară celor care vor să înțeleagă corect administrația publică. Pretextul este o postare a lui Mihai Matei în care acesta povestește cum firma sa a creat o aplicație pentru arși pe care, după finalizare, Ministerul Sănătății a ignorat-o total.

Până aici avem o poveste tristă care ne capacitează emoțional.

Însă între comentarii apare unul al d-lui Mihai Grecea, partenerul de discuții din interiorul ministerului, în care ne prezintă amintirile sale oferindu-ne astfel o perspectivă cu valoare istorică.

Deși este lung, pentru a nu săpa voi printre comentarii, îl citez complet aici, apoi îl voi comenta și eu.

Ne îndreptăm spre eID-uri furnizate de industrie ? (eIDAS #62)

L-am provocat astăzi pe dl. Floarea, de la Certsign, să ne spună în cadrul conferinței DNSC opinia sa despre următorul scenariu, nu chiar S.F.

Deși astăzi nu avem legal identitate digitală în România, cum nu avem nici vreo Autoritate Națională Competentă desemnată pe acest subiect, totuși să facem un experiment imaginar și să ne închipuim o Românie care trece brusc de la „nimic” la un ecosistem compus din Cartea Electronică de Identitate de la MAI, platforma tehnică PSCID a ADR și o schemă națională notificată la care aderă companii private pentru a emite identități electronice.

L-am întrebat cum vede acest scenariu, dacă există stres, provocări, contraindicații.

Este probabil necesar să clarific pentru publicul larg.

Pentru ca un mijloc de identificare electronică să fie opozabil față de terți (alții decât cine l-a emis) este obligatorie o formă de normă legală. Pentru recunoașterea la nivelul UE trebuie parcursă procedura de notificare și evaluare de către celelalte state membre.

CEI este un caz special, fiind un document național de identitate cu utilizare și în zona de apărare, securitate și ordine publică, evaluarea care urmează notificării este mai simplă, mai puțin intruzivă.

Însă pentru orice altceva dosarul de notificare este o provocare serioasă.

Pentru a îndulci problema, la nivel național este posibilă recurgerea la scheme. O schemă este un set unic de proceduri notificate o singură dată la care pot adera oricâte entități, mai ales private. Astfel pentru un nou furnizor nu mai este necesară parcurgerea procedurii europene ci este îndeajuns un audit comandat de către Autoritatea Națională Competentă cu privire la respectarea prevederilor Schemei.

O schemă este, în teorie, creația unui grup de inițiativă însă, practic, Autoritatea Națională joacă frecvent un rol în stimularea apariției ei.

În construcția ecosistemului din acest scenariu sunt câteva puncte sensibile.

Dacă sunt mai multe companii cu vocație pentru aderare la viitoarea schemă deciziile cu privire la schemă le pot afecta diferit. Cu cât schema este mai apropiată de modul de lucru al unei companii cu atât aceasta va cheltui mai puțin pentru implementarea și auditarea schimbărilor necesare, cu atât timpul de lansare a produsului va fi mai scurt. Reciproc, celelalte companii se pot găsi în situația de a cheltui mai mult și de a găsi piața ocupată de primul lansat.

În privința platformei PSCID apariția unei scheme poate eventual masca, prin cascadare, eventuale slăbiciuni structurale. Auditul european nu ar mai fi direct pe PSCID ci pe schemă, iar cel dintre schemă și platformă ar putea fi mai prietenos. Însă rămâne problema de bază – operatorul PSCID nu poate fi simultan și Autoritate Competentă, mă întreb ce instituție publică ar accepta să preia PSCID presupunând că ar fi legal și financiar posibil.

Și rămâne întrebarea din eveniment apropo de existența unei strategii naționale. Identitatea digitală este, by default, un subiect al statului. Implicarea unor emitenți privați este permisă de eIDAS cu titlu de excepție – oare unde s-a dezbătut și cine a aprobat un astfel de drum?

Revenind la întrebare și răspuns.

Dl. Floarea crede că orice variantă trebuie luată în considerare și că nu trebuie să ne speriem de eventuale riscuri de securitate. Mai multe nu ne-a spus, cu toate că am încercat să formulez întrebarea astfel încât să-i ofer posibilitatea de a susține public și asumat scenariul de mai sus. Video aici.

Rămâne să vedem, dacă va exista ocazia, și viziunea ADR, MCID.

