România a adoptat o lege ce interzice achiziționarea și utilizarea, de către autoritățile publice, a produselor și serviciilor software de securitate cibernetică din Federația Rusă

Din 14 decembrie 2022, în România a intrat în vigoare Legea privind protecția sistemelor informatice ale autorităților și instituțiilor publice în contextul invaziei declanșate de Federația Rusă împotriva Ucrainei. Proiectul de lege a fost inițiat de Ministerul Cercetării, Inovării și Digitalizării (MCID) și a fost votat de către Parlament la data de 23.11.2022.

Legea stabilește cadrul juridic și instituțional pentru interzicerea achiziționării și utilizării de către autoritățile și instituțiile publice a produselor și serviciilor software de securitate cibernetică și securitate a sistemelor informatice provenind direct sau indirect:

• din Federația Rusă
• de la un operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federația Rusă
• de la un operator economic al cărui capital este constituit cu participație provenind în mod direct sau prin firme interpuse din Federația Rusă ori din ale cărui organe de administrare fac parte persoane din Federația Rusă

Legea face referire la toate rețelele și sistemele informatice care gestionează informații clasificate, deținute de persoane juridice de drept public și privat aflate pe teritoriul României, cu excepția celor deținute de autoritățile și instituțiile publice cu atribuții proprii în domeniul securității naționale, în domeniul securității cibernetice, apărării naționale și ordinii publice.

Securitatea produselor hardware și software și nivelul de încredere în acestea sunt vitale pentru asigurarea rezilienței rețelelor și sistemelor informatice la nivel național.

În contextul războiului declanșat de Rusia în Ucraina și al atacurilor cibernetice adiacente acestui conflict, atacuri care au avut ca țintă și au afectat inclusiv instituții, organizații sau utilizatori din România, este necesară asigurarea securității lanțului de furnizori prin stabilirea unor criterii de încredere pentru furnizorii de echipamente și servicii.

Directoratul Național de Securitate Cibernetică (DNSC), alături de Autoritatea pentru Digitalizarea României (ADR), Serviciul Român de Informații (SRI), Ministerul Apărării Naționale (MApN), Ministerul Afacerilor Interne (MAI), Serviciul de Telecomunicații Speciale (STS), Serviciul de Protecție și Pază (SPP) și de Oficiul Registrului Național al Informațiilor Secrete de Stat (ORNISS), are un rol activ în identificarea produselor și serviciilor care fac obiectul acestei legi.

Legea are impact direct doar asupra unor categorii de organizații, dar Directoratul recomandă ca toți utilizatorii și factorii de decizie din România să analizeze cu atenție soluțiile de securitate pe care le folosesc, în contextul conflictului hibrid dintre Rusia și Ucraina.