În temeiul art. 5 alin. (1), lit. e) din Hotărârea Guvernului nr. 371/2021 privind organizarea și funcționarea Ministerului Cercetării, Inovării și Digitalizării, vă comunicăm că, la data de 17 decembrie 2022, a intrat în vigoare Legea nr. 354/2022 privind protecţia sistemelor informatice ale autorităţilor şi instituţiilor publice în contextul invaziei declanşate de Federaţia Rusă împotriva Ucrainei, publicată în Monitorul Oficial, Partea I nr. 1200 din 14 decembrie 2022.

            Scopul prezentei legi este prevenirea şi contracararea ameninţărilor cibernetice derulate de actori statali şi nonstatali asupra infrastructurilor de comunicaţii şi tehnologia informaţiei cu valenţe critice pentru securitatea naţională.

            Legea interzice achiziţionarea şi utilizarea de către autorităţile şi instituţiile publice, de la nivel central şi local, a produselor şi serviciilor software de tip antivirus provenind direct sau indirect din Federaţia Rusă sau de la un operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federaţia Rusă sau al cărei capital este constituit cu participaţie provenind în mod direct sau prin firme interpuse din Federaţia Rusă ori din ale cărui organe de administrare fac parte persoane din Federaţia Rusă.

            Se interzic achiziţionarea, instalarea şi utilizarea de către autorităţile şi instituţiile publice a următoarelor  tipuri de produse şi servicii software:

a)      produse privind securitatea dispozitivului, securitatea punctului final;

b)      aplicaţii şi programe software de detecţie antivirus;

c)      aplicaţii şi programe software antimalware, firewall pentru aplicaţii web, firewall as a service;

d)      reţele virtuale private;

e)      sisteme de detecţie şi răspuns pentru Endpointuri.

În termen de 15 zile de la intrarea în vigoare a Legii, Ministerul va emite un ordin de ministru privind criteriile de stabilire şi lista nominală privind produsele, serviciile şi entităţile producătoare şi/sau furnizoare interzise.

           În termen de 15 zile de la intrarea în vigoare a Legii, Ministerul va emite un ordin de ministru prin care stabilește procedura, metodele şi instrumentele încetării utilizării produselor şi serviciilor interzise de lege.

            În termen de 60 de zile de la intrarea în vigoare a ordinului prevăzut în paragraful anterior, toate produsele şi serviciile de tipul celor prevăzute de art. 2 alin. (1) din Lege sunt deconectate, respectiv dezinstalate de la reţelele şi sistemele informatice ale autorităţilor şi instituţiilor publice. Obligația revine autorităţilor şi instituţiilor publice care au în proprietate și administrare rețelele și sistemele informatice  care utilizează bunurile și serviciile software interzise.

            În termen de 30 de zile de la data intrării în vigoare a ordinului care reglementează procedura, metodele și instrumentele de deconectare, autorităţile şi instituţiile publice demarează procedura de achiziţionare a produselor şi serviciilor software compatibile şi legale, cu respectarea legislaţiei privind achiziţiile publice, pentru asigurarea continuităţii activităţii, cu încadrarea în bugetul autorităţilor şi instituţiilor publice.

            Având în vedere că legea este de directă și imediată aplicare, până la emiterea normelor metodologice, Ministerul Cercetării, Inovării și Digitalizării recomandă tuturor autorităților și instituțiilor publice vizate următoarele:

1. Să identifice, de urgență, dacă produsele și serviciile software pe care le utilizează fac obiectul interdicției prevăzute de art. 1 alin. (1) și (3) coroborat cu art. 2 alin. (1) din Legea nr. 354/2022.
2. Să demareze, de urgență, procedura de achiziții publice, potrivit prevederilor legale, care să nu facă obiectul interdicției prevăzute de Legea nr. 354/2022, pentru înlocuirea produselor identificate conform punctului 1 de mai sus.  Recomandăm ca, pe durata dezinstalării/ deconectării produselor și soluțiilor software interzise de lege, autoritățile și instituțiile publice să nu rămână fără protecție antivirus și să achiziționeze soluții de protecție temporară, până la finalizarea achiziției publice.
3. Să dezinstaleze/ deconecteze toate produsele și serviciile software identificate conform punctului 1 de mai sus, de îndată ce au instalat noile produse achiziționate conform punctului 2 de mai sus.
4. Să solicite asistență de specialitate, în caz de nevoie, Ministerului Cercetării, Inovării și Digitalizării și a Directoratului Național de Securitate Cibernetică.

            Pe această cale, Ministerul Cercetării, Inovării și Digitalizării își exprimă deplina încredere că reprezentanții autorităților și instituțiilor publice din România vor lua toate măsurile necesare prevenirii și combaterii amenințărilor cibernetice derulate de Federația Rusă asupra infrastructurilor de comunicaţii şi tehnologia informaţiei cu valenţe critice pentru securitatea naţională a României și buna funcționare a  administrației publice. În acest sens, recomandă, autorităților și instituțiilor publice să aibă o atitudine proactivă și să ia toate măsurile necesare dezinstalării/ deconectării produselor și serviciilor software provenite din Federația Rusă.