E oficial: În instituţiile publice din România sunt interzise software-urile antivirus de provenienţă rusă (directă sau indirectă)

(Getty Images)

Preşedintele Klaus Iohannis a semnat marţi decretul de promulgare a legii privind protecţia sistemelor informatice ale autorităţilor şi instituţiilor publice în contextul invaziei declanşate de Federaţia Rusă împotriva Ucrainei, anunţă un comunicat de presă publicat de administraţia prezidenţială.

Legea respectivă stabileşte cadrul juridic şi instituţional general şi necesar în vederea interzicerii achiziţionării şi utilizării de către autorităţile şi instituţiile publice, de la nivel central şi local, a produselor şi serviciilor software de tip antivirus provenind direct sau indirect din Federaţia Rusă sau de la un operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federaţia Rusă sau al cărei capital este constituit cu participaţie provenind în mod direct sau prin firme interpuse din Federaţia Rusă ori din ale cărui organe de administrare fac parte persoane din Federaţia Rusă.

Potrivit sursei citate, prin legea promulgată se interzice achiziţionarea, instalarea şi utilizarea de către autorităţile şi instituţiile publice a următoarelor produse şi servicii software, de provenienţă directă sau indirectă rusă:

a) produse privind securitatea dispozitivului, securitatea punctului final;

b) aplicaţii şi programe software de detecţie antivirus;

c) aplicaţii şi programe software antimalware, firewall pentru aplicaţii web, firewall as a service;

d) reţele virtuale private;

e) sisteme de detecţie şi răspuns pentru Endpointuri.

Redăm în continuare textul legii publicate, miercuri, în Monitorul Oficial:

LEGE nr. 354 din 13 decembrie 2022

privind protecţia sistemelor informatice ale autorităţilor şi instituţiilor publice în contextul invaziei declanşate de Federaţia Rusă împotriva Ucrainei

EMITENT

PARLAMENTUL ROMÂNIEI

Publicat în MONITORUL OFICIAL nr. 1200 din 14 decembrie 2022

Parlamentul României adoptă prezenta lege.

Articolul 1

(1) Prezenta lege stabileşte cadrul juridic şi instituţional general şi necesar în vederea interzicerii achiziţionării şi utilizării de către autorităţile şi instituţiile publice, de la nivel central şi local, a produselor şi serviciilor software de tip antivirus provenind direct sau indirect din Federaţia Rusă sau de la un operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federaţia Rusă sau al cărei capital este constituit cu participaţie provenind în mod direct sau prin firme interpuse din Federaţia Rusă ori din ale cărui organe de administrare fac parte persoane din Federaţia Rusă.

(2) În înţelesul prezentei legi, prin autoritate publică se înţelege orice organ de stat sau al unităţii administrativ-teritoriale care acţionează în regim de putere publică pentru satisfacerea unui interes public, iar prin instituţie publică se înţelege orice structură funcţională care acţionează în regim de putere publică şi/sau prestează servicii publice şi care este finanţată din venituri bugetare şi/sau din venituri proprii, în condiţiile legii finanţelor publice.

(3) Este considerat operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federaţia Rusă acela care se află în cel puţin una dintre următoarele situaţii:

a) una sau mai multe persoane fizice sau juridice din Federaţia Rusă deţin, individual sau împreună, în mod direct sau indirect, o participaţie calificată de cel puţin 25% din drepturile de vot ale respectivului operator;

b) una sau mai multe persoane fizice sau juridice din Federaţia Rusă deţin, în mod direct sau indirect, majoritatea drepturilor de vot în adunarea generală a operatorului respectiv;

c) în calitate de asociat sau acţionar al respectivului operator, o persoană fizică sau juridică din Federaţia Rusă dispune de puterea de a numi sau de a revoca majoritatea membrilor organelor de administraţie, conducere sau supraveghere;

d) una sau mai multe persoane fizice sau juridice din Federaţia Rusă îl finanţează, prin orice mod, direct sau indirect, pe operator;

e) una sau mai multe persoane fizice sau juridice din Federaţia Rusă promite, oferă sau dă bani sau alte foloase operatorului.

(4) Prezenta lege se aplică tuturor reţelelor şi sistemelor informatice care gestionează informaţii clasificate, deţinute de persoane juridice de drept public şi privat aflate pe teritoriul României, cu excepţia celor deţinute de autorităţile şi instituţiile publice prevăzute la alin. (6).

(5) Scopul prezentei legi este prevenirea şi contracararea ameninţărilor cibernetice derulate de actori statali şi nonstatali asupra infrastructurilor de comunicaţii şi tehnologia informaţiei cu valenţe critice pentru securitatea naţională.

