Comunica experienta
MonitorulJuridic.ro
Email RSS Trimite prin Yahoo Messenger pagina:  DECIZIA nr. 70 din 28 februarie 2023 referitoare la obiecţiile de neconstituţionalitate a dispoziţiilor art. 3 alin. (1) lit. c), art. 21 alin. (1), art. 22, art. 25, art. 41, art. 48 şi art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative Twitter Facebook
Cautare document
Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X

 DECIZIA nr. 70 din 28 februarie 2023 referitoare la obiecţiile de neconstituţionalitate a dispoziţiilor art. 3 alin. (1) lit. c), art. 21 alin. (1), art. 22, art. 25, art. 41, art. 48 şi art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative

EMITENT: Curtea Constituţională
PUBLICAT: Monitorul Oficial nr. 211 din 14 martie 2023
Comenteaza legea

┌───────────────────┬──────────────────┐
│Marian Enache      │- preşedinte      │
├───────────────────┼──────────────────┤
│Mihaela Ciochină   │- judecător       │
├───────────────────┼──────────────────┤
│Cristian Deliorga  │- judecător       │
├───────────────────┼──────────────────┤
│Dimitrie-Bogdan    │- judecător       │
│Licu               │                  │
├───────────────────┼──────────────────┤
│Laura-Iuliana      │- judecător       │
│Scântei            │                  │
├───────────────────┼──────────────────┤
│Gheorghe Stan      │- judecător       │
├───────────────────┼──────────────────┤
│Livia Doina Stanciu│- judecător       │
├───────────────────┼──────────────────┤
│Elena-Simina       │- judecător       │
│Tănăsescu          │                  │
├───────────────────┼──────────────────┤
│Varga Attila       │- judecător       │
├───────────────────┼──────────────────┤
│Cristina Teodora   │-                 │
│Pop                │magistrat-asistent│
└───────────────────┴──────────────────┘

    1. Pe rol se află soluţionarea obiecţiilor de neconstituţionalitate a dispoziţiilor Legii privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, obiecţii formulate de un număr de 57 de deputaţi, aparţinând grupului parlamentar al USR şi deputaţi neafiliaţi, şi, respectiv, de Avocatul Poporului.
    2. Obiecţiile de neconstituţionalitate au fost înregistrate la Curtea Constituţională sub nr. 9.054 din 22 decembrie 2022 şi sub nr. 9.125 din 27 decembrie 2022 şi constituie obiectul dosarelor nr. 2.926 A/2022 şi nr. 2.948 A/2022.
    3. În motivarea obiecţiilor de neconstituţionalitate referitoare la prevederile Legii privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative sunt formulate critici de neconstituţionalitate intrinsecă, după cum urmează:
    4. Cu privire la dispoziţiile art. 3 alin. (1) lit. c) din legea criticată, se susţine că acestea sunt lipsite de claritate, întrucât reglementează o sferă prea largă de persoane fizice şi juridice cărora li se adresează soluţia legislativă analizată, aspect care determină incidenţa textului criticat în cazul oricărui serviciu informatic care se bazează pe un sistem informatic; sunt date drept exemplu, SaaS în cloud, conturile de Facebook, Instagram, Gmail sau Yahoo, serviciile de acces la legislaţie online, serviciul de notificări al Parlamentului European, precum şi serviciile online similare celor anterior menţionate.
    5. Se arată că prevederile art. 3 alin. (1) lit. c) din legea ce formează obiectul controlului de constituţionalitate nu identifică şi nu definesc, în mod clar şi previzibil, persoanele fizice şi persoanele juridice care furnizează servicii publice sau de interes public, în contextul în care acestea sunt altele decât persoanele fizice şi juridice de drept privat care deţin reţelele şi sistemele informatice pe care le utilizează în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale. În acest sens, este invocată jurisprudenţa Curţii Constituţionale referitoare la calitatea legii, respectiv Decizia nr. 26 din 18 ianuarie 2012, Decizia nr. 473 din 21 noiembrie 2013, Decizia nr. 139 din 13 martie 2019 şi Decizia nr. 681 din 21 octombrie 2021, precum şi dispoziţiile art. 36 alin. (1) din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, fiind subliniată existenţa obligaţiei constituţionale a Parlamentului de a adopta legi care să respecte standardele de claritate, precizie şi previzibilitate specifice calităţii legii, astfel cum acestea rezultă din prevederile art. 1 alin. (5) din Constituţie.
    6. Se susţine că, în condiţiile lipsei de claritate, precizie şi previzibilitate a textului criticat, autoritatea executivă, respectiv Guvernul, îşi va exercita atribuţia prevăzută la art. 108 alin. (2) din Constituţie, de adoptare a hotărârii pentru organizarea executării legii criticate, în mod defectuos; astfel, autorii criticii argumentează că legiuitorul primar lasă o marjă largă de apreciere legiuitorului delegat cu privire la categoriile de persoane fizice şi juridice care furnizează servicii publice ori de interes public, fără indicarea unor criterii de identificare clare a acestora, fapt ce poate determina o reglementare infralegală trunchiată, incompletă sau prea generală, dar în niciun caz exhaustivă. Se susţine că hotărârile Guvernului se adoptă întotdeauna în baza legii, fiind secundum legem şi urmărind organizarea executării şi executarea în concret a legii, motiv pentru care se apreciază că este obligatoriu ca legea să realizeze, la nivel primar, un cadru normativ clar, precis şi previzibil, atât pentru persoanele fizice şi juridice destinatare ale legii, cât şi pentru instanţele judecătoreşti, întrucât un eventual control de legalitate realizat asupra unui act administrativ, cum este o hotărâre a Guvernului, trebuie să poată fi raportat la repere clare şi previzibile; or, transferând Guvernului marja de apreciere a criteriilor în funcţie de care sunt determinaţi destinatarii normei legale criticate, legiuitorul lasă cale liberă arbitrarului şi abuzului de putere. Aşadar, se susţine că soluţia legislativă prin care legiuitorul primar transferă în sarcina Guvernului reglementarea, prin hotărâre a Guvernului, iniţiată de Ministerul Cercetării, Inovării şi Digitalizării, a categoriilor de persoane prevăzute la art. 3 alin. (1) lit. c) din legea analizată, hotărâre care va fi adoptată în cel mult 60 de zile de la data intrării în vigoare a legii criticate, este în dezacord cu dispoziţiile Legii fundamentale, deoarece norma primară nu stabileşte în mod clar şi concret criteriile în limita cărora Guvernul, ca putere executivă, este abilitat să asigure punerea în executare a legii criticate. Se arată că lipsa de claritate, precizie şi previzibilitate a noilor reglementări determină imposibilitatea identificării exacte a destinatarilor legii analizate şi, în consecinţă, a obligaţiilor ce le revin potrivit aceleiaşi legi, astfel încât aceştia să îşi poată adapta conduita la exigenţele impuse prin dispoziţiile sale. Or, pentru a fi înţeleasă şi respectată de către destinatarii săi, legea analizată trebuie să îndeplinească cerinţele de claritate, precizie şi previzibilitate prevăzute la art. 1 alin. (5) din Constituţie, precum şi la art. 6, art. 8 şi art. 23 din Legea nr. 24/2000. Se face trimitere la jurisprudenţa Curţii Constituţionale, respectiv la deciziile nr. 189 din 2 martie 2006, nr. 903 din 6 iulie 2010, nr. 26 din 18 ianuarie 2012, nr. 348 din 17 iunie 2014, nr. 17 din 21 ianuarie 2015, nr. 63 din 24 februarie 2015 şi nr. 302 din 4 mai 2017, fiind invocată, totodată, jurisprudenţa Curţii Europene a Drepturilor Omului, respectiv Hotărârea din 4 mai 2000, pronunţată în Cauza Rotaru împotriva României, paragraful 52, şi Hotărârea din 25 ianuarie 2007, pronunţată în Cauza Sissanis împotriva României, paragraful 66.
    7. Se arată, de asemenea, că dispoziţiile art. 3 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative contravin principiului securităţii juridice reglementat de aceeaşi normă constituţională prevăzută la art. 1 alin. (5) din Legea fundamentală. Se face trimitere la jurisprudenţa Curţii Constituţionale potrivit căreia statul are obligaţia constituţională de a asigura atât o stabilitate firească a dreptului, cât şi valorificarea, în condiţii optime, a drepturilor şi a libertăţilor fundamentale, fiind indicate deciziile nr. 51 din 25 ianuarie 2012, nr. 90 din 7 februarie 2012, nr. 454 din 4 iulie 2018, nr. 836 din 13 decembrie 2018, nr. 240 din 3 iunie 2020, nr. 504 din 30 iunie 2020, nr. 187 din 17 martie 2021, nr. 478 din 8 iulie 2021 şi nr. 688 din 21 octombrie 2021. De asemenea, este invocat paragraful 69 din Decizia nr. 17 din 21 ianuarie 2015.
    8. Se susţine, totodată, că actul normativ criticat impune persoanelor prevăzute la art. 3 alin. (1) lit. c) o serie de sarcini oneroase, care vor avea asupra acestora un impact economic semnificativ, întrucât vor fi obligate să suporte din bugetele proprii cheltuielile necesare îndeplinirii obligaţiilor prevăzute în sarcina lor prin legea care face obiectul sesizărilor. Se face referire, cu titlu exemplificativ, la obligaţiile reglementate la art. 21 alin. (1), art. 24, art. 29 şi art. 37 din legea analizată, arătându-se că, printre obligaţiile anterior referite, se numără şi cea de luare a măsurilor proactive şi reactive pentru asigurarea rezilienţei în spaţiul cibernetic (cu titlu de exemplu: constituirea şi antrenarea echipelor de răspuns la incidente de securitate cibernetică; asigurarea resurselor umane specializate pentru dezvoltarea de strategii, norme, politici, proceduri, analize de risc, planuri şi măsuri de control tehnic privind apărarea şi securitatea cibernetică etc.), dar şi obligaţia de a asigura, pentru personalul propriu, formarea profesională, educaţia şi instruirea în domeniul securităţii şi apărării cibernetice, prin cursuri, exerciţii, conferinţe, seminare, precum şi alte tipuri de activităţi. Se arată că aceste obligaţii sunt reglementate în sarcina exclusivă a persoanelor prevăzute la art. 3 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, îndeplinirea lor fiind extrem de oneroasă, pentru realizarea acestora legea analizată neprevăzând acordarea niciunui sprijin financiar de către stat. Se arată că limitarea exerciţiului unor drepturi ale persoanelor fizice şi juridice vizate de actul normativ criticat, în considerarea unor drepturi colective şi a unor interese publice ce vizează siguranţa naţională, încalcă justul echilibru care trebuie să existe între asigurarea drepturilor şi intereselor legitime individuale, pe de o parte, şi asigurarea interesului public, al societăţii, pe de altă parte, legea criticată nereglementând garanţii suficiente care să asigure o protecţie eficientă a drepturilor şi a intereselor individuale faţă de riscul apariţiei arbitrarului şi al abuzului de putere.
    9. Sunt invocate dispoziţiile Directivei (UE) 2016/1.148 a Parlamentului European şi a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune (Directiva NIS 1) şi ale Directivei (UE) 2022/2.555 a Parlamentului European şi a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 şi a Directivei (UE) 2018/1.972 şi de abrogare a Directivei (UE) 2016/1.148 (Directiva NIS 2), despre care se afirmă că exceptează întreprinderile mici şi mijlocii de la obligaţiile din domeniul securităţii informatice.
    10. Autorii criticilor apreciază concluziv că măsurile adoptate prin textul de lege criticat nu au un caracter clar, precis şi previzibil, că ingerinţa statului în exercitarea activităţii persoanelor fizice şi juridice prevăzute în legea criticată nu are un caracter strict necesar într-o societate democratică, că această ingerinţă nu este pe deplin justificată şi că legea analizată nu respectă principiul proporţionalităţii, întrucât nu prevede garanţii adecvate în raport cu obligaţiile instituite, pentru toate aceste motive textul criticat încălcând prevederile art. 1 alin. (5) din Constituţie.
    11. Referitor la dispoziţiile art. 21 alin. (1) şi ale art. 22 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, se susţine că, prin normele anterior menţionate, legiuitorul primar completează sfera destinatarilor vizaţi de Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, precum şi sarcinile impuse acestora, creând astfel, un paralelism legislativ, care cuprinde şi reglementări contrare, aspect care generează incoerenţă legislativă. Se arată că Legea nr. 362/2018 stabileşte cadrul juridic şi instituţional, măsurile şi mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice şi a stimulării cooperării în domeniu, fiind o transpunere a Directivei (UE) 2016/1.148 (Directiva NIS 1). În acest context, se apreciază că textele criticate extind obligaţiile de raportare a incidentelor cibernetice de la câteva sectoare critice şi aproximativ 700 de firme şi autorităţi mici şi mari, la, probabil, câteva sute de mii de persoane juridice, aspect care este considerat excesiv de către legislaţia Uniunii Europene. Se susţine că, pentru acest motiv, dispoziţiile legale criticate încalcă punctul 53 din Preambulul Directivei (UE) 2016/1.148 (Directiva NIS 1), potrivit căruia „pentru a evita impunerea unei sarcini financiare şi administrative disproporţionate asupra operatorilor de servicii esenţiale şi a furnizorilor de servicii digitale, cerinţele ar trebui să fie proporţionale cu riscurile la care este expusă reţeaua şi sistemul informatic în cauză, ţinând seama de cea mai avansată tehnologie corespunzătoare unor astfel de măsuri. În cazul furnizorilor de servicii digitale, aceste cerinţe nu ar trebui să se aplice microîntreprinderilor şi întreprinderilor mici“. Se arată, totodată, că Directiva (UE) 2022/2.555 (Directiva NIS 2) limitează aplicarea normelor privind asigurarea securităţii cibernetice la anumite domenii şi la întreprinderile medii şi mari, fiind excluse întreprinderile mici şi mijlocii; prin urmare, ar trebui ca obligaţia de raportare a incidentelor de securitate cibernetică, reglementată la art. 21 din legea criticată, să fie prevăzută doar pentru autorităţile/instituţiile din sectorul public, lăsând pentru entităţile din mediul privat doar facultatea (nu obligaţia) de a face sesizări către Platforma naţională pentru raportarea incidentelor de securitate cibernetică (PNRISC). Astfel, se arată că „aparent, sesizarea PNRISC de către victima unui incident de securitate cibernetică pare a fi benefică, deoarece respectiva platformă este special destinată rezolvării unor astfel de incidente. Dar, din cauza definirii neclare în proiectul de lege a noţiunii de incident de securitate cibernetică, se poate ajunge la situaţia în care pentru o simplă virusare sau pentru o aparentă virusare (o nefuncţionare normală) a unui laptop, orice persoană care are o activitate ce poate fi considerată (de către cine?) ca fiind de interes public să fie obligată să sesizeze PNRISC şi, implicit, să pună la dispoziţia specialiştilor PNRISC laptopul, cu toate datele şi informaţiile cu caracter personal conţinute de acel laptop. Aceasta este o intruziune importantă în viaţa privată a persoanei, intruziune asupra căreia deţinătorul laptopului nu are, deşi ar trebui să aibă, un drept de liberă apreciere, adică nu poate opta dacă sesizează sau nu PNRISC, ci există o obligaţie legală strictă, sancţionată sever cu amendă contravenţională, de a se adresa PNRISC şi, implicit, de a pune la dispoziţia unor terţi, o multitudine de date şi informaţii privind viaţa privată, conţinute, de exemplu, într-un laptop, care va fi accesat de terţii care vor rezolva incidentul de securitate cibernetică“.
    12. Pentru aceste motive, se susţine că prin legea analizată legiuitorul primar impune persoanelor fizice şi juridice obligaţii disproporţionate în raport cu scopul legii şi contrare atât punctului 53 din Preambulul Directivei (UE) 2016/1.148 (Directiva NIS 1), cât şi dispoziţiilor Legii nr. 362/2018, motive pentru care actul normativ criticat este în contradicţie cu dreptul Uniunii Europene în materia comunicaţiilor electronice şi contravine dispoziţiilor art. 11 alin. (1) şi art. 148 alin. (2) şi (4) din Constituţie.
    13. Cu privire la prevederile art. 25 din legea ce formează obiectul sesizărilor, se susţine că acestea reiau o normă din cuprinsul legii declarate neconstituţionale în anul 2015 şi că ele creează o obligaţie de delaţiune în sarcina unei categorii de profesionişti care, în mod normal, ar avea obligaţii de confidenţialitate faţă de proprii clienţi. Se arată că aceste persoane sunt obligate ca, la orice solicitare a unei instituţii dintre cele prevăzute la art. 10 din legea analizată, să îşi reclame/denunţe clienţii, fără a exista un mandat judecătoresc şi fără o autorizare expresă; mai exact, acestea sunt obligate să furnizeze informaţii despre starea securităţii unui client sau a unei întregi infrastructuri (care poate include informaţii personale şi secrete ale mai multor clienţi, indiferent dacă aceştia sunt sau nu direct afectaţi de o posibilă vulnerabilitate). Se arată că obligaţia astfel reglementată a fost prevăzută în legea cu acelaşi obiect, declarată neconstituţională prin Decizia nr. 17 din 21 ianuarie 2015.
    14. Referitor la dispoziţiile art. 41 din legea supusă controlului de constituţionalitate, se susţine că procesul de management al riscurilor de securitate cibernetică specifice lanţului de aprovizionare presupune aspecte complexe de securitate cibernetică ce trebuie să fie implementate doar de autorităţile publice şi de firmele mari, conform acquis-ului comunitar existent, făcându-se trimitere, în acest sens, la dispoziţiile Directivei (UE) 2016/1.148 (Directiva NIS 1) şi ale Directivei (UE) 2022/2.555 (Directiva NIS 2). Se arată, totodată, că extinderea sferei persoanelor cărora le sunt aplicabile dispoziţiile directivelor anterior menţionate generează o lipsă de previzibilitate a efectelor pe care legea le-ar putea produce.
    15. Cu privire la prevederile art. 48 din legea analizată, se susţine că acestea reglementează două contravenţii diferite, respectiv omisiunea de „notificare“ a incidentului de securitate cibernetică şi omisiunea de „comunicare completă“ a incidentului de securitate cibernetică. Cu toate acestea, se arată că doar noţiunea de „notificare“ este definită la art. 22 din legea criticată, prin trimitere la Legea nr. 362/2018, iar noţiunea de „comunicare completă“ nu este definită legal, motiv pentru care destinatarul legii nu poate să prevadă dacă atunci când a raportat un incident, respectiva raportare a constituit o „notificare“ sau o „comunicare completă“.
    16. Referitor la dispoziţiile art. 50 şi art. 51 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, se susţine că, prin acestea - respectiv prin textul propus pentru lit. p) a art. 3 din Legea nr. 51/1991 privind securitatea naţională a României - legiuitorul extinde domeniile de securitate naţională dincolo de scopul legii reglementate. Se arată, de asemenea, că legea criticată nu defineşte noţiunile de „campanii de propagandă sau dezinformare“, de „rezilienţa statului“ şi de „riscurile şi ameninţările de tip hibrid“, sfera acestora de aplicare fiind lăsată la aprecierea Guvernului, care le poate defini prin acte infralegale sau, după caz, la aprecierea Serviciului Român de Informaţii care va decide, în fiecare caz în parte, care sunt faptele care aparţin sferei sintagmelor anterior menţionate. Se susţine că această manieră de reglementare este contrară paragrafului 83 din Decizia nr. 91 din 28 februarie 2018, prin care Curtea Constituţională a reţinut că din modul de reglementare a sintagmei „aduc atingere gravă drepturilor şi libertăţilor fundamentale ale cetăţenilor români“ rezultă că „se poate circumscrie unei ameninţări la adresa securităţii naţionale orice faptă/acţiune cu sau fără conotaţie penală care afectează un drept sau o libertate fundamentală. Cu alte cuvinte, sfera de aplicare a dispoziţiei criticate este atât de largă, încât faţă de orice persoană se poate reţine exercitarea unei acţiuni care constituie ameninţare la adresa securităţii naţionale“, precum şi paragrafului 80 din Decizia nr. 802 din 6 decembrie 2018, potrivit căruia caracterul deschis al sintagmei „altor interese ale ţării“ determină posibilitatea introducerii sau excluderii de elemente în/din această categorie, acţiune care se răsfrânge şi asupra limitelor de aplicare a dispoziţiei de lege criticate. În acest mod, limitele de aplicare a dispoziţiei de lege criticate nu mai pot fi cunoscute de destinatarii normei, care, astfel, nu îşi pot corecta conduita şi nu pot fi capabili să prevadă, într-o măsură rezonabilă, consecinţele care pot apărea dintr-un act determinat. Este invocată, totodată, Decizia nr. 379 din 28 mai 2019. Se mai susţine că introducerea tuturor reţelelor şi a sistemelor informatice în sistemul de protecţie a securităţii naţionale este excesivă şi încalcă libertatea de exprimare şi dreptul la viaţă intimă, familială şi privată. Se arată, de asemenea, că anumiţi termeni din cuprinsul legii criticate, precum cel de „infrastructuri informatice şi de comunicaţii de interes naţional“, sunt folosiţi fără a rezulta cu claritate, din ansamblul reglementării, dacă se referă la terminologia definită în cuprinsul altor legi (spre exemplu, în Legea nr. 163/2021 privind adoptarea unor măsuri referitoare la infrastructuri informatice şi de comunicaţii de interes naţional şi condiţiile implementării reţelelor 5G), în timp ce alţi termeni, din cuprinsul aceluiaşi act normativ, beneficiază de o definiţie legală (cum este, spre exemplu, noţiunea „rezilienţa cibernetică“), dar sunt folosiţi în cu totul alt context (spre exemplu, termenul „rezilienţă“ este utilizat în sintagma „rezilienţa statului“).
    17. În ceea ce priveşte norma propusă pentru lit. p) a art. 3 din Legea nr. 51/1991, se arată că aceasta permite calificarea ca infracţiune a faptelor de exprimare a unor opinii neobediente prin raportare la acţiunile statale (de exemplu, opinii referitoare la campania de vaccinare), a faptelor de adresare a unor întrebări incomode sau a celor de formulare a unor opinii contrare politicii oficiale a statului; drept urmare, calificarea ca ameninţări la adresa securităţii naţionale a unor poziţii publice contrare politicii oficiale a statului va face ca autorii acestora să devină subiecţi activi ai infracţiunii prevăzute la art. 404 din Codul penal cu denumirea marginală „Comunicarea de informaţii false“, normă de incriminare potrivit căreia: „Comunicarea sau răspândirea, prin orice mijloace, de ştiri, date sau informaţii false ori de documente falsificate, cunoscând caracterul fals al acestora, dacă prin aceasta se pune în pericol securitatea naţională, se pedepseşte cu închisoarea de la unu la 5 ani“.
    18. În conformitate cu dispoziţiile art. 16 alin. (2) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, sesizarea a fost comunicată preşedinţilor celor două Camere ale Parlamentului, precum şi Guvernului, pentru a comunica punctele lor de vedere.
    19. Preşedintele Camerei Deputaţilor a trimis punctele sale de vedere, prin care apreciază că sesizările de neconstituţionalitate sunt neîntemeiate, pentru următoarele considerente:
    20. Cu privire la criticile de neconstituţionalitate referitoare la lipsa de claritate a dispoziţiilor art. 3 alin. (1) lit. c) şi ale art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, în ceea ce priveşte prevederile art. 3 alin. (1) lit. c) din legea criticată, se arată că sintagma „reţelele şi sistemele informatice ale persoanelor juridice care furnizează servicii publice ori de interes public“, utilizată în cuprinsul art. 3 alin. (1) lit. c) din legea analizată are, conform art. 2 lit. u) din aceeaşi lege, înţelesul definit la art. 3 lit. l) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare, beneficiind, astfel, de o definiţie legală. Referitor la dispoziţiile art. 50 din legea care face obiectul controlului de constituţionalitate, se susţine că, potrivit Hotărârii Parlamentului României nr. 22/2020 privind aprobarea Strategiei Naţionale de Apărare a Ţării pentru perioada 2020-2024, obiectivele naţionale de securitate vizează şi asigurarea securităţii şi protecţiei infrastructurilor de comunicaţii şi tehnologia informaţiilor cu valenţe critice pentru securitatea naţională, precum şi cunoaşterea, prevenirea şi contracararea ameninţărilor cibernetice derulate asupra acestora de către actori cu motivaţie strategică, de ideologie extremist-teroristă sau financiară, precum şi că, în aceeaşi strategie, la pct. 163, este indicat ca sursă de vulnerabilitate nivelul redus de securitate cibernetică a infrastructurilor de comunicaţii şi tehnologia informaţiei din domenii strategice (inclusiv ca efect al vulnerabilităţilor tehnologice şi procedurale ale infrastructurilor deţinute de operatorii de comunicaţii), care facilitează derularea de atacuri cibernetice de către actori statali sau nonstatali. Se face trimitere, în acest sens, la considerentele Deciziei nr. 455 din 4 iulie 2018. Sunt invocate, totodată, jurisprudenţa Curţii Europene a Drepturilor Omului şi jurisprudenţa Curţii de Justiţie a Comunităţilor Europene referitoare la standardele de calitate a legii, făcându-se trimitere la hotărârile din 6 noiembrie 1980, 20 mai 1999, 4 mai 2000 şi 24 august 2007, pronunţate de Curtea Europeană a Drepturilor Omului în cauzele Sunday Times împotriva Regatului Unit al Marii Britanii şi Irlandei de Nord, Rekvényi împotriva Ungariei, Rotaru împotriva României şi Dragotoniu şi Militaru-Pidhorni împotriva României, precum şi la hotărârile din 22 octombrie 1987 şi 14 iulie 1994, pronunţate de Curtea de Justiţie a Comunităţilor Europene în cauzele Foto-Frost împotriva Hauptzollamt Lübeck-Ost şi Paola Faccini Dori împotriva Recreb - S.R.L. Se face trimitere, totodată, la deciziile Curţii Constituţionale nr. 717 din 29 octombrie 2015 şi nr. 534 din 2 iulie 2020.
    21. Pe de altă parte, se susţine că, în condiţiile în care prevederile art. 61 alin. (1) din Constituţie stabilesc că Parlamentul este organul reprezentativ suprem al poporului român şi unica autoritate legiuitoare a ţării, competenţa de legiferare a acestuia cu privire la un anumit domeniu nu poate fi limitată dacă legea astfel adoptată respectă exigenţele Legii fundamentale (se face trimitere la Decizia Curţii Constituţionale nr. 157 din 13 mai 2020). Prin urmare, opţiunea legiuitorului de a legifera în acest sens este un act de voinţă al Parlamentului, iar, în virtutea textului constituţional menţionat, Parlamentul are competenţa de a institui, modifica şi abroga norme juridice de aplicare generală.
    22. Pentru aceste motive, se susţine că prevederile legale criticate întrunesc exigenţele de precizie, previzibilitate şi claritate, cerinţe la care Curtea Constituţională face referire în Decizia nr. 17 din 21 ianuarie 2015.
    23. Referitor la criticile de neconstituţionalitate formulate cu privire la dispoziţiile art. 21 şi art. 22 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, se susţine că, în procedura revizuirii Directivei (UE) 2016/1.148 (Directiva NIS 1) s-a arătat că punerea acesteia în aplicare diferă foarte mult de la un stat membru la altul, inclusiv în ceea ce priveşte domeniul său de aplicare, a cărui delimitare a fost lăsată în mare măsură la latitudinea statelor membre şi că directiva anterior menţionată acordă statelor membre o marjă de apreciere foarte largă în ceea ce priveşte punerea în aplicare a obligaţiilor de raportare privind securitatea şi incidentele cibernetice, motiv pentru care aceste obligaţii au fost transpuse în moduri foarte diferite la nivelul fiecărui stat membru. Se susţine, totodată, că, din considerentul 58 din Preambulul Directivei (UE) 2022/2.555 (Directiva NIS 2), rezultă că procedurile reglementate prin actul european anterior menţionat pot genera sarcini financiare şi/sau administrative în vederea luării măsurilor adecvate pentru gestionarea riscurilor la care sunt expuse serviciile oferite pe pieţele statelor membre, inclusiv în ceea ce priveşte clienţii şi beneficiarii terţi şi notificarea incidentelor de securitate cibernetică.
    24. Se arată, totodată, că obligaţiile în materie de securitate cibernetică prevăzute în Directiva (UE) 2022/2.555 (Directiva NIS 2) trebuie considerate a fi complementare cerinţelor impuse prestatorilor de servicii de încredere în temeiul Regulamentului (UE) nr. 910/2014 şi că acestora din urmă trebuie să li se impună să ia toate măsurile adecvate şi proporţionale pentru a gestiona riscurile la care sunt expuse serviciile lor, inclusiv în ceea ce priveşte clienţii şi beneficiarii terţi şi să raporteze incidentele. Se susţine că astfel de obligaţii în materie de securitate cibernetică şi de raportare ar trebui să vizeze, de asemenea, protecţia fizică a serviciilor prestate.
    25. Cu privire la criticile de neconstituţionalitate referitoare la prevederile art. 25 din legea criticată, se arată că - contrar susţinerilor autorilor sesizării, conform cărora se creează o obligaţie de delaţiune de la o categorie de profesionişti care, în mod normal, ar avea obligaţii de confidenţialitate stricte pentru proprii clienţi - potrivit alin. (2) al art. 25 din legea analizată, datele şi informaţiile prevăzute la alin. (1) al aceluiaşi articol nu vizează, prin scopul solicitării, date cu caracter personal şi date de conţinut. Sunt invocate, în acest sens, dispoziţiile art. 45 şi ale art. 47 alin. (2) din legea criticată.
    26. Pentru aceleaşi motive, se susţine că nu sunt întemeiate nici criticile de neconstituţionalitate formulate cu privire la prevederile art. 41, art. 50 şi art. 51 din legea analizată.
    27. Referitor la dispoziţiile art. 48 din legea criticată, se susţine că acestea sunt suficient de precis şi de clar redactate pentru ca destinatarii normei să observe cu uşurinţă în ce condiţii se notifică un incident de securitate cibernetică.
    28. Preşedintele Senatului şi Guvernul nu au comunicat punctele lor de vedere.
    29. La dosarele cauzelor, Directoratul Naţional de Securitate Cibernetică a trimis un memoriu amicus curiae, prin care solicită respingerea obiecţiilor de neconstituţionalitate.
    30. Obiecţiile de neconstituţionalitate au figurat pe ordinea de zi din data de 15 februarie 2023, dată la care Curtea a conexat dosarele nr. 2.926 A/2022 şi nr. 2.948 A/2022 şi, având în vedere complexitatea cauzei, în temeiul art. 14 din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, a dispus amânarea dezbaterilor asupra cauzei pentru data de 28 februarie 2023.
    CURTEA,
    examinând obiecţiile de neconstituţionalitate, raportul judecătorului-raportor, punctele de vedere ale preşedintelui Camerei Deputaţilor, dispoziţiile legale criticate, reţine următoarele:
    31. Obiectul controlului de constituţionalitate, astfel cum a fost formulat, îl constituie dispoziţiile Legii privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative. Analizând criticile de neconstituţionalitate formulate de autorii obiecţiilor, Curtea reţine însă că aceştia critică, în realitate, dispoziţiile art. 3 alin. (1) lit. c), art. 21 alin. (1), art. 22, art. 25, art. 41, art. 48 şi art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, care au următorul cuprins:
    - Art. 3 alin. (1) lit. c): „În domeniul securităţii cibernetice, prezenta lege se aplică următoarelor: […] c) reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute la lit. a), precum şi de persoane fizice şi juridice care furnizează servicii publice ori de interes public, altele decât cele de la lit. b).“
    – Art. 21 alin. (1): „Persoanele prevăzute la art. 3 alin. (1) lit. b) şi c), au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul PNRISC, de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului.“
    – Art. 22: „Incidentele de securitate cibernetică sunt notificate în PNRISC în condiţiile Capitolului IV, Secţiunea a 2-a din Legea nr. 362/2018, cu modificările şi completările ulterioare.“
    – Art. 25:
    "(1) Furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor prevăzute la art. 10, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, respectiv, în maximum 5 zile de la data primirii solicitării, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1), precum şi interconectarea acestora cu terţii şi cu utilizatorii finali.
(2) Datele şi informaţiile prevăzute la alin. (1) nu vizează, prin scopul solicitării, date cu caracter personal şi date de conţinut.
(3) Datele şi informaţiile prevăzute la alin. (1) se transmit în scris, prin mijloace electronice sau prin orice altă modalitate stabilită de comun acord, în formatul şi structura conforme raportării de incidente cibernetice în PNRISC, prevăzute la art. 22."

