Instituţiile publice trebuie să dezinstaleze antiviruşii din Rusia până în martie 2023. Ce amenzi sunt prevăzute în noua lege

Prin Legea 354/2022 se interzice achiziția și utilizarea produselor și serviciilor software de tip antivirus care provin direct sau indirect din Rusia, de la un operator economic aflat sub control direct sau indirect al unei persoane fizice sau juridice din acest stat, al cărei capital este constituit cu participație (directă, indirectă sau prin firme interpuse) sau din ale cărui organe de administrare fac parte persoane din Rusia. În caz contrar, legea prevede amenzi ce pot ajunge până la 200.000 de lei.

„Prezența software-urilor rusești de tip antivirus reprezintă o vulnerabilitate la adresa securității cibernetice a autorităților și instituțiilor românești, din cauză că aceste programe acaparează funcții importante ale rețelelor și sistemelor informatice, creând relații de interdependență. În contextul în care Federația Rusă utilizează inclusiv atacuri de tip cibernetic la adresa statelor occidentale și își folosește companiile naționale și cetățenii ruși, prin diverse metode, în războiul asupra Ucrainei, încălcând toate normele de drept internațional în materie, România nu poate să-și asume prezența unor produse și servicii IT rusești în infrastructura cibernetică națională”, se arăta în expunerea de motive a legii în faza de proiect.

Obligațiile de a nu folosi și de a dezinstala produsele și serviciile software cu „origini” rusești vizează:

– autoritățiile publice (orice organ de stat sau al unității administrativ-teritoriale care acționează în regim de putere publică pentru satisfacerea unui interes public);

– instituțiile publice (orice structură funcțională care acționează în regim de putere publică și/sau prestează servicii publice și care este finanțată din venituri bugetare și/sau venituri proprii);

– toate rețelele și sistemele care gestionează informații clasificate, deținute de persoane juridice de drept public și privat aflate pe teritoriul României.

Citeşte şi: Amenzi de până la 60.000 de lei pentru românii care nu respectă regulile pentru utilizarea ajutorului pentru facturi

Această ultimă aplicare a legii a fost introdusă chiar de către ministrul Cercetării, Inovării și Digitalizării (MCID) înainte de adoptarea de către deputați. Acesta își motiva amendamentul pe faptul că are menirea de a conferi o protecție completă și corectă a informațiilor clasificate, inclusiv a celor vehiculate de persoane juridice de drept privat prin intermediul INFOSEC.

„Avem în vedere acele rețele și sisteme informatice ale posesorilor de autorizații de securitate industrială, aviz de securitate industrială sau certificat de securitate industrială care pot fi persoane juridice de drept privat și care, deși îndeplinesc condițiile de acces și autorizare prevăzute de HG nr. 585/2002, dețin licențe de antiviruși rusești [și] care, în prezent, nu pot fi oprite să-și apere rețelele și sistemele informatice cu softuri de antivirus din Federația Rusă„, se arată în expunerea de motive a amendamentului, potrivit Avocatnet.ro.

Interdicția valabilă până la data de 31 decembrie 2026 vizează:

– produsele și serviciile privind securitatea dispozitivului (securitatea punctului final);

– aplicațiile și programele software de detecție antivirus, anti-malware, firewall pentru aplicații web;

– rețelele virtuale private;

– sistemele de detecție și răspuns pentru endpoint-uri.

Amenzile ce vor putea fi aplicate pentru nerespectarea acestei interdicții vor fi cuprinse între 50.000 și 200.000 lei.

Prevederile legii nu se vor aplica autorităților publice cu atribuții în domeniul securității naționale, apărării naționale și ordinii publice, care au propriile reguli de protecție a securității cibernetice, cum ar fi Directoratului Național de Securitate Cibernetică, Serviciului Român de Informații și Serviciului de Telecomunicații Speciale.

MCID va trebui, în termen de 15 zile de la data de 17 decembrie când legea va intra în vigoare, să stabilească lista produselor, serviciilor și entităților producătoare și/sau furnizoare interzise, listă care va fi actualizată semestrial sau ori de câte ori este nevoie.

După ce proiectul de ordin MCID va fi oficializat, autoritățile și instituțiile publice vor trebui, în decurs a 30 de zile, să demareze procedura de achiziție a unor alte tipuri de soluții care respectă limitele acestei legi, iar în decursul a 60 de zile de la oficializarea ordinului amintit, toate produsele și serviciile de tipul celor menționate anterior vor trebui dezinstalate de la rețelele și sistemele informatice, chiar de către  instituțiile publice și companiile private care le-au instalat.

Citeşte şi: România, tot mai datoare! Câte miliarde de euro are de dat statul român creditorilor străini