(6) Prevederile prezentei legi nu se aplică autorităţilor şi instituţiilor publice cu atribuţii proprii în domeniul securităţii naţionale, în domeniul securităţii cibernetice, apărării naţionale şi ordinii publice.

Articolul 2

(1) Se interzic achiziţionarea, instalarea şi utilizarea de către autorităţile şi instituţiile publice a următoarelor produse şi servicii software, care îndeplinesc criteriile prevăzute la art. 1:

a) produse privind securitatea dispozitivului, securitatea punctului final;

b) aplicaţii şi programe software de detecţie antivirus;

c) aplicaţii şi programe software antimalware, firewall pentru aplicaţii web, firewall as a service;

d) reţele virtuale private;

e) sisteme de detecţie şi răspuns pentru Endpointuri.

(2) În aplicarea prevederilor art. 1 alin. (1), prin ordin al ministrului cercetării, inovării şi digitalizării se adoptă, în termen de 15 zile de la intrarea în vigoare a prezentei legi, criteriile de stabilire şi lista nominală privind produsele, serviciile şi entităţile producătoare şi/sau furnizoare interzise, care va fi actualizată semestrial sau ori de câte ori este nevoie, după caz.

(3) În aplicarea prevederilor art. 1 alin. (3) şi ale alin. (2), Ministerul Cercetării, Inovării şi Digitalizării, denumit în continuare MCID, este obligat să solicite puncte de vedere Ministerului Finanţelor, Ministerului Economiei, Serviciului Român de Informaţii şi Serviciului de Informaţii Externe în vederea fundamentării conţinutului şi a limitelor de aplicare a ordinului prevăzut la alin. (2).

(4) În aplicarea prevederilor alin. (2), MCID identifică produsele şi serviciile prevăzute la alin. (1), la propunerea Autorităţii pentru Digitalizarea României, a Directoratului Naţional de Securitate Cibernetică, a Serviciului Român de Informaţii, a Ministerului Apărării Naţionale, a Ministerului Afacerilor Interne, a Serviciului de Telecomunicaţii Speciale, a Serviciului de Protecţie şi Pază şi a Oficiului Registrului Naţional al Informaţiilor Secrete de Stat.

Articolul 3

Interdicţia prevăzută la art. 2 se aplică până la data de 31 decembrie 2026.

Articolul 4

(1) Constituie contravenţie următoarele fapte săvârşite de către autorităţile şi instituţiile publice:

a) achiziţionarea, instalarea şi utilizarea produselor şi serviciilor prevăzute la art. 2 alin. (1);

b) neîndeplinirea obligaţiei privind dezinstalarea, respectiv deconectarea produselor şi serviciilor prevăzute la art. 2 alin. (1) în termenul prevăzut la art. 5 alin. (2).

(2) Prin derogare de la prevederile art. 8 alin. (2) lit. a) din Ordonanţa Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, contravenţiile prevăzute la alin. (1) se sancţionează cu amendă de la 50.000 de lei la 200.000 de lei.

(3) Constatarea contravenţiilor şi aplicarea sancţiunilor se fac de către personal anume desemnat din cadrul MCID şi al Autorităţii pentru Digitalizarea României, prin ordin al ministrului cercetării, inovării şi digitalizării.

(4) În măsură în care prezenta lege nu dispune altfel, contravenţiilor prevăzute la alin. (1) le sunt aplicabile dispoziţiile Ordonanţei Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.

Articolul 5

(1) În aplicarea prevederilor art. 2 alin. (1), în termen de 15 zile de la data intrării în vigoare a prezentei legi, prin ordin al ministrului cercetării, inovării şi digitalizării se stabilesc procedura, metodele şi instrumentele încetării utilizării produselor şi serviciilor prevăzute la art. 2 alin. (1).

(2) În termen de 60 de zile de la intrarea în vigoare a ordinului prevăzut la alin. (1), toate produsele şi serviciile de tipul celor prevăzute la art. 2 alin. (1) sunt deconectate, respectiv dezinstalate de la reţelele şi sistemele informatice ale autorităţilor şi instituţiilor publice.

(3) În termen de 30 de zile de la data intrării în vigoare a ordinului prevăzut la alin. (1), autorităţile şi instituţiile publice demarează procedura de achiziţionare a produselor şi serviciilor software compatibile şi legale, cu respectarea legislaţiei privind achiziţiile publice şi a termenului prevăzut la alin. (2), pentru asigurarea continuităţii activităţii, cu încadrarea în bugetul autorităţilor şi instituţiilor publice.

Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constituţia României, republicată.

p. PREŞEDINTELE CAMEREI DEPUTAŢILOR,

VASILE-DANIEL SUCIU

p. PREŞEDINTELE SENATULUI,

ALINA-ŞTEFANIA GORGHIU

Bucureşti, 13 decembrie 2022.

Nr. 354.