Restructurarea Agenției pentru Securitate Cibernetică: putere concentrată, control minim, responsabilitate inexistentă

În 1 aprilie 2026, Guvernul Munteanu urmează să aprobe modificarea regulamentului și structurii Agenției pentru Securitate Cibernetică, anunță newsalert.md.

Documentele oficiale prezintă intervenția drept o ajustare tehnică impusă de un nou șablon administrativ guvernamental. Dosarul de avizare spune altceva: o extindere semnificativă a puterii instituției, lacune normative semnalate de cinci autorități publice și pericole concrete care au fost, rând pe rând, ignorate de autorii proiectului.

O instituție care recunoaște indirect că … a eșuat

Agenția pentru Securitate Cibernetică a fost creată în decembrie 2023 cu misiunea declarată de a implementa bunele practici europene în domeniu și de a crește reziliența digitală a țării. La lansarea oficială, autoritățile promiteau că instituția va fi „un punct unic de contact pentru toți furnizorii de servicii critice”.

La mai puțin de doi ani și jumătate, nota de fundamentare a proiectului supus aprobării recunoaște deschis că „organizarea inițială a structurii Agenției nu corespunde cu necesitățile reale actuale” și generează „impedimente în vederea realizării misiunii”. Această mărturisire, rară în limbajul administrativ moldovenesc, ridică o întrebare la care documentele nu oferă răspuns: cine a proiectat o structură nepotrivită, cine a aprobat-o și de ce abia acum se constată că nu corespunde necesităților?

Hotărârea Guvernului nr. 284 din 14 mai 2025 privind reglementarea modului de organizare și funcționare a autorităților administrației publice centrale de specialitate a impus tuturor entităților alinierea regulamentelor la un șablon standard, acesta este pretextul formal al reorganizării. Dar, dincolo de conformarea la un formular-tip, proiectul conține schimbări de substanță cu urmări pe care avizatorii proiectului, care urmează să fie aprobat miercuri, le-au semnalat explicit și care au fost, în mare parte, ignorate.

O singură structură controlează totul: de la monitorizare la restricționare

Cea mai discutabilă modificare structurală este integrarea Secției prevenire și analiză în cadrul Direcției de răspuns la incidente și crize cibernetice. Pe hârtie, argumentul pare logic: prevenirea și răspunsul sunt procese interdependente. În practică, efectul este concentrarea, sub o singură direcție, a întregului ciclu operațional al securității cibernetice naționale: monitorizarea continuă a amenințărilor și a domeniilor de internet .md, analiza proactivă a riscurilor, scanarea rețelelor și sistemelor informatice ale persoanelor juridice private, gestionarea crizelor cibernetice la nivel național, colectarea de date criminalistice în cursul incidentelor și, cel mai sensibil atribut dintre toate, posibilitatea de a restricționa sau întrerupe accesul la rețele și sisteme informatice ale unor companii private.

Toate acestea, concentrate într-o singură direcție a instituției. Proiectul nu prevede niciun mecanism extern de supraveghere: nici o comisie parlamentară cu rol de control, nicio procedură de autorizare prealabilă înainte ca Agenția să restricționeze accesul la o rețea privată, nicio obligație clară de notificare publică ulterioară.

Nimeni nu răspunde pentru nimic

Proiectul prevede că directorul, directorul adjunct și conducătorii de subdiviziuni „poartă răspundere conform cadrului normativ în vigoare pentru deciziile luate și pentru activitatea Agenției”. Fraza sună pompos, dar nu înseamnă nimic concret.

Centrul Național Anticorupție a semnalat că proiectul, care urmează să fie aprobat pe 1 aprilie 2026, nu specifică nicio formă de răspundere a responsabililor din cadrul Agenției pentru Securitate Cibernetică (disciplinară, civilă, contravențională sau penală) și a recomandat explicit introducerea lor. Autorul a respins recomandarea, invocând că aceste forme „sunt stabilite de cadrul normativ de specialitate”. CNA a insistat: o normă de răspundere fără conținut specific nu produce efecte juridice, iar conducătorii vor ști că pot lua decizii greșite fără consecințe directe, deoarece legătura dintre decizie și sancțiune nu este trasată nicăieri.

Curtea Constituțională a atenționat în repetate rânduri că norma juridică trebuie formulată cu suficientă precizie, astfel încât persoana să poată prevede consecințele conduitei sale. Proiectul nu respectă acest standard.