    – Art. 41:
    "(1) Persoanele prevăzute la art. 3 implementează procesele de management al riscurilor de securitate cibernetică specifice lanţului de aprovizionare, în conformitate cu prevederile art. 52 alin. (1).
(2) Riscurile lanţului de aprovizionare includ cel puţin următoarele:
    a) livrarea de soluţii informatice false sau contrafăcute;
    b) producţie neautorizată;
    c) manipulare frauduloasă a produselor şi serviciilor software şi hardware, respectiv a sistemelor şi reţelelor informatice;
    d) inserarea de componente software şi hardware false sau contrafăcute;
    e) servicii software şi hardware periculoase pentru funcţionare;
    f) spionaj cibernetic;
    g) compromiteri neintenţionate ale sistemelor şi reţelelor informatice;
    h) practici deficitare de fabricaţie şi dezvoltare de produse software şi hardware."

    – Art. 48:
    "(1) Următoarele fapte constituie contravenţii dacă nu au fost săvârşite în astfel de condiţii încât să fie considerate infracţiuni potrivit legii:
    a) nerespectarea de către persoanele prevăzute la art. 3 alin. (1) lit. b) şi c) a obligaţiei de notificare a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul prevăzut la art. 21 alin. (1);
    b) nerespectarea de către persoanele prevăzute la art. 3 alin. (1) lit. b) şi c) a obligaţiei de comunicare completă a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul şi condiţiile prevăzute Ia art. 21 alin. (2) şi art. 22;
    c) nerespectarea de către furnizorii de servicii de securitate cibernetică a obligaţiei de a pune la dispoziţia autorităţilor prevăzute la art. 10 date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau sistem informatic al deţinătorului sau al unor terţi, în condiţiile şi la termenul prevăzut la art. 25 alin. (1).
(2) Prin derogare de la dispoziţiile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, contravenţiile prevăzute la alin. (1) se sancţionează astfel:
    a) cu amendă de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 200.000 lei;
    b) pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 3% din cifra de afaceri netă.
(3) Cifra de afaceri netă prevăzută la alin. (2) lit. b) este cea înregistrată de operatorul economic în ultimul exerciţiu financiar.
(4) În vederea individualizării sancţiunii prevăzute la alin. (2), agentul de constatare şi aplicare a contravenţiei ia în considerare gradul de pericol social concret al faptei şi perioada de timp în care obligaţia legală a fost încălcată.
(5) Pentru persoanele fizice autorizate, întreprinderile individuale şi întreprinderile familiale, cifrei de afaceri prevăzute la alin. (2) lit. b) îi corespunde totalitatea veniturilor realizate de respectivii operatori economici în exerciţiul financiar anterior sancţionării.
(6) Pentru persoanele juridice nou-înfiinţate şi pentru persoanele juridice care nu au înregistrat cifra de afaceri în exerciţiul financiar anterior sancţionării, amenda prevăzută la alin. (2) se stabileşte în cuantum de minimum unu şi maximum 25 de salarii minime brute pe economie.
(7) În măsura în care prezenta lege nu prevede altfel, contravenţiilor prevăzute la alin. (1) li se aplică dispoziţiile Ordonanţei Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare."

    – Art. 50:
    "La articolul 3 din Legea nr. 51/1991 privind securitatea naţională a României, republicată în Monitorul Oficial al României, Partea I, nr. 190 din 18 martie 2014, cu modificările şi completările ulterioare, după litera m) se introduc trei noi litere, literele n)-p), cu următorul cuprins:
    n) ameninţări cibernetice sau atacuri cibernetice asupra infrastructurilor informatice şi de comunicaţii de interes naţional;
    o) acţiuni, inacţiuni sau stări de fapt cu consecinţe la nivel naţional, regional sau global care afectează rezilienţa statului în raport cu riscurile şi ameninţările de tip hibrid;
    p) acţiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spaţiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituţională."


    32. Dispoziţiile constituţionale pretins a fi încălcate sunt cele ale art. 1 alin. (5) referitoare la calitatea legii, ale art. 11 cu privire la dreptul internaţional şi dreptul intern, ale art. 26 referitoare la viaţa intimă, familială şi privată, ale art. 30 cu privire la libertatea de exprimare, ale art. 147 alin. (4) referitoare la deciziile Curţii Constituţionale şi ale art. 148 alin. (2) şi (4) referitoare la integrarea în Uniunea Europeană.
    (1.) Admisibilitatea obiecţiilor de neconstituţionalitate
    33. În prealabil examinării obiecţiilor de neconstituţionalitate, Curtea are obligaţia verificării condiţiilor de admisibilitate a acestora, prin prisma titularului dreptului de sesizare, a termenului în care acesta este îndrituit să sesizeze instanţa constituţională, precum şi a obiectului controlului de constituţionalitate. Dacă primele două condiţii se referă la regularitatea sesizării instanţei constituţionale, din perspectiva legalei sale sesizări, cea de-a treia vizează stabilirea sferei sale de competenţă, astfel încât urmează să fie cercetate în ordinea antereferită, iar constatarea neîndeplinirii uneia dintre ele are efecte dirimante, făcând inutilă analiza celorlalte condiţii (Decizia Curţii Constituţionale nr. 66 din 21 februarie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 213 din 9 martie 2018, paragraful 38).
    34. Obiecţiile de neconstituţionalitate îndeplinesc condiţiile prevăzute de art. 146 lit. a) teza întâi din Constituţie atât sub aspectul titularilor dreptului de sesizare, întrucât au fost formulate de un număr de 57 de deputaţi, dintre care deputaţi aparţinând Grupului parlamentar al USR din Camera Deputaţilor şi deputaţi neafiliaţi, şi respectiv de Avocatul Poporului, cât şi sub aspectul obiectului, fiind vorba de o lege adoptată, dar nepromulgată încă. Curtea observă că sesizările sunt semnate atât de deputaţi, cât şi de Avocatul Poporului, deputaţii semnând într-un număr suficient pentru a îndeplini condiţiile prevăzute de Constituţie pentru sesizarea Curţii Constituţionale.
    35. Cu privire la termenul în care poate fi sesizată instanţa de contencios constituţional, potrivit art. 15 alin. (2) din Legea nr. 47/1992, acesta este de 5 zile de la data depunerii legii adoptate la secretarii generali ai celor două Camere ale Parlamentului, respectiv de 2 zile, începând de la acelaşi moment, dacă legea a fost adoptată în procedură de urgenţă. Totodată, în temeiul art. 146 lit. a) teza întâi din Legea fundamentală, Curtea Constituţională se pronunţă asupra constituţionalităţii legilor înainte de promulgarea acestora, care, potrivit art. 77 alin. (1) teza a doua din Constituţie, se face în termen de cel mult 20 de zile de la primirea legii adoptate de Parlament, iar, potrivit art. 77 alin. (3) din Constituţie, în termen de cel mult 10 zile de la primirea legii adoptate după reexaminare.
    36. În cauză, propunerea legislativă a fost adoptată de Camera Deputaţilor la data de 19 decembrie 2022, iar de Senat, în calitate de Cameră decizională, la data de 21 decembrie 2022. Legea a fost depusă la secretarii generali ai celor două Camere în vederea exercitării dreptului de sesizare asupra constituţionalităţii la data de 21 decembrie 2022, a fost trimisă Preşedintelui României la data de 23 decembrie 2022 pentru promulgare, iar, la data de 22 decembrie 2022 şi, respectiv, 27 decembrie 2022, au fost formulate prezentele obiecţii de neconstituţionalitate. Prin urmare, având în vedere cele mai sus menţionate, Curtea constată că acestea sunt admisibile (a se vedea, în acest sens, şi Decizia Curţii Constituţionale nr. 67 din 21 februarie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 223 din 13 martie 2018, paragraful 70, prima ipoteză).
    37. În consecinţă, Curtea Constituţională a fost legal sesizată şi este competentă, potrivit dispoziţiilor art. 146 lit. a) din Constituţie, precum şi ale art. 1, 10, 15 şi 18 din Legea nr. 47/1992, republicată, să soluţioneze obiecţiile de neconstituţionalitate.