P.S. Wallet-ul european este o complicație suplimentară. Dacă rămâne varianta a V-a de text eIDAS 2 atunci va fi inițializat cu o identitate de „nivel ridicat” pe care în România abia ar putea să o emită MAI. Existența în portofel și a altor identități, de la alți furnizori, ar putea să nu aibă sens cât timp tehnologia walletului permite selectarea atributelor prezentate la momentul identificării dar asta este o altă discuție, pentru un alt număr de caractere.

Consiliului Național pentru Transformare Digitală

Spuneam în postarea anterioară, dedicată învățămintelor OECD, despre colaborarea și co-crearea dintre instituțiile publice și societatea civilă că:

„Cândva vom ști cum să o facem elegant, productiv, fără încrâncenare și vom avea un stat care va fi cu adevărat suma valorilor sale.”

Acel moment nu a sosit încă, cel puțin nu la ADR.

În urmă cu prea multă vreme ADR a făcut valuri de imagine chemând specialiștii țării să se înscrie în Consiliului Național pentru Transformare Digitală (CNTD). Au făcut-o în jur de 700.

Apoi au fost ignorați.

Sabin Sărmaș nu a ezitat să declare înființat un „Board CNTD” pentru care nu există bază legală dar în legătură cu care putem observa, statistic, o apetență pentru oameni proveniți din Cluj, urbea sa natală.

Boardul CNTD le-a fost prilej de mândrie și networking de câteva ori membrilor săi fără mize reale și, mai ales, fără niciun demers de capacitare a sutelor de voluntari.

Aceștia practic nu mai există pentru ei!

Iată însă că noul ADR exagerează vechile metehne.

Nu numai că apelează la „Boardul CNTD” în ciuda lipsei sale de reprezentativitate ci chiar îl folosește ca acoperire pentru invitarea unui mare număr de companii care nu sunt membre.

Nu spun că dialogul cu acestea nu este util, nu spun că nu trebuia discutat cu ele.

Spun însă că măcar ar fi trebuit publicate documentele pentru toți membrii CNTD simultan cu comunicare lor acestor invitați.

Probabil că cei 700 sunt astăzi atât de scârbiți de această poveste încât nici nu-i mai interesează subiectul.

Mâine poate chiar vom avea nevoie de ei. Nu pentru soluții tehnice ci pentru o credibilitate esențială chiar și pentru cel mai onest proiect.

Cloudul guvernamental este proiectul pentru care credibilitatea este cheia de boltă.

Păcat!

HG cloud pe circuit

A trecut o lună de la demararea dezbaterii proiectului de HG pentru cloudul Guvernamental. A existat ședința publică despre care am scris și a rezultat un nou text care a plecat pe circuitul de avizare interinstituțională.

Astăzi public această versiune rezultată din dezbatere, m-am așteptat să o publice MCID pe pagina proprie însă cred că timpul a sosit, acum, când instituțiile și-au făcute deja opinia proprie, este și momentul publicului larg.

Pentru a lega postările de analiză care vor urma de momentul dialogului public menționez că „gluma” mea de final de discurs, deși a fost apreciată de ADR și promisă a fi corectată, este încă validă:

Art.39 (12) USC verifică ștergerea sau returnarea tuturor datelor cu caracter personal încredințate FSC după încheierea prestării serviciilor de către acesta.

Spuneam la microfon că, dacă există suspiciunea că un operator de cloud comercial FSC nu șterge datele utilizatorului USC după terminarea contractului, în nici un USC (primăria de comună) nu poate avea sarcina de a verifica acest lucru ci ar trebui să fie obiectivul unei instituții specializate. Răspunsul la cald a fost că este doar o obligație a utilizatorului să-și șteargă expres datele și să nu se bazeze că închiderea contului va duce la ștergerea lor.

Din păcate a rămas „după încheierea prestării serviciilor de către acesta”, ar fi fost atât de simplu să fie „după” înlocuit cu „înainte”.

Deși comercial (deja contractul nu mai există) și operațional (câtă lume înțelege cât de complicat este cu adevărat un mare cloud comercial) această cerință este vădit imposibilă totuși premisa din spatele ei, riscul, există și astfel o astfel de prevedere nu poate fi ignorată la aplicare pe motiv că ar fi o vădită eroare materială.

Și uite așa, de la o glumiță menită a testa atenția cititorului ajungem, prin menținerea după semnalare, pe un teren fertil pentru speculații cu privire la intenția scriitorului.

