„Astfel, Curtea a constatat neconstituţionalitatea mai multor prevederi ale legii, printre care cele privind definirea noţiunii de «deţinători de infrastructuri cibernetice» (art.2 din lege), desemnarea Serviciului Român de Informaţii ca autoritate naţională în domeniul securităţii cibernetice (art.10), lipsa garanţiilor legale (autorizarea de către o instanţă judecătorească) aferente respectării obligaţiei deţinătorilor de infrastructuri cibernetice de a permite accesul reprezentanţilor autorităţilor competente la datele deţinute, relevante în contextul solicitării (art.17), lipsa reglementării prin lege a criteriilor în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional, cât şi a modalităţii prin care se stabilesc acestea (art.19), autoritatea care efectuează auditarea de securitate cibernetică (art.20 lit.c), lipsa reglementării prin lege a circumstanţelor în care este necesară notificarea, precum şi a conţinutului acesteia (art.20 lit.c), lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autorităţile competente şi care sunt susceptibile a prejudicia drepturi sau interese legitime (art.16-23), lipsa predictibilităţii normelor referitoare la procedurile de monitorizare şi control, respectiv a celor privind constatarea şi sancţionarea contravenţiilor (art.27, 28, 30), lipsa garanţiilor legale (autorizarea de către o instanţă judecătorească) aferente respectării obligaţiei deţinătorilor de infrastructuri cibernetice de a permite autorităţilor competente să efectueze inspecţii, inclusiv inopinate, la orice instalaţie, incintă sau infrastructură (art.27 alin.(2)”, potrivit CCR.
Decizia este definitivă şi general obligatorie şi se comunică Preşedintelui României, preşedinţilor celor două Camere ale Parlamentului şi prim-ministrului. Argumentaţiile reţinute în motivarea soluţiei pronunţate de Plenul Curţii Constituţionale vor fi prezentate în cuprinsul deciziei, care se va publica în Monitorul Oficial.