    (2.) Analiza obiecţiilor de neconstituţionalitate
    38. Examinând obiecţiile de neconstituţionalitate, Curtea reţine că principalele critici de constituţionalitate formulate de autorii sesizărilor privesc lipsa de claritate, precizie şi previzibilitate a soluţiilor legislative reglementate de art. 3 alin. (1) lit. c) cu referire la teza finală, art. 21 alin. (1), art. 22, 25, 41, 48 şi 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, fiind invocată încălcarea prevederilor art. 1 alin. (5) din Constituţie în componenta referitoare la calitatea legii.
    39. Analiza criticilor întemeiate pe dispoziţiile art. 1 alin. (5) din Constituţie are ca punct de plecare însuşi scopul legii, precum şi obiectivele de reglementare avute în vedere de legiuitor prin adoptarea Legii privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative. Astfel, art. 1 din legea criticată enunţă la alin. (1) că scopul reglementării este acela de a stabili „cadrul juridic şi instituţional privind organizarea şi desfăşurarea activităţilor din domeniile securitate şi apărare cibernetică, mecanismele de cooperare şi responsabilităţile instituţiilor cu atribuţii în domeniile menţionate“. Securitatea şi apărarea cibernetică urmează să se realizeze, în viziunea legiuitorului primar, prin adoptarea şi implementarea de politici şi măsuri în scopul cunoaşterii, prevenirii şi contracarării vulnerabilităţilor, riscurilor şi ameninţărilor în spaţiul cibernetic. În continuare, la art. 2 sunt definiţi mai mulţi termeni şi expresii folosite în cuprinsul legii criticate, relevante sub aspectul conţinutului pentru criticile şi argumentele autorilor sesizărilor (cu titlu de exemplu, Curtea reţine definiţiile de la lit. l) - furnizor de servicii tehnice de securitate cibernetică, lit. n) - incident de securitate cibernetică, lit. u) - reţele şi sisteme informatice, lit. v) - reţele şi sisteme informatice specifice apărării naţionale, lit. x) - risc de securitate cibernetică, lit. z) - spaţiu cibernetic, lit. aa) -vulnerabilitate de securitate cibernetică, precum şi conceptele de securitate cibernetică şi de apărare cibernetică care sunt domeniile principale şi speciale de reglementare a legii). Astfel, securitatea cibernetică este definită la lit. y) ca „starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi non-repudierea informaţiilor în format electronic a resurselor şi serviciilor publice sau private din spaţiul cibernetic,“ în timp ce apărarea cibernetică reprezintă „totalitatea activităţilor, mijloacelor şi măsurilor utilizate pentru a contracara ameninţările cibernetice şi a atenua efectele acestora asupra sistemelor de comunicaţii şi tehnologia informaţiei, sistemelor de armament, reţelelor şi sistemelor informatice, care susţin capabilităţile militare de apărare (lit. a))“.
    40. Aşadar, domeniile principale şi speciale de reglementare a legii supuse analizei - securitatea cibernetică şi apărarea cibernetică - prefigurează ele însele criteriile în raport cu care vor fi analizate şi identificate soluţiile legislative ce fac obiectul controlului de constituţionalitate, sub aspectul conţinutului lor, al sferei subiecţilor de drept cărora li se aplică şi al întinderii obligaţiilor stabilite în sarcina acestora pentru ca legea în ansamblu să îşi realizeze scopul.
    41. Conceptual, noţiunile de securitate cibernetică şi apărare cibernetică trebuie analizate ele însele prin raportare la noţiunile deja consacrate în legislaţie şi în jurisprudenţa Curţii, respectiv cele care privesc securitatea naţională şi apărarea naţională. Practic, atât securitatea cibernetică, cât şi apărarea cibernetică sunt părţi componente ale securităţii şi apărării naţionale şi au ca finalitate însăşi protejarea securităţii naţionale şi apărarea naţională în spaţiul cibernetic, definit în legea analizată ca „mediul virtual generat de reţelele şi sistemele informatice, incluzând conţinutul informaţional procesat, stocat sau transmis, precum şi acţiunile derulate de utilizatori în acesta“.
    42. Aşadar, legea supusă controlului de constituţionalitate are ca efect, printre altele, şi extinderea noţiunii de securitate naţională şi apărare naţională prin includerea spaţiului cibernetic în sfera noţiunii anterior menţionate. De altfel, chiar Organizaţia Tratatului Atlanticului de Nord (NATO), încă din anul 2016, a recunoscut spaţiul cibernetic ca un domeniu de operaţiuni distinct de domeniile de operaţiuni clasice (NATO, Varşovia, 2016). Prin Cyber Defence Pledge, adoptată la 8 iulie 2016, statele membre NATO şi-au asumat să dezvolte cea mai completă gamă de capabilităţi pentru a apăra infrastructurile şi reţelele naţionale, inclusiv acele sisteme naţionale de care depinde NATO, să integreze apărarea cibernetică în operaţiuni, să aloce resurse pentru identificarea şi înţelegerea ameninţărilor cibernetice, inclusiv prin schimbul de informaţii, evaluări, cooperare şi schimbul de bune practici.
    43. În finalul acestui cadru general de analiză a criticilor de neconstituţionalitate, Curtea observă că domeniile principale şi speciale de reglementare a legii criticate (securitatea şi apărarea cibernetică) sunt de fapt concepte plurivalente, iar normele care succedă pentru a reglementa conţinutul obligaţiilor specifice şi sfera subiectelor de drept cărora li se adresează se bucură ele însele de un grad mai mare de flexibilitate, astfel încât să poată fi eficiente prin raportare la ansamblul, dinamica şi complexitatea riscurilor, ameninţărilor şi vulnerabilităţilor la adresa securităţii şi apărării naţionale. În jurisprudenţa sa (Decizia nr. 455 din 4 iulie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 622 din 18 iulie 2018), Curtea Constituţională a observat totodată că, în ceea ce priveşte Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale, securitatea naţională este menţionată în art. 8 paragraful 2, art. 10 şi art. 11 ca un prim scop legitim care poate sta la baza restrângerii drepturilor şi libertăţilor prevăzute de aceste prevederi. Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale nu defineşte termenul de „securitate naţională“, Curtea Europeană a Drepturilor Omului statuând că acesta nu poate fi definit în mod exhaustiv, bucurându-se de un nivel de elasticitate şi flexibilitate care se reflectă în marja de apreciere a statului în această materie. Astfel, Curtea a reţinut că principiile accesibilităţii şi previzibilităţii nu necesită în mod necesar o definiţie exhaustivă a noţiunii de „interese ale securităţii naţionale“. Multe legi, care prin obiectul lor de reglementare trebuie să prezinte un anumit grad de flexibilitate, intră, în mod inevitabil, în categoria celor care folosesc termeni care sunt într-o măsură mai mare sau mai mică vagi şi a căror interpretare şi aplicare sunt chestiuni de practică (a se vedea Decizia de inadmisibilitate din 2 aprilie 1993, pronunţată în Cauza Esbester împotriva Regatului Unit). În virtutea acestor consideraţii generale, Curtea apreciază că aceasta este perspectiva din care trebuie analizate punctual obiecţiile de neconstituţionalitate formulate de Avocatul Poporului, precum şi de un număr de 57 de deputaţi cu privire la Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative. Ca atare, Curtea va avea în vedere jurisprudenţa sa în materie, prin care a consacrat faptul că noţiunea de securitate naţională este un concept plurivalent, care vizează securitatea militară, socială, economică, informatică, financiară, iar noile domenii introduse prin legea criticată, respectiv securitatea şi apărarea cibernetică, sunt de fapt componente ale securităţii şi apărării naţionale şi au ca finalitate însăşi protejarea securităţii naţionale şi apărarea naţională în spaţiul cibernetic.
    44. Analizând criticile formulate cu privire la dispoziţiile art. 3 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, într-o interpretare sistematică a legii, Curtea observă că securitatea cibernetică este dependentă de implementarea unui nivel minim obligatoriu de măsuri, în mod uniform, la nivelul tuturor infrastructurilor informatice, indiferent de mărimea acestora. Astfel, art. 3 din legea criticată reglementează expres tipurile de reţele şi sisteme informatice cărora li se adresează normele juridice ce succedă, în considerarea rolului şi importanţei acestor reţele şi sisteme pentru buna funcţionare a statului, a administraţiei, a serviciilor publice şi a vieţii economice şi sociale. În funcţie de această clasificare, legea analizată obligă autorităţile prevăzute la art. 10 la diverse acţiuni, măsuri şi activităţi de natură să protejeze securitatea cibernetică a reţelelor şi sistemelor informatice prevăzute la art. 3. Prin soluţiile legislative pe care le conţine, legea criticată este proiectată în jurul obiectivelor de protejare a infrastructurilor cibernetice şi de cooperare loială între autorităţile publice pentru realizarea acestei protecţii.
    45. Cu privire la obligaţiile născute în temeiul art. 3 şi următoarele, cu precădere la obligaţia de notificare prin PNRISC (art. 21 şi 22 din Lege) şi obligaţia de notificare, la cerere, a incidentelor de securitate cibernetică (art. 25), Curtea observă că acestea reprezintă doar mecanisme utile şi uzuale pentru a realiza securitatea cibernetică a reţelelor şi sistemelor informatice protejate. Astfel, o condiţie premisă pentru realizarea securităţii cibernetice o reprezintă cooperarea între autorităţile prevăzute la art. 10 şi persoanele deţinătoare de reţele şi sisteme informatice vizate, colaborare care se va realiza prin mecanismele de notificare a incidentelor reglementate de legiuitorul primar prin legea supusă controlului.
    46. Analizând criticile formulate cu privire la dispoziţiile art. 3 alin. (1) lit. c), cu referire punctuală la sintagma „precum şi de persoane fizice şi juridice care furnizează servicii publice ori de interes public, altele decât cele de la lit. b)“, Curtea constată că această sintagmă nu poate fi analizată în mod independent faţă de celelalte prevederi ale legii supuse controlului de constituţionalitate sau fără a se ţine cont de scopul avut în vedere de legiuitor, care rezultă din interpretarea sistematică a actului normativ. În primul rând, Curtea observă că subiecţii de drept la care se referă sintagma suspusă controlului de constituţionalitate sunt determinaţi de legiuitor prin două atribute: un prim atribut este cel de clarificare şi identificare a domeniului de acţiune al respectivilor subiecţi de drept „care furnizează servicii publice ori de interes public“. Atributul este clar în sensul în care nu se poate avea în vedere decât persoanele fizice şi juridice care furnizează servicii publice sau servicii de interes public, indiferent de natura acestora. Al doilea atribut folosit pentru identificarea subiecţilor de drept este de fapt unul de excludere, prin eliminarea din sfera persoanelor fizice şi juridice reglementate la alin. (1) lit. c) a celor prevăzute anterior, la alin. (1) lit. b) a aceluiaşi articol 3, adică a persoanelor fizice sau juridice de drept privat deţinătoare de reţele şi sisteme informatice, care furnizează un anume tip de servicii publice, respectiv servicii de comunicaţii electronice, către autorităţile şi instituţiile administraţiei publice centrale şi locale.
    47. Aşadar, se constată că sfera subiecţilor de drept la care se referă sintagma criticată este clarificată de legiuitor atât prin identificarea domeniului lor de activitate (prestarea de servicii publice sau de servicii în interes public), cât şi prin excluderea punctuală a unor persoane fizice şi juridice de drept privat (care prestează un anume tip de servicii publice de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale), acestea din urmă fiind identificate expres în alin. (1) lit. b) al art. 3 din legea analizată.
    48. Curtea constată că prin modul în care motivează autorii criticile de neclaritate, lipsă de precizie şi de previzibilitate pentru art. 3 alin. (1) lit. c), în fapt acestea nu pot fi reţinute drept critici întemeiate pe art. 1 alin. (5) din Constituţie, întrucât ele nu vizează claritatea, precizia şi previzibilitatea normei criticate, ci sfera de întindere şi aplicabilitatea acesteia în raport cu subiecţii de drept cărora li se adresează. Întrucât sfera de întindere a unei legi este o chestiune care ţine de aprecierea şi competenţa legiuitorului raportat la scopul urmărit, Curtea reţine ca fiind necesară o analiză a criticilor prin raportare atât la întregul act normativ, cât şi la ansamblul legislaţiei incidente în materie, naţionale şi europene, fără a omite scopul final urmărit de legiuitor prin reglementare. Acest scop rezultă din interpretarea sistematică a prevederilor legii supuse controlului de constituţionalitate, în special prin raportare la obiectivele legii reglementate în art. 4 şi autorităţile cu atribuţii în domeniu (capitolul III). Din analiza conjugată a ansamblului normativ al legii rezultă că scopul final urmărit de legiuitor este asigurarea securităţii şi apărării cibernetice, ca elemente componente ale securităţii naţionale şi ale apărării naţionale.
    49. Cu alte cuvinte, serviciile publice sau serviciile de interes public prestate de persoanele fizice şi juridice de drept privat enunţate în art. 3 alin. (1) lit. c) vor fi analizate prin raportare la art. 4 (obiectivele legii), în special la dispoziţiile art. 4 lit. a) (asigurarea rezilienţei şi protecţiei reţelelor şi sistemelor informatice ce susţin funcţiile de apărare, securitate naţională, ordine publică şi guvernare), lit. c) (menţinerea sau restabilirea climatului de securitate cibernetică la nivel naţional, prin cooperarea între autorităţile competente (...) şi asigurarea unei reacţii rapide şi eficiente la ameninţările provenite din spaţiul cibernetic) şi lit. e) (dezvoltarea şi consolidarea unei culturi de securitate cibernetică la nivel naţional, prin conştientizarea vulnerabilităţilor, riscurilor şi ameninţărilor, respectiv formarea unei conduite proactive şi preventive).
    50. Analizând şi alte norme legale naţionale şi europene în materie, Curtea reţine că dispoziţiile Directivei (UE) 2016/1.148 a Parlamentului European şi a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune (cunoscută ca Directiva NIS 1), publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 194 din 19 iulie 2016, au fost transpuse în legislaţia naţională prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, publicată în Monitorul Oficial al României, Partea I, nr. 21 din 9 ianuarie 2019. Actul normativ sus-menţionat prevede cadrul juridic şi instituţional, precum şi măsurile şi mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice; totodată, legea anterior menţionată prevede măsuri în scopul stimulării cooperării în domeniul reglementat. Astfel, Legea nr. 362/2018 prevede la art. 3 semnificaţia unor termeni şi expresii folosite în cuprinsul său, sens în care lit. c) a articolului antereferit prevede că prin sintagma „furnizor de servicii digitale“ se înţelege orice persoană juridică care furnizează un serviciu digital, iar lit. l) a aceluiaşi articol reglementează sensul expresiei „reţea şi sistem informatic“, prin care se înţelege: (i) o reţea de comunicaţii electronice în sensul prevederilor art. 4 alin. (1) pct. 6 din Ordonanţa de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, aprobată cu modificări şi completări prin Legea nr. 140/2012, cu modificările şi completările ulterioare; (ii) orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor cu ajutorul unui program informatic; (iii) datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevăzute la pct. 1 şi 2 ale aceleiaşi lit. l) a art. 3 din Legea nr. 362/2018, în vederea funcţionării, utilizării, protejării şi întreţinerii lor.
    51. În aceste condiţii, prevederile art. 3 alin. (1) lit. a) şi b) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative reglementează în sfera sa de aplicare reţelele şi sistemele informatice deţinute, organizate, administrate, utilizate sau aflate în competenţa autorităţilor şi instituţiilor publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat şi, respectiv, reţelele şi sistemele informatice deţinute de persoanele fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale.
    52. În privinţa dispoziţiilor art. 3 alin. (1) lit. c) din legea criticată, Curtea constată că aceste prevederi completează domeniul de aplicare al legii criticate cu: (i) reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute la art. 3 alin. (1) lit. a) din actul normativ criticat, precum şi cu (ii) reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de persoane fizice şi juridice care furnizează servicii publice ori de interes public, altele decât cele prevăzute la art. 3 alin. (1) lit. b) din aceeaşi lege. Prin urmare, în vederea asigurării unei securităţi cibernetice eficiente, legiuitorul a inclus printre persoanele fizice şi juridice cărora le incumbă obligaţiile reglementate prin legea criticată, pe de o parte, autorităţile şi instituţiile administraţiei publice centrale şi locale care deţin, organizează, administrează sau utilizează reţele şi sisteme informatice şi care sunt distincte de autorităţile şi instituţiile publice din domeniul ordinii publice, al securităţii naţionale, al justiţiei, al situaţiilor de urgenţă şi al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, iar, pe de altă parte, persoanele fizice şi juridice care furnizează servicii publice ori de interes public, care deţin, organizează, administrează sau utilizează reţelele şi sistemele informatice şi care sunt distincte de persoanele fizice şi juridice de drept privat care deţin şi utilizează reţelele şi sistemele informatice în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale. Aşadar, prin actul normativ analizat, au fost incluşi în sistemul naţional de securitate cibernetică toţi furnizorii de servicii publice sau de interes public de comunicaţii electronice, inclusiv persoanele fizice şi juridice de mici dimensiuni, care aparţin categoriei întreprinderilor mici şi mijlocii, dacă desfăşoară activităţi în interes general, prin furnizarea unor servicii publice sau a unor servicii de interes public.
    53. Acest mod de reglementare nu este însă unul lipsit de claritate, precizie şi previzibilitate, întrucât noţiunile folosite în delimitarea legală a celor trei categorii de persoane fizice şi juridice sunt definite de legiuitor în legislaţia în vigoare cu respectarea aceloraşi exigenţe de calitate a legii.
    54. Astfel, noţiunile de „serviciu public“ şi de „serviciu de interes public“ sunt consacrate atât în legislaţia primară, cât şi în jurisprudenţa instanţelor judecătoreşti şi în doctrina de drept administrativ, etimologia, obiectul, conţinutul şi limitele acestor sintagme fiind, aşadar, cunoscute, motiv pentru care acestea nu pot da naştere unor interpretări arbitrare.
    55. În acest sens, Curtea reţine că dispoziţiile art. 2 alin. (1) lit. m) din Legea contenciosului administrativ nr. 554/2004, publicată în Monitorul Oficial al României, Partea I, nr. 1.154 din 7 decembrie 2004, prevăd că „serviciul public“ reprezintă „activitatea organizată sau, după caz, autorizată de o autoritate publică, în scopul satisfacerii unui interes legitim public“, definiţie ce presupune verificarea împrejurării dacă realizarea serviciului prestat urmăreşte satisfacerea unui interes general şi dacă aceasta implică, în mod direct sau indirect, o autoritate publică. De asemenea, Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ defineşte la art. 5 lit. kk) „serviciul public“ ca fiind „activitatea sau ansamblul de activităţi organizate de o autoritate a administraţiei publice ori de o instituţie publică sau autorizată/autorizate ori delegată de aceasta, în scopul satisfacerii unei nevoi cu caracter general sau a unui interes public, în mod regulat şi continuu“.
    56. În ceea ce priveşte noţiunea de „serviciu de interes public“, aceasta nu beneficiază de o definiţie legală, dar sensul acestei noţiuni rezultă fără echivoc din interpretarea gramaticală, sistematică şi teleologică a dispoziţiilor legale în cadrul cărora este folosită de legiuitor. De principiu, sintagma analizată este utilizată în acte normative ce reglementează activităţi considerate de către legiuitor ca deservind un interes general al societăţii. În acest sens, Curtea reţine că dispoziţiile art. 315 alin. (2) din Statutul profesiei de avocat, adoptat prin Hotărârea Consiliului Uniunii Naţionale a Barourilor din România nr. 64 din 3 decembrie 2011, prevăd că „obligaţia avocaţilor de realizare a pregătirii profesionale continue se realizează în cadrul barourilor, al I.N.P.P.A. şi al formelor de exercitare a profesiei şi are drept scop îndeplinirea de către avocaţi a obligaţiei de perfecţionare a pregătirii profesionale, bazată pe o cultură juridică de calitate şi o pregătire temeinică, pentru îndeplinirea corespunzătoare a activităţilor de interes public pe care le implică folosirea titlului profesional de avocat“. De asemenea, noţiunile de „serviciu public“ şi de „serviciu de interes public“ sunt folosite în cuprinsul prevederilor art. 175 alin. (2) din Codul penal, potrivit cărora „este considerată funcţionar public, în sensul legii penale, persoana care exercită un serviciu de interes public pentru care a fost învestită de autorităţile publice sau care este supusă controlului ori supravegherii acestora cu privire la îndeplinirea respectivului serviciu public.“ Totodată, „interesul legitim public“ este definit în art. 2 alin. (1) lit. r) din Legea contenciosului administrativ nr. 554/2004 drept „interesul care vizează ordinea de drept şi democraţia constituţională, garantarea drepturilor, libertăţilor şi îndatoririlor fundamentale ale cetăţenilor, satisfacerea nevoilor comunitare, realizarea competenţei autorităţilor publice“.
    57. Totodată, Curtea Constituţională, prin Decizia nr. 781 din 5 decembrie 2017, paragraful 17, Decizia nr. 270 din 23 aprilie 2019, paragraful 28, şi prin Decizia nr. 601 din 10 octombrie 2019, paragraful 23, a statuat că „Noţiunea de «serviciu public» desemnează atât o formă de activitate prestată în folosul interesului public, cât şi o subdiviziune a unei instituţii din administraţia internă împărţită pe secţii, servicii etc. Din categoria serviciilor de interes public fac parte acele entităţi care, prin activitatea pe care o desfăşoară, sunt chemate să satisfacă anumite interese generale ale membrilor societăţii“. Totodată, prin Decizia nr. 661 din 29 octombrie 2019, paragraful 40, instanţa de contencios constituţional a reţinut că în doctrină s-a precizat că noţiunea de putere publică desemnează drepturile (prerogativele) speciale, exorbitante, de care dispune orice autoritate a administraţiei publice şi, implicit, orice autoritate publică, în vederea exercitării atribuţiilor sale şi pentru satisfacerea interesului public, care, în cazul unui conflict cu cel particular, trebuie să se impună. În baza prerogativelor de putere publică de care dispun, măsurile luate de aceste autorităţi se aplică direct, iar în cazul în care nu sunt respectate beneficiază de forţa de constrângere a statului. Totodată, s-a arătat că noţiunea de interes public desemnează necesităţile materiale şi spirituale ale cetăţenilor la un moment dat.
    58. Având în vedere dispoziţiile legale şi jurisprudenţa Curţii Constituţionale mai sus invocate, Curtea reţine că sensul general al sintagmei „serviciu de interes public“ poate fi acela de serviciu care satisface nevoile de natură materială şi spirituală ale societăţii.
    59. Mai mult, serviciile publice ori de interes public din România sunt reglementate şi limitate ca număr, în mod implicit, fiind limitat şi numărul reţelelor şi sistemelor informatice (infrastructurile IT&C) pe care acestea se bazează. În acest sens, Codul administrativ prevede la titlul II din partea a VIII-a „Servicii publice“ reglementarea şi înfiinţarea serviciilor publice, iar, potrivit art. 586 din actul normativ anterior menţionat, articol cu denumirea marginală „Stabilirea caracterului de serviciu public“, „caracterul de serviciu public al unei activităţi sau al unui ansamblu de activităţi se recunoaşte prin acte normative“. În completarea dispoziţiei legale anterior menţionate, art. 587 al aceluiaşi cod, articol cu denumirea marginală „Actul de reglementare a unui serviciu public“, prevede elementele pe care actul normativ prin care se reglementează un serviciu public trebuie să le conţină (acestea fiind activitatea sau activităţile care constituie serviciul public respectiv; obiectivele serviciului public; tipul de serviciu public; obligaţiile de serviciu public, dacă este cazul; structura responsabilă pentru prestarea serviciului public; modalităţile de gestiune; sursele de finanţare; modalităţile de monitorizare, evaluare şi control al modului de furnizare a serviciului public; sancţiuni; standarde de calitate şi de cost, în cazul în care acestea sunt stabilite potrivit legii; alte elemente stabilite prin lege).
    60. În ceea ce priveşte sensul sintagmei „reţele şi sisteme informatice“ din cuprinsul art. 3 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, acesta nu poate fi altul decât cel definit la art. 3 lit. l) din Legea nr. 362/2018, mai sus analizat, Legea nr. 362/2018 constituind reglementarea generală în domeniul asigurării securităţii reţelelor şi sistemelor informatice.
    61. Cu privire la sensul sintagmei „altele decât cele de la lit. b)“ din cuprinsul art. 3 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, Curtea reţine că legea criticată protejează prioritar, la art. 3 alin. (1) lit. a), reţelele şi sistemele informatice ale autorităţilor şi instituţiilor din sistemul naţional de ordine publică, de apărare naţională, de securitate naţională, din domeniul justiţiei, al situaţiilor de urgenţă şi din cadrul Oficiului Naţional al Informaţiilor Secrete de Stat [cu titlu exemplificativ, se încadrează în această categorie programul software din cadrul Sistemului naţional de protecţie a infrastructurilor IT&C de interes naţional împotriva ameninţărilor cibernetice („ŢIŢEICA“) administrat de Serviciul Român de Informaţii, care este, potrivit art. 6 din Legea nr. 51/1991 privind securitatea naţională a României şi art. 1 din Legea nr. 14/1992 privind organizarea şi funcţionarea Serviciului Român de Informaţii, autoritate publică cu atribuţii în domeniul securităţii naţionale], iar prin dispoziţiile art. 3 alin. (1) lit. b) din aceeaşi lege reglementează protecţia reţelelor şi a sistemelor informatice aparţinând persoanelor fizice şi juridice de drept privat şi utilizate în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale (cu titlu exemplificativ, fac parte din această categorie aplicaţiile software ale Societăţii Naţionale de Radiocomunicaţii - S.A., care asigură difuzarea şi transportul programelor publice naţionale de televiziune ale Societăţii Române de Televiziune, ca instituţie publică).
    62. Prin raportare la aceste dispoziţii legale de la art. 3 alin. (1) lit. a) şi b), prevederile art. 3 alin. (1) lit. c) din legea criticată au în vedere toate celelalte persoane fizice şi juridice, altele decât cele prevăzute la lit. a) şi b), în condiţiile în care acestea furnizează servicii publice sau de interes public, sintagme al căror sens a fost determinat mai sus [cu titlu exemplificativ, aparţine acestei ultime categorii sistemul software al operatorului privat de apă potabilă dintr-o localitate prin care se asigură furnizarea automată, calibrarea, purificarea şi măsurarea apei potabile pentru populaţie, operatorul privat de servicii de apă potabilă fiind o persoană juridică de drept privat care prestează un serviciu de interes public, conform dispoziţiilor art. 1 alin. (2) lit. a) din Legea serviciilor comunitare de utilităţi publice nr. 51/2006, republicată în Monitorul Oficial al României, Partea I, nr. 121 din 5 martie 2013].
    63. Având în vedere aceste considerente, Curtea constată că maniera de reglementare a domeniului de aplicare al Legii privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, prevăzut la art. 3 din legea criticată, este una clară, precisă şi previzibilă, iar caracterul extins al sferei de aplicare a legii analizate nu echivalează cu lipsa de claritate, precizie sau previzibilitate a normelor juridice care îl reglementează, reflectând scopul şi obiectivele legii.
    64. Prin urmare, Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative conţine criterii suficiente pentru a determina cu claritate subiecţii de drept, persoane fizice şi juridice, cărora le revin obligaţiile prevăzute în cuprinsul legii, prin simpla interpretare gramaticală şi sistematică a prevederilor art. 3 din actul normativ criticat.
    65. Mai mult, având în vedere trimiterile făcute de autorii prezentelor sesizări la considerentele Deciziei nr. 17 din 21 ianuarie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 79 din 30 ianuarie 2015, Curtea constată că Legea privind securitatea cibernetică a României (PL-x nr. 263/2014), care a constituit obiectul sesizării de neconstituţionalitate soluţionate de Curtea Constituţională prin decizia antereferită, reglementa domeniul său de aplicare într-o manieră foarte generală, fără a distinge între categoriile de persoane care deţin, organizează, administrează sau utilizează reţele şi sisteme informatice. Aşadar, legiuitorul, însuşindu-şi considerentele Deciziei nr. 17 din 21 ianuarie 2015, a prevăzut la art. 3 din noua lege adoptată - Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative - un domeniu de reglementare în cadrul căruia a distins între cele trei categorii de persoane prevăzute la lit. a)-c) ale art. 3 alin. (1) anterior menţionat, definindu-le pe acestea potrivit criteriilor mai sus analizate.
    66. Pentru motivele mai sus arătate, Curtea reţine că dispoziţiile art. 3 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative sunt clare, precise şi previzibile, fiind în acord cu exigenţele specifice calităţii legii, astfel cum acestea rezultă din prevederile art. 1 alin. (5) din Constituţie, dar şi din jurisprudenţa Curţii Constituţionale şi a Curţii Europene a Drepturilor Omului invocată de autorii sesizărilor.
    67. Cu privire la standardele de calitate a legii, Curtea Constituţională, făcând trimitere la jurisprudenţa Curţii Europene a Drepturilor Omului, a statuat în jurisprudenţa sa că semnificaţia noţiunii de previzibilitate depinde într-o mare măsură de conţinutul textului analizat şi de domeniul pe care îl acoperă, precum şi de numărul şi de calitatea destinatarilor săi. S-a arătat prin aceeaşi jurisprudenţă că principiul previzibilităţii legii nu se opune ideii ca persoana vizată să fie determinată să recurgă la îndrumări clarificatoare pentru a putea evalua, într-o măsură rezonabilă în circumstanţele cauzei, consecinţele ce ar putea rezulta dintr-o anumită faptă. S-a arătat că acesta este, în special, cazul profesioniştilor, care sunt obligaţi să dea dovadă de o mare prudenţă în exercitarea profesiei, motiv pentru care se aşteaptă din partea lor să acorde o atenţie specială evaluării riscurilor pe care aceasta le prezintă (hotărârile din 15 noiembrie 1996, 24 mai 2007 şi 20 ianuarie 2009, pronunţate în cauzele Cantoni împotriva Franţei, paragraful 35, Dragotoniu şi Militaru-Pidhorni împotriva României, paragraful 35, şi Sud Fondi - SRL şi alţii împotriva Italiei, paragraful 109). Totodată, atât Curtea Constituţională, cât şi Curtea de la Strasbourg au reţinut că formularea legilor nu poate prezenta o precizie absolută şi că una dintre tehnicile standard de reglementare constă în recurgerea mai degrabă la categorii generale decât la liste exhaustive. Astfel, s-a reţinut că numeroase legi folosesc, prin forţa lucrurilor, formule mai mult sau mai puţin vagi, a căror interpretare şi aplicare depind de practică, şi că, oricât de clar ar fi redactată o normă juridică, în orice sistem de drept, există un element inevitabil de interpretare judiciară (a se vedea Decizia nr. 717 din 29 octombrie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 216 din 23 martie 2016).
    68. În aceste condiţii, Curtea reţine că destinatarii legii criticate de autorii obiecţiilor pot determina cu claritate, precizie şi previzibilitate persoanele fizice şi juridice furnizoare de servicii de comunicaţii electronice cărora le incumbă obligaţiile reglementate prin actul normativ ce face obiectul prezentelor obiecţii de neconstituţionalitate, aceste categorii de persoane fiind determinate sau determinabile. Pentru aceste motive nu poate fi reţinută critica potrivit căreia legiuitorul primar a lăsat legiuitorului secundar o marjă largă de apreciere în vederea determinării, prin hotărâre a Guvernului, a persoanelor reglementate prin dispoziţiile art. 3 alin. (1) lit. c) din legea analizată. Astfel, prin raportare la prevederile legii supuse controlului de constituţionalitate şi interpretând sistematic prevederile sale, Curtea constată faptul că sfera de întindere a persoanelor fizice sau juridice private care prestează servicii publice sau de interes public nu poate să vizeze decât acele persoane fizice şi juridice de drept privat care prestează servicii publice sau de interes public cu un impact asupra securităţii naţionale în spaţiul cibernetic, iar nu orice persoană fizică sau juridică de drept privat care prestează orice serviciu public sau de interes public.
    69. Pentru aceste motive, Curtea reţine că prin adoptarea Legii privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, Parlamentul şi-a exercitat de o manieră corectă, lipită de echivoc, atribuţia constituţională prevăzută la art. 61 alin. (1) din Legea fundamentală, creând un cadru legal al asigurării securităţii şi apărării cibernetice clar, precis şi previzibil, atât pentru persoanele fizice şi juridice vizate de legea criticată, cât şi pentru autorităţile statului implicate în procesul de interpretare şi aplicare a dispoziţiilor legale din cuprinsul acesteia.
    70. Pe cale de consecinţă, Guvernul, în calitatea sa de legiuitor secundar, îşi va putea exercita, conform art. 108 alin. (2) din Constituţie, într-o manieră corectă şi în acord cu rigorile impuse de dispoziţiile Legii fundamentale, atribuţia de organizare a executării legii criticate, prin adoptarea, conform art. 52 alin. (1) din legea analizată, în termenul de 60 de zile de la data intrării acesteia în vigoare, a hotărârii iniţiate de Ministerul Cercetării, Inovării şi Digitalizării. Prin hotărârea Guvernului anterior menţionată vor fi determinate categoriile concrete de persoane fizice şi juridice dintre cele reglementate, cu titlu general, la art. 3 alin. (1) lit. c) din legea criticată; stabilirea acestor categorii de persoane se va realiza însă, potrivit criteriilor de determinare prevăzute de însăşi legea analizată. Astfel, categoriile de persoane - subiecţi de drept se pot stabili prin hotărâre de Guvern numai prin luarea în considerare a criteriului de clarificare stabilit expres în lege (dacă prestează servicii publice sau servicii de interes public), a criteriului de eliminare (altele decât persoanele fizice sau juridice care prestează servicii publice de comunicaţii electronice pentru entităţi publice centrale sau locale) şi a obiectivelor avute în vedere de legiuitor la art. 4, prin identificarea numai a acelor categorii de persoane fizice sau juridice care prestează servicii publice sau de interes public care pot afecta securitatea cibernetică, deci şi securitatea naţională. În consecinţă, prin hotărârea prevăzută la art. 52 alin. (1), Guvernul va organiza punerea în aplicare a prevederilor art. 3 alin. (1) lit. c), ţinând cont de ansamblul normativ al întregii legi. Or, o hotărâre de Guvern care este prevăzută de legea însăşi pentru punerea în aplicare a unui articol din respectiva lege nu poate fi adoptată cu ignorarea întregului ansamblu normativ. Principiul legalităţii presupune ca actul administrativ să respecte nu doar norma legală de trimitere, ci ansamblul normativ aplicabil în respectivul domeniu de reglementare.
    71. Pentru aceste considerente, Curtea reţine că dispoziţiile art. 3 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative asigură şi respectarea principiului securităţii raporturilor juridice, astfel cum acesta este reglementat prin dispoziţiile art. 1 alin. (5) din Constituţie, iar, la nivel infralegal, prin exigenţele Legii nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată în Monitorul Oficial al României, Partea I, nr. 260 din 21 aprilie 2010. Referitor la acest principiu, Curtea Constituţională a reţinut, în jurisprudenţa sa, că prin reglementarea normelor de tehnică legislativă legiuitorul a impus o serie de criterii obligatorii pentru adoptarea oricărui act normativ, a căror respectare este necesară pentru a asigura sistematizarea, unificarea şi coordonarea legislaţiei, precum şi conţinutul şi forma juridică adecvate pentru fiecare act normativ. Astfel, respectarea acestor norme concură la asigurarea unei legislaţii care respectă principiul securităţii raporturilor juridice, având claritatea şi previzibilitatea necesară (a se vedea Decizia nr. 26 din 18 ianuarie 2012, publicată în Monitorul Oficial al României, Partea I, nr. 116 din 15 februarie 2012, Decizia nr. 17 din 21 ianuarie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 79 din 30 ianuarie 2015, paragraful 96). În acelaşi sens, instanţa de contencios constituţional a statuat că, pentru ca legea să satisfacă cerinţa de previzibilitate, ea trebuie să precizeze cu suficientă claritate întinderea şi modalităţile de exercitare a puterii de apreciere a autorităţilor în domeniul respectiv, ţinând cont de scopul legitim urmărit, pentru a oferi persoanei o protecţie adecvată împotriva arbitrarului (a se vedea Decizia nr. 348 din 17 iunie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 529 din 16 iulie 2014, paragraful 17, şi Decizia nr. 302 din 4 mai 2017, publicată în Monitorul Oficial al României, Partea I, nr. 566 din 17 iulie 2017, paragraful 56). De asemenea, s-a reţinut, prin aceeaşi jurisprudenţă, că o dispoziţie legală trebuie să fie precisă, neechivocă, să instituie norme clare, previzibile şi accesibile a căror aplicare să nu permită arbitrarul sau abuzul, precum şi că norma juridică trebuie să reglementeze în mod unitar şi uniform şi să stabilească cerinţe minimale aplicabile tuturor destinatarilor săi (a se vedea Decizia nr. 637 din 13 octombrie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 906 din 8 decembrie 2015, paragraful 34). Or, având în vedere considerentele mai sus arătate, Curtea reţine că dispoziţiile art. 3 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative sunt în acord cu exigenţele constituţionale anterior analizate.
    72. Aceleaşi considerente sunt valabile, mutatis mutandis, şi cu privire la criticile de neconstituţionalitate referitoare la lipsa de claritate, precizie şi previzibilitate a prevederilor art. 21 alin. (1) şi art. 22 din legea criticată prin raportare la art. 1 alin. (5) din Constituţie, neputând fi reţinute ca întemeiate.
    73. În ceea ce priveşte critica privind caracterul foarte larg al domeniului de aplicare astfel reglementat, aspect care, potrivit susţinerilor autorilor sesizărilor, ar contraveni punctului 53 din Preambulul Directivei (UE) 2016/1.148, Curtea reţine că, odată cu transformarea digitală rapidă şi interconectarea societăţii, reţelele şi sistemele informatice au devenit o componentă centrală a vieţii de zi cu zi, inclusiv în cadrul schimburilor transfrontaliere. Or, extinderea semnificativă a ameninţărilor la adresa securităţii cibernetice constituie o provocare majoră pentru societate, care generează nevoia de răspunsuri adecvate, coordonate şi inovatoare din partea tuturor statelor membre ale Uniunii Europene. În aceste condiţii, standardele de protecţie reglementate în materia securităţii cibernetice, impuse furnizorilor de servicii de comunicaţii electronice sau operatorilor economici, variază considerabil la nivelul statelor membre ale Uniunii Europene. Aceste diferenţe generează însă costuri suplimentare pentru entităţile care oferă bunuri sau servicii la nivel transfrontalier, ele putând afecta în mod substanţial asemenea activităţi. Pentru aceste motive, cu prilejul revizuirii Directivei (UE) 2016/1.148 (Directiva NIS 1), s-a arătat că transpunerea şi aplicarea acesteia diferă foarte mult la nivelul statelor membre ale Uniunii Europene, inclusiv în ceea ce priveşte domeniul său de aplicare, a cărui delimitare a fost lăsată, în mare măsură, la latitudinea acestor state. Totodată, directiva anterior menţionată oferă statelor membre o marjă foarte largă de apreciere în ceea ce priveşte transpunerea şi îndeplinirea obligaţiilor de raportare a incidentelor cibernetice, aspect care a determinat existenţa unor diferenţe între statele membre în privinţa manierei de reglementare a acestor obligaţii la nivel naţional.