Vor urma însă postări despre probleme mai substanțiale.

Cum lucrăm cu funcționarii publici

Să convingi funcționarii publici sau să-i conduci cu o mână de fier?

Plăcerea mea,( sau aroganța? ), a fost întotdeauna să-i conving, poate cu speranța secretă că odată ce sunt parte trup și suflet din proiect îl vor duce, fără mult stres din partea mea, mai departe.

Instinctul mi-a spus însă întotdeauna că mâna de fier este soluția.

Realitatea este că de multe ori am reușit să-i învăț dar nu să-i conving. Noile cunoștințe le clădesc un sistem solid dar pe care îl resping instinctiv, refuză să-l aplice, nu-i găsesc hibe dar nici benzină.

Mi-au luat ani de experimente pentru a ajunge la rezultate.

Am furat meserie de la puținii oameni din administrația publică care au performat.

Voi fi oricând doritor să particip într-o discuție pe acest subiect. 

Ciprian este profesionistul în acest domeniu al culturii organizaționale care a avut neșansa să fie pus direct și neașteptat în fața celui mai masiv și extremist pacient. Mă bucur să văd că perioada sa de asimilare a experienței ca ministru pare să se fi încheiat, cred că ar putea contribui semnificativ pe acest subiect.

Vedeți din postarea sa, și comentariile asociate, că administrația noastră nu este o întâmplare ci un sistem modelabil pivotat în jurul unor trăsături măsurabile. Dezvoltarea acestei discuții poate fi de mare ajutor atât pentru decidenți cât și pentru angajații publici.

În definitiv primul pas spre vindecare este să înțelegi exact ce problemă ai.

Am vorbit pentru OECD

 

Misiunea OECD în România, care derulează un program de sprijin al Guvernului României, a pus astăzi stăpânire pe Palatul Victoria organizând două trackuri paralele de seminarii publice.

M-au invitat și am vorbit despre experiența dialogului în procesul de creare a normelor și politicilor publice. Am dat exemple pozitive (cloudul guvernamental) și negative (🙊), am spus că trebuie să evoluăm cultural și emoțional împreună, ambele părți ale mesei.

Cândva vom ști cum să o facem elegant, productiv, fără încrâncenare și vom avea un stat care va fi cu adevărat suma valorilor sale.

Poate vor reuși ei să ne ajute în acest proiect.

Tehnicalitati la PKI CEI (eIDAS #61)

În urma deciziei CNSC a fost publicată o clarificare ce conține informații plăcute de citit pentru oamenii tehnici despre infrastructura PKI aferentă proiectului pilot CEI de la Cluj. Iată pasajul:

„• Implementarea s-a bazat exclusiv pe soluţii open-source, respectând standardele deschise aplicabile în domeniu. Nu s-au utilizat soluţii proprietare din punct de vedere tehnologic, care să îngrădească eventuale extinderi/migrări ale soluţiei implementate .

• Implementarea PKI MAI este găzduita în centrul de date al DEPABD într-un mediu virtualizat - Maşini virtuale în orchestraţie Proxmox, în care s-a configurat un deployment aplicativ containerizat tip Docker.

• Platforma PKI este asigurată la nivel Software de o soluţie open-source, respectiv EJBCA, fiind implementate şi configurate on-site pentru proiectul CEI modulele CA, RA şi VA. Funcţionalităţile de bază privind managementul certificatelor sunt configurate la nivelul soluţiei.

• Soluţia EJBCA expune în mod securizat servicii SOAP - api - generic de interacţiune automatizată cu aplicaţia de personalizare.

• La nivelul PKI a fost configurată o structură de certificare reprezentată de Autoritatea Root şi un subCA responsabilă de emiterea efectivă a certificatului MAI prezent pe cipul contact.

· Totodată, pentru stocarea cheilor este utilizată Solutia SoftHSM2 - containerizată la nivelul instant.eiactive.

• Profilul certificatul MAI este configurat să ofere funcţionalităţi de autentificare şi semnare şi este stocat în cipul contact în zona alocată certificatelor digitale. Valabilitatea certificatelor digitale este de 3 ani.

• Cheile private asociate fiecărui certificat digital sunt generate on-card în timpul procesului de personalizare.

• Standardul criptografic pentru emiterea certificatelor digitale utilizat este SHA - 256.

 • Precizam că, numărul actual de certificate digitale emise este unul destul de mic şi anume 4150, estimând o creştere la aproximativ 1OOO de certificate digitale pe lună.”

