Gong je poslao dopis Margrethe Vestager, izvršnoj potpredsjednici Europske komisije za Europu prilagođenu digitalnom dobu, izražavajući zabrinutost zbog potencijalno prekomjernih ovlasti Sigurnosno-obavještajne agencije (SOA) koje će joj dati novi Zakon o kibernetičkoj sigurnosti, pod egidom cybersigurnosti i usklađivanja sa zakonodavstvom EU.
Predloženim Zakonom o kibernetičkoj sigurnosti kojim se u Hrvatskoj preuzima direktiva NIS2, planira se SOA-i dati šire ovlasti nego što već imaju jer će postati središnje državno tijelo za područje kibernetičke sigurnosti. Ovako predloženim, promašenim načinom provedbe NIS2, obavještajna agencija se stavlja u ulogu regulatora i nadzornika provedbe i usklađenosti subjekata s pravilima kibernetičke sigurnosti, što je protivno demokratskim standardima.
Gong smatra izuzetno opasnim da tajne službe, čiji su postupci i mjere tajni i ne dijele se s javnošću, dobivaju prekomjernu ovlast i nadzor ne samo nad državnim, nego javnim i privatnim kompanijama čija je infrastruktura prepoznata kao važna.
Jačanje ovlasti SOA-e preuzimanjem EU direktive posebno je sporno stoga što je za implementaciju prethodne NIS direktive bio nadležan Zavod za sigurnost informacijskih sustava (ZSIS), specijalizirano državno tijelo koje nije dio obavještajne agencije. Uz to, centralno europsko tijelo nadležno za koordinaciju i provedbu NIS2, ENISA, također je civilno stručno tijelo.
Obzirom na ovlasti SOA-e za provođenjem tajnih postupaka i mjera prikupljanja podataka sukladno Zakonu, smatramo da one nisu razmjerne potrebama te mogu dovesti do zloupotreba i nepovjerenja obveznika ovog Zakona, ali i javnosti u SOA-u kao nadležno tijelo. Razlog zabrinutosti leži u potencijalnom zadiranju odnosno kršenju Ustavom RH zajamčenih prava na slobodu i tajnost dopisivanja te zaštitu osobnih podataka, što neće doprinijeti kibersigurnosti. Davanjem takvih ovlasti sektoru obavještajnih službi se samo otvara mogućnost novim ugrozama prava građana u digitalnom dobu.
Primarna zadaća SOA-e je zaštita nacionalne sigurnosti i nacionalnih interesa RH, ali u prošlosti su hrvatski novinari i aktivisti bili bezrazložno na udaru tajnih službi, ilegalno prisluškivani i praćeni. Zbog prirode svog djelokruga te zakonskih ovlasti, rad SOA-a nije transparentan, a kao takav je potpuno nespojiv s ulogom centra za kibernetičku sigurnost, pogotovo kad NIS2 proširuje obveznike i na mnoge privatne subjekte uz javna tijela. Dodatno, u prijedlogu zakona je izostavljena odredba iz članka 2. točke 7. Direktive, kojom se iz primjene izuzimaju zakonodavna tijela, tijela u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela. Na taj način se obavještajnom tijelu koje ne odgovara građanima već političkom i državnom aparatu daje i nadzor nad organima progona kaznenih djela i zakonodavnim tijelom, što može imati zastrašujuće posljedice.
Javno savjetovanje Zakona o kibernetičkoj sigurnosti otvoreno je usred ljeta, čime je nastavljena loša praksa hrvatskih vlasti da usred godišnjih odmora daje važne zakone na komentiranje građanima i građankama. Takvim potezima se zapravo ne očekuje aktivna i brojna participacija građana i građanki, koje slijedom navedenog i izostaje, nego se samo fingira demokracija. Sukladno standardnoj praksi, svi komentari na obrazac prethodne procjene zakona na javnom savjetovanju odbijeni su bez adekvatnog objašnjenja, a nije transparentno objavljeno ni tko su bili članovi radne skupine koja je sastavila takav prijedlog.
Podržavajući Komisijin prioritet cybersigurnost i reguliranja tog područja, Gong smatra demokratski odgovornijim i učinkovitijim povjeriti nadzor kibernetičke sigurnosti posebnom tijelu unutar državne uprave, koje već postoji, nego ga povjeriti sigurnosnom aparatu.