    74. Curtea constată că introducerea în domeniul de aplicare a legii criticate a categoriilor de persoane fizice şi juridice care furnizează servicii publice sau de interes public prevăzute la art. 3 alin. (1) lit. c) este în acord cu unul dintre scopurile Directivei (UE) 2022/2.555 (Directiva NIS 2), respectiv acela prevăzut la punctul 7 din preambulul directivei de „a elimina divergenţele mari dintre statele membre în această privinţă şi pentru a asigura securitatea juridică în ceea ce priveşte măsurile de gestionare a riscurilor în materie de securitate cibernetică şi obligaţiile de raportare pentru toate entităţile relevante, ar trebui stabilit un criteriu uniform pentru a determina entităţile care intră în domeniul de aplicare al prezentei directive. Criteriul respectiv ar trebui să constea în aplicarea unei norme de plafonare a dimensiunii, potrivit căreia toate entităţile care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE a Comisiei sau depăşesc plafoanele aferente întreprinderilor mijlocii prevăzute la alineatul (1) din respectivul articol şi care îşi desfăşoară activitatea în sectoarele şi furnizează tipurile de servicii sau desfăşoară activităţile reglementate de prezenta directivă intră în domeniul său de aplicare. Statele membre ar trebui, de asemenea, să prevadă ca anumite întreprinderi mici şi microîntreprinderi, astfel cum sunt definite la articolul 2 alineatele (2) şi (3) din respectiva anexă, care îndeplinesc criterii specifice ce indică un rol esenţial pentru societate, pentru economie sau pentru anumite sectoare sau tipuri de servicii, să intre în domeniul de aplicare al prezentei directive.“ De altfel, şi punctul 6 din acelaşi preambul prevede faptul că: „Odată cu abrogarea Directivei (UE) 2016/1.148, domeniul de aplicare pe sectoare ar trebui să fie extins la o parte mai mare a economiei pentru a oferi o acoperire cuprinzătoare a sectoarelor şi a serviciilor de importanţă vitală pentru activităţile societale şi economice esenţiale din cadrul pieţei interne. În special, prezenta directivă vizează depăşirea deficienţelor legate de diferenţierea dintre operatorii de servicii esenţiale şi furnizorii de servicii digitale, care s-a dovedit a fi caducă, deoarece nu reflectă importanţa sectoarelor sau a serviciilor pentru activităţile societale şi economice din cadrul pieţei interne.“
    75. În acest context, Curtea reţine că Directiva (UE) 2022/2.555 (Directiva NIS 2) nu exceptează întreprinderile mici şi mijlocii de la obligaţiile din domeniul securităţii informatice, ci, dimpotrivă, furnizează mai multă claritate, precizie şi predictibilitate cu privire la obligaţiile acestora; totodată, directiva analizată introduce această categorie de persoane în toate cele şaisprezece sectoare de activitate care intră sub incidenţa acesteia. De asemenea, Directiva (UE) 2022/2.555 (Directiva NIS 2) permite statelor membre să stabilească, prin acte normative interne, noi subiecţi legali care să vină în realizarea strategiei securităţii cibernetice naţionale a statului membru în cauză şi obligă statele membre „să adopte un cadru pro-activ de pregătire şi de siguranţă şi securitate generale în caz de incidente sau ameninţări cibernetice“, prin politici de „igienă cibernetică“, astfel cum rezultă din punctul 49 al preambulului anterior menţionat, şi „să adopte politici privind promovarea unei protecţii cibernetice active ca parte a unei strategii defensive mai ample“, conform punctului 57 din acelaşi preambul.
    76. Or, în acest context legal european, legiuitorul român şi-a exercitat dreptul de a stabili soluţii legislative care să răspundă scopului asigurării securităţii şi apărării cibernetice adecvate a României.
    77. Având în vedere considerentele mai sus invocate, Curtea reţine că prevederile art. 3 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, care includ în sfera destinatarilor legii inclusiv persoane fizice şi juridice care furnizează servicii publice ori de interes public, altele decât cele de la alin. (1) lit. b) din cuprinsul aceluiaşi articol, extinzând, astfel, sfera persoanelor cărora le incumbă obligaţiile prevăzute prin actul normativ criticat la întreprinderile mici şi mijlocii, nu contravin dispoziţiilor constituţionale ale art. 148 alin. (2) şi (4) referitoare la integrarea în Uniunea Europeană şi nici prevederilor art. 11 din Legea fundamentală cu privire la dreptul internaţional şi dreptul intern.
    78. În ceea ce priveşte critica conform căreia dispoziţiile art. 3 alin. (1) lit. c) şi cele ale art. 21 alin. (1) şi art. 22 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative încalcă dreptul la viaţa intimă, familială şi privată, precum şi libertatea de exprimare, a căror încălcare a constituit unul dintre temeiurile admiterii de către Curtea Constituţională, prin Decizia nr. 17 din 21 ianuarie 2015, a obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind securitatea cibernetică a României (PL-x nr. 263/2014), Curtea constată că, prin legea care constituie obiectul prezentelor sesizări de neconstituţionalitate, legiuitorul a legiferat garanţii sporite necesare asigurării dreptului, respectiv a libertăţii fundamentale prevăzute la art. 26 şi, respectiv, la art. 30 din Constituţie.
    79. În acest sens, dispoziţiile art. 25 alin. (1) din legea analizată prevăd că furnizorii de servicii tehnice de securitate cibernetică au obligaţia de a pune la dispoziţia autorităţilor prevăzute la art. 10 din aceeaşi lege, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, respectiv, în maximum 5 zile de la data primirii solicitării, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1) din actul normativ analizat, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali. În strictă corelare cu aceste prevederi, art. 25 prevede la alin. (2) că datele şi informaţiile prevăzute la alin. (1) nu vizează, prin scopul solicitării, date cu caracter personal şi date de conţinut. Or, această manieră de reglementare a obligaţiei furnizorilor de servicii tehnice de securitate cibernetică de a furniza informaţiile solicitate de autorităţile prevăzute la art. 10 din legea criticată exclude accesul acestora din urmă la datele şi informaţiile ce aparţin sferei vieţii intime, familiale şi private a utilizatorilor de reţele şi sisteme informatice, asigurându-le, totodată, acestora garanţiile specifice libertăţii de exprimare, astfel cum aceasta este prevăzută la art. 30 din Constituţie.
    80. Totodată, legea criticată conţine un capitol distinct, capitolul IX, intitulat „Confidenţialitatea şi protecţia securităţii datelor şi informaţiilor persoanelor fizice şi juridice“, care la art. 45-47 instituie garanţii în vederea protecţiei dreptului la viaţă intimă, familială şi privată a persoanelor aflate în ipoteza de utilizatori de reţele şi sisteme informatice vizate de prevederile legii criticate, dispoziţii legale ce constituie tot atâtea garanţii ale libertăţii de exprimare ale acestora.
    81. Astfel, art. 45 din legea criticată prevede că autorităţile prevăzute la art. 10 din aceeaşi lege, care solicită şi primesc date şi informaţii de la orice persoană fizică şi juridică în temeiul acestei legi, iau măsuri adecvate pentru a proteja interesele de securitate şi comerciale ale acestora, ale persoanelor care furnizează datele şi informaţiile respective, precum şi ale persoanelor la care se referă datele şi informaţiile în cauză, iar alin. (2) al aceluiaşi articol prevede că transmiterea de date şi informaţii obţinute potrivit legii analizate, de la orice persoană fizică şi juridică de drept privat, poate fi efectuată numai pentru îndeplinirea atribuţiilor legale ale autorităţilor şi instituţiilor care obţin aceste date şi informaţii, cu garantarea păstrării confidenţialităţii datelor cu caracter personal şi a protecţiei intereselor şi secretelor comerciale ale persoanelor fizice şi juridice de drept privat. De asemenea, art. 46 din legea criticată reglementează faptul că prelucrările de date cu caracter personal ce intră sub incidenţa acestei legi se efectuează cu respectarea reglementărilor legale privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal; alin. (2) al art. 46 anterior menţionat prevede că notificările realizate în temeiul legii criticate nu afectează obligaţiile operatorilor de date cu caracter personal stabilite potrivit art. 33 şi 34 din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor); alin. (3) al aceluiaşi art. 46 prevede că, în scopul îndeplinirii atribuţiilor ori furnizării serviciilor prevăzute de legea criticată, precum şi în scopul prevenirii şi răspunsului la incidentele de securitate cibernetică ori al cooperării la nivel naţional, comunitar şi internaţional în prevenirea şi răspunsul la incidentele de securitate cibernetică, autorităţile prevăzute la art. 10 din aceeaşi lege colectează, primesc, prelucrează şi transmit date şi informaţii ce pot constitui sau pot conţine date cu caracter personal, în limitele legislaţiei aplicabile, cu asigurarea respectării prevederilor alin. (2) al aceluiaşi articol, mai sus invocat. Nu în ultimul rând, art. 47 din legea criticată prevede că acest act normativ nu afectează legislaţia naţională privind protecţia datelor cu caracter personal, fiind enumerate, în special, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările şi completările ulterioare, Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice), cu modificările şi completările ulterioare, şi Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016, Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare. La alin. (2) al art. 47 din legea criticată se prevede că aceasta din urmă respectă drepturile fundamentale şi principiile recunoscute în special de Carta drepturilor fundamentale a Uniunii Europene, inclusiv dreptul la respectarea vieţii private şi de familie, dreptul la protecţia datelor cu caracter personal, dreptul la proprietate şi integrarea persoanelor cu dizabilităţi, astfel încât nicio prevedere din prezenta lege nu trebuie să facă obiectul unei interpretări sau puneri în aplicare care nu este conformă cu Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale a Consiliului Europei.
    82. În concluzie, Curtea constată că dispoziţiile legale ce compun capitolul IX al Legii privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative instituie garanţii ale dreptului la viaţă intimă, familială şi privată care nu au fost prevăzute în Legea privind securitatea cibernetică a României (PL-x nr. 263/2014), a cărei neconstituţionalitate a fost constatată de către instanţa de contencios constituţional prin Decizia nr. 17 din 21 ianuarie 2015. Aşadar, însuşindu-şi considerentele deciziei antereferite, legiuitorul a adoptat legea ce constituie obiectul prezentelor sesizări, în cuprinsul căreia a reglementat inclusiv garanţiile necesare asigurării dreptului la viaţă intimă, familială şi privată şi, implicit, a libertăţii de exprimare persoanelor fizice şi juridice de drept privat care intră în domeniul său de aplicare, astfel cum acestea sunt garantate prin dispoziţiile Legii fundamentale.
    83. Având în vedere aceste considerente, dispoziţiile art. 3 alin. (1) lit. c) şi cele ale art. 21 alin. (1) şi art. 22 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative nu contravin dispoziţiilor constituţionale ale art. 147 alin. (4) referitoare la deciziile Curţii Constituţionale.
    84. Mai mult, analizând dispoziţiile legale mai sus invocate, Curtea reţine că sistemele de notificare prevăzute la art. 21, art. 22, respectiv la art. 25 din legea criticată nu presupun colectarea de date de conţinut şi nici extragerea unilaterală şi fără autorizare de date şi informaţii de pe un sistem informatic, iar autorităţile care gestionează incidentele de securitate cibernetică semnalate sunt atât operatori de date cu caracter personal (prin efectul legislaţiei privind datele cu caracter personal), cât şi autorităţi cu atribuţii expres prevăzute în domeniul securităţii cibernetice (atribuţiile acestora neputând fi confundate sau suprapuse cu cele ale organelor judiciare care realizează percheziţiile informatice, conform art. 168 din Codul de procedură penală). Prin urmare, obligaţiile care revin subiectelor de drept prevăzute la art. 3 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative nu se referă nici la stocarea de date cu caracter personal ale cetăţenilor, nici la accesul, în lipsa unui mandat judecătoresc, într-un sistem informatic şi nici la alte proceduri intruzive în viaţa privată a cetăţeanului.
    85. În acest context, Curtea reţine faptul că singura ipoteză legală care prevede accesul organelor statului la datele electronice cu caracter personal rămâne cea prevăzută la art. 168 din Codul de procedură penală, articol ce reglementează percheziţia informatică. Conform alin. (1) al art. 168 anterior menţionat, prin percheziţie în sistem informatic sau a unui suport de stocare a datelor informatice se înţelege procedeul de cercetare, descoperire, identificare şi strângere a probelor stocate într-un sistem informatic sau suport de stocare a datelor informatice, realizat prin intermediul unor mijloace tehnice şi proceduri adecvate, de natură să asigure integritatea informaţiilor conţinute de acestea. Percheziţia informatică poate fi dispusă, în cursul urmăririi penale, la cererea procurorului, prin încheiere, de către judecătorul de drepturi şi libertăţi de la instanţa căreia i-ar reveni competenţa să judece cauza în primă instanţă sau de la instanţa corespunzătoare în grad acesteia în a cărei circumscripţie se află sediul parchetului din care face parte procurorul care efectuează sau supraveghează urmărirea penală. De asemenea, percheziţia informatică poate fi dispusă în cursul judecăţii, de către instanţă, din oficiu sau la cererea procurorului, a părţilor ori a persoanei vătămate. Aşadar, percheziţia informatică poate fi dispusă în cursul procesului penal, acesta presupunând, per se, începerea urmăririi penale într-o cauză de aceeaşi natură.
    86. Or, ipoteza reglementată de dispoziţiile legii criticate nu este cea a accesului la datele dintr-un sistem informatic sau de pe un suport de stocare a datelor informatice, ci vizează operaţiunea de raportare de către persoanele prevăzute la art. 3 alin. (1) din legea criticată a unor incidente cibernetice, operaţiune cu caracter strict tehnic, ce nu presupune nici stocarea datelor cu caracter personal, nici intruziunea în conţinutul acestor date. Pentru aceste motive, garanţiile impuse de legiuitor referitoare la asigurarea securităţii acestor date nu pot fi cele prevăzute de dispoziţiile Codului de procedură penală în privinţa realizării percheziţiei cibernetice, neimpunându-se, aşadar, controlul judecătoresc al operaţiunilor strict tehnice de raportare a incidentelor cibernetice reglementate prin legea criticată cu respectarea strictă a scopului acesteia.
    87. Cu privire la proporţionalitatea obligaţiilor ce revin subiectelor de drept care au în proprietate, administrare, organizare şi utilizare reţele şi sisteme informatice de tipul celor prevăzute de art. 3 alin. (1) lit. c), potrivit actului normativ criticat, Curtea constată că aceste obligaţii sunt, de principiu, următoarele: obligaţia de a notifica incidentele de securitate cibernetică prin intermediul PNRISC, de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului [prevăzută la art. 21 alin. (1) criticat şi de autorii obiecţiilor]; obligaţia de asigurare a rezilienţei în spaţiul cibernetic, care se realizează prin implementarea de măsuri proactive şi reactive [prevăzută la art. 24 alin. (1) din legea criticată]; obligaţia de a pune la dispoziţia autorităţilor prevăzute la art. 10 din legea ce face obiectul sesizării, la cererea motivată a acestora, în termen de maximum 48 de ore de la data primirii solicitării, date şi informaţii privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1) din aceeaşi lege, precum şi interconectarea acestora cu terţii şi cu utilizatorii finali [prevăzută la art. 25 alin. (1) criticat şi de autorii obiecţiilor]; obligaţia de a elabora şi de a pune în aplicare unele planuri proprii de acţiune pentru fiecare tip de alertă cibernetică [prevăzută la art. 29 alin. (1) şi (2) din legea criticată]; obligaţia de asigurare, pentru personalul propriu, a formării profesionale, educaţiei şi instruirii în domeniul securităţii şi apărării cibernetice prin cursuri, exerciţii, conferinţe, seminare, precum şi alte tipuri de activităţi (prevăzută la art. 37 din legea criticată); obligaţia de a implementa procesele de management al riscurilor de securitate cibernetică specifice lanţului de aprovizionare (prevăzută la art. 41 criticat şi de autorii obiecţiilor); obligaţia de a desemna persoane responsabile de securitatea cibernetică (prevăzută la art. 42 din legea criticată); obligaţia de a dispune măsurile necesare pentru organizarea de cursuri de instruire în domeniul managementului riscurilor de securitate cibernetică specifice lanţului de aprovizionare, respectiv introducerea de teme noi în cadrul cursurilor şi programelor de instruire existente (prevăzută la art. 43 din legea criticată); obligaţia de a dezvolta capabilităţi avansate de testare şi evaluare a riscurilor de securitate cibernetică în scopul identificării vulnerabilităţilor cibernetice ale echipamentelor, produselor software sau pieselor componente achiziţionate sau dezvoltate la nivel instituţional (prevăzută la art. 44 din legea criticată).
    88. Analizând conţinutul obligaţiilor mai sus enumerate sub aspectul proporţionalităţii lor şi prin raportare la scopul legii criticate, precum şi argumentele prin care autorii îşi întemeiază critica potrivit căreia prevederile art. 21 alin. (1) instituie obligaţii disproporţionate sub aspectul caracterului lor excesiv de oneros în sarcina persoanelor fizice şi juridice prevăzute la art. 3 alin. (1) lit. c) din aceeaşi lege - cum sunt, cu titlu exemplificativ, obligaţiile de a asigura personalului propriu formarea profesională, educaţia şi instruirea în domeniul securităţii şi apărării cibernetice, prin participarea la cursuri, la exerciţii, la conferinţe, la seminare, precum şi la alte tipuri de activităţi - şi fără să se prevadă acordarea unui ajutor financiar din partea statului, Curtea constată că evaluarea acestor categorii de costuri excedează competenţei instanţei de contencios constituţional care, conform art. 2 alin. (3) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, „se pronunţă numai asupra constituţionalităţii actelor cu privire la care a fost sesizată, fără a putea modifica sau completa prevederile supuse controlului“.
    89. Cu privire la criticile de neconstituţionalitate referitoare la dispoziţiile art. 25 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, potrivit cărora acestea creează o obligaţie de delaţiune în sarcina unei categorii de profesionişti care, în mod normal, ar avea obligaţii de confidenţialitate faţă de propriii clienţi, Curtea constată că nici această critică nu poate fi reţinută în raport cu motivele arătate de autorii obiecţiilor.
    90. În acest sens, Curtea constată că obligaţiile prevăzute prin textul criticat vizează exclusiv obligaţia furnizorilor de servicii tehnice de securitate cibernetică de a pune la dispoziţia autorităţilor prevăzute la art. 10 din legea criticată datele şi informaţiile referitoare la incidentele de securitate cibernetică sau la ameninţări, la riscuri sau la vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic dintre cele prevăzute la art. 3 alin. (1) din legea criticată; totodată, obligaţia astfel reglementată vizează şi interconectarea acestora cu terţii şi cu utilizatorii finali.
    91. Curtea reţine, de asemenea, că, potrivit art. 2 lit. n) din legea criticată de autorii sesizărilor, prin „incident de securitate cibernetică“ se înţelege un eveniment survenit în spaţiul cibernetic care perturbă funcţionarea uneia sau mai multor reţele şi sisteme informatice şi ale cărui consecinţe sunt de natură a afecta securitatea cibernetică, iar, conform art. 2 lit. b) din aceeaşi lege, noţiunea de „ameninţare cibernetică“ are sensul arătat la art. 2 lit. f) din Ordonanţa de urgenţă a Guvernului nr. 104/2021 privind înfiinţarea Directoratului Naţional de Securitate Cibernetică, aprobată cu modificări şi completări prin Legea nr. 11/2022, respectiv acela de „orice circumstanţă, eveniment sau acţiune potenţială care ar putea cauza daune sau perturbări la nivelul reţelelor şi al sistemelor informatice, precum şi la nivelul utilizatorilor unor astfel de sisteme şi al altor persoane sau care poate avea un alt fel de impact negativ asupra acestora“. Totodată, potrivit art. 2 lit. x) din legea criticată, sensul noţiunii de „risc de securitate cibernetică“ este cel prevăzut la art. 2 lit. r) din Ordonanţa de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, respectiv acela de „probabilitatea ca o ameninţare să se materializeze, exploatând o vulnerabilitate specifică reţelelor şi sistemelor informatice“, iar, potrivit lit. aa) din cuprinsul aceluiaşi articol, prin „vulnerabilitate de securitate cibernetică“ se înţelege o slăbiciune în proiectarea, implementarea, dezvoltarea, configurarea şi mentenanţa reţelelor şi a sistemelor informatice sau a măsurilor de securitate aferente, care poate fi exploatată de către o ameninţare.
    92. Totodată, dispoziţiile legale mai sus invocate trebuie interpretate în coroborare cu prevederile art. 27 lit. b) din Legea nr. 362/2018, care prevăd în sarcina operatorilor de servicii esenţiale (OSE) şi a furnizorilor de servicii digitale (FSD) obligaţia de a furniza informaţii suplimentare cu privire la incidentele de securitate cibernetică, Directoratul Naţional de Securitate Cibernetică putând solicita informaţii suplimentare operatorului sau furnizorului autor al notificării, în vederea îndeplinirii obligaţiilor ce îi revin, cu menţionarea termenului în care informaţiile solicitate trebuie furnizate, dar şi cu dispoziţiile secţiunii 2 „Notificarea incidentelor de securitate“ a capitolului IV „Asigurarea securităţii reţelelor şi sistemelor informatice“ al aceleiaşi legi, care prevăd la art. 26 alin. (3) şi (4) că notificarea incidentelor conţine, în mod obligatoriu, următoarele informaţii: elementele de identificare ale infrastructurii şi operatorului sau furnizorului în cauză; descrierea incidentului; perioada de desfăşurare a incidentului; impactul estimat al incidentului; măsuri preliminare adoptate; lista de autorităţi ale statului afectate de incident; întinderea geografică potenţială a incidentului; date despre efecte potenţial transfrontaliere ale incidentului şi, de asemenea, că notificarea prevăzută la alin. (1) şi (2) ale art. 26 nu va conţine informaţii clasificate şi date care pot aduce atingere drepturilor şi libertăţilor cetăţeneşti ori intereselor legitime ale unor terţe entităţi implicate în incident, în condiţiile legii.
    93. Prin urmare, Curtea constată că obligaţiile reglementate prin art. 25 alin. (1) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative au ca obiect operaţiuni strict tehnice de natură a asigura prestarea serviciilor la care fac referire dispoziţiile art. 3 din legea criticată, într-un climat de securitate cibernetică. Mai mult, alin. (2) al art. 25 din legea criticată prevede că datele şi informaţiile mai sus analizate nu vizează, prin scopul solicitării, date cu caracter personal şi date de conţinut. Totodată, obligaţiile prevăzute la art. 25 alin. (1) din legea criticată vor fi îndeplinite cu respectarea prevederilor capitolului IX al aceleiaşi legi, referitoare la confidenţialitatea şi protecţia securităţii datelor şi informaţiilor persoanelor fizice şi juridice analizate anterior.
    94. Aşadar, legea criticată stabileşte în sarcina furnizorilor de servicii tehnice de securitate cibernetică doar obligaţii cu caracter tehnic, menite să asigure descoperirea şi sancţionarea în timp util a incidentelor, ameninţărilor, riscurilor sau vulnerabilităţilor de securitate cibernetică, obligaţii care exclud furnizarea către autorităţile prevăzute la art. 10 din legea criticată a unor date cu caracter personal sau a unor date de conţinut, prin urmare, Curtea nu poate reţine pretinsa încălcare de către persoanele prevăzute la art. 3 din legea analizată a obligaţiei de confidenţialitate pe care o au faţă de clienţii lor, în condiţiile în care solicitarea are ca finalitate cunoaşterea, prevenirea şi rezolvarea unor incidente de securitate cibernetică, ale căror efecte pot prejudicia inclusiv clienţii celor care au obligaţia legală a notificării.
    95. Pentru aceste considerente, nu poate fi reţinută nici încălcarea, prin dispoziţiile art. 25 din legea criticată, a dreptului la viaţă intimă, familială şi privată şi nici a libertăţii de exprimare, astfel cum acestea sunt prevăzute la art. 26 şi la art. 30 din Constituţie.
    96. Totodată, având în vedere considerentele mai sus invocate, Curtea constată că art. 25 din legea supusă controlului de constituţionalitate reglementează obligaţii ce au ca finalitate descoperirea unor faptele de natură ilicită, lato sensu. Aceste aspecte nu exclud însă obligaţia furnizorilor de servicii tehnice de securitate cibernetică de a sesiza organele de urmărire penală, în ipoteza în care constată comiterea unor fapte prevăzute de legea penală, precum cele incriminate în cuprinsul capitolului VI, intitulat „Infracţiuni contra siguranţei şi integrităţii sistemelor şi datelor informatice“ al titlului VII „Infracţiuni contra siguranţei publice“ din Partea specială a Codului penal, obligaţie ce rezultă din prevederile art. 267 din Codul penal ce reglementează omisiunea sesizării.
    97. Cu privire la criticile de neconstituţionalitate referitoare la dispoziţiile art. 41 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, potrivit cărora procesul de management al riscurilor de securitate cibernetică specifice lanţului de aprovizionare presupune aspecte complexe de securitate cibernetică ce ar trebui să fie implementate exclusiv de autorităţile publice şi de firmele mari, conform acquis-ului comunitar existent, făcându-se trimitere, în acest sens, la dispoziţiile Directivei (UE) 2016/1.148 (Directiva NIS 1) şi ale Directivei (UE) 2022/2.555 (Directiva NIS 2), Curtea reţine că şi această critică este neîntemeiată.
    98. În acest sens, Curtea reţine că legislaţia europeană în vigoare cuprinde mai multe seturi de norme orizontale ce reglementează aspecte legate de securitatea cibernetică din diferite perspective, incluzând măsuri de îmbunătăţire a securităţii lanţului de aprovizionare digital. Astfel, Directiva (UE) 2022/2.555 (Directiva NIS 2), care a abrogat Directiva (UE) 2016/1.148 (Directiva NIS 1), nu impune ca procesul de management al riscurilor de securitate cibernetică specifice lanţului de aprovizionare să fie implementat doar de autorităţi publice şi firme mari. Explicaţia tehnică identificată în preambulul Directivei NIS 2, precum şi în cel al Regulamentului (UE) 2019/881 - Regulamentul privind securitatea cibernetică („EU Cyber Security Act“) are în vedere faptul că produsele şi sistemele moderne din domeniul tehnologiei informaţiei şi al comunicaţiilor (TIC) integrează adeseori una sau mai multe tehnologii şi componente terţe (cum ar fi module software, biblioteci sau interfeţe de programare a aplicaţiilor) sau se bazează pe acestea, dependenţă care ar putea cauza riscuri suplimentare pentru securitatea cibernetică, dat fiind că vulnerabilităţile prezente în componentele terţe pot afecta şi securitatea produselor, a serviciilor şi a proceselor TIC. Pentru aceste motive, în numeroase cazuri, identificarea şi documentarea unor astfel de dependenţe le permit utilizatorilor finali de produse, servicii şi procese TIC să îşi îmbunătăţească activităţile de gestionare a riscurilor de securitate cibernetică, îmbunătăţind, de exemplu, gestionarea vulnerabilităţii în materie de securitate cibernetică şi procedurile de remediere a acesteia, astfel cum rezultă din punctul 11 al preambulului Regulamentului (UE) 2019/881 - Regulamentul privind securitatea cibernetică („EU Cyber Security Act“).
    99. În aceste condiţii, punctul 49 al preambulului anterior menţionat prevede că politicile de securitate cibernetică eficiente ar trebui să se bazeze pe metode de evaluare a riscurilor bine puse la punct, atât în sectorul public, cât şi în sectorul privat, aceste metode fiind utilizate la diferite niveluri, fără a exista o practică comună în ceea ce priveşte aplicarea lor eficientă. Promovarea şi dezvoltarea bunelor practici pentru evaluarea riscurilor şi pentru soluţii interoperabile de gestionare a riscurilor în cadrul organizaţiilor din sectorul public şi privat sunt considerate necesare pentru a spori nivelul de securitate cibernetică din Uniunea Europeană.
    100. Având în vedere cele mai sus arătate, Directiva (UE) 2022/2.555 (Directiva NIS 2) prevede, la art. 2 alin. (1), cu privire la domeniul său de aplicare, că dispoziţiile sale se aplică entităţilor publice sau private de tipul celor menţionate în anexa I sau anexa II la aceeaşi directivă, care se califică drept întreprinderi mijlocii în temeiul art. 2 din anexa la Recomandarea 2003/361/CE sau care depăşesc plafoanele pentru întreprinderile mijlocii prevăzute la alin. (1) din respectivul articol şi care prestează servicii sau îşi desfăşoară activităţile în cadrul Uniunii Europene, dar şi că art. 3 alin. (4) din anexa la recomandarea anterior menţionată nu se aplică în sensul acestei directive. Acelaşi art. 2 anterior menţionat prevede, la alin. (2), că, „indiferent de dimensiunea lor, prezenta directivă se aplică, de asemenea, entităţilor de tipul celor menţionate în anexa I sau II, în cazul în care: (a) serviciile sunt furnizate de: (i) furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice accesibile publicului; (ii) prestatorii de servicii de încredere; (iii) registrele de nume de domenii de prim nivel şi de furnizorii de servicii de sistem de nume de domenii; (b) entitatea este singurul furnizor dintr-un stat membru al unui serviciu care este esenţial pentru susţinerea unor activităţi societale şi economice critice; (c) perturbarea serviciului furnizat de entitate ar putea avea un impact semnificativ asupra siguranţei publice, a securităţii publice sau a sănătăţii publice; (d) perturbarea serviciului furnizat de entitate ar putea genera un risc sistemic semnificativ, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier; (e) entitatea este critică din cauza importanţei sale specifice la nivel naţional sau regional pentru sectorul sau tipul de servicii în cauză sau pentru alte sectoare interdependente din statul membru; (f) entitatea este o entitate a administraţiei publice: (i) la nivel central, astfel cum este definită de un stat membru în conformitate cu dreptul intern; (ii) la nivel regional, astfel cum este definită de un stat membru în conformitate cu dreptul intern, care, în urma unei evaluări bazate pe riscuri, furnizează servicii a căror întrerupere ar putea avea un impact semnificativ asupra activităţilor societale sau economice critice.“
    101. În acest context legislativ european, anexa I la Directiva (UE) 2022/2.555 (Directiva NIS 2), intitulată „Sectoare cu o importanţă critică ridicată“, prevede la pct. 8 sectorul „Infrastructură digitală“, în cadrul căruia enumeră următoarele categorii de subiecte de drept: furnizorii de IXP (internet exchange point), furnizorii de servicii DNS, cu excepţia operatorilor de servere pentru nume primare, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de reţele de furnizare de conţinut, furnizorii de servicii de încredere, furnizorii de reţele publice de comunicaţii electronice, furnizorii de servicii de comunicaţii electronice accesibile publicului şi furnizorii de IXP (internet exchange point), la pct. 9 sectorul „Gestionarea serviciilor TIC (business-to-business)“, din care fac parte furnizorii de servicii gestionate şi furnizorii de servicii de securitate gestionate, iar la pct. 10 sectorul „Administraţie publică“ care cuprinde: entităţile de administraţie publică din administraţia centrală, astfel cum sunt definite de un stat membru în conformitate cu dreptul intern, şi entităţile de administraţie publică la nivel regional, astfel cum sunt definite de un stat membru în conformitate cu dreptul intern. De asemenea, anexa II la Directiva (UE) 2022/2.555 (Directiva NIS 2), intitulată „Alte sectoare de importanţă critică“, prevede la pct. 6 sectorul „Furnizori digitali“, în care sunt incluşi furnizorii de pieţe online, furnizorii de motoare de căutare online şi furnizorii de platforme de servicii de socializare în reţea.
    102. Totodată, pentru a oferi asistenţă entităţilor esenţiale şi entităţilor importante care îşi desfăşoară activitatea în sectoarele reglementate de Directiva (UE) 2022/2.555 (Directiva NIS 2) în privinţa gestionării adecvate a riscurilor legate de lanţul de aprovizionare şi de furnizori, Directiva (UE) 2022/2.555 (Directiva NIS 2) reglementează la art. 21 măsuri de gestionare a riscurilor în materie de securitate cibernetică. Conform alin. (1) al art. 21 anterior menţionat, „Statele membre se asigură că entităţile esenţiale şi entităţile importante iau măsuri tehnice, operaţionale şi organizatorice adecvate şi proporţionale pentru a gestiona riscurile la adresa securităţii reţelelor şi a sistemelor informatice pe care entităţile respective le utilizează pentru operaţiunile lor sau pentru a furniza servicii şi pentru a preveni sau reduce la minimum impactul incidentelor asupra beneficiarilor serviciilor lor şi asupra altor servicii“; potrivit alin. (2) al aceluiaşi articol, „Măsurile menţionate la alineatul (1) se bazează pe o abordare multirisc care vizează protejarea reţelelor şi a sistemelor informatice, precum şi a mediului fizic al acestor sisteme împotriva incidentelor [...].“
    103. Curtea a analizat şi noua propunere de Regulament - Regulamentul privind securitatea cibernetică al Parlamentului European şi al Consiliului privind cerinţele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale şi de modificare a Regulamentului (UE) 2019/1.020 şi a observat că acest nou document de referinţă european are ca scop să faciliteze şi să asigure respectarea de către furnizorii de infrastructură digitală a cerinţelor lanţului de aprovizionare potrivit Directivei (UE) 2022/2.555 (Directiva NIS 2).
    104. Având în vedere reglementările europene mai sus analizate, Curtea reţine că obligaţiile reglementate prin dispoziţiile art. 41 din legea criticată sunt în acord cu normele de drept european care le prevăd.
    105. În ceea ce priveşte critica potrivit căreia sfera de aplicare a dispoziţiilor art. 41 din legea criticată este mai largă decât cea prevăzută în Directiva (UE) 2016/1.148 (Directiva NIS 1) şi în Directiva (UE) 2022/2.555 (Directiva NIS 2), aspect ce implică încălcarea prin textul criticat a dispoziţiilor art. 1 alin. (5) din Constituţie, dar şi a prevederilor constituţionale ale art. 26 şi art. 30, Curtea reţine că această critică este neîntemeiată, pentru aceleaşi motive expuse mai sus.
    106. Referitor la criticile de neconstituţionalitate formulate cu privire la dispoziţiile art. 48 din legea analizată, Curtea reţine că acestea sunt neîntemeiate pentru următoarele motive:
    107. Cu privire la critica conform căreia doar noţiunea de „notificare“ este definită legal la art. 22 din legea criticată, printr-o normă de trimitere la dispoziţiile capitolului IV secţiunea a 2-a din Legea nr. 362/2018, în timp ce noţiunea de „comunicare completă“ nu beneficiază de o definiţie legală, motiv pentru care destinatarii legii nu pot cunoaşte dacă raportarea unui incident constituie o „notificare“ sau o „comunicare completă“, Curtea reţine că, potrivit prevederilor art. 26 din Legea nr. 362/2018, notificarea incidentelor de securitate cibernetică conţine, în mod obligatoriu, următoarele date şi informaţii: elementele de identificare ale infrastructurii şi operatorului sau furnizorului în cauză; descrierea incidentului; perioada de desfăşurare a incidentului; impactul estimat al incidentului; măsuri preliminare adoptate; lista de autorităţi ale statului afectate de incident; întinderea geografică potenţială a incidentului; date despre efecte potenţial transfrontaliere ale incidentului.
    108. În aplicarea dispoziţiilor Legii nr. 362/2018, notificarea către autorităţile competente, respectiv către Directoratul Naţional de Securitate Cibernetică, a incidentelor de securitate cibernetică poate fi urmată de o comunicare ulterioară a unor date suplimentare privind incidentul, această procedură implicând folosirea unor cadre general utilizate - spre exemplu, Structured Threat Information eXpression (STIX) - pentru obţinerea de date şi informaţii suplimentare tehnice privind respectivele incidente de securitate cibernetică. Conform Structured Threat Information eXpression (STIX) pot fi necesare următoarele date şi informaţii suplimentare: calea de atac utilizată de către atacatorii cibernetici (Attack Pattern); campania de atac cibernetic (Campaign) sau setul de activităţi maliţioase ori de atacuri cibernetice cu care incidentul este asociat; tipul de acţiuni şi contramăsuri a fi luate în considerare (Course of Action); indicatorii de compromitere (IoC Indicator of compromise); infrastructura atacatorilor - descriere a sistemelor, serviciilor software şi infrastructurilor TIC fizice sau virtuale folosite de atacatori ca parte a unui atac ce a produs un incident cibernetic; locaţia geografică în care atacul cibernetic a fost detectat sau în care incidentul a produs efecte; malware - tipul de cod/program maliţios implicat; actorul implicat în ameninţarea cibernetică (Threat Actor); instrumente precum aplicaţii, platforme, soluţii software folosite pentru executarea atacului cibernetic; vulnerabilităţile implicate etc.
    109. Procedura de notificare a incidentelor cibernetice, cu toate componentele sale, este reglementată detaliat la capitolul IV secţiunea a 2-a din Legea nr. 362/2018, care prevede cu claritate, precizie şi previzibilitate etapele şi operaţiunile pe care persoanele fizice şi persoanele juridice care au obligaţia de a notifica incidentele de securitate cibernetică trebuie să le realizeze.
    110. În aceste condiţii, elementul material al contravenţiei prevăzute la art. 48 alin. (1) lit. a) din legea criticată are în vedere un număr determinat şi limitat de fapte, expres prevăzute de lege, motiv pentru care potenţialul subiect activ al contravenţiilor reglementate prin textul criticat poate să prevadă cu claritate care sunt faptele care constituie contravenţie şi să îşi adapteze conduita la exigenţele legii.
    111. Referitor la elementul constitutiv al contravenţiei prevăzute la art. 48 alin. (1) lit. b) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, acesta constă în faptele de necomunicare de către persoanele fizice şi juridice prevăzute la art. 3 alin. (1) lit. b) şi c) din lege a incidentelor de securitate cibernetică, potrivit dispoziţiilor aceleiaşi legi, respectiv prin intermediul Platformei naţionale pentru raportarea incidentelor de securitate cibernetică (PNRISC) şi în termenul prevăzut la art. 21 alin. (2) şi la art. 22 din aceeaşi lege. Totodată, conform normei analizate, comunicarea trebuie să fie „completă“. Cum legislaţia în vigoare nu defineşte sintagma „comunicare completă a incidentelor de securitate cibernetică“, rezultă că aceasta are înţelesul ce rezultă din sensul uzual al termenilor care o compun, acela de comunicare integrală a acestor incidente.
    112. Cu privire la elementul constitutiv al contravenţiei prevăzute la art. 48 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, acesta constă în faptele de nerespectare de către furnizorii de servicii de securitate cibernetică a obligaţiei de a pune la dispoziţia autorităţilor prevăzute la art. 10 din aceeaşi lege a datelor şi informaţiilor privind incidente, ameninţări, riscuri sau vulnerabilităţi a căror manifestare poate afecta o reţea sau un sistem informatic al deţinătorului sau al unor terţi, în condiţiile prevăzute de lege şi cu respectarea termenului reglementat la art. 25 alin. (1) din actul normativ criticat. Referitor la contravenţia anterior menţionată, Curtea constată că actul de punere la dispoziţie a datelor şi informaţiilor prevăzute în ipoteza normei ce reglementează această contravenţie se realizează, pe de o parte, în condiţiile art. 25 alin. (1) din legea criticată - în ceea ce priveşte termenele de notificare a incidentelor şi, respectiv, de comunicare a ameninţărilor, a riscurilor şi a vulnerabilităţilor - iar, pe de altă parte, în condiţiile art. 52 alin. (5) din aceeaşi lege - dispoziţie ce face trimitere la hotărârea Guvernului care urmează să prevadă normele metodologice privind solicitarea şi comunicarea datelor şi informaţiilor prevăzute la art. 25 alin. (1) din legea criticată. Aşadar, conduita sancţionată prin dispoziţiile art. 48 alin. (1) lit. c) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative constă în necomunicarea, respectiv nepunerea la dispoziţia autorităţilor prevăzute la art. 10 din legea criticată a incidentelor şi, respectiv, a ameninţărilor, riscurilor şi vulnerabilităţilor, în termenele prevăzute la art. 25 alin. (1) din legea analizată, în condiţiile ce vor fi prevăzute prin hotărâre a Guvernului.
