Parlamentul României adoptă prezenta lege. +
Articolul 1(1)Prezenta lege stabilește cadrul juridic și instituțional general și necesar în vederea interzicerii achiziționării și utilizării de către autoritățile și instituțiile publice, de la nivel central și local, a produselor și serviciilor software de tip antivirus provenind direct sau indirect din Federația Rusă sau de la un operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federația Rusă sau al cărei capital este constituit cu participație provenind în mod direct sau prin firme interpuse din Federația Rusă ori din ale cărui organe de administrare fac parte persoane din Federația Rusă.(2)În înțelesul prezentei legi, prin autoritate publică se înțelege orice organ de stat sau al unității administrativ-teritoriale care acționează în regim de putere publică pentru satisfacerea unui interes public, iar prin instituție publică se înțelege orice structură funcțională care acționează în regim de putere publică și/sau prestează servicii publice și care este finanțată din venituri bugetare și/sau din venituri proprii, în condițiile legii finanțelor publice.(3)Este considerat operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federația Rusă acela care se află în cel puțin una dintre următoarele situații:a)una sau mai multe persoane fizice sau juridice din Federația Rusă dețin, individual sau împreună, în mod direct sau indirect, o participație calificată de cel puțin 25% din drepturile de vot ale respectivului operator; … b)una sau mai multe persoane fizice sau juridice din Federația Rusă dețin, în mod direct sau indirect, majoritatea drepturilor de vot în adunarea generală a operatorului respectiv; … c)în calitate de asociat sau acționar al respectivului operator, o persoană fizică sau juridică din Federația Rusă dispune de puterea de a numi sau de a revoca majoritatea membrilor organelor de administrație, conducere sau supraveghere; … d)una sau mai multe persoane fizice sau juridice din Federația Rusă îl finanțează, prin orice mod, direct sau indirect, pe operator; … e)una sau mai multe persoane fizice sau juridice din Federația Rusă promite, oferă sau dă bani sau alte foloase operatorului. … (4)Prezenta lege se aplică tuturor rețelelor și sistemelor informatice care gestionează informații clasificate, deținute de persoane juridice de drept public și privat aflate pe teritoriul României, cu excepția celor deținute de autoritățile și instituțiile publice prevăzute la alin. (6).(5)Scopul prezentei legi este prevenirea și contracararea amenințărilor cibernetice derulate de actori statali și nonstatali asupra infrastructurilor de comunicații și tehnologia informației cu valențe critice pentru securitatea națională.(6)Prevederile prezentei legi nu se aplică autorităților și instituțiilor publice cu atribuții proprii în domeniul securității naționale, în domeniul securității cibernetice, apărării naționale și ordinii publice. +
Articolul 2(1)Se interzic achiziționarea, instalarea și utilizarea de către autoritățile și instituțiile publice a următoarelor produse și servicii software, care îndeplinesc criteriile prevăzute la art. 1:a)produse privind securitatea dispozitivului, securitatea punctului final; … b)aplicații și programe software de detecție antivirus; … c)aplicații și programe software antimalware, firewall pentru aplicații web, firewall as a service; … d)rețele virtuale private; … e)sisteme de detecție și răspuns pentru Endpointuri. … (2)În aplicarea prevederilor art. 1 alin. (1), prin ordin al ministrului cercetării, inovării și digitalizării se adoptă, în termen de 15 zile de la intrarea în vigoare a prezentei legi, criteriile de stabilire și lista nominală privind produsele, serviciile și entitățile producătoare și/sau furnizoare interzise, care va fi actualizată semestrial sau ori de câte ori este nevoie, după caz.(3)În aplicarea prevederilor art. 1 alin. (3) și ale alin. (2), Ministerul Cercetării, Inovării și Digitalizării, denumit în continuare MCID, este obligat să solicite puncte de vedere Ministerului Finanțelor, Ministerului Economiei, Serviciului Român de Informații și Serviciului de Informații Externe în vederea fundamentării conținutului și a limitelor de aplicare a ordinului prevăzut la alin. (2).(4)În aplicarea prevederilor alin. (2), MCID identifică produsele și serviciile prevăzute la alin. (1), la propunerea Autorității pentru Digitalizarea României, a Directoratului Național de Securitate Cibernetică, a Serviciului Român de Informații, a Ministerului Apărării Naționale, a Ministerului Afacerilor Interne, a Serviciului de Telecomunicații Speciale, a Serviciului de Protecție și Pază și a Oficiului Registrului Național al Informațiilor Secrete de Stat. +
Articolul 3Interdicția prevăzută la art. 2 se aplică până la data de 31 decembrie 2026. +
Articolul 4(1)Constituie contravenție următoarele fapte săvârșite de către autoritățile și instituțiile publice:a)achiziționarea, instalarea și utilizarea produselor și serviciilor prevăzute la art. 2 alin. (1); … b)neîndeplinirea obligației privind dezinstalarea, respectiv deconectarea produselor și serviciilor prevăzute la art. 2 alin. (1) în termenul prevăzut la art. 5 alin. (2). … (2)Prin derogare de la prevederile art. 8 alin. (2) lit. a) din Ordonanța Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, contravențiile prevăzute la alin. (1) se sancționează cu amendă de la 50.000 de lei la 200.000 de lei.(3)Constatarea contravențiilor și aplicarea sancțiunilor se fac de către personal anume desemnat din cadrul MCID și al Autorității pentru Digitalizarea României, prin ordin al ministrului cercetării, inovării și digitalizării.(4)În măsura în care prezenta lege nu dispune altfel, contravențiilor prevăzute la alin. (1) le sunt aplicabile dispozițiile Ordonanței Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare. +
Articolul 5(1)În aplicarea prevederilor art. 2 alin. (1), în termen de 15 zile de la data intrării în vigoare a prezentei legi, prin ordin al ministrului cercetării, inovării și digitalizării se stabilesc procedura, metodele și instrumentele încetării utilizării produselor și serviciilor prevăzute la art. 2 alin. (1).(2)În termen de 60 de zile de la intrarea în vigoare a ordinului prevăzut la alin. (1), toate produsele și serviciile de tipul celor prevăzute la art. 2 alin. (1) sunt deconectate, respectiv dezinstalate de la rețelele și sistemele informatice ale autorităților și instituțiilor publice.(3)În termen de 30 de zile de la data intrării în vigoare a ordinului prevăzut la alin. (1), autoritățile și instituțiile publice demarează procedura de achiziționare a produselor și serviciilor software compatibile și legale, cu respectarea legislației privind achizițiile publice și a termenului prevăzut la alin. (2), pentru asigurarea continuității activității, cu încadrarea în bugetul autorităților și instituțiilor publice.Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 și ale art. 76 alin. (2) din Constituția României, republicată.
p. PREȘEDINTELE CAMEREI DEPUTAȚILOR,
VASILE-DANIEL SUCIU
p. PREȘEDINTELE SENATULUI,
ALINA-ȘTEFANIA GORGHIUBucurești, 13 decembrie 2022.Nr. 354.–-
