UPDATE: Până în aprilie, instituțiile publice și anumite firme trebuie să aibă o procedură pentru dezinstalarea aplicațiilor rusești. A apărut și lista cu numele lor

Mai exact, potrivit Ordinului Ministerului Cercetării nr. 20.281/2023, ce se aplică din 27 februarie, entitățile care sunt obligate de Legea 354/2022 să renunțe la utilizarea soluțiilor software cu origini în Rusia trebuie să elaboreze și să pună în aplicare, până pe 28 aprilie 2023, o procedură internă de încetare a utilizării, respectiv de deconectare/ dezinstalare a produselor și serviciilor software interzise.

În plus, entitățile trebuie să elaboreze un plan propriu de înlocuire a produselor și serviciilor software interzise de lege cu unele legale și compatibile din punct de vedere tehnic și operațional, în acord cu necesitățile fiecărei entități.

Pentru asta, entitățile trebuie să respecte cumulativ cel puțin următoarele obligații:

• perioada de tranziție între produsele și serviciile software interzise și cele legale și compatibile să fie cât mai scurtă posibil, astfel încât să nu se compromită buna funcționare a rețelelor și sistemelor informatice;
• produsele și serviciile software achiziționate să fie instalate în mediul de test, înainte de dezinstalarea/ decuplarea celor interzise de Lege;
• să se asigure prevenirea și combaterea atacurilor cibernetice pe perioada de tranziție, luând în calcul toate posibilitățile disponibile în piață.

Entitățile trebuie să demareze procedura de achiziție a produselor și serviciilor software compatibile și legale până pe 29 martie 2023.

Prin Legea 354/2022 se interzice achiziția și utilizarea produselor și serviciilor software de tip antivirus care provin direct sau indirect din Rusia, de la un operator economic aflat sub control direct sau indirect al unei persoane fizice sau juridice din acest stat, al cărei capital este constituit cu participație (directă, indirectă sau prin firme interpuse) sau din ale cărui organe de administrare fac parte persoane din Rusia.

"Prezența software-urilor rusești de tip antivirus reprezintă o vulnerabilitate la adresa securității cibernetice a autorităților și instituțiilor românești, din cauză că aceste programe acaparează funcții importante ale rețelelor și sistemelor informatice, creând relații de interdependență. În contextul în care Federația Rusă utilizează inclusiv atacuri de tip cibernetic la adresa statelor occidentale și își folosește companiile naționale și cetățenii ruși, prin diverse metode, în războiul asupra Ucrainei, încălcând toate normele de drept internațional în materie, România nu poate să-și asume prezența unor produse și servicii IT rusești în infrastructura cibernetică națională", se arăta în expunerea de motive a legii în faza de proiect.

Obligațiile de a nu folosi și de a dezinstala produsele și serviciile software cu "origini" rusești vizează:

• autoritățiile publice (orice organ de stat sau al unității administrativ-teritoriale care acționează în regim de putere publică pentru satisfacerea unui interes public);
• instituțiile publice (orice structură funcțională care acționează în regim de putere publică și/sau prestează servicii publice și care este finanțată din venituri bugetare și/sau venituri proprii);
• toate rețelele și sistemele care gestionează informații clasificate, deținute de persoane juridice de drept public și privat aflate pe teritoriul României.

Acest ultim caz de aplicare a legii a fost introdus chiar de către ministrul Cercetării, Inovării și Digitalizării (MCID) înainte de adoptarea de către deputați. Acesta își motiva amendamentul prin faptul că are menirea de a conferi o protecție completă și corectă a informațiilor clasificate, inclusiv a celor vehiculate de persoane juridice de drept privat prin intermediul INFOSEC: "Avem în vedere acele rețele și sisteme informatice ale posesorilor de autorizații de securitate industrială, aviz de securitate industrială sau certificat de securitate industrială care pot fi persoane juridice de drept privat și care, deși îndeplinesc condițiile de acces și autorizare prevăzute de HG nr. 585/2002, dețin licențe de antiviruși rusești [și] (...) care, în prezent, nu pot fi oprite să-și apere rețelele și sistemele informatice cu softuri de antivirus din Federația Rusă".

Interdicția valabilă până la data de 31 decembrie 2026 vizează:

• produsele și serviciile privind securitatea dispozitivului (securitatea punctului final);
• aplicațiile și programele software de detecție antivirus, anti-malware, firewall pentru aplicații web;
• rețelele virtuale private;
• sistemele de detecție și răspuns pentru endpoint-uri.

Amenzile ce vor putea fi aplicate pentru nerespectarea acestei interdicții sunt cuprinse între 50.000 și 200.000 lei.

Ce programe vor trebui, de fapt, dezinstalate

Ministerul Cercetării a stabilit recent, prin Ordinul 20.279/2023, și lista nominală a produselor software ce vor trebui dezinstalate curând. Mai exact, cele mai cunoscute dintre acestea sunt:

• XSIGNAL;
• Metascan;
• Dr. Web;
• Kaspersky Security;
• RPA RusBItech;
• ViPNet.

Întreaga listă a producătorilor și a denumirilor aplicațiilor poate fi descărcată de la finalul articolului.

Prevederile legii nu se aplică autorităților publice cu atribuții în domeniul securității naționale, apărării naționale și ordinii publice, care au propriile reguli de protecție a securității cibernetice, cum ar fi Directoratul Național de Securitate Cibernetică, Serviciul Român de Informații și Serviciul de Telecomunicații Speciale.