    113. Curtea reţine, totodată, că mecanismele de notificare a incidentelor de securitate cibernetică şi cele de comunicare a riscurilor, ameninţărilor şi vulnerabilităţilor de securitate cibernetică asigură, în fiecare caz în parte, termene/intervale de timp determinate, cuprinse între momentul notificării incidentului şi cel al comunicării datelor şi informaţiilor suplimentare referitoare la respectivul incident, termene care sunt stabilite astfel încât să permită oricărui subiect de drept vizat să aibă capacitatea din punct de vedere fizic, tehnic şi operaţional de a transmite autorităţilor competente informaţiile în cauză. Aşadar, cu toate că natura unor astfel de incidente impune semnalarea lor de urgenţă, legea criticată prevede termene acoperitoare în scopul asigurării proporţionalităţii între obligaţiile reglementate în sarcina destinatarilor legii care intră în domeniul său de aplicare, pe de o parte, şi posibilităţile reale de notificare/comunicare a datelor şi a informaţiilor arătate în ipotezele normelor ce prevăd contravenţiile reglementate la art. 48 din legea criticată, pe de altă parte.
    114. Pentru aceste considerente, Curtea reţine că dispoziţiile art. 48 alin. (1) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative sunt clare, precise şi previzibile, fiind, aşadar, în acord cu exigenţele ce rezultă din prevederile art. 1 alin. (5) din Constituţie.
    115. În ceea ce priveşte aspectul reglementării procedurii de comunicare, respectiv de punere la dispoziţie a datelor şi informaţiilor la care fac referire prevederile art. 48 din legea analizată, printr-o hotărâre a Guvernului, ca act secundar şi nu primar de legiferare, acest mod de reglementare constituie o aplicare a dispoziţiilor constituţionale ale art. 108, ce reglementează actele Guvernului. De altfel, cele două aspecte (procedura de comunicare, respectiv de punere la dispoziţie a datelor şi informaţiilor) reflectă o măsură cu caracter organizatoric, administrativ, iar nu substanţial. În jurisprudenţa sa, Curtea a statuat că „organizarea executării legii are un sens mai larg decât cea privind aplicarea legii, şi anume prin hotărâri ale Guvernului pot fi dispuse măsuri organizatorice, financiare, instituţionale sau sancţionatoare în vederea stabilirii cadrului necesar pentru ducerea la îndeplinire a dispoziţiilor legii. Aşadar, legiuitorul nu mai stabileşte întotdeauna direct, prin lege, contravenţii şi sancţiuni, ci, chiar în sensul textului constituţional invocat, această competenţă revine autorităţii publice însărcinate cu organizarea executării legii“ (a se vedea Decizia nr. 107 din 22 februarie 2005, publicată în Monitorul Oficial al României, Partea I, nr. 334 din 20 aprilie 2005).
    116. Referitor la criticile de neconstituţionalitate formulate cu privire la dispoziţiile art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, Curtea reţine că acestea sunt neîntemeiate pentru următoarele considerente:
    117. În ceea ce priveşte critica conform căreia introducerea tuturor reţelelor şi sistemelor informatice în sistemul de protecţie a securităţii naţionale, mai exact în sectorul cibernetic al securităţii naţionale încalcă dreptul la viaţă intimă, familială şi privată, precum şi libertatea de exprimare, Curtea constată că soluţia legislativă analizată nu vizează reţelele şi sistemele informatice, în materialitatea lor, ci obiectul de interes al securităţii naţionale îl reprezintă efectele negative produse de atacurile şi ameninţările cibernetice, precum şi de ameninţările de tip hibrid din spaţiul cibernetic, care afectează capacitatea de rezilienţă a statului, respectiv campaniile de propagandă şi dezinformare din spaţiul cibernetic ce afectează ordinea constituţională. Or, cu privire la aceasta, Curtea Constituţională a statuat în jurisprudenţa sa că, în materia stabilirii tipurilor de ameninţări la adresa securităţii naţionale, revine legiuitorului primar sarcina de a stabili aceste ameninţări, aspect care constituie o opţiune de politică de securitate naţională a statului român (a se vedea Decizia nr. 91 din 28 februarie 2018, paragraful 69).
    118. De asemenea, printr-o jurisprudenţă constantă, Curtea Constituţională a reţinut că „nu intră în competenţa sa posibilitatea de a se pronunţa asupra aprecierilor, dintre care unele neavând caracter juridic, referitoare la faptul dacă legea supusă controlului de constituţionalitate îşi poate atinge scopul pentru care a fost iniţiată şi adoptată, şi aceasta, şi chiar dacă, eventual, asemenea aprecieri ar fi îndreptăţite. Curtea Constituţională nu decide dacă o lege este sau nu este bună, dacă este sau nu este eficientă sau dacă este sau nu este oportună“ (a se vedea Decizia nr. 203 din 29 noiembrie 1999, publicată în Monitorul Oficial al României, Partea I, nr. 603 din 9 decembrie 1999).
    119. Având în vedere aceste aspecte, principalele categorii de actori care generează ameninţări în spaţiul cibernetic sunt prezentate în Strategia de securitate cibernetică a României, pentru perioada 2022-2027, adoptată prin Hotărârea Guvernului nr. 1.321/2021, publicată în Monitorul Oficial al României, Partea I, nr. 2 din 3 ianuarie 2022, care face trimitere la persoane sau grupări de criminalitate organizată care exploatează vulnerabilităţile spaţiului cibernetic în scopul obţinerii de avantaje patrimoniale sau nepatrimoniale; la terorişti sau extremişti care utilizează spaţiul cibernetic pentru desfăşurarea şi coordonarea unor atacuri teroriste, activităţi de comunicare, propagandă, recrutare şi instruire, colectare de fonduri etc., în scopuri teroriste; la state sau actori nonstatali care iniţiază sau derulează operaţiuni în spaţiul cibernetic, în scopul culegerii de informaţii din domeniile guvernamental, militar, economic ori al materializării altor ameninţări la adresa securităţii naţionale.
    120. În considerare acestor realităţi şi în scopul armonizării cadrului normativ incident, prin dispoziţiile art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, legiuitorul primar a introdus modificări corelative, completând lista ameninţărilor la adresa securităţii naţionale prevăzute la art. 3 din Legea nr. 51/1991 cu următoarele tipuri de ameninţări/atacuri introduse la noile litere n)-p) ale art. 3:
    121. Art. 3 lit. n) - „ameninţări cibernetice sau atacuri cibernetice asupra infrastructurilor informatice şi de comunicaţii de interes naţional“. Norma introdusă la lit. n) a art. 3 din Legea nr. 51/1991 conţine noţiuni şi concepte definite în cuprinsul legii criticate sau în legislaţia incidentă. Astfel, noţiunea de „ameninţare cibernetică“ este definită la art. 2 lit. b) din legea criticată, prin trimitere la dispoziţiile art. 2 lit. f) din Ordonanţa de urgenţă a Guvernului nr. 104/2021, iar cea de „atac cibernetic“, la art. 2 lit. c) din aceeaşi lege, ca fiind o „acţiune ostilă (de rea-credinţă) desfăşurată în spaţiul cibernetic de natură să afecteze securitatea cibernetică“. La rândul său, sintagma „infrastructură informatică şi de comunicaţii de interes naţional“ este definită de art. 2 lit. d) din Legea nr. 163/2021 ca reprezentând infrastructura informatică şi de comunicaţii esenţială pentru menţinerea funcţiilor vitale ale societăţii, a sănătăţii, siguranţei, securităţii, bunăstării sociale ori economice a persoanelor şi a cărei perturbare sau distrugere are un impact semnificativ la nivel naţional ca urmare a incapacităţii de a menţine respectivele funcţii.
    122. Art. 3 lit. o) - acţiuni, inacţiuni sau stări de fapt cu consecinţe la nivel naţional, regional sau global care afectează rezilienţa statului român în raport cu riscurile şi ameninţările de tip hibrid. În mod similar, noua prevedere de la lit. o) conţine noţiuni şi concepte identificate în legea criticată sau în alte legi incidente. Astfel, conceptul de „rezilienţă“ este amplu definit în mai multe acte normative naţionale, pe baza definiţiei „rezilienţei în spaţiul cibernetic“, prevăzute la art. 2 lit. v) din legea criticată, conceptul fiind dezvoltat prin Hotărârea Parlamentului României nr. 22/2020 privind aprobarea Strategiei Naţionale de Apărare a Ţării pentru perioada 2020-2024, prin Hotărârea Guvernului nr. 1.321/2021 privind aprobarea Strategiei de securitate cibernetică a României, pentru perioada 2022-2027, precum şi a Planului de acţiune pentru implementarea Strategiei de securitate cibernetică a României, pentru perioada 2022-2027, prin dispoziţiile Ordonanţei de urgenţă a Guvernului nr. 155/2020 privind unele măsuri pentru elaborarea Planului naţional de redresare şi rezilienţă necesar României pentru accesarea de fonduri externe rambursabile şi nerambursabile în cadrul Mecanismului de redresare şi rezilienţă şi prin Ordonanţa de urgenţă a Guvernului nr. 124/2021 privind stabilirea cadrului instituţional şi financiar pentru gestionarea fondurilor europene alocate României prin Mecanismul de redresare şi rezilienţă, precum şi pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 155/2020 privind unele măsuri pentru elaborarea Planului naţional de redresare şi rezilienţă necesar României pentru accesarea de fonduri externe rambursabile şi nerambursabile în cadrul Mecanismului de redresare şi rezilienţă.
    123. Totodată, riscurile şi ameninţările de tip hibrid la adresa securităţii cibernetice sunt definite la art. 2 lit. b) şi w) din legea criticată ca fiind acele riscuri şi ameninţări care se manifestă sub formă hibridă. Noţiunea de „forma hibridă a ameninţărilor şi riscurilor de securitate cibernetică“ este conceptualizată prin Strategia Naţională de Apărare a Ţării pentru perioada 2020-2024, aprobată prin Hotărârea Parlamentului României nr. 22/2020, mai sus citată, paragrafele 6, 8, 21, 49, 61, 71, 75, 82, 91, 92, 93, 104, 154, 158, 177, 170, 203. Totodată, ameninţările militare de tip hibrid sunt descrise şi enumerate în cuprinsul Hotărârii Guvernului nr. 832/2021 pentru aprobarea Strategiei militare a României, la capitolul I lit. A şi B, capitolul II lit. A şi B, capitolul IV şi capitolul V.
    124. Art. 3 lit. p) - acţiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spaţiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituţională. Autorii sesizărilor de neconstituţionalitate consideră că sintagma prevăzută la art. 50 din legea supusă controlului de constituţionalitate cu referire la art. 3 lit. p) din Legea nr. 51/1991 („acţiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spaţiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituţională“) încalcă dispoziţiile art. 1 alin. (5) din Constituţie, fiind lipsită de claritate, precizie şi previzibilitate.
    125. La fel ca în cazul argumentelor aduse împotriva sintagmei reglementate de art. 3 alin. (1) lit. c) analizate anterior, şi în cazul acestor critici problema de drept invocată nu vizează de fapt imprecizia, neclaritatea sau impredictibilitatea normei, ci sfera prea largă de întindere a reglementării. Or, imprecizia, neclaritatea şi impredictibilitatea unei norme sau noţiuni juridice nu poate fi confundată cu sfera de întindere a respectivei noţiuni juridice. De altfel, autorul obiecţiei (Avocatul Poporului) precizează în sesizarea sa faptul că sfera de aplicare a dispoziţiei este atât de largă, încât faţă de orice persoană se poate reţine exercitarea unei acţiuni care constituie ameninţare la adresa securităţii naţionale. Or, tocmai acest lucru denotă că, în realitate, sintagma criticată nu este neclară sau imprecisă, ci faptul că, în opinia autorului sesizării de neconstituţionalitate, aceasta este prea largă.
    126. Pentru a lămuri semnificaţia sintagmei/noţiunilor supuse controlului de constituţionalitate trebuie realizate deopotrivă o interpretare textualistă şi una sistematică, având în vedere decelarea scopului urmărit de legiuitor.
    127. În primul rând, prin interpretarea textualistă, semnificaţiile noţiunilor de „propagandă“ şi „dezinformare“ sunt cele avute în vedere prin definiţiile din Dicţionarul explicativ al limbii române - DEX. Astfel, propaganda reprezintă, pe de o parte, acţiunea desfăşurată sistematic în vederea răspândirii unei doctrine politice, religioase etc., a unor teorii, opinii, pentru a le face cunoscute şi acceptate, pentru a câştiga adepţi, iar, pe de altă parte, poate consta în acţiunea de răspândire a unor idei care prezintă şi susţin o teorie, o concepţie, un partid politic etc., cu scopul de a convinge şi de a câştiga adepţi. Noţiunea de dezinformare este acţiunea de informare greşită (în mod tendenţios), acţiunea de a dezinforma şi rezultatul ei care semnifică a informa greşit, în mod intenţionat, tendenţios, a induce în eroare cu o informaţie falsă.
    128. În al doilea rând, Curtea observă din modul de redactare a normei că nu orice campanie de propagandă sau dezinformare în spaţiul cibernetic este avută în vedere de legiuitor, ci doar acele campanii de propagandă sau dezinformare de natură să afecteze ordinea constituţională. Tipul de ameninţare introdus la art. 3 lit. p) poate viza exclusiv acele campanii de propagandă sau dezinformare care promovează incitarea la război, la ură pe criterii de rasă, religie, naţionalitate etc., la separatism teritorial sau la violenţă publică, dar şi la schimbarea regimului democratic constituţional sau la desfiinţarea unor instituţii de rang constituţional. Calificarea unei acţiuni în sfera ameninţărilor reglementate la lit. p) presupune întrunirea unui număr de patru condiţii. Astfel, o primă condiţie pentru ca o ameninţare la adresa securităţii naţionale a României să poată fi încadrată la art. 3 lit. p) din Legea nr. 51/1991 este aceea ca ameninţarea să vină de la un stat străin sau o organizaţie străină sau naţională; a doua condiţie este aceea ca acţiunile să se deruleze sub forma unor campanii, adică a unei succesiuni organizate de acţiuni, caracterizate prin intenţie, organizare şi frecvenţă; cea de-a treia condiţie impune ca acţiunile să se desfăşoare în spaţiul cibernetic, adică prin reţele sociale şi de comunicaţii funcţionale prin intermediul unor sisteme şi reţele informatice; cea de-a patra condiţie este ca acţiunile să fie de natură să afecteze ordinea constituţională.
    129. În ceea ce priveşte noţiunea de „propagandă“, aceasta este consacrată legislativ în cuprinsul art. 405 din Codul penal, care incriminează propaganda pentru război, sensul acesteia fiind explicat în doctrina de drept penal, care a reţinut că norma de incriminare anterior menţionată are în vedere două modalităţi alternative de realizare a variantei tip, respectiv: propaganda pentru război şi distinct, răspândirea de ştiri tendenţioase sau inventate. Astfel, propaganda pentru război de agresiune constă în răspândirea, în public, de idei şi concepţii în favoarea unui asemenea război. Potrivit art. 1 din Rezoluţia Adunării Generale a ONU nr. 3.314 din 14 decembrie 1974, prin război de agresiune se înţelege folosirea forţelor armate de către un stat sau un grup de state împotriva suveranităţii, integrităţii teritoriale sau independenţei politice a altui stat sau în orice alt mod incompatibil cu Carta Naţiunilor Unite. În cazul răspândirii de ştiri tendenţioase sau inventate, suntem în prezenţa unei modalităţi de manipulare a populaţiei în scopul creării unei psihoze a declanşării unui război de agresiune. Acestea sunt alternative şi pot apărea în practică în multe forme, de la discursuri publice sau manifestări, precum cele prilejuite de diferite competiţii sportive, la articole apărute în presa scrisă, emisiuni realizate la posturile de radio sau de televiziune. Putem întâlni, de asemenea, promovarea (...) prin mijloacele de comunicare mai moderne, precum internetul, unde reţelele de socializare reprezintă o platformă foarte potrivită pentru propagarea unor astfel de mesaje. În cazul răspândirii de ştiri tendenţioase sau inventate, este necesar ca informaţiile să fie inventate, complet sau parţial, sau interpretate într-o formă diferită faţă de realitate. Mesajul (...) are o firească şi necesară dimensiune publică, propaganda fiind prin esenţa sa destinată a atinge mase mari de oameni, a influenţa comportamentul acestora, a genera reacţii puternice, a modifica sau crea tendinţe la nivel social, credinţe, opinii.
    130. De asemenea, noţiunea de „propagandă“ este definită legal la art. 4 pct. 9 din Legea nr. 535/2004 privind prevenirea şi combaterea terorismului, cu modificările şi completările ulterioare, ca semnificând „răspândirea în mod sistematic sau apologia unor idei, concepţii ori doctrine, cu intenţia de a convinge şi de a atrage noi adepţi“. Totodată, protejarea normelor de rang constituţional de acte de propagandă este asigurată şi prin dispoziţiile Legii partidelor politice nr. 14/2003 care, la art. 3 alin. (2) interzice absolut „partidele politice care, prin statutul, programele, propaganda de idei ori prin alte activităţi pe care le organizează, încalcă prevederile art. 30 alin. (7), art. 40 alin. (2) sau (4) din Constituţia României, republicată“, sancţiunea prevăzută pentru cazul constatării actelor de propagandă fiind dizolvarea partidului politic.
    131. Nu în ultimul rând, noţiunea de „propagandă“ se regăseşte, cu sensul mai sus arătat, în cuprinsul următoarelor dispoziţii legale: la art. 28 din Legea nr. 80/1995 privind statutul cadrelor militare, la art. 53 alin. (3) şi art. 64 din Legea nr. 47/1992, la art. 45 lit. a) din Legea nr. 360/2002 privind statutul poliţistului, la art. 18 alin. (2) din Legea nr. 17/1990 privind regimul juridic al apelor maritime interioare, al mării teritoriale, al zonei contigue şi al zonei economice exclusive ale României şi la art. 15 din Legea nr. 1/1998 privind organizarea şi funcţionarea Serviciului de Informaţii Externe.
    132. În ceea ce priveşte noţiunea de „dezinformare“, aceasta a fost definită în cuprinsul documentului european denumit Comunicarea comună către Parlamentul European, Consiliul European, Consiliu, Comitetul Economic şi Social European şi Comitetul Regiunilor. Plan de acţiune împotriva dezinformării, 5 decembrie 2018. Potrivit actului european anterior menţionat, prin „dezinformare“ se înţelege crearea, prezentarea şi diseminarea de informaţii false sau înşelătoare, în scopul obţinerii unui câştig economic sau pentru a induce publicul în eroare în mod deliberat şi care pot provoca un prejudiciu public. Prejudiciul public include ameninţări legate de procesele democratice, precum şi de bunurile publice cum ar fi sănătatea, mediul sau securitatea cetăţenilor.
    133. Totodată, noţiunea de „dezinformare“ este utilizată în cuprinsul mai multor acte normative de rang primar, secundar şi terţiar, respectiv la art. 3 lit. c), art. 8 alin. (3) şi art. 14 alin. (4) din Legea nr. 122/2011 privind regimul armelor, dispozitivelor militare şi muniţiilor deţinute de Ministerul Apărării Naţionale şi de forţele armate străine pe teritoriul României, în cuprinsul Hotărârii Guvernului nr. 548/2008 privind aprobarea Strategiei naţionale de comunicare şi informare publică pentru situaţii de urgenţă, la pct. IV şi VIII ale Strategiei naţionale de comunicare şi informare publică, la art. 4, art. 13, art. 34, art. 42 şi art. 43 din anexa nr. 5^1 la Regulamentul privind gestionarea situaţiilor de urgenţă specifice riscului nuclear sau radiologic, aprobat prin Ordinul ministrului afacerilor interne şi al preşedintelui Comisiei Naţionale pentru Controlul Activităţilor Nucleare nr. 61/113/2018, cu modificările şi completările ulterioare.
    134. Nu în ultimul rând, noţiunea de „dezinformare“ este definită în Codul de Practică a Uniunii Europene împotriva dezinformării, actualizat în 2022 (2022 - Strengthened Code of Practice on Disinformation), precum şi în Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic şi Social European şi Comitetul Regiunilor privind Planul de acţiune pentru democraţia europeană. Conform acesteia din urmă, „este important să se facă distincţia între diferitele fenomene care sunt denumite în mod obişnuit «dezinformare» pentru a permite elaborarea unor răspunsuri politice adecvate: informarea greşită este conţinut fals sau înşelător partajat fără intenţie dăunătoare, deşi efectele pot fi totuşi dăunătoare, de exemplu, când oamenii împărtăşesc informaţii false prietenilor şi familiei cu bună-credinţă; dezinformarea este conţinut fals sau înşelător care este răspândit cu intenţia de a înşela sau de a asigura un câştig economic sau politic şi care poate cauza prejudicii publice. Operaţia de influenţă a informaţiilor se referă la eforturile coordonate ale actorilor autohtoni sau străini de a influenţa un public-ţintă folosind o serie de mijloace înşelătoare, inclusiv suprimarea surselor independente de informaţii în combinaţie cu dezinformarea. Interferenţa străină în spaţiul informaţional, adesea efectuată ca parte a unei operaţiuni hibride mai ample, poate fi înţeleasă ca eforturi coercitive şi înşelătoare de a perturba formarea şi exprimarea liberă a voinţei politice a indivizilor de către un actor de stat străin sau agentul acestuia“.
    135. Cu privire la sensul noţiunii de „ştiri false“, aceasta nu este definită legal, aspect ce indică intenţia legiuitorului de a-i fi conferit expresiei anterior menţionate înţelesul ce rezultă din sensul uzual al cuvintelor care o compun, respectiv acela de date sau informaţii cu caracter de noutate care nu corespund adevărului. Acelaşi sens rezultă şi din interpretarea gramaticală şi teleologică a normelor juridice în cuprinsul cărora este utilizată sintagma analizată, respectiv din interpretarea dispoziţiilor art. 272 şi art. 272^1 din Legea societăţilor nr. 31/1990, a dispoziţiilor anexei nr. 1 la Hotărârea Guvernului nr. 539/2021 privind aprobarea Strategiei naţionale pentru prevenirea şi combaterea antisemitismului, xenofobiei, radicalizării şi discursului instigator la ură, aferentă perioadei 2021-2023, şi a Planului de acţiune al Strategiei naţionale pentru prevenirea şi combaterea antisemitismului, xenofobiei, radicalizării şi discursului instigator la ură, aferentă perioadei 2021-2023, a Consideraţiilor finale ale Hotărârii Parlamentului României nr. 28/2021 pentru aprobarea Cartei albe a apărării, precum şi a Hotărârii Parlamentului României nr. 22/2020 privind aprobarea Strategiei Naţionale de Apărare a Ţării pentru perioada 2020-2024.
    136. În ceea ce priveşte noţiunea de „ordine constituţională“, aceasta desemnează un concept amplu descris şi dezvoltat în jurisprudenţa Curţii Constituţionale, jurisprudenţă din care rezultă, cu claritate, precizie şi previzibilitate caracteristicile, conţinutul şi limitele acesteia. Astfel, prin Decizia nr. 611 din 3 octombrie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 877 din 7 noiembrie 2017, paragraful 107, Curtea a constatat că „respectarea statului de drept nu se limitează la această componentă, ci implică, din partea autorităţilor publice, comportamente şi practici constituţionale, care îşi au sorgintea în ordinea normativă constituţională, privită ca ansamblu de principii care fundamentează raporturile sociale, politice, juridice ale unei societăţi. Altfel spus, această ordine normativă constituţională are o semnificaţie mai amplă decât normele pozitive edictate de legiuitor, constituind cultura constituţională specifică unei comunităţi naţionale. Prin urmare, colaborarea loială presupune, dincolo de respectul faţă de lege, respectul reciproc al autorităţilor/instituţiilor statului, ca expresie a unor valori constituţionale asimilate, asumate şi promovate, în scopul asigurării echilibrului între puterile statului. Loialitatea constituţională poate fi caracterizată, deci, ca fiind o valoare-principiu intrinsecă Legii fundamentale, în vreme ce colaborarea loială între autorităţile/instituţiile statului are un rol definitoriu în implementarea Constituţiei“. Prin aceeaşi decizie, anterior citată, la paragraful 108, Curtea a mai reţinut că ordinea constituţională vizează şi „respectul pentru Constituţie“ care „nu poate fi limitat la executarea literală a dispoziţiilor sale operaţionale. Constituţia prin însăşi natura sa, în plus faţă de garantarea drepturilor omului, oferă un cadru pentru instituţiile statului, stabileşte atribuţiile şi obligaţiile acestora. Scopul acestor dispoziţii este de a permite buna funcţionare a instituţiilor, în baza cooperării loiale dintre acestea. Şeful statului, Parlamentul, Guvernul, sistemul judiciar, toate servesc scopului comun de a promova interesele ţării ca un întreg, nu interesele înguste ale unei singure instituţii sau ale unui partid politic care a desemnat titularul funcţiei. Chiar dacă o instituţie este într-o situaţie de putere, atunci când este în măsură să influenţeze alte instituţii ale statului, trebuie să facă acest lucru având în vedere interesul statului ca un întreg, inclusiv, ca o consecinţă, interesele celorlalte instituţii şi cele ale minorităţii parlamentare (Avizul Comisiei de la Veneţia, precitat, paragraful 87 - s.n. Avizul privind compatibilitatea cu principiile constituţionale şi statul de drept a acţiunilor Guvernului României cu privire la alte instituţii ale statului şi Ordonanţa de urgenţă a Guvernului de modificare a Legii nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale şi Ordonanţa de urgenţă a Guvernului de modificare şi completare a Legii nr. 3/2000 privind organizarea şi desfăşurarea referendumului în România, aviz adoptat de la cea de-a 93-a Sesiune Plenară/Veneţia, 14-15 decembrie 2012).“
    137. Totodată, noţiunea de „ordine constituţională“ este folosită de legiuitor şi în cuprinsul normei ce reglementează infracţiunea de acţiuni împotriva ordinii constituţionale prevăzute la art. 397 din Codul penal. Conform doctrinei de drept penal, prin „ordine constituţională“ se înţelege ordinea izvorâtă din normele şi principiile constituţionale de instituire a organelor statului şi a modului de funcţionare şi de îndeplinire a atribuţiilor acestora, în scopul funcţionării statului de drept şi respectării şi garantării drepturilor şi libertăţilor fundamentale. Acţiunea armată şi acţiunile violente desfăşurate în mod clasic (în spaţiu terestru, aerian sau maritim) sau mai nou, în spaţiul cibernetic, dacă sunt exercitate în scopul schimbării ordinii constituţionale, prezintă un pericol deosebit pentru securitatea naţională, inclusiv pentru atributele fundamentale ale statului. Infracţiunea prevăzută la art. 397 din Codul penal are o structură formată dintr-o variantă tip şi o variantă atenuată. Astfel, schimbarea ordinii constituţionale reprezintă orice modificare a atributelor fundamentale ale statului român (caracterul naţional, suveran, independent, unitar şi indivizibil al statului, forma de guvernământ ori democraţia constituţională). În cea de-a doua modalitate, respectiv îngreunarea exercitării puterii de stat, presupune generarea unor dificultăţi reale în îndeplinirea de către autorităţile statului a atribuţiilor şi sarcinilor ce le revin, iar împiedicarea exercitării puterii de stat reprezintă punerea organelor de stat în imposibilitatea de a-şi realiza atribuţiile legale şi sarcinile ce le revin. Astfel, atât timp cât legea recunoaşte deja ordinea constituţională ca valoare supremă ce trebuie apărată prin norme de drept penal, este firesc şi logic ca şi securitatea naţională - care urmăreşte, în esenţă, tot apărarea ordinii constituţionale prin mijloace de culegere, prelucrare, evaluare şi comunicare a informaţiilor - să dispună de pârghiile legale pentru a-şi putea exercita această misiune.
    138. În ceea ce priveşte noţiunea de „spaţiu cibernetic“, aceasta este definită la art. 2 lit. z) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, ca fiind „mediul virtual generat de reţelele şi sistemele informatice, incluzând conţinutul informaţional procesat, stocat sau transmis, precum şi acţiunile derulate de utilizatori în acesta“. De asemenea, art. 2 lit. c) din Ordonanţa de urgenţă a Guvernului nr. 104/2021, defineşte spaţiul cibernetic ca „mediul virtual, astfel cum este definit în Strategia de securitate cibernetică a României şi Planul de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică, aprobat prin Hotărârea Guvernului nr. 271/2013“, în condiţiile în care Strategia de securitate cibernetică a României, adoptată prin Hotărârea Guvernului nr. 271/2013 descrie spaţiul cibernetic ca fiind „mediul virtual, generat de infrastructurile cibernetice, incluzând conţinutul informaţional procesat, stocat sau transmis, precum şi acţiunile derulate de utilizatori în acesta“.
    139. Referitor la sensul verbului „a afecta“, Curtea Constituţională a reţinut, în jurisprudenţa sa, spre exemplu, prin Decizia nr. 650 din 15 decembrie 2022, publicată în Monitorul Oficial al României, Partea I, nr. 1262 din 28 decembrie 2022, paragraful 49, că acesta este susceptibil de interpretări diferite, aşa cum rezultă din unele dicţionare. „Din punctul de vedere al Curţii, aceasta urmează să reţină numai sensul juridic al noţiunii, sub diferite nuanţe, cum ar fi: «a suprima», «a aduce atingere», «a prejudicia», «a vătăma», «a leza», «a antrena consecinţe negative» (a se vedea în acelaşi sens şi Decizia nr. 1.189 din 6 noiembrie 2008, publicată în Monitorul Oficial al României, Partea I, nr. 787 din 25 noiembrie 2008)“.
    140. Cu privire la sensul sintagmei „securitate naţională“ din cuprinsul art. 50 din legea criticată, Curtea reţine că, prin Decizia nr. 872 din 25 iunie 2010, Curtea a statuat că noţiunea de securitate naţională este un concept constituţional şi că un element al acesteia îl constituie starea de echilibru şi de stabilitate economică. Prin aceeaşi decizie, Curtea a reţinut că securitatea naţională nu implică numai securitatea militară, deci domeniul manu militari, ci are şi o componentă socială şi economică, dar şi că „posibilitatea restrângerii exerciţiului unor drepturi sau libertăţi prevăzută de art. 53 din Constituţie este o prerogativă constituţională distinctă de instituirea unor măsuri excepţionale (starea de urgenţă sau de asediu) reglementate de prevederile art. 93 din Constituţie (astfel, restrângerea exerciţiului unor drepturi se poate dispune şi în afara situaţiilor reglementate la art. 93 din Constituţie)“. De asemenea, prin Decizia nr. 91 din 28 februarie 2018, Curtea a reţinut că termenul de „securitate naţională“ este unul plurivalent şi că, din perspectiva art. 53 alin. (1) din Constituţie, se poate vorbi de securitate militară, economică, financiară, informatică sau socială a ţării. Totodată, prin Decizia nr. 455 din 4 iulie 2018, paragraful 63, Curtea a constatat că securitatea reţelelor şi sistemelor informatice este o chestiune care ţine de securitatea naţională.
    141. În concluzie, prevederile art. 50 din legea criticată, inclusiv sintagma criticată punctual de „campanie de propagandă sau dezinformare“ nu pot fi analizate exclusiv în abstract, fără să se ţină cont de elementele care determină limitele lor de interpretare. Autorii sesizărilor de neconstituţionalitate identifică doi termeni din ansamblul legislativ şi îi analizează în abstract, independent de elementele determinante care clarifică, prin limitare, întinderea semnificaţiei juridice a sintagmei criticate. În considerarea acestui raţionament pur abstract, autorul criticii trage concluzia inerentă că semnificaţia termenilor este prea largă, deci imprecisă, neclară şi impredictibilă. O asemenea metodă de interpretare care valorifică exclusiv „în abstract“ o sintagmă cuprinsă într-o lege ar conduce inevitabil la concluzia că acestea sunt imprecise, neclare şi impredictibile.
    142. Or, Curtea Constituţională a precizat în jurisprudenţa sa, faptul că „analiza existenţei ameninţărilor la adresa securităţii naţionale a României, în cazul dispoziţiei de lege criticate, trebuie să se realizeze prin corelarea formei/modalităţii de manifestare a activităţilor prevăzute de art. 3 lit. f) din Legea nr. 51/1991 cu scopul urmărit/valoarea lezată prin acea activitate“. În cazul criticilor aduse prevederilor art. 50, Curtea reţine că trebuie urmată aceeaşi logică de interpretare şi ori de câte ori se urmăreşte identificarea semnificaţiei unei ameninţări la adresa securităţii naţionale. În cazul dedus judecăţii, sintagma „campanii de propagandă sau dezinformare“ trebuie să fie corelată atât cu forma/modalitatea/condiţiile de manifestare prevăzută/prevăzute de normă, cât şi cu scopul urmărit prin lege şi cu valoarea lezată prin aceste activităţi, care este ordinea constituţională, element component al suveranităţii statului.
    143. Aşadar, nu orice campanie de propagandă sau dezinformare este avută în vedere de legiuitor, ci doar acele campanii de propagandă sau de dezinformare de o gravitate extremă, de natură să reprezinte o ameninţare la adresa securităţii naţionale, prin îndeplinirea cumulativă a condiţiilor prevăzute expres de legiuitor, enunţate mai sus.
    144. Ca atare, o sintagmă neclară, imprecisă şi impredictibilă prin analiza sa „în abstract“, independent de elementele determinate şi de scopul avut în vedere, devine clară, precisă şi predictibilă prin analiza elementelor care îi determină conţinutul normativ, în interpretarea sistematică a acestora.
    145. Având în vedere toate aceste considerente, Curtea reţine că dispoziţiile art. 50 din legea criticată sunt clare, precise şi previzibile, fiind în acord cu prevederile constituţionale ale art. 1 alin. (5) referitoare la calitatea legii.
    146. În ceea ce priveşte critica invocată de autorii deputaţi ai sesizării de neconstituţionalitate privind încălcarea dreptului la viaţă intimă, familială şi privată, prin extinderea realizată de dispoziţiile art. 50 din legea criticată a sferei de aplicare a prevederilor art. 3 din Legea nr. 51/1991, Curtea Constituţională observă că prin conţinutul normativ în vigoare al art. 3 raportat la prevederile art. 1 şi art. 2 din Legea nr. 51/1991, legiuitorul nu a reglementat activităţi sau competenţe specifice din domeniul culegerii de informaţii care presupun restrângerea exerciţiului unor drepturi sau libertăţi fundamentale ale omului. Astfel, art. 1 din Legea nr. 51/1991 reglementează conţinutul conceptului de securitate naţională a României, enumerând valorile expres ocrotite potrivit principiilor şi normelor democratice statornicite prin Constituţie, prin mijloacele menţionate la art. 2 alin. (1) - respectiv prin cunoaşterea, prevenirea şi înlăturarea ameninţărilor interne şi externe ce pot aduce atingere valorilor sus-menţionate. Dispoziţiile art. 3 în vigoare [lit. a)-m)] enumeră tipurile de ameninţări la adresa securităţii naţionale a României, asupra cărora Curtea s-a mai pronunţat în jurisprudenţa sa, prin Decizia nr. 91/2018 şi Decizia nr. 802/2018. Prevederile art. 3 din Legea nr. 51/1991 au fost completate prin dispoziţiile art. 50 din legea ce face obiectul prezentului control de constituţionalitate, în sensul introducerii la literele noi n)-p) a următoarelor tipuri de ameninţări: lit. n) - „ameninţări cibernetice sau atacuri cibernetice asupra infrastructurilor informatice şi de comunicaţii de interes naţional“; lit. o) - „acţiuni, inacţiuni sau stări de fapt cu consecinţe la nivel naţional, regional sau global care afectează rezilienţa statului român în raport cu riscurile şi ameninţările de tip hibrid“; lit. p) - „acţiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spaţiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituţională.“
    147. Curtea constată că în raport cu argumentele invocate, critica privind afectarea unor drepturi şi libertăţi fundamentale nu este întemeiată întrucât legiuitorul nu a introdus la art. 3 lit. n)-p) măsuri, competenţe sau activităţi specifice culegerii de informaţii care presupun restrângerea unor drepturi sau libertăţi fundamentale ale omului, acestea fiind expres şi limitativ reglementate la art. 14 din Legea nr. 51/1991. Stabilirea sferei ameninţărilor la adresa securităţii naţionale cu luarea în considerare a modului în care acestea au evoluat, s-au transformat şi s-au diversificat, nu presupune în mod implicit şi necesar măsuri de restrângere a exerciţiului unor drepturi fundamentale. Doar măsurile prevăzute expres la art. 14 restrâng drepturi si libertăţi şi în aceste cazuri limitativ prevăzute, legiuitorul a reglementat deopotrivă garanţiile legale prevăzute la art. 15 si următoarele din Legea nr. 51/1991. Astfel, reţinem că art. 14-24 din Legea nr. 51/1991 prevăd proceduri ex ante şi a posteriori care garantează evitarea oricărei ingerinţe ilegale sau neautorizate în viaţa privată a cetăţenilor, regim de protecţie aplicabil în cazul oricărui tip de ameninţare la adresa securităţii naţionale, prevăzută de art. 3, astfel cum a fost completat prin dispoziţiile legii criticate.
    148. Simpla enumerare a ameninţărilor interne sau externe la adresa securităţii naţionale nu poate afecta, prin restrângere, drepturi sau libertăţi fundamentale. Legiuitorul nu modifică regimul juridic al ameninţărilor la adresa securităţii naţionale, nici nu suprimă garanţiile prevăzute în vederea asigurării respectării drepturilor şi libertăţilor fundamentale, ci doar actualizează sfera ameninţărilor la realităţile actuale ale societăţii, urmărind ca, prin reglementarea protecţiei oferite de mecanismele de securitate naţională să asigure, în final, funcţionarea statului român şi exercitarea neîngrădită a drepturilor şi libertăţilor fundamentale ale cetăţenilor.
    149. Aşadar, Curtea constată că stabilirea ameninţărilor la adresa securităţii naţionale prevăzute la art. 3 lit. n)-p) din Legea nr. 51/1991 se încadrează în marja de apreciere a statului român, noile ameninţări au un scop legitim, fiind instituite ca urmare a realităţilor care guvernează spaţiul cibernetic, realităţi care în lipsa unei protecţii legale adecvate pot aduce atingere funcţionării statului, ordinii constituţionale, infrastructurilor cibernetice critice şi, implicit, exerciţiului drepturilor şi libertăţilor fundamentale de către cetăţenii acestuia, acestea fiind, totodată, proporţionale cu scopul legii criticate, acela de asigurare a securităţii şi apărării cibernetice a României.
    150. Autorii sesizărilor de neconstituţionalitate critică dispoziţiile art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative şi pentru motivul că aceste norme ar permite calificarea ca infracţiune de comunicare de informaţii false, a faptelor de exprimare a unor opinii neobediente prin raportare la acţiunile statale, a faptelor de adresare a unor întrebări incomode, a celor de formulare a unor opinii contrare politicii oficiale a statului sau a unor poziţii publice contrare politicii oficiale a statului. Critica nu poate fi reţinută, întrucât infracţiunea prevăzută la art. 404 din Codul penal are ca element material al laturii obiective acţiunile de comunicare şi de răspândire de ştiri, de date sau de informaţii false ori de documente falsificate, în condiţiile în care subiectul activ al infracţiuni cunoaşte caracterul fals al acestora, consecinţa faptelor sale trebuind să constea în punerea în pericol a securităţii naţionale. Spre deosebire de vechea reglementare, noul Cod penal stabileşte cerinţa ca făptuitorul să cunoască, la momentul săvârşirii faptei, caracterul fals al ştirilor, datelor sau informaţiilor ori al documentelor falsificate pe care le comunică sau răspândeşte, fiind înlăturat pericolul unei răspunderi obiective, prin urmare, forma de vinovăţie cu care acţionează subiectul activ al infracţiunii reglementate la art. 404 din Codul penal este intenţia. În privinţa elementului material, infracţiunea prevăzută de art. 404 se realizează printr-o acţiune de comunicare sau răspândire de ştiri, date, informaţii ori de documente. Comunicarea constă în prezentarea, informarea, înştiinţarea uneia sau mai multor persoane asupra conţinutului anumitor date, informaţii ori documente, iar răspândirea presupune acţiunea prin care sunt împrăştiate, difuzate, propagate ştiri, date, informaţii, cu dorinţa ca acestea să ajungă la cunoştinţa publicului. Pentru întregirea elementului material trebuie îndeplinite două cerinţe esenţiale: pe de o parte, este necesar ca ştirile, datele, informaţiile sau documentele să fie false ori falsificate, iar făptuitorul să cunoască aceste aspecte. Pe de altă parte, se cere ca acţiunea de comunicare sau de răspândire a unor ştiri, date, informaţii false ori documente falsificate să pună în pericol securitatea naţională. Aşadar, ştirile, datele şi informaţiile, precum şi documentele falsificate la care face referire norma de incriminare invocată de autorii sesizării sunt, în mod obiectiv false, caracter care trebuie probat pentru ca faptele avute în vedere să poată fi încadrate conform art. 404 anterior menţionat.
    151. În considerarea argumentelor expuse mai sus, Curtea reţine că faptele reglementate prin dispoziţiile art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative nu constituie, de plano, elementul material al laturii obiective a infracţiunii de comunicare de informaţii false prevăzute de art. 404 din Codul penal, motiv pentru care dispoziţiile legale criticate sunt în acord cu prevederile art. 1 alin. (5) din Constituţie, critica fiind neîntemeiată.
    152. Pentru considerentele arătate, în temeiul art. 146 lit. a) şi al art. 147 alin. (4) din Constituţie, precum şi al art. 11 alin. (1) lit. A.a), al art. 15 alin. (1) şi al art. 18 alin. (2) din Legea nr. 47/1992, cu majoritate de voturi,

