Notă …
Aprobată prin ORDINUL nr. 20.281 din 21 februarie 2023, publicat în Monitorul Oficial al României, Partea I, nr. 167 din 27 februarie 2023. +
Articolul 1(1)Prezenta procedură se aplică tuturor autorităților și instituțiilor publice de la nivel central și local, precum și persoanelor fizice și juridice care dețin rețele și sisteme informatice prin care se gestionează informații clasificate, denumite în continuare entități.(2)Prezenta procedură nu este obligatorie pentru autoritățile și instituțiile publice cu atribuții proprii în domeniul securității naționale, în domeniul securității cibernetice, apărării naționale și ordinii publice, cu excepția situației în care conducătorul autorității sau instituției respective decide altfel.(3)În vederea aplicării prezentei proceduri, autoritățile și instituțiile publice prevăzute la alin. (2) au în vedere să nu le fie afectate următoarele:a)activitatea de cercetare-dezvoltare și inovare; … b)activitatea de informații și contrainformații; … c)misiunile operative și tactice; … d)personalul, metodele, mijloacele sau procedurile specifice exercitării atribuțiilor; … e)respectarea regimului juridic al informațiilor clasificate; … f)capacitățile de răspuns la amenințări, vulnerabilități sau riscuri la adresa securității naționale a României. … +
Articolul 2(1)Entitățile analizează și constată dacă produsele și serviciile software aflate în proprietatea, administrarea sau folosința acestora sunt de tipul celor prevăzute la art. 2 alin. (1) din Legea nr. 354/2022 privind protecția sistemelor informatice ale autorităților și instituțiilor publice în contextul invaziei declanșate de Federația Rusă împotriva Ucrainei, denumită în continuare Lege, și dacă acestea provin de la persoanele prevăzute la art. 1 alin. (1) și (3) din Lege.(2)Entitățile stabilesc necesitățile de înlocuire a produselor și serviciilor software de tipul celor prevăzute la art. 2 alin. (1) din Lege și pe care le au în proprietate, administrare sau folosință. +
Articolul 3Entitățile constată încetarea contractelor încheiate cu operatorii economici. +
Articolul 4(1)Entitățile elaborează o procedură internă de încetare a utilizării, respectiv de deconectare/dezinstalare a produselor și serviciilor software interzise de Lege și o pun în aplicare în termen de 60 de zile de la intrarea în vigoare a prezentului ordin.(2)Entitățile elaborează un plan propriu de înlocuire a produselor și serviciilor software interzise de Lege cu unele legale și compatibile din punct de vedere tehnic și operațional, în acord cu necesitățile fiecărei entități.(3)În vederea implementării prevederilor alin. (2), entitățile trebuie să respecte cumulativ cel puțin următoarele obligații:a)perioada de tranziție între produsele și serviciile software interzise și cele legale și compatibile să fie cât mai scurtă posibil, astfel încât să nu se compromită buna funcționare a rețelelor și sistemelor informatice; … b)produsele și serviciile software achiziționate să fie instalate în mediul de test, înainte de dezinstalarea/decuplarea celor interzise de Lege; … c)să se asigure prevenirea și combaterea atacurilor cibernetice pe perioada de tranziție, luând în calcul toate posibilitățile disponibile în piață. … +
Articolul 5Instalarea produselor și serviciilor software legale și compatibile se realizează cu respectarea următorilor pași tehnici:1.se copiază local, pe sistemul informatic, fișierele necesare pentru instalarea produsului antivirus substituent, în funcție de tipul sistemului de operare. Fișierele de instalare se vor descărca de pe pagina oficială a producătorului, împreună cu manualul de instalare și utilizare a produsului; … 2.se izolează sistemul informatic de la orice sursă de internet, indiferent de mediul de comunicații (de exemplu, infraroșu, laser), inclusiv de la rețeaua internă/locală din care face parte sistemul informatic, pentru a nu interacționa cu alte dispozitive în timpul procesului de dezinstalare/instalare a produsului antivirus; … 3.pe toată durata activității de dezinstalare și instalare a produsului antivirus nu se vor efectua alte operațiuni la nivelul sistemului informatic, precum conectarea altor dispozitive de stocare, instalarea altor programe, deschiderea fișierelor stocate pe sistem sau instalarea și pornirea altor aplicații; … 4.se urmează procedura standard de dezinstalare a antivirusului existent la nivelul sistemului informatic, în funcție de sistemul de operare și tipul produsului antivirus; … 5.la finalizarea procesului