Rezultatul: o agenție cu puteri extinse și o conducere fără răspundere concretizată juridic, o combinație clasică în care abuzurile ar putea prolifera.

Judecătorul și acuzatorul sunt aceeași instituție

Serviciul de Informații și Securitate a ridicat o problemă de fond care a rămas fără răspuns satisfăcător: Agenția este simultan autoritatea care desemnează furnizorii de servicii critice și cea care soluționează contestațiile împotriva propriilor desemnări. Aceeași instituție emite decizia și judecă recursul împotriva ei.

Autorul proiectului a răspuns că procedura administrativă generală se aplică oricum. Dar această trimitere nu rezolvă problema structurală: în absența unui organ independent, companiile private din sectoare strategice (energie, transport, finanțe, sănătate) sunt nevoite să conteste o decizie exact în fața autorității care a luat-o. O astfel de construcție nu oferă garanții reale de imparțialitate.

Costul real, ascuns printr-o rescriere de paragraf

Nota de fundamentare a trecut printr-o transformare revelatoare. Versiunea inițială recunoștea că restructurarea necesită alocații suplimentare de aproximativ 1,4 milioane de lei anual: prin includerea Secției de prevenire în Direcția de răspuns la incidente, personalul transferat urma să beneficieze de condiții salariale mai avantajoase, prevăzute expres în legea bugetară.

Ministerul Finanțelor a cerut calcule justificative și a avertizat că „modificările propuse nu au acoperire financiară conform cadrului de resurse disponibil, atât pe termen scurt cât și mediu”, semnalând totodată că restructurările pot genera costuri de disponibilizare neestimate în nicio rubrică. Sub această presiune, nota a fost rescrisă: proiectul „nu implică cheltuieli bugetare suplimentare pentru 2026″. Structura propusă a rămas identică. Costul a dispărut din document dar nu și din realitate.

Putere fără control, ambiții fără garanții

Privit în ansamblu, proiectul configurează o autoritate cu competențe extinse de reglementare și control asupra întregului sector privat din domeniile critice ale economiei: ASC poate identifica o companie drept furnizor de servicii critice, o poate supune inspecțiilor, poate emite acte obligatorii privind infrastructura ei IT, poate restricționa accesul la rețelele sale și poate soluționa contestațiile formulate împotriva propriilor decizii, toate acestea exercitate de o instituție cu conducere numită politic, fără termene procedurale clare, fără răspundere juridică specificată și fără supraveghere independentă.

Contextul justifică nevoia de capacitate instituțională: de la 173 de incidente cibernetice raportate în 2018, Moldova a ajuns la peste 1.340 în 2024, cu proiecții care arată depășirea pragului anual de 2.000 până în 2030.

Cum funcționează filtrele instituționale când nu filtrează nimic

Procesul de avizare a implicat cinci instituții: Cancelaria de Stat, Ministerul Finanțelor, Ministerul Justiției, Serviciul de Informații și Securitate și Centrul Național Anticorupție. Toate au formulat obiecții de substanță. Niciuna nu a blocat proiectul. Obiecțiile care atingeau direct puterea discreționară a Agenției (termenele de notificare, tipurile de răspundere, conflictul de interese în soluționarea contestațiilor, costul real al restructurării) fie au fost respinse,  fie au fost reformulate cosmetic, fără a modifica norma contestată.

Acesta este semnalul cel mai îngrijorător pe care îl oferă dosarul: nu că cineva ar fi acționat cu rea-credință, ci că un proiect cu pericole concrete a trecut prin toate filtrele instituționale cu ajustări minore, pentru că niciun avizator nu are puterea de a bloca un proiect guvernamental ci doar de a lăsa pe hârtie că … l-a semnalat.

Notă: Acest articol se bazează în principal pe dosarul oficial al proiectului hotărârii de Guvern, incluzând proiectul de hotărâre, nota de fundamentare, sinteza obiecțiilor și propunerilor precum și rapoartele de expertiză ale instituțiilor avizatoare: documente publicate pe site-ul oficial al Guvernului Republicii Moldova la adresa gov.md. Datele privind evoluția incidentelor cibernetice provin din Programul Național de Securitate Cibernetică 2026-2030, aprobat prin hotărâre de Guvern în decembrie 2025. Judecățile editoriale privind implicațiile juridice și instituționale ale proiectului aparțin redacției și sunt formulate în baza documentelor citate.

Sursa: newsalert.md