    CURTEA CONSTITUŢIONALĂ
    În numele legii
    DECIDE:
    Respinge, ca neîntemeiate, obiecţiile de neconstituţionalitate formulate de un număr de 57 de deputaţi, aparţinând grupului parlamentar al USR, şi deputaţi neafiliaţi şi, respectiv, de Avocatul Poporului şi constată că dispoziţiile art. 3 alin. (1) lit. c), art. 21 alin. (1), art. 22, art. 25, art. 41, art. 48 şi ale art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative sunt constituţionale în raport cu criticile formulate.
    Definitivă şi general obligatorie.
    Decizia se comunică Preşedintelui României şi se publică în Monitorul Oficial al României, Partea I.
    Pronunţată în şedinţa din data de 28 februarie 2023.


                    PREŞEDINTELE CURŢII CONSTITUŢIONALE
                    MARIAN ENACHE
                    Magistrat-asistent,
                    Cristina Teodora Pop


    OPINIE SEPARATĂ
    În dezacord cu opinia majoritară, considerăm că obiecţiile de neconstituţionalitate referitoare la Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative trebuiau admise şi trebuia constatată neconstituţionalitatea dispoziţiilor criticate pentru argumentele ce urmează a fi expuse:
    I. Examinând obiecţiile de neconstituţionalitate, reţinem că o primă critică de neconstituţionalitate se referă la lipsa de claritate şi previzibilitate a dispoziţiilor art. 3 alin. (1) lit. c) teza finală din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, cu următorul conţinut: „reţelele şi sistemele informatice deţinute, organizate, administrate sau utilizate de autorităţi şi instituţii ale administraţiei publice centrale şi locale, altele decât cele prevăzute la lit. a), precum şi de persoane fizice şi juridice care furnizează servicii publice ori de interes public, altele decât cele de la lit. b)“.
    Cu titlu general, reţinem că instanţa de contencios constituţional a constatat că orice act normativ trebuie să îndeplinească anumite condiţii calitative, printre acestea numărându-se previzibilitatea, ceea ce presupune că acesta trebuie să fie suficient de precis şi clar pentru a putea fi aplicat (a se vedea, în acest sens, spre exemplu, Decizia nr. 189 din 2 martie 2006, publicată în Monitorul Oficial al României, Partea I, nr. 307 din 5 aprilie 2006, Decizia nr. 903 din 6 iulie 2010, publicată în Monitorul Oficial al României, Partea I, nr. 584 din 17 august 2010, sau Decizia nr. 26 din 18 ianuarie 2012, publicată în Monitorul Oficial al României, Partea I, nr. 116 din 15 februarie 2012). În acelaşi sens, Curtea Europeană a Drepturilor Omului a statuat că legea trebuie, într-adevăr, să fie accesibilă justiţiabilului şi previzibilă în ceea ce priveşte efectele sale.
    Pentru ca legea să satisfacă cerinţa de previzibilitate, ea trebuie să precizeze cu suficientă claritate întinderea şi modalităţile de exercitare a puterii de apreciere a autorităţilor în domeniul respectiv, ţinând cont de scopul legitim urmărit, pentru a oferi persoanei o protecţie adecvată împotriva arbitrarului (a se vedea Hotărârea din 4 mai 2000, pronunţată în Cauza Rotaru împotriva României, paragraful 52, şi Hotărârea din 25 ianuarie 2007, pronunţată în Cauza Sissanis împotriva României, paragraful 66).
    De aceea, o lege îndeplineşte condiţiile calitative impuse atât de Constituţie, cât şi de Convenţie, numai dacă norma este enunţată cu suficientă precizie pentru a permite cetăţeanului să îşi adapteze conduita în funcţie de aceasta, astfel încât, apelând la nevoie la consiliere de specialitate în materie, el să fie capabil să prevadă, într-o măsură rezonabilă, faţă de circumstanţele speţei, consecinţele care ar putea rezulta dintr-o anumită faptă şi să îşi corecteze conduita.
    Curtea, având în vedere principiul generalităţii legilor, a reţinut că poate să fie dificil să se redacteze legi de o precizie totală şi o anumită supleţe poate chiar să se dovedească de dorit, supleţe care nu trebuie să afecteze, însă, previzibilitatea legii (a se vedea, în acest sens, Decizia Curţii Constituţionale nr. 903 din 6 iulie 2010, publicată în Monitorul Oficial al României, Partea I, nr. 584 din 17 august 2010, şi Decizia Curţii Constituţionale nr. 743 din 2 iunie 2011, publicată în Monitorul Oficial al României, Partea I, nr. 579 din 16 august 2011, precum şi jurisprudenţa Curţii Europene a Drepturilor Omului cu privire la care se reţin, spre exemplu, Hotărârea din 15 noiembrie 1996, pronunţată în Cauza Cantoni împotriva Franţei, paragraful 29, Hotărârea din 25 noiembrie 1996, pronunţată în Cauza Wingrove împotriva Regatului Unit, paragraful 40, Hotărârea din 4 mai 2000, pronunţată în Cauza Rotaru împotriva României, paragraful 55, Hotărârea din 9 noiembrie 2006, pronunţată în Cauza Leempoel & S.A. ED. Cine Revue împotriva Belgiei, paragraful 59).
    Totodată, Curtea a reţinut că, potrivit art. 8 alin. (4) din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, „forma şi estetica exprimării nu trebuie să prejudicieze stilul juridic, precizia şi claritatea dispoziţiilor“, iar, potrivit art. 36 alin. (1) din acelaşi act normativ, „actele normative trebuie redactate într-un limbaj şi stil juridic specific normativ, concis, sobru, clar şi precis, care să excludă orice echivoc, cu respectarea strictă a regulilor gramaticale şi de ortografie“. Curtea a constatat că, în elaborarea actelor normative, organul legislativ trebuie să se asigure că folosirea termenilor se realizează într-un mod riguros, într-un limbaj şi stil juridic, care este prin excelenţă un limbaj specializat şi instituţionalizat. În doctrină s-a arătat că precizia şi claritatea limbajului folosit în domeniul juridic se obţin din analizarea şi utilizarea cât mai adecvată a termenilor şi expresiilor, ţinând seama de semnificaţia lor în mod curent, precum şi de respectarea cerinţelor gramaticale şi de ortografie, realizându-se asigurarea unităţii terminologice a stilului juridic. Astfel, Curtea a reţinut că, deşi legiuitorul în cadrul procedurii de legiferare poate opera cu termeni de drept comun, aceştia trebuie folosiţi adecvat domeniului respectiv, numai în acest mod putându-se ajunge la respectarea unei unităţi terminologice a stilului juridic (Decizia nr. 405 din 15 iunie 2016, publicată în Monitorul Oficial al României, Partea I, nr. 517 din 8 iulie 2016, paragraful 47).
    Având în vedere aceste considerente de principiu, urmează să analizăm în ce măsură dispoziţiile criticate respectă standardul de claritate şi predictibilitate cerut de Legea fundamentală şi de Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale.
    Aşa fiind, reţinem că din economia dispoziţiilor art. 3 rezultă că, în ceea ce priveşte securitatea cibernetică, legea criticată se adresează următorilor destinatari:
    • autorităţile şi instituţiile publice din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat care deţin, organizează, administrează, utilizează sau au în competenţă reţele şi sisteme informatice;
    • persoanele fizice şi juridice de drept privat care deţin şi utilizează reţele şi sisteme informatice în vederea furnizării de servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale;
    • autorităţile şi instituţiile administraţiei publice centrale şi locale (cu excepţia celor din domeniul apărării, ordinii publice, securităţii naţionale, justiţiei, situaţiilor de urgenţă, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat) care deţin, organizează, administrează sau utilizează reţele şi sisteme informatice;
    • persoanele fizice şi juridice care deţin, organizează, administrează sau utilizează reţele şi sisteme informatice şi care furnizează servicii publice ori de interes public (cu excepţia acelor persoane fizice/juridice care furnizează servicii de comunicaţii electronice către autorităţile şi instituţiile administraţiei publice centrale şi locale).

    Reţinem că autorii sesizării apreciază că, în ceea ce priveşte această ultimă categorie, legiuitorul a reglementat o normă cu o sferă de cuprindere foarte largă, care determină încălcarea prevederilor art. 1 alin. (5) din Constituţie.
    Pentru început, reţinem că dispoziţia criticată se referă la „persoane fizice şi juridice“. Potrivit art. 25 din Codul civil, „subiectele de drept civil sunt persoanele fizice şi persoanele juridice“, „persoana fizică este omul, privit individual, ca titular de drepturi şi de obligaţii civile“, „persoana juridică este orice formă de organizare care, întrunind condiţiile cerute de lege, este titulară de drepturi şi de obligaţii civile“. Referitor la persoana fizică, reţinem că în capitolul I al titlului II din Codul civil este reglementată capacitatea civilă a persoanei fizice. De asemenea, în ceea ce priveşte persoana juridică, observăm că dispoziţiile incidente sunt cuprinse în titlul IV din Codul civil. Astfel, potrivit art. 188 din Codul civil, „sunt persoane juridice entităţile prevăzute de lege, precum şi orice alte organizaţii legal înfiinţate care, deşi nu sunt declarate de lege persoane juridice, îndeplinesc toate condiţiile prevăzute la art. 187“, iar dispoziţiile art. 187 din acelaşi act normativ prevăd că „orice persoană juridică trebuie să aibă o organizare de sine stătătoare şi un patrimoniu propriu, afectat realizării unui anumit scop licit şi moral, în acord cu interesul general“. Potrivit art. 189 din Codul civil, „persoanele juridice sunt de drept public sau de drept privat“.
    Persoanele juridice de drept privat se pot constitui, în mod liber, în una dintre formele prevăzute de lege (potrivit art. 190 din Codul civil). Pe de altă parte, potrivit art. 191 alin. (1) din acelaşi act normativ, persoanele juridice de drept public se înfiinţează prin lege, iar, potrivit alin. (2) al aceluiaşi articol, prin excepţie, în cazurile anume prevăzute de lege, persoanele juridice de drept public se pot înfiinţa prin acte ale autorităţilor administraţiei publice centrale sau locale ori prin alte moduri prevăzute de lege.
    În acest context, reţinem că dispoziţiile art. 3 lit. c) teza finală din legea criticată nu fac distincţie din perspectiva destinatarilor normei între persoanele juridice de drept public sau persoanele juridice de drept privat. Or, observăm că, potrivit principiului ubi lex non distinguit, nec nos distinguere debemus, atunci când legiuitorul nu face el singur distincţia între anumite elemente avute în vedere în momentul legiferării, interpretul nu poate realiza această distincţie (în acelaşi sens, Decizia nr. 355 din 4 aprilie 2007, publicată în Monitorul Oficial al României, Partea I, nr. 318 din 11 mai 2007; Decizia nr. 305 din 12 mai 2016, publicată în Monitorul Oficial al României, Partea I, nr. 485 din 29 iunie 2016). Principiul general de drept anterior menţionat este aplicabil indiferent de caracterul normei supuse interpretării sau de materia în care aceasta a fost adoptată. În acest sens, în practica judiciară s-a reţinut că „acolo unde legea nu distinge, nici interpretul nu trebuie să distingă (...), chiar dacă este în discuţie o zonă normativă specială (...). Astfel (...), formulării generale a textului îi corespunde o aplicare în aceeaşi măsură generală, neputând fi introduse distincţii dacă legea nu le încorporează“ (Decizia nr. 10 din 18 iunie 2012, pronunţată de Înalta Curte de Casaţie şi Justiţie - Completul competent să judece recursul în interesul legii, publicată în Monitorul Oficial al României, Partea I, nr. 495 din 19 iulie 2012). În sensul celor anterior menţionate, a se vedea şi Decizia Curţii Constituţionale nr. 564 din 18 septembrie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 66 din 28 ianuarie 2019, paragraful 25.
    Aşa fiind, din modalitatea de reglementare a dispoziţiilor criticate reiese că legiuitorul a înţeles să includă în categoria destinatarilor legii supuse examinării toate persoanele fizice, toate persoanele juridice de drept public, precum şi toate persoanele juridice de drept privat care deţin, organizează, administrează sau utilizează reţele şi sisteme informatice şi care furnizează servicii publice ori de interes public.
    Mai mult, se observă că legiuitorul nu a distins între modalităţile şi formele de constituire ale persoanelor juridice de drept privat, astfel că, aplicând acelaşi principiu (ubi lex non distinguit, nec nos distinguere debemus), rezultă că acesta a avut în vedere orice formă de asociere care permite desfăşurarea unor activităţi economice, potrivit Legii societăţilor nr. 31/1990, republicată în Monitorul Oficial al României, Partea I, nr. 1.066 din 17 noiembrie 2004, sau Ordonanţei de urgenţă a Guvernului nr. 44/2008 privind desfăşurarea activităţilor economice de către persoanele fizice autorizate, întreprinderile individuale şi întreprinderile familiale, publicată în Monitorul Oficial al României, Partea I, nr. 328 din 25 aprilie 2008.
    Cu alte cuvinte, textul criticat se adresează tuturor persoanelor fizice, persoanelor juridice de drept public, societăţilor în nume colectiv, societăţilor în comandită simplă, societăţilor pe acţiuni, societăţilor în comandită pe acţiuni, societăţilor cu răspundere limitată, persoanelor fizice autorizate, întreprinderilor individuale, întreprinderilor familiale.
    Un alt argument în sensul celor afirmate este modalitatea de reglementare a sancţiunilor contravenţionale în cazul nerespectării obligaţiilor impuse prin actul normativ criticat. Astfel, potrivit art. 48 alin. (1) lit. a) şi b), (2), (5) şi (6) din actul normativ criticat:
    "(1) Următoarele fapte constituie contravenţii dacă nu au fost săvârşite în astfel de condiţii încât să fie considerate infracţiuni potrivit legii:
    a) nerespectarea de către persoanele prevăzute la art. 3 alin. (1) lit. b) şi c) a obligaţiei de notificare a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul prevăzut la art. 21 alin. (1);
    b) nerespectarea de către persoanele prevăzute la art. 3 alin. (1) lit. b) şi c) a obligaţiei de comunicare completă a incidentelor de securitate cibernetică, prin intermediul PNRISC, în termenul şi condiţiile prevăzute la art. 21 alin. (2) şi art. 22.
(2) Prin derogare de la dispoziţiile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, contravenţiile prevăzute la alin. (1) se sancţionează astfel:
    a) cu amendă de la 5.000 lei la 50.000 lei, iar în cazul săvârşirii unei noi contravenţii în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 200.000 lei;
    b) pentru operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, cu amendă în cuantum de până la 1% din cifra de afaceri netă, iar, în cazul săvârşirii unei noi contravenţii, în termen de 6 luni, de la data săvârşirii primei contravenţii, limita maximă a amenzii este de 3% din cifra de afaceri netă.
(5) Pentru persoanele fizice autorizate, întreprinderile individuale şi întreprinderile familiale, cifrei de afaceri prevăzute la alin. (2) lit. b) îi corespunde totalitatea veniturilor realizate de respectivii operatori economici în exerciţiul financiar anterior sancţionării.
(6) Pentru persoanele juridice nou-înfiinţate şi pentru persoanele juridice care nu au înregistrat cifra de afaceri în exerciţiul financiar anterior sancţionării, amenda prevăzută la alin. (2) se stabileşte în cuantum de minimum unu şi maximum 25 de salarii minime brute pe economie."

