საქართველოს პარლამენტმა, 77 ხმით 2-ის წინააღმდეგ, მესამე მოსმენით დაამტკიცა ცვლილებები „ინფორმაციული უსაფრთხოების შესახებ” კანონში, რომელიც IDFI-ის შეფასებით, წინააღმდეგობაში მოდის ევრო დირექტივის ცალკეულ მოთხოვნებთან (Network and Information Systems (NIS)).
"ინიცირებული ცვლილებები, დარეგისტრირების დღიდან, ფართო მსჯელობისა და კრიტიკის საგანია სამოქალაქო საზოგადოების, კერძო სექტორისა და სფეროს ექსპერტების მხრიდან. პარლამენტის მიერ მიღებული ცვლილებები კარდინალურად ცვლის საქართველოს კიბერუსაფრთხოების სისტემას და შეიცავს მნიშვნელოვან რისკებს," აცხადებენ ინფორმაციის თავისუფლების განვითარების ინსტიტუტში (IDFI), რომელიც აქტიურად მონაწილეობდა კანონპროექტის განხილვის, ცვლილებებთან დაკავშირებული რისკების შესწავლისა და ანალიზის პროცესში.
ახალი კანონის მოქმედება ვრცელდება სუბიექტების 3 კატეგორიაზე:
- ყველა სახელმწიფო ორგანო და დაწესებულება, საჯარო სამართლის იურიდიული პირი და სახელმწიფო საწარმო. პირველი კატეგორიის სუბიექტებზე ყველაზე მკაცრი რეგულაციები ვრცელდება, რაც ნიშნავს, რომ მაგალითად, საქართველოს პარლამენტის, პრეზიდენტის ადმინისტრაციის, ქალაქ თბილისის მერიის, ცენტრალური საარჩევნო კომისიის ან საქართველოს რკინიგზის ინფორმაციულ აქტივებზე, ინფორმაციული სისტემებსა და ინფრასტრუქტურაზე სრული წვდომა ეძლევა სახელმწიფო უსაფრთხოების სამსახურის სსიპ ოპერატიულ-ტექნიკურ სააგენტოს;
- მეორე კატეგორიის სუბიექტებში მოხვდნენ ელექტრონული კომუნიკაციების კომპანიები, რაც ნიშნავს, რომ სატელეკომუნიკაციო კომპანიები, ინტერნეტ-პროვაიდერები და ა.შ. ასევე ძალოვანი უწყების მკაცრი მონიტორინგის ქვეშ მოექცნენ;
- მესამე კატეგორიის სუბიექტებში მოიაზრება მთავრობის დადგენილებით განსაზღვრული კერძო სამართლის იურიდიული პირები, როგორებიც, მაგალითად, არიან ბანკები და ფინანსური ინსტიტუტები. მათზე კანონი შედარებით ლოიალურ რეგულაციებს ავრცელებს, რაც ნიშნავს, რომ მესამე კატეგორიის სუბიექტებზე ზედამხედველობას განახორციელებს იუსტიციის სამინისტროს სსიპ ციფრული მმართველობის სააგენტო.
რა უფლებამოსილებები მიენიჭა სახელმწიფო უსაფრთხოების სამსახურის ოპერატიულ-ტექნიკური სააგენტოს (OTA)?
- ქსელური ნაკადის მონიტორინგის მიზნით, განახორციელოს პირველი კატეგორიის, ხოლო თანხმობის არსებობის შემთხვევაში, მეორე კატეგორიის სუბიექტების ქსელური სენსორის კონფიგურირება და მართვა;
- მოთხოვნისთანავე (კომპიუტერულ ინციდენტზე რეაგირებისთვის) მიიღოს წვდომა პირველი/მეორე კატეგორიის სუბიექტების ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალ საგანზე;
- სავალდებულო წესით, გეგმიური ან არაგეგმიური გზით განახორციელოს საინფორმაციო ტექნოლოგიური ინფრასტრუქტურის შემოწმება;
- შემოწმების შედეგად შემუშავებული დასკვნის შეუსრულებლობის შემთხვევაში განსაზღვროს ადმინისტრაციულ-სამართლებრივი პასუხისმგებლობა/ სანქცია;
- პირველი და მეორე კატეგორიების სუბიექტებისათვის კანონქვემდებარე აქტით დაადგინოს ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები;
- განიხილოს ინფორმაციული უსაფრთხოების შინასამსახურებრივი გამოყენების წესები პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების შემთხვევაში;
- სავალდებულო წესით გამოითხოვოს ინფორმაციული უსაფრთხოების პოლიტიკის შემუშავებასთან, დანერგვასთან, მონიტორინგსა და გაუმჯობესებასთან დაკავშირებული ინფორმაცია;
- ჰქონდეს წვდომა სუბიექტების ინფორმაციული უსაფრთხოების აუდიტებსა და ინფორმაციული შეღწევადობის (პენეტრაციის) ტესტის დასკვნებზე (გარდა ფინანსური ინსტიტუტებისა).
"შეიძლება ითქვას, რომ ახალი კანონით, OTA-ს ეძლევა შესაძლებლობა, გააჩნდეს პირდაპირი წვდომა საკანონმდებლო, აღმასრულებელი თუ სასამართლო ხელისუფლების, ასევე სატელეკომუნიკაციო სექტორის ინფორმაციულ სისტემებზე და არაპირდაპირი წვდომა სისტემებში დაცულ პერსონალურ და კომერციულ ინფორმაციაზე. ძალოვან უწყებას ეძლევა შესაძლებლობა, ჰქონდეს წვდომა პერსონალურ მონაცემებთან, რამდენადაც, ნორმათა ბუნდოვანება აჩენს პერსონალურ მონაცემთა არაკანონიერად და არაპროპორციულად დამუშავების რეალურ საშიშროებას," აცხადებენ IDFI-ში.