În general astfel de informații nu sunt publice deoarece pot ajuta un eventual atacator. Vestea bună este că procedura de achiziție se reactivează începând cu 10 Oct.

HG Cloud in avizare

Astăzi și-a început drumul pe circuitul de avizare HG-ul de cloud. O versiune mult mai clară, cea pe care ar fi trebuit să o avem pe masă din prima zi.

Multe lucruri au fost clarificate și astfel au dispărut cele mai pesimiste scenarii.

Unele opțiuni au rămas și vor naște discuții. Și acestea au beneficiat de eliminarea unor vulnerabilități de natură juridică printr-o mai atentă redactare.

Nota de Fundamentare este neobișnuit de consistentă și conține unele viziuni care ar fi putut fi mai bine reliefate în HG.

Se merge, însă în formulări timide, spre un sistem centralizat de utilizare securizată și economică a serviciilor de cloud comercial. Doar de pe teritoriul UE 😊

Voi mai avea nevoie de câteva sesiuni de analiză, în special diferențială, pentru a înțelege de ce au fost refuzate anumite idei și direcții și ce consecințe pot avea acestea.

Înțeleg că această versiune va fi publicată în curând și pe secțiunea de transparență a site-ului MCID.

Când cred eu că merită să începem să-i credem

Acum, că Radu le-a spus elegant ce era de spus, pot completa și eu cu câteva chestiuni aplicate.

Concret, oricând veți vedea o lege de 2 pagini care „învinge birocrația” să știți că efectul este zero. Nu este o constatare empirică ci o consecință a sistemului legal românesc.

Cel mai important lucru de reținut este că orice se întâmplă într-o procedură administrativă se naște dintr-o normă legală, funcționarii sunt selectați astfel încât să aibă un aport decizional minim.

Am studiat consecvent acest aspect, singura acțiune întâlnită fără o bază legală explicită ci mai degrabă de natură religioasă, este solicitarea copiei după buletin.

Fie legi dedicate unui aspect, fie  norme de funcționare a instituției, în ambele cazuri acestea sunt legi specifice și se aplică 'lex specialis derogat legi generali'.

Adică funcționarul public are pe masă două norme. Una îi spune cum să facă ceva, cealaltă îi spune să nu o mai facă fără să-i ofere altă variantă. Dacă ambele norme sunt legi atunci funcționarul este obligat să o aplice pe cea specifică. Dacă norma specifică este HG sau HCL funcționarul are de ales: continuă cu cea specifică sau oprește activitatea.

⚠️Ar putea fi o formă de grevă a funcționarilor publici de mare impact. Activitate blocată, leafa merge, vina este la politicieni. Caveat!

Cel mai vechi exemplu de lege aproape fără impact este legea semnăturii electronice L455 din 2001. Spune că semnătura electronică calificată este echivalentă cu cea olografă. Însă există numeroase prevederi legale care sunt scrise în minte doar cu semnătura olografă, inclusiv codul de procedură civilă. În loc să revoluționeze societatea a rămas doar un sprijin pentru cei care creează norme noi și vor să introducă documente electronice. Legi cu care ar trebui să fie în simbioză precum Legea Arhivelor Naționale au rămas neatinse din anii 90.

Am demonstrat că poți face digitalizare cu aceste legi. Însă efortul de convingere a aparatului este imens.

Aud că din nou „salvăm nația” cu o nouă lege a semnăturii electronice. La un moment dat era chiar înghesuială, vreo 3 proiecte în paralel.

Hai să vă spun când cred eu că merită să începem să credem.

1. Nu este un proiect de lege simplă ci o lege de modificare a altei legi, de preferință a Codului Administrativ.

2. Nu spune că abordează tot ci doar un sector de activitate.

3. Conține numeroase prevederi de tip abrogare.

4. Conține o listă a normelor subsecvente care trebuie modificate și există un termen pentru modificarea lor.

5. Este o lege de administrație publică și nu de digitalizare

Dacă cele de mai sus sunt îndeplinite putem să vedem cât de bine este scrisă și dacă poate fi îmbunătățită. Efortul pentru o astfel de abordare este însă mult mai mare iar expertiza necesară, din păcate, depășește normalul parlamentului României. La nivelul guvernului expertiza necesară poate fi agregată doar cu un stimul puternic din partea prim-ministrului. Ultima dată s-a făcut în SCAP, însă pe prea multe direcții simultane.