    Întrucât textul de lege criticat prevede ca destinatari ai normei acele persoane fizice şi juridice care furnizează servicii publice ori de interes public, apreciem ca fiind esenţial stabilirea înţelesului noţiunilor „serviciu public“ şi „serviciu de interes public“.
    În ceea ce priveşte noţiunea de „serviciu public“ observăm că, potrivit art. 5 lit. kk) din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, publicată în Monitorul Oficial al României, Partea I, nr. 555 din 5 iulie 2019, aceasta este definită ca „activitatea sau ansamblul de activităţi organizate de o autoritate a administraţiei publice ori de o instituţie publică sau autorizată/autorizate ori delegată de aceasta, în scopul satisfacerii unei nevoi cu caracter general sau a unui interes public, în mod regulat şi continuu“.
    Potrivit art. 586 din acelaşi act normativ, „caracterul de serviciu public al unei activităţi sau al unui ansamblu de activităţi se recunoaşte prin acte normative“. Totodată, potrivit art. 589, „autorităţile administraţiei publice centrale, prin acte normative, au competenţa de înfiinţare/organizare a structurilor responsabile pentru prestarea serviciilor publice de interes naţional“, iar „autorităţile administraţiei publice locale, prin acte administrative, au competenţa de înfiinţare/organizare a structurilor responsabile pentru prestarea serviciilor care răspund în principal nevoilor specifice colectivităţii locale“.
    În continuare, actul normativ precitat reglementează la art. 590 modalităţile de gestiune ale unui serviciu public, gestiunea putând fi directă sau delegată. Potrivit art. 591 din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, gestiunea directă este modalitatea de gestiune prin care o autoritate a administraţiei publice îşi asumă/exercită nemijlocit competenţa care îi revine cu privire la prestarea unui serviciu public potrivit legii sau actului de reglementare a serviciului public. Aceasta se poate realiza de către o autoritate a administraţiei publice, de către structurile cu sau fără personalitate juridică ale acesteia, de către societăţile reglementate de Legea societăţilor nr. 31/1990, republicată, cu modificările şi completările ulterioare, cu capital social integral al statului sau al unităţii administrativ-teritoriale înfiinţate de autorităţile administraţiei publice sau alte persoane juridice de drept privat, după caz, cu respectarea prevederilor legale.
    Referitor la gestiunea delegată, dispoziţiile art. 592 din acelaşi act normativ dispun în sensul că aceasta este modalitatea de gestiune prin care prestarea serviciului public se realizează în baza unui act de delegare şi/sau a unei autorizări din partea autorităţii administraţiei publice competente, cu respectarea prevederilor din legislaţia privind achiziţiile publice, achiziţiile sectoriale şi concesionarea de servicii, de către organismele prestatoare de servicii publice, altele decât cele prevăzute la art. 591 alin. (2). Gestiunea delegată poate implica dreptul organismului prestator de servicii publice de a utiliza
    infrastructura aferentă serviciului delegat, prin una dintre modalităţile prevăzute de legislaţia aplicabilă fiecărui tip de serviciu.
    În continuare, în ceea ce priveşte înţelesul noţiunii de „serviciu de interes public“, observăm că aceasta nu beneficiază de o definiţie legală nici la nivelul legii criticate, nici în cuprinsul altui act normativ. Totodată, legislaţia în vigoare nu impune obligaţia existenţei unui act normativ care să definească o anumită activitate ca fiind „serviciu de interes public“ şi nici criteriile ce trebuie analizate pentru a ajunge la concluzia că observatorul se află în faţa unui „serviciu de interes public“. Pe de altă parte, utilizarea de către legiuitor, în cuprinsul aceluiaşi act normativ, a celor două noţiuni - serviciu public/serviciu de interes public - denotă abordarea dihotomică a acestora. Din această perspectivă, noţiunea de „serviciu de interes public“ nu poate fi privită decât ca fiind diferită de cea de „serviciu public“. Chiar dacă împrumută anumite caracteristici ale „serviciului public“ sau chiar dacă pentru a stabili înţelesul noţiunii interpretul va face apel la reglementarea noţiunii de „serviciu public“, aceste elemente nu determină echivalenţa absolută a noţiunilor precizate („serviciu de interes public“/„serviciu public“).
    În acest context, observăm că în unele cazuri legiuitorul a reglementat expres caracterul de serviciu de interes public al unei activităţi. Spre exemplu, art. 3 alin. (1) din Legea notarilor publici şi a activităţii notariale nr. 36/1995, republicată în Monitorul Oficial al României, Partea I, nr. 237 din 19 martie 2018, dispune în sensul că: „Notarul public este învestit să îndeplinească un serviciu de interes public şi are statutul unei funcţii autonome“. Dispoziţiile art. 2 alin. (1) din Legea nr. 188/2000 privind executorii judecătoreşti, republicată în Monitorul Oficial al României, Partea I, nr. 738 din 20 octombrie 2011, prevăd că „Executorii judecătoreşti sunt învestiţi să îndeplinească un serviciu de interes public“. De asemenea, potrivit art. 2 lit. b) din Legea nr. 62/2019 privind activitatea consulară, publicată în Monitorul Oficial al României, Partea I, nr. 299 din 18 aprilie 2019, serviciul consular este „serviciul de interes public prin care, potrivit legii, misiunile diplomatice şi oficiile consulare eliberează sau procură documente oficiale ori prestează anumite formalităţi în acest scop“. Totodată, prevederile art. 10 alin. (1) din Legea educaţiei naţionale nr. 1/2011, publicată în Monitorul Oficial al României, Partea I, nr. 18 din 10 ianuarie 2011, „În România, învăţământul este serviciu de interes public şi se desfăşoară, în condiţiile prezentei legi, în limba română, precum şi în limbile minorităţilor naţionale şi în limbi de circulaţie internaţională“.
    În ceea ce priveşte jurisprudenţa Curţii Constituţionale reţinem că aceasta a constatat că art. 191 alin. (1) din Codul civil se referă la autorităţile şi instituţiile statului [înfiinţarea Guvernului, ministerelor, autorităţilor administrative autonome (spre exemplu, Consiliul Concurenţei), Consiliul Legislativ, Curtea Constituţională etc.], la unităţile administrativ-teritoriale, toate acestea exercitând prerogativele puterii publice, în timp ce alin. (2) al aceluiaşi text legal se referă la operatorii economici, partidele politice etc., respectiv la persoane juridice care sunt calificate de drept public prin prisma scopului şi obiectului lor de activitate, prestând, spre exemplu, un serviciu de interes public/general, administrând bunuri proprietate publică etc. (a se vedea în acest sens Decizia nr. 249 din 19 aprilie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 456 din 31 mai 2018, paragraful 55, Decizia nr. 531 din 18 iulie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 674 din 2 august 2018, paragraful 62).
    Curtea Constituţională a reţinut, de asemenea, că „registrul comerţului desfăşoară o activitate de interes public, încredinţată Oficiului Naţional al Registrului Comerţului şi oficiilor registrului comerţului, ca autorităţi publice, la dispoziţia persoanelor interesate de situaţia economico-financiară a comercianţilor (Decizia nr. 212 din 15 mai 2003, publicată în Monitorul Oficial al României, Partea I, nr. 471 din 1 iulie 2003).
    Totodată, instanţa de contencios constituţional a reţinut că dispoziţiile din Legea serviciului de salubrizare a localităţilor nr. 101/2006 „au menirea de a asigura realizarea efectivă a salubrizării localităţilor, dincolo de voinţa fiecărui individ. Fiind un serviciu de interes public, ar fi inadmisibil ca acesta să fie lăsat la libera apreciere a individului, care [...] pot fi de acord sau nu ca prestarea acestui serviciu să fie realizată de un anumit operator, punând astfel în pericol sănătatea publică, valoare ocrotită la nivel constituţional de art. 35“ (Decizia nr. 612 din 28 aprilie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 391 din 10 iunie 2009).
    În continuare, reţinem că expresia „serviciu de interes public“ este utilizată şi în materie penală, respectiv în dispoziţiile art. 175 alin. (2) din Codul penal. Acest text de lege asimilează funcţionarului public (în sens penal) şi persoana care exercită un serviciu de interes public pentru care a fost învestită de autorităţile publice sau care este supusă controlului ori supravegherii acestuia cu privire la îndeplinirea respectivului serviciu public. Aşadar, pentru ca o persoană să facă parte din această categorie este necesară întrunirea, în mod cumulativ, a două cerinţe obligatorii: (1) să exercite un serviciu de interes public şi (2) să fie învestită cu îndeplinirea respectivului serviciu public de către o autoritate publică sau să exercite serviciul de interes public sub controlul ori supravegherea unei autorităţi publice.
    În acest context, incidentă în cauza dedusă controlului de constituţionalitate este analiza efectuată în ceea ce priveşte prima condiţie impusă de dispoziţiile anterior menţionate, aceea a exercitării unui serviciu de interes public, cu menţiunea faptului că noţiunea de „funcţionar public“ în sensul legii penale are un caracter autonom.
    Referitor la acest aspect reţinem că Înalta Curte de Casaţie şi Justiţie a constatat că „Analiza îndeplinirii primei cerinţe, care vizează sfera atribuţiilor persoanei, se face ţinând seama de definiţia dată serviciului de interes public în doctrina de drept administrativ. Altfel spus, trebuie observat dacă, prin realizarea serviciului, se urmăreşte satisfacerea unor nevoi de interes general şi dacă se relevă, în mod direct sau indirect, o autoritate publică. […] sunt asimilaţi funcţionarilor publici şi persoanele fizice care exercită o profesie de interes public pentru care este necesară o abilitare specială a autorităţilor publice, aşa-numitele profesii liberale. În acest sens se constată că profesiile liberale se organizează şi se exercită numai în condiţiile legii, ale statutului profesiei şi codului deontologic şi au statutul unor funcţii autonome, care se exercită în birouri sau cabinete ori în cadrul asociaţiilor profesionale înfiinţate potrivit legii. Îndeplinirea condiţiilor prevăzute de art. 175 alin. (2) din Codul penal trebuie analizată pentru fiecare categorie profesională în concret, pornind de la normele speciale ce îi reglementează statutul. În aceste condiţii se constată că expertul tehnic judiciar face parte din categoria funcţionarilor publici asimilaţi, reglementată de dispoziţiile art. 175 alin. (2) teza întâi din Codul penal, întrucât exercită un serviciu de interes public - întocmirea de expertize în vederea aflării adevărului şi soluţionării cauzelor aflate pe rolul instanţelor judecătoreşti sau instrumentate de către organele de urmărire penală -, serviciu pentru care a fost învestit de către o autoritate publică (Ministerul Justiţiei) (Decizia nr. 20 din 29 septembrie 2014, pronunţată de Înalta Curte de Casaţie şi Justiţie - Completul pentru dezlegarea unor chestiuni de drept în materie penală, publicată în Monitorul Oficial al României, Partea I, nr. 766 din 22 octombrie 2014).
    Totodată, Înalta Curte de Casaţie şi Justiţie a reţinut că, „pe baza naturii activităţii desfăşurate, se desprinde concluzia că banca (instituţia de credit) cu capital integral privat reprezintă o persoană juridică abilitată să exercite un serviciu de interes public“ (Decizia nr. 18 din 30 mai 2017, pronunţată de Înalta Curte de Casaţie şi Justiţie - Completul pentru dezlegarea unor chestiuni de drept în materie penală, publicată în Monitorul Oficial al României, Partea I, nr. 545 din 11 iulie 2017).
    De asemenea, Înalta Curte de Casaţie şi Justiţie a constatat că, „în cazul în care întreprinzătorul titular al unei întreprinderi individuale exercită un serviciu de interes public care este supus controlului ori supravegherii autorităţilor publice cu privire la îndeplinirea respectivului serviciu public, acesta are calitatea de funcţionar public în accepţiunea dispoziţiilor art. 175 alin. (2) din Codul penal (Decizia nr. 13 din 7 mai 2020, pronunţată de Înalta Curte de Casaţie şi Justiţie - Completul pentru dezlegarea unor chestiuni de drept, publicată în Monitorul Oficial al României, Partea I, nr. 721 din 11 august 2020).
    Totodată, reţinem că instanţa de contencios constituţional a apreciat că „din categoria serviciilor de interes public fac parte acele entităţi care, prin activitatea pe care o desfăşoară, sunt chemate să satisfacă anumite interese generale ale membrilor societăţii“ (Decizia nr. 243 din 4 iunie 2020, publicată în Monitorul Oficial al României, Partea I, nr. 718 din 10 august 2020, paragraful 16, Decizia nr. 790 din 15 decembrie 2016, publicată în Monitorul Oficial al României, Partea I, nr. 168 din 8 martie 2017, paragraful 16).
    Aşa fiind, cu excepţia acelor situaţii calificate expres de legiuitor ca intrând în categoria unor servicii de interes public, în oricare altă situaţie revine destinatarului normei obligaţia de a analiza dacă persoana fizică sau cea juridică de drept public/privat exercită/furnizează sau nu un serviciu de interes public. Or, calificarea unei activităţi ca fiind un „serviciu de interes public“ determină automat respectarea tuturor obligaţiilor prevăzute de actul normativ criticat şi, implicit, sancţionarea contravenţională a acelor persoane care nu le respectă. Mai mult, în unele cazuri, apare ca fiind deloc facilă calificarea unei activităţi ca fiind un „serviciu de interes public“.
    Plecând de la premisa că analiza existenţei „serviciului de interes public“ nu comportă aspecte dificile, observăm că stabilirea destinatarilor actului normativ, potrivit art. 3 alin. (1) lit. c) teza finală, nu a fost realizată de către legiuitor în corelaţie cu o anumită amploare a activităţii/serviciilor prestate/furnizate de către aceştia, a căror afectare (în sensul apariţiei unui incident de securitate cibernetică) să aibă vreo relevanţă la nivel naţional.
    Un argument în acest sens este modalitatea de reglementare a sancţiunilor contravenţionale în cazul nerespectării obligaţiilor impuse prin actul normativ criticat, potrivit art. 48 alin. (2) lit. b) şi alin. (5), anterior redat, care face referire la operatorii economici cu o cifră de afaceri netă de peste 1.000.000 lei, dar şi la persoane fizice autorizate. Or, nu se poate afirma că activitatea tuturor persoanelor fizice, societăţilor în nume colectiv, societăţilor în comandită simplă, societăţilor pe acţiuni, societăţilor în comandită pe acţiuni, societăţilor cu răspundere limitată, persoanelor fizice autorizate, întreprinderilor individuale, întreprinderilor familiale, chiar calificată ca fiind un serviciu de interes public, se desfăşoară întotdeauna cu o asemenea amploare încât un eventual incident de securitate cibernetică care afectează reţelele şi sistemele informatice deţinute de acestea echivalează cu existenţa unor situaţii de pericol cu privire la infrastructuri de interes naţional.
    Astfel, cu titlu exemplificativ ne vom referi la activitatea unei persoane care exercită profesia de medic veterinar. Aceasta este reglementată prin Legea nr. 160/1998 pentru organizarea şi exercitarea profesiunii de medic veterinar, republicată în Monitorul Oficial al României, Partea I, nr. 209 din 24 martie 2014, şi este definită ca fiind o profesie liberală şi independentă, cu organizare autonomă reglementată. Potrivit art. 3 alin. (1) din actul normativ precitat dispune că „profesiunea de medic veterinar are ca obiective apărarea sănătăţii animalelor, sănătăţii publice, protecţia consumatorului şi a mediului înconjurător, în scopul ameliorării efectivelor de animale, al asigurării securităţii alimentare a populaţiei, al facilitării relaţiilor comerciale şi al păstrării echilibrului ecologic“. Potrivit art. 7, „Profesiunea de medic veterinar se exercită în cadrul următoarelor structuri profesionale: a) reţeaua veterinară de stat; b) serviciile medicale veterinare particulare, autorizate legal; c) instituţiile de învăţământ veterinar autorizate şi acreditate sau autorizate să funcţioneze provizoriu; d) alte instituţii publice şi private“. Formele de exercitare a profesiei de medic veterinar sunt reglementate în art. 27 alin. (1) şi art. 28 din Legea nr. 160/1998. Potrivit acestor prevederi legale, medicii veterinari cu drept de liberă practică îşi pot desfăşura activitatea independent, atât ca persoane fizice autorizate, cât şi ca persoane juridice. Totodată, medicii veterinari de liberă practică îşi pot desfăşura activitatea fie în cabinete medical-veterinare, fie în societăţi reglementate de Legea societăţilor nr. 31/1990, republicată în Monitorul Oficial al României, Partea I, nr. 1.066 din 17 noiembrie 2004, al căror obiect principal de activitate îl reprezintă activităţile veterinare. Totodată, prin art. 31 din Legea nr. 160/1998 se stabileşte că unităţile medical-veterinare cu personalitate juridică ce se înfiinţează potrivit Legii nr. 31/1990 vor putea funcţiona dacă au ca obiect de activitate principal activităţile veterinare şi dacă sunt înregistrate în Registrul unic al cabinetelor medical-veterinare. Aşadar, cerinţa înregistrării în Registrul unic al cabinetelor medical-veterinare este stipulată chiar prin Legea nr. 160/1998.
    Referitor la exercitarea acestei profesii, Curtea Constituţională a reţinut, prin Decizia nr. 511 din 4 iulie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 788 din 4 octombrie 2017, că „animalele pot fi privite ca o parte constitutivă a unui mediu înconjurător durabil şi echilibrat ecologic, protecţia acestora fiind încorporată în cadrul mai larg al asigurării condiţiilor pentru menţinerea unei naturi sănătoase, de care să beneficieze atât generaţiile prezente, cât şi cele viitoare. Totodată, mediul înconjurător de calitate implică şi o faună sănătoasă, problemele animalelor putând afecta, în acelaşi timp, sănătatea şi siguranţa oamenilor. Grija pentru sănătatea animalelor apare, aşadar, ca o reflexie a dreptului oamenilor la ocrotirea sănătăţii, garantat la nivel constituţional prin prevederile art. 34, care instituie în sarcina statului obligaţia de a lua măsuri pentru asigurarea igienei şi a sănătăţii publice. Tratarea necorespunzătoare a unor boli ale animalelor transmisibile oamenilor sau potenţialele probleme de sănătate ale populaţiei pe care consumul de produse provenind din animale bolnave ori cărora li s-au administrat în mod iraţional anumite medicamente sunt doar câteva dintre riscurile pe care comercializarea cu amănuntul doar de către medicii veterinari a produselor menţionate în textul de lege criticat le poate evita. Activităţile pe care legiuitorul le dă în competenţa exclusivă a medicilor veterinari prezintă o importanţă deosebită, având un impact direct asupra sănătăţii animalelor şi indirect asupra celei a oamenilor. În considerarea acestor valori ce se urmăreşte a fi protejate, desfăşurarea activităţilor date de lege în competenţa medicilor veterinari necesită o pregătire teoretică şi practică specială, pe care doar persoanele care au obţinut diplomă de medic veterinar eliberată de o instituţie de învăţământ superior o pot dovedi“.
    Aşa fiind, deşi nu este definită expres, din cele anterior menţionate se poate trage concluzia că un medic veterinar, care îşi desfăşoară activitatea potrivit legislaţiei în vigoare, furnizează servicii de interes public. Totodată, se observă că, potrivit art. 27 alin. (1) din Legea nr. 160/1998, medicul veterinar îşi poate desfăşura activitatea independent, ca persoană fizică autorizată [care, potrivit art. 17 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 44/2008, precitată, poate desfăşura activităţile pentru care este autorizată, singură sau împreună cu cel mult 3 persoane, angajate de aceasta]. Totodată, menţionăm definiţia dată de legiuitor reţelei şi sistemului informatic, în sensul că acestea pot fi (1) orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor cu ajutorul unui program informatic sau (2) datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevăzute la pct. 1 şi 2 din art. 3 lit. l) din Legea nr. 362/2018 în vederea funcţionării, utilizării, protejării şi întreţinerii lor.
    Plecând de la aceste premise, se poate observa că un medic veterinar care îşi desfăşoară activitatea independent, ca persoană fizică autorizată (singur, fără a avea alţi angajaţi), în mediu rural (sat/comună) şi care deţine un dispozitiv care asigură prelucrarea automată a datelor cu ajutorul unui program informatic (cu alte cuvinte, un calculator pe care este instalat un program informatic cu ajutorul căruia se ţine evidenţa cazurilor) intră în categoria destinatarilor prevăzuţi de dispoziţiile art. 3 alin. (1) lit. c) teza finală din actul normativ criticat.
    Având în vedere aceste aspecte, apreciem că metoda de reglementare a destinatarilor actului normativ criticat este realizată într-o modalitate deficitară, prin instituirea unei sfere extrem de largi de aplicare a textului de lege criticat, ceea ce contravine art. 1 alin. (5) din Constituţie, care consacră principiul legalităţii.
    Or, destinatarii legii trebuie să aibă o reprezentare clară, precisă şi corectă a normelor juridice aplicabile, astfel încât să îşi adapteze conduita şi să prevadă consecinţele ce decurg din nerespectarea acestora, lipsa unei reglementări predictibile în acest sens constituind premisa unei aplicări neunitare, discreţionare, în activitatea de securizare cibernetică a României (Decizia nr. 17 din 21 ianuarie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 79 din 30 ianuarie 2015, paragraful 56).
    Aşa fiind, apreciem că noţiunile juridice cu care operează legea nu delimitează în mod neechivoc sfera de incidenţă a normelor cuprinse în actul supus controlului de constituţionalitate, acesta neavând un caracter precis şi previzibil, şi, prin urmare, dispoziţiile art. 3 alin. (1) lit. c) teza finală contravin art. 1 alin. (5) din Legea fundamentală.

    II. O a doua critică de neconstituţionalitate se referă la faptul că, în lipsa unor determinări clare ale legii cu privire la destinatarii concreţi ai acesteia, autoritatea executivă - Guvernul - îşi va exercita funcţia sa legală de adoptare a hotărârii, potrivit art. 108 alin. (2) din Constituţie, pentru organizarea executării legii, în mod defectuos.
    În legătură cu acest aspect, observăm că, potrivit art. 52 alin. (1) din actul normativ criticat, „categoriile de persoane prevăzute la art. 3 alin. (1) lit. c) se stabilesc prin hotărâre a Guvernului, iniţiată de MCID, adoptată în maximum 60 de zile de la data intrării în vigoare a prezentei legi“.
    Reţinem că, analizând constituţionalitatea Legii privind securitatea cibernetică a României (PLX263/2014; L580/2014), prin Decizia nr. 17 din 21 ianuarie 2015, precitată, paragrafele 66-68, Curtea a constatat că modalitatea prin care se stabilesc criteriile în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional şi, implicit, a deţinătorilor ICIN nu respectă cerinţele de previzibilitate, certitudine şi transparenţă.
    În acest context, Curtea a constatat că „trimiterea la o legislaţie infralegală, respectiv hotărâri de Guvern, acte normative caracterizate printr-un grad sporit de instabilitate, pentru reglementarea criteriilor în funcţie de care devin incidente obligaţii în materia securităţii naţionale încalcă principiul constituţional al legalităţii, consacrat de art. 1 alin. (5) din Constituţie. Opţiunea pentru o atare modalitate de reglementare apare cu atât mai nejustificată cu cât într-o materie similară, cea a identificării infrastructurilor critice naţionale, Ordonanţa de urgenţă a Guvernului nr. 98/2010 stabileşte în chiar conţinutul său criteriile intersectoriale de identificare a ICN. Mai mult, prin anexa la actul normativ se aprobă lista sectoarelor, subsectoarelor infrastructurii critice naţionale/infrastructurii critice europene (ICN/IGE) şi autorităţilor publice responsabile (energetic, tehnologia informaţiei şi comunicaţii, alimentare cu apă, alimentaţie, sănătate, securitate naţională, administraţie, transporturi, industria chimică şi nucleară, spaţiu şi cercetare). Or, în cazul Legii privind securitatea cibernetică, dispoziţiile art. 19 fac trimitere la acte normative cu forţă juridică inferioară legii, identificarea ICIN realizându-se pe baza unei metodologii elaborate de Serviciul Român de Informaţii şi de Ministerul pentru Societatea Informaţională, în baza unei proceduri neprevăzute de lege, netransparente şi, deci, susceptibilă de a fi calificată arbitrară. Prin urmare, Curtea a reţinut că atât criteriile în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional, cât şi modalitatea prin care se stabilesc acestea trebuie prevăzute de lege, iar actul normativ de reglementare primară trebuie să conţină o listă cât mai completă a domeniilor în care sunt incidente prevederile legale“.
    Având în vedere cele anterior expuse, apreciem că cele reţinute de Curtea Constituţională în Decizia nr. 17 din 21 ianuarie 2015, precitată, sunt aplicabile mutatis mutandis şi în ceea ce priveşte cauza dedusă în prezent controlului de constituţionalitate.
    Astfel cum s-a demonstrat la pct. I, prevederile art. 3 alin. (1) lit. c) teza finală din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, prin care se reglementează una dintre categoriile destinatarilor actului normativ criticat, nu respectă cerinţele de previzibilitate, certitudine şi transparenţă. Or, în aceste condiţii, reglementarea prin art. 52 alin. (1) din actul criticat a competenţei Guvernului de a stabili, printr-o legislaţie infralegală - respectiv hotărâri de Guvern - categoriile de persoane prevăzute la art. 3 alin. (1) lit. c) din acelaşi act normativ încalcă principiul constituţional al legalităţii, consacrat de art. 1 alin. (5) din Constituţie.
    În concluzie, apreciem că dispoziţiile art. 52 alin. (1) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative încalcă prevederile constituţionale cuprinse în art. 1 alin. (5) care consacră principiul clarităţii şi previzibilităţii legii.

    III. O a treia critică de neconstituţionalitate se referă la faptul că actul normativ criticat - art. 21 alin. (1), art. 22, art. 24, art. 29, art. 37 şi art. 41 - impune persoanelor prevăzute la art. 3 alin. (1) lit. c) o serie de sarcini oneroase, cu impact economic semnificativ asupra acestora, întrucât sunt nevoite să suporte din bugetele proprii cheltuielile necesare îndeplinirii obligaţiilor prevăzute de lege în acest sens.
    Referitor la această critică reţinem că dispoziţiile art. 21 alin. (1), art. 24, art. 29 şi art. 37 din actul normativ criticat impun diverse obligaţii în sarcina persoanelor prevăzute la art. 3 alin. (1) lit. c) teza finală din legea criticată. Astfel, aceştia au obligaţia de a notifica incidentele de securitate cibernetică prin intermediul PNRISC, de îndată, dar nu mai târziu de 48 de ore de la constatarea incidentului [art. 21 alin. (1)].
    De asemenea, au obligaţia de a asigura rezilienţa în spaţiul cibernetic prin implementarea de măsuri proactive şi reactive (art. 24); măsuri proactive precum: a) constituirea şi antrenarea echipelor de răspuns la incidente de securitate cibernetică; b) asigurarea de resurse umane specializate pentru dezvoltarea de strategii, norme, politici, proceduri, analize de risc, planuri şi măsuri de control tehnic privind apărarea şi securitatea cibernetică; c) constituirea şi operarea centrelor operaţionale de securitate; d) constituirea unei rezerve de resurse şi de capabilităţi întrunite de securitate cibernetică care să poată fi utilizate în caz de necesitate; e) dezvoltarea unor capabilităţi proactive, care să permită cunoaşterea anticipativă a ameninţărilor din spaţiul cibernetic; f) finanţarea pentru dezvoltarea capabilităţilor de securitate şi apărare cibernetică, inclusiv din perspectiva cercetării, dezvoltării, inovării şi digitalizării în domeniu şi asimilării tehnologiilor emergente; g) cooperarea şi schimbul de informaţii între autorităţile competente şi sectorul privat pentru identificarea ameninţărilor cibernetice; h) identificarea serviciilor, reţelelor şi sistemelor informatice, conform competenţelor fiecărei instituţii responsabile de administrare şi asigurarea managementului acestora; i) implementarea de soluţii de securitate cibernetică, care să crească capacitatea de detecţie şi capabilităţile de prevenţie la atacuri cibernetice; j) dezvoltarea de strategii, norme, politici, proceduri, analize de risc, planuri şi măsuri de control tehnic privind apărarea şi securitatea cibernetică; k) demonstrarea nivelului de maturitate atins de capabilităţile de securitate cibernetică în cadrul exerciţiilor organizate la nivel naţional sau internaţional; l) instruirea personalului din cadrul persoanelor prevăzute la art. 3 în domeniul securităţii cibernetice, prin realizarea periodică de campanii de informare, conştientizare şi igienă cibernetică la nivel organizaţional; măsuri reactive precum a) punerea în aplicare a planurilor de răspuns la incidente şi de contingenţă în domeniul securităţii cibernetice; b) utilizarea rezervei de resurse şi de capabilităţi de securitate cibernetică; c) restabilirea funcţionalităţii reţelelor şi sistemelor informatice din cadrul instituţiilor afectate; d) diseminarea informaţiilor despre evenimentele cibernetice prin alerte în mediul interinstituţional pentru evaluarea riscului şi diminuarea posibilităţilor de exploatare a vulnerabilităţilor; e) descurajarea prin atribuirea publică a autorilor atacurilor cibernetice, conform atribuţiilor legale.
    De asemenea, potrivit art. 29, persoanele prevăzute la art. 3 au obligaţia să elaboreze planuri proprii de acţiune pentru fiecare tip de alertă cibernetică, potrivit metodologiei prevăzute la art. 28 alin. (1) din actul normativ criticat, iar, la declararea stărilor de alertă cibernetică, persoanele prevăzute la art. 3 pun în aplicare măsurile din aceste planuri.
    Totodată, persoanele prevăzute la art. 3 au obligaţia de a asigura, pentru personalul propriu, formarea profesională, educaţia şi instruirea în domeniul securităţii şi apărării cibernetice prin cursuri, exerciţii, conferinţe, seminare, precum şi alte tipuri de activităţi (potrivit art. 37). Dispoziţiile art. 41 dispun în sensul că persoanele prevăzute la art. 3 implementează procesele de management al riscurilor de securitate cibernetică specifice lanţului de aprovizionare. Mai mult, art. 42 prevede că persoanele prevăzute la art. 3 desemnează responsabili de securitate cibernetică, iar art. 43 reglementează în sensul că persoanele prevăzute la art. 3 dispun măsurile necesare pentru organizarea de cursuri de instruire în domeniul managementului riscurilor de securitate cibernetică specifice lanţului de aprovizionare, respectiv introducerea de teme noi în cadrul cursurilor şi programelor de instruire existente.
    Având în vedere analiza realizată la pct. I din prezenta opinie separată, rezultă că toate aceste obligaţii incumbă tuturor persoanelor prevăzute de art. 3 alin. (1) lit. c) teza finală, adică chiar şi acelor forme de asociere care au chiar un singur angajat sau care îşi desfăşoară activitatea la o scară teritorială care nu implică nicio relevanţă în ceea ce priveşte securitatea naţională/interesul naţional. În concret, referindu-ne la exemplul anterior dezvoltat, rezultă că un medic veterinar care îşi desfăşoară activitatea independent, ca persoană fizică autorizată (singur, fără a avea alţi angajaţi), în mediu rural (sat/comună) şi care deţine un dispozitiv care asigură prelucrarea automată a datelor cu ajutorul unui program informatic (cu alte cuvinte, un calculator pe care este instalat un program informatic cu ajutorul căruia se ţine evidenţa cazurilor) are toate obligaţiile prevăzute de dispoziţiile art. 21 alin. (1), art. 22, art. 24, art. 29, art. 37 şi art. 41 din actul normativ criticat, în cazul nerespectării acestora fiind pasibil de aplicarea unei amenzi contravenţionale.
    Or, Curtea a constatat anterior, prin Decizia nr. 17 din 21 ianuarie 2015, precitată, paragraful 69, că „obligaţiile ce decurg din Legea securităţii cibernetice a României trebuie să fie aplicabile în exclusivitate persoanelor juridice de drept public sau privat deţinătoare sau care au în responsabilitate infrastructuri cibernetice de interes naţional (care includ, în baza legii, şi administraţiile publice), întrucât numai situaţiile de pericol cu privire la o infrastructură de interes naţional pot avea implicaţii asupra securităţii României, prin dimensiunea, dispersia şi accesibilitatea unei astfel de infrastructuri, prin efectele economice, evaluate în funcţie de importanţa pierderilor economice şi/sau a degradării produselor sau serviciilor, prin efectele asupra populaţiei, evaluate în funcţie de impactul asupra încrederii acesteia, sau perturbarea vieţii cotidiene, inclusiv prin pierderea unor servicii esenţiale. Or, dispoziţiile legale în forma supusă controlului de constituţionalitate prezintă un grad mare de generalitate, obligaţiile vizând totalitatea deţinătorilor de infrastructuri cibernetice, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice, indiferent de importanţa acestora care să poată viza interesul naţional sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproporţionate asupra micilor operatori, cerinţele trebuie să fie proporţionale cu riscurile la care sunt expuse reţeaua sau sistemul informatic în cauză şi nu trebuie aplicate deţinătorilor de infrastructuri cibernetice cu importanţă nesemnificativă din punctul de vedere al interesului general. Prin urmare, riscurile vor trebui identificate la nivelul entităţilor care activează în domenii esenţiale/vitale pentru buna desfăşurare a serviciilor publice naţionale, care vor decide ce măsuri trebuie adoptate pentru a atenua riscurile respective“.
    Apreciem că cele statuate de către Curtea Constituţională în precedent sunt aplicabile mutatis mutandis şi în prezenta cauză, în condiţiile în care obligaţiile impuse de actul normativ criticat se aplică tuturor persoanelor prevăzute de art. 3 alin. (1) lit. c) teza finală, indiferent de dimensiunea, dispersia şi accesibilitatea reţelei şi sistemului informatic deţinut, organizat, administrat sau utilizat de acestea.
    Aşa fiind, textele criticate impun sarcini disproporţionate asupra micilor operatori, fără ca cerinţele să fie proporţionale cu riscurile la care sunt expuse reţeaua sau sistemul informatic în cauză, fiind aplicate inclusiv acelor reţele şi sisteme informatice cu importanţă nesemnificativă din punctul de vedere al interesului general.
    Pentru motivele expuse mai sus apreciem că dispoziţiile art. 21 alin. (1), art. 22, art. 24, art. 29, art. 37 şi art. 41 din actul normativ criticat încalcă prevederile art. 1 alin. (5) din Constituţie, întrucât nu respectă cerinţele de previzibilitate, stabilitate şi certitudine.

    IV. În continuare, reţinem că autorii obiecţiilor formulează critici de neconstituţionalitate şi în ceea ce priveşte completarea, prin actul normativ criticat, a art. 3 din Legea nr. 51/1991 privind securitatea naţională a României. Aşa fiind, o primă critică de neconstituţionalitate se referă la introducerea, în cuprinsul articolului menţionat, a literei n), cu următorul conţinut: „ameninţări cibernetice sau atacuri cibernetice asupra infrastructurilor informatice şi de comunicaţii de interes naţional“.
    În acest context, observăm că în ceea ce priveşte înţelesul unor termeni şi expresii legiuitorul primar a ales fie să reglementeze acest înţeles în chiar cuprinsul actului normativ criticat, fie să adopte norme de trimitere la alte acte normative.
    Aşa fiind, în ceea ce priveşte termenii şi expresiile regăsite în conţinutul dispoziţiei literei n), care completează art. 3 din Legea nr. 51/1991, se observă că expresia atac cibernetic îşi găseşte înţelesul/definiţia în chiar cuprinsul actului normativ criticat, în sensul că, potrivit art. 1 lit. c), acesta reprezintă o acţiune ostilă desfăşurată în spaţiul cibernetic de natură să afecteze securitatea cibernetică. Pe de altă parte, în ceea ce priveşte înţelesul/semnificaţia expresiei ameninţare cibernetică, legiuitorul a ales să utilizeze o normă de trimitere, aceasta urmând să fie definită conform art. 2 lit. f) din Ordonanţa de urgenţă a Guvernului nr. 104/2021 privind înfiinţarea Directoratului Naţional de Securitate Cibernetică, publicată în Monitorul Oficial al României, Partea I, nr. 918 din 24 septembrie 2021. Astfel, ameninţare cibernetică reprezintă orice circumstanţă, eveniment sau acţiune potenţială care ar putea cauza daune sau perturbări la nivelul reţelelor şi al sistemelor informatice, precum şi la nivelul utilizatorilor unor astfel de sisteme şi al altor persoane sau care poate avea un alt fel de impact negativ asupra acestora.
    În schimb, în ceea ce priveşte sintagma „infrastructuri informatice şi de comunicaţii de interes naţional“, observăm că legiuitorul nu a apelat la niciuna dintre modalităţile de configurare a înţelesului termenilor utilizaţi (definirea în cuprinsul actului criticat/adoptarea unei norme de trimitere). Într-adevăr, se observă că o definiţie a sintagmei infrastructură informatică şi de comunicaţii de interes naţional se poate regăsi în art. 2 lit. d) din Legea nr. 163/2021 privind adoptarea unor măsuri referitoare la infrastructuri informatice şi de comunicaţii de interes naţional şi condiţiile implementării reţelelor 5G, publicată în Monitorul Oficial al României, Partea I, nr. 590 din 11 iunie 2021, în sensul că aceasta se referă la infrastructura informatică şi de comunicaţii esenţială pentru menţinerea funcţiilor vitale ale societăţii, a sănătăţii, siguranţei, securităţii, bunăstării sociale ori economice a persoanelor şi a cărei perturbare sau distrugere are un impact semnificativ la nivel naţional ca urmare a incapacităţii de a menţine respectivele funcţii.
    Cu toate acestea, din modalitatea de reglementare a actului normativ criticat transpare cu evidenţă opţiunea legiuitorului fie de a da termenilor şi expresiilor utilizate definiţii/înţelesuri proprii, fie de a face trimitere expresă la cele regăsite în alte acte normative. Or, în ceea ce priveşte sintagma „infrastructuri informatice şi de comunicaţii de interes naţional“ se observă că legiuitorul nu a apelat la niciuna dintre cele două modalităţi de reglementare. Mai mult, în cuprinsul actului normativ criticat nu se face nicio trimitere la dispoziţiile Legii nr. 163/2021, nici punctual în cadrul vreunui articol, nici în mod general prin reglementarea unei dispoziţii finale care să determine completarea prevederilor Legii privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative cu cele ale Legii nr. 163/2021. În acest context, amintim că dispoziţiile art. 16 alin. (1) din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative dispun în sensul că „[...] Pentru sublinierea unor conexiuni legislative se utilizează norma de trimitere“, iar cele ale art. 50 alin. (2) din acelaşi act normativ prevăd că, „dacă norma la care se face trimitere este cuprinsă în alt act normativ, este obligatorie indicarea titlului acestuia, a numărului şi a celorlalte elemente de identificare“.
    În egală măsură, se poate observa că, potrivit art. 1 din Legea nr. 163/2021, scopul acesteia este adoptarea unor măsuri referitoare la autorizarea producătorilor de tehnologii, echipamente şi programe software utilizate în cadrul infrastructurilor informatice şi de comunicaţii de interes naţional, precum şi în reţelele de comunicaţii electronice prin intermediul cărora se asigură servicii de comunicaţii electronice de tip 5G, denumite în continuare reţele 5G, în vederea prevenirii, contracarării şi eliminării riscurilor, ameninţărilor şi vulnerabilităţilor la adresa securităţii naţionale şi apărării ţării. Pe de altă parte, potrivit art. 1 alin. (1) din actul normativ criticat, acesta stabileşte cadrul juridic şi instituţional privind organizarea şi desfăşurarea activităţilor din domeniile securitate şi apărare cibernetică, mecanismele de cooperare şi responsabilităţile instituţiilor cu atribuţii în domeniile menţionate.
    Aşa fiind, raţiunea reglementării celor două acte normative este diferită, Legea nr. 163/2021 axându-se pe adoptarea măsurilor aplicabile autorizării anumitor producători a căror sferă de activitate se circumscrie actului normativ precitat, pe când actul normativ criticat se axează pe organizarea şi desfăşurarea activităţilor din domeniile securitate şi apărare cibernetică, mecanismele de cooperare şi responsabilităţile instituţiilor cu atribuţii în domeniile menţionate.
    Astfel, într-o interpretare comparativă, sistematică şi teleologică, rezultă că cele două acte normative au finalităţi diferite, care se reflectă şi în modalitatea de interpretare şi aplicare a prevederilor legilor amintite, inclusiv în ceea ce priveşte înţelesul termenilor şi expresiilor utilizate.
    Un alt argument în sensul celor anterior menţionate decurge tot din modalitatea diferită de reglementare şi scopul diferit al celor două acte normative anterior menţionate. Astfel, apreciem că Legea nr. 163/2021 nu poate fi calificată ca fiind dreptul comun în materia securităţii şi apărării cibernetice a României pentru a putea fi aplicată chiar şi în lipsa reglementării exprese a unei dispoziţii de trimitere.
    În egală măsură, raportul dintre cele două reglementări - Legea nr. 163/2021 şi actul normativ criticat - nu poate fi calificat nici ca fiind unul de tip lege generală - lege specială, situaţie care ar determina aplicarea legii generale (Legea nr. 163/2021) în cazul în care legea specială (actul normativ criticat) nu reglementează un anumit aspect.
    Aşa fiind, în contextul în care expresiei infrastructură informatică şi de comunicaţii de interes naţional nu i se poate atribui înţelesul stabilit prin Legea nr. 163/2021, aceasta nebeneficiind nici la nivelul actului normativ criticat de o definiţie legală astfel încât să aibă un înţeles specific sferei de reglementare a acestuia, rezultă că intenţia legiuitorului a fost de a-i atribui, în contextul reglementării, înţelesul ce rezultă din sensul comun al termenilor care o compun (a se vedea, mutatis mutandis, Decizia nr. 315 din 9 iunie 2020, publicată în Monitorul Oficial al României, Partea I, nr. 1130 din 24 noiembrie 2020).
    În sens comun, prin infrastructură se înţelege acel ansamblu de metode, dispozitive, obiecte etc., utilizate împreună pentru a fi posibilă furnizarea unui serviciu. Astfel, infrastructura informatică şi de comunicaţii reprezintă acel ansamblu care înglobează diverse aplicaţii (software/hardware), dispozitive (spre exemplu, servere, routere etc.), linii de comunicaţii (fibră optică, linii satelitare) utilizate pentru a furniza servicii informatice.
    În continuare, reţinem că expresia „infrastructură informatică“ este folosită de legiuitor şi în alte acte normative, de exemplu: art. 9 alin. (3), (7) şi (9) şi art. 17 alin. (3) din Legea nr. 242/2022 privind schimbul de date între sisteme informatice şi crearea Platformei naţionale de interoperabilitate, publicată în Monitorul Oficial al României, Partea I, nr. 752 din 27 iulie 2022; art. 9 din Legea nr. 135/2020 privind stabilirea datei alegerilor pentru autorităţile administraţiei publice locale din anul 2020, precum şi a unor măsuri pentru buna organizare şi desfăşurare a acestora, publicată în Monitorul Oficial al României, Partea I, nr. 626 din 16 iulie 2020; art. 114 alin. (3) din Legea nr. 115/2015 pentru alegerea autorităţilor administraţiei publice locale, pentru modificarea Legii administraţiei publice locale nr. 215/2001, precum şi pentru modificarea şi completarea Legii nr. 393/2004 privind Statutul aleşilor locali, publicată în Monitorul Oficial al României, Partea I, nr. 349 din 20 mai 2015; art. 110 alin. (3) din Legea nr. 208/2015 privind alegerea Senatului şi a Camerei Deputaţilor, precum şi pentru organizarea şi funcţionarea Autorităţii Electorale Permanente, publicată în Monitorul Oficial al României, Partea I, nr. 553 din 24 iulie 2015.
    Or, analizând aceste dispoziţii de lege rezultă că expresia infrastructură informatică are în vedere atât infrastructuri cu relevanţă la nivel naţional, cât şi infrastructuri cu relevanţă la nivel local sau de unitate. Astfel, în categoria infrastructură informatică sunt cuprinse toate acele ansambluri care au caracteristicile unei infrastructuri informatice, indiferent de deţinătorul acestora şi de relevanţa lor. Spre exemplu, art. 9 alin. (3) din Legea nr. 242/2022 dispune că „Suportul tehnic al Platformei naţionale de interoperabilitate este asigurat de o infrastructură informatică dedicată, care oferă mecanisme de acces automat la toate registrele de bază sau la sistemul informatic al instituţiei sau autorităţii care deţine în administrare/gestionare registrul de bază şi care permite schimbul de date între autorităţile şi instituţiile publice sau între acestea şi persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate, în vederea asigurării interoperabilităţii sistemelor informatice pentru furnizarea serviciilor publice“; art. 17 alin. (3) din acelaşi act normativ dispune că „Autorităţile şi instituţiile publice vor putea folosi infrastructuri informatice private în vederea conectării la Platforma Naţională de Interoperabilitate atunci când propria infrastructură nu le permite acest lucru conform standardelor de calitate stabilite prin NRRI“; art. 114 alin. (3) din Legea nr. 115/2015 prevăd că „Pentru implementarea şi funcţionarea pe durata alegerilor a Sistemului informatic de monitorizare a prezenţei la vot şi de prevenire a votului ilegal se va utiliza, de regulă, infrastructura informatică deţinută de autorităţile administraţiei publice centrale şi locale, precum şi de unităţile de învăţământ, sub coordonarea Serviciului de Telecomunicaţii Speciale“; art. 110 alin. (3) din Legea nr. 208/2015 prevede că „Pentru implementarea şi funcţionarea pe durata alegerilor a Sistemului informatic de monitorizare a prezenţei la vot şi de prevenire a votului ilegal se va utiliza, de regulă, infrastructura informatică deţinută de autorităţile administraţiei publice centrale şi locale, precum şi de unităţile de învăţământ, sub coordonarea Serviciului de Telecomunicaţii Speciale“.
    Aşa fiind, având în vedere toate aceste aspecte, apreciem că expresia infrastructură informatică utilizată de textul de lege criticat se referă la toate infrastructurile informatice indiferent de mărimea, relevanţa sau deţinătorul acestora.
    În ceea ce priveşte expresia interes naţional, reţinem că aceasta nu este definită în legislaţie, Curtea Constituţională constatând că legiuitorul constituant a utilizat-o, Legea fundamentală făcând referire la acest concept în conţinutul prevederilor art. 87 alin. (1), art. 90, art. 135 alin. (2) lit. b) şi d) şi art. 136 alin. (3). Curtea a constatat că noţiunea de „interes naţional“ reprezintă ea însăşi un concept plurivalent, care nu comportă o definiţie abstractă, ci se determină prin circumstanţierea elementelor ce o compun. Curtea a constatat că legiuitorul trebuie să reglementeze cu atenţie sfera elementelor a căror afectare determină existenţa unei ameninţări la adresa securităţii naţionale. Acestea, în condiţiile imposibilităţii definirii obiective, trebuie să poată fi cel puţin determinabile prin stabilirea concretă a elementelor componente. Pe de altă parte, Curtea a constatat că noţiunea de „securitate naţională“ este indisolubil legată de elementele prevăzute de art. 3 din Legea nr. 51/1991, sfera de cuprindere a acestei noţiuni fiind determinată şi de acestea. Or, Curtea a constatat că sfera de cuprindere a noţiunii de „interese ale ţării“, noţiune echivalentă din punct de vedere semantic şi cu aceeaşi sferă de cuprindere ca şi cea de „interes naţional“, necesită ea însăşi identificarea elementelor ce o compun (Decizia nr. 802 din 6 decembrie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 218 din 20 martie 2019, paragrafele 72 şi 73).
    Cu alte cuvinte, utilizarea de către legiuitor a noţiunii de „interes naţional“ determină în sarcina acestuia obligaţia reglementării elementelor la care cel chemat să interpreteze şi să aplice legea trebuie să se raporteze pentru a determina sfera de cuprindere a acestei noţiuni.
    Or, în ceea ce priveşte dispoziţia de lege criticată, pe de o parte, astfel cum anterior s-a arătat, expresia infrastructură informatică se referă la toate infrastructurile informatice, indiferent de mărimea, relevanţa sau deţinătorul acestora, iar, pe de altă parte, legiuitorul nu a reglementat elementele necesare determinării sferei de cuprindere a noţiunii de interes naţional în materia analizată.
    Mai mult, cum anterior s-a demonstrat, determinarea conţinutului unei astfel de noţiuni nu poate fi realizată nici prin coroborarea anumitor dispoziţii legislative. Astfel, conţinutul şi limitele sintagmei „infrastructurilor informatice şi de comunicaţii de interes naţional“ rămân la libera apreciere a organului abilitat să aplice legea, în/din această categorie putând fi, astfel, introduse sau excluse elemente, care nu pot fi cunoscute de destinatarul normei. Caracterul larg al sintagmei criticate determină posibilitatea introducerii sau excluderii de elemente în/din această categorie, acţiune care se răsfrânge şi asupra limitelor de aplicare a dispoziţiei de lege criticate. În acest mod, limitele de aplicare a dispoziţiei de lege criticate nu mai pot fi cunoscute de destinatarii normei, care, astfel, nu îşi pot corecta conduita şi nu pot fi capabili să prevadă, într-o măsură rezonabilă, consecinţele care pot apărea dintr-un act determinat.
    Aşadar, apreciem că dispoziţiile criticate nu instituie reguli clare pentru a oferi destinatarilor normei o indicaţie adecvată cu privire la circumstanţele şi condiţiile care determină existenţa unei ameninţări la adresa securităţii naţionale.
    În concluzie, apreciem că dispoziţiile art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, cu referire la introducerea literei n) în articolul 3 din Legea nr. 51/1991 privind securitatea naţională a României, încalcă prevederile constituţionale cuprinse în art. 1 alin. (5) care consacră principiul clarităţii şi previzibilităţii legii.

    V. O a doua critică de neconstituţionalitate în ceea ce priveşte completarea art. 3 din Legea nr. 51/1991 privind securitatea naţională a României, se referă la introducerea, în cuprinsul articolului menţionat, a literei o), cu următorul conţinut: „acţiuni, inacţiuni sau stări de fapt cu consecinţe la nivel naţional, regional sau global care afectează rezilienţa statului în raport cu riscurile şi ameninţările de tip hibrid“. Referitor la expresia „rezilienţa statului“, observăm că termenul „rezilienţă“ provine din cuvântul francez résilience, care, potrivit Dicţionarului Larousse (www.larousse.fr), are, printre altele, înţelesul comun de „capacitate a unui sistem de a continua să funcţioneze chiar şi în cazul unei defecţiuni“.
    Pe de altă parte, art. 2 lit. w) din actul normativ criticat dispune că rezilienţa în spaţiul cibernetic reprezintă capacitatea unei reţele sau sistem informatic de a rezista unui incident sau atac cibernetic şi de a reveni la starea de normalitate de dinaintea incidentului sau atacului cibernetic. Aşa fiind, rezultă că rezilienţa statului reprezintă capacitatea acestuia de a rezista unui incident de o anumită natură, de a funcţiona pe durata incidentului şi ulterior acestuia şi de a reveni la starea de dinaintea incidentului.
    În ceea ce priveşte expresia „ameninţările de tip hibrid“, reţinem că aceasta nu beneficiază de o definiţie în cuprinsul textului de lege criticat, nefiind regăsită, de altfel, vreo definiţie nici în alt act normativ. Într-adevăr, se observă că în Hotărârea Guvernului nr. 832/2021 pentru aprobarea Strategiei militare a
    României, publicată în Monitorul Oficial al României, Partea I, nr. 781 din 13 august 2021, precum şi în Hotărârea Parlamentului României nr. 22/2020 privind aprobarea Strategiei Naţionale de Apărare a Ţării pentru perioada 2020-2024, publicată în Monitorul Oficial al României, Partea I, nr. 574 din 1 iulie 2020, se fac anumite referiri la termenul „hibrid“, fără însă a se putea discerne asupra înţelesului exact al noţiunii în cauză. Astfel, în cele două acte regăsim referiri la „ameninţări de tip hibrid“, „strategii şi tactici hibride“, „strategii şi acţiuni hibride“, „operaţii hibride“, „ameninţări hibride“, „mediul hibrid“, „provocări de tip hibrid“, „caracter hibrid“, „instrumentar hibrid“, „ofensive cu caracter hibrid“ etc.
    Aşa fiind, în analiza noastră vom porni de la definiţia termenului comun „hibrid“, regăsită în Dicţionarul explicativ al limbii române, potrivit căruia noţiunea în cauză având semnificaţia „provenit din încrucişarea a doi indivizi de specii, de soiuri, de genuri sau de rase diferite; (despre realizări, idei, fapte) alcătuit din elemente disparate; lipsit de armonie“.
    Din aplicarea acestei definiţii la materia securităţii şi apărării cibernetice şi la cea a securităţii naţionale, având în vedere sfera/domeniul de aplicare a reglementărilor adoptate în materiile anterior menţionate, rezultă că „elementele de tip hibrid“ comportă, în mod abstract, aspecte multidimensionale, care pot avea naturi diferite, care îmbină (asociază) acţiuni (măsuri) constrângătoare (opresive) şi/sau subversive (perturbatoare/ destabilizatoare) şi care utilizează atât instrumente şi tactici convenţionale, cât şi unele neconvenţionale. Aşa fiind, apreciem că „ameninţările de tip hibrid“ sunt definite de aceleaşi caracteristici abstracte, pe lângă care se adaugă scopul pentru care acestea sunt întreprinse, acela de a destabiliza.
    În acest context, observăm că instanţa de contencios constituţional a apreciat că există concepte pentru care oferirea unei definiţii abstracte, atotcuprinzătoare este un deziderat imposibil de realizat. Aceasta deoarece, în funcţie de materia în legătură cu care acesta este analizat, elementele luate în considerare vor fi diferite (Decizia nr. 551 din 13 iulie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 977 din 8 decembrie 2017, paragraful 28). Plecând de la aceste premise, Curtea a constatat că, în ceea ce priveşte aceste concepte, dispoziţiile Legii fundamentale nu vor fi încălcate în măsura în care, deşi nu este oferită o definiţie, sunt reglementate criterii exprese pe baza cărora se pot determina elementele ce aparţin/nu aparţin acestora şi, implicit, se poate stabili sfera de cuprindere a acestora (a se vedea mutatis mutandis Decizia nr. 104 din 23 februarie 2021, publicată în Monitorul Oficial al României, Partea I, nr. 583 din 9 iunie 2021, paragrafele 34 şi 35).
    Cu alte cuvinte, utilizarea de către legiuitor a unor astfel de concepte naşte în sarcina acestuia obligaţia unei reglementări exprese şi cât mai riguroase a criteriilor aplicabile în scopul determinării sferei de cuprindere a noţiunilor/expresiilor folosite.
    Având în vedere aceste aspecte, reţinem că în ceea ce priveşte expresia „ameninţările de tip hibrid“ legiuitorul nu a reglementat o definiţie a acestui concept. Mai mult, nici în cuprinsul actului normativ criticat şi nici în cel al Legii nr. 51/1991, act normativ care se doreşte a fi completat, nu sunt reglementate nici criterii exprese pe baza cărora destinatarii normei să poată determina acele elemente care capătă caracteristicile unei ameninţări de tip hibrid, neputându-se determina nici limita de aplicare a dispoziţiei de lege criticate.
    Totodată, apreciem că nici din coroborarea legislaţiei incidente nu se pot desprinde reperele unei astfel de analize, simpla utilizare în diverse acte normative/administrative cu caracter normativ a termenului „hibrid“, fără însă vreo circumstanţiere, nefiind suficientă pentru determinarea sferei de incidenţă a expresiei „ameninţările de tip hibrid“.
    Tocmai gradul sporit de generalitate al conceptului de „ameninţări de tip hibrid“, multitudinea elementelor care singure sau împreună determină această proprietate „hibridă“ a ameninţării, precum şi caracteristicile diferite/multidimensionale ale acestor elemente determină necesitatea unei reglementări clare din partea legiuitorului. Curtea a statuat că, în primul rând, legiuitorului îi revine obligaţia ca, în actul de legiferare, indiferent de domeniul în care îşi exercită această competenţă constituţională, să dea dovadă de o atenţie sporită în respectarea principiului clarităţii şi previzibilităţii legii (Decizia nr. 405 din 15 iunie 2016, publicată în Monitorul Oficial al României, Partea I, nr. 517 din 8 iulie 2016, paragraful 52).
    Or, caracterul larg al sintagmei criticate determină posibilitatea introducerii sau excluderii de elemente în/din această categorie, acţiune care se răsfrânge şi asupra limitelor de aplicare a dispoziţiei de lege criticate. În acest mod, limitele de aplicare a dispoziţiei de lege criticate nu mai pot fi cunoscute de destinatarii normei, care, astfel, nu îşi pot corecta conduita şi nu pot fi capabili să prevadă, într-o măsură rezonabilă, consecinţele care pot apărea dintr-un act determinat.
    În concluzie, apreciem că dispoziţiile art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normativ, cu referire la introducerea literei o) în articolul 3 din Legea nr. 51/1991 privind securitatea naţională a României, încalcă prevederile constituţionale cuprinse în art. 1 alin. (5) care consacră principiul clarităţii şi previzibilităţii legii.

    VI. O a treia critică de neconstituţionalitate în ceea ce priveşte completarea art. 3 din Legea nr. 51/1991 privind securitatea naţională a României se referă la introducerea, în cuprinsul articolului menţionat, a literei p), cu următorul conţinut: „acţiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spaţiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituţională“.
    Pentru început, reţinem că singura expresie ce beneficiază de o definiţie legală, în chiar cuprinsul actului normativ criticat, este cea de „spaţiu cibernetic“, dispoziţiile art. 2 lit. z) definindu-l ca „mediul virtual generat de reţelele şi sistemele informatice, incluzând conţinutul informaţional procesat, stocat sau transmis, precum şi acţiunile derulate de utilizatori în acesta“. Spre deosebire de aceasta, în cazul expresiilor „entitate statală“, „entitate nonstatală“, „campanii de propagandă“ şi „campanii de dezinformare“, legiuitorul nu a reglementat vreo definiţie legală şi nici nu a adoptat vreo dispoziţie în legătură cu acestea pe baza căreia să se poată discerne eventuale caracteristici/ aspecte care caracterizează termenii/noţiunile utilizaţi/utilizate.
    În ceea ce priveşte claritatea şi previzibilitatea acestor expresii, reiterăm cele expuse anterior în sensul că legiuitorul nu a apelat nici în acest caz la vreuna dintre modalităţile de configurare a înţelesului termenilor utilizaţi (definirea în cuprinsul actului criticat/adoptarea unei norme de trimitere). Mai mult, în cuprinsul actului normativ criticat nu se face nicio trimitere la dispoziţii ale altor acte normative care ar putea avea relevanţă în definirea acestor expresii, nici punctual în cadrul vreunui articol, nici în mod general prin reglementarea unei dispoziţii finale care să determine completarea prevederilor Legii privind securitatea şi apărarea cibernetică a României cu dispoziţii din alte acte normative.
    Aşa fiind, din această perspectivă, apreciem că se păstrează şi în acest caz viciul de neconstituţionalitate în sensul lipsei de claritate şi previzibilitate al expresiilor şi termenilor utilizaţi.
    Într-adevăr, potrivit jurisprudenţei Curţii Constituţionale, în cazul în care expresia utilizată nu beneficiază de o definiţie legală, rezultă că intenţia legiuitorului a fost de a-i atribui, în contextul reglementării, înţelesul ce rezultă din sensul comun al termenilor care o compun (a se vedea, mutatis mutandis, Decizia nr. 315 din 9 iunie 2020, publicată în Monitorul Oficial al României, Partea I, nr. 1130 din 24 noiembrie 2020).
    Din această perspectivă, observăm că, potrivit Dicţionarului explicativ al limbii române, propagandă reprezintă acea „acţiune desfăşurată sistematic în vederea răspândirii unei doctrine politice, religioase etc., a unor teorii, opinii, pentru a le face cunoscute şi acceptate, pentru a câştiga adepţi“, iar dezinformare reprezintă „faptul de a dezinforma“, adică de „a informa (în mod intenţionat) greşit“.
    Plecând de la premisa că în cazul acestor termeni va fi avut în vedere sensul comun atribuit lor, observăm însă că pentru a constata existenţa unei propagande sau a unei dezinformări nu este suficientă o simplă constatare formală din partea celui chemat să aplice legea. Din contră, pentru a constata existenţa unei propagande sau a dezinformării, persoana îndrituită va fi obligată să realizeze o analiză de fond a situaţiei, a aspectelor implicate, a corectitudinii informaţiilor diseminate, a formei de vinovăţie cu care se acţionează, a plasării în cadrul constituţional a doctrinelor, teoriilor, opiniilor emise etc.
    Or, deşi definirea in abstracto a termenilor utilizaţi se poate realiza prin diverse procedee, inclusiv prin apelarea la sensul comun al acestora, în unele cazuri, în funcţie de materia în care aceştia sunt reglementaţi, acest lucru nu este suficient pentru a respecta exigenţele constituţionale de claritate şi previzibilitate. Astfel, în unele cazuri intervine necesitatea reglementării exprese şi riguroase a criteriilor/trăsăturilor care trebuie îndeplinite pentru ca unei anumite acţiuni să i se poată atribui o anumită caracteristică.
    Astfel, în cazul supus controlului de constituţionalitate, deşi termenilor propagandă şi dezinformare li se poate atribui sensul comun, nereglementarea unor criterii/trăsături exprese pe care destinatarul normei să le poată aplica pentru a putea realiza o analiză concretă şi corectă/obiectivă a acţiunilor întreprinse în scopul stabilirii existenţei propagandei şi/sau dezinformării lasă la îndemâna acestuia stabilirea criteriilor/trăsăturilor care trebuie îndeplinite. Or, în acest caz destinatarul normei este acela care va stabili singur criteriile/trăsăturile, de la caz la caz, printr-o apreciere care nu poate fi decât una subiectivă şi, în consecinţă, discreţionară.
    În concluzie, apreciem că dispoziţiile art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative, cu referire la introducerea literei p) în articolul 3 din Legea nr. 51/1991 privind securitatea naţională a României, încalcă prevederile constituţionale cuprinse în art. 1 alin. (5) care consacră principiul clarităţii şi previzibilităţii legii.
    Având în vedere aceste aspecte, observăm că, potrivit art. 13 lit. f) din Legea nr. 51/1991, în situaţiile prevăzute la art. 3 din acelaşi act normativ, organele cu atribuţii în domeniul securităţii naţionale pot, în condiţiile legii privind organizarea şi funcţionarea acestora, să efectueze activităţi specifice culegerii de informaţii care presupun restrângerea exerciţiului unor drepturi sau al unor libertăţi fundamentale ale omului desfăşurate cu respectarea prevederilor legale, inclusiv interceptarea şi înregistrarea comunicaţiilor electronice, efectuate sub orice formă.
    Or, având în vedere aceste aspecte şi caracterul intruziv al activităţilor specifice culegerii de informaţii care presupun restrângerea exerciţiului unor drepturi sau al unor libertăţi fundamentale ale omului, Curtea a constatat că este obligatoriu ca acestea să se realizeze într-un cadru normativ clar, precis şi previzibil, atât pentru persoana supusă acestei măsuri, cât şi pentru organele de urmărire penală şi pentru instanţele de judecată. În caz contrar, s-ar ajunge la posibilitatea încălcării într-un mod aleatoriu/abuziv a drepturilor fundamentale, esenţiale într-un stat de drept, privind viaţa intimă, familială şi privată, precum şi secretul corespondenţei. Este îndeobşte admis că drepturile prevăzute la art. 26 şi art. 28 din Constituţie nu sunt absolute, însă limitarea lor trebuie să se facă cu respectarea dispoziţiilor art. 1 alin. (5) din Legea fundamentală, iar gradul de precizie a termenilor şi noţiunilor folosite trebuie să fie unul ridicat, dată fiind natura măsurilor intruzive reglementate (a se vedea, în acelaşi sens, Decizia nr. 51 din 16 februarie 2016, precitată, paragraful 48).
    În concluzie, apreciem că instanţa de contencios constituţional trebuia să admită obiecţiile de neconstituţionalitate şi să constate că dispoziţiile art. 50 din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative sunt neconstituţionale.
    Având în vedere toate argumentele expuse, apreciem că instanţa de contencios constituţional trebuia să admită obiecţiile de neconstituţionalitate şi să constate că dispoziţiile art. 3 lit. c) teza finală, art. 21 alin. (1), art. 22, art. 24, art. 29, art. 37, art. 41, art. 50 şi art. 52 alin. (1) din Legea privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative sunt neconstituţionale.




                    Judecători,
                    Gheorghe Stan
                    Attila Varga


    -----

Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016

Tags: Monitorul Oficial, Acte Monitorul Oficial, Decizie, Alte Institutii,  DECIZIA nr. 70 din 28 februarie 2023

Comentarii


Maximum 3000 caractere.
Da, doresc sa primesc informatii despre produsele, serviciile etc. oferite de Rentrop & Straton.

Cod de securitate


Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
Rentrop & Straton
Banner5

Atentie, Juristi!

5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR"


Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016
x
Inscrie e-mailul tau pentru a primi zilnic
informatii despre CE, CAND si CUM s-a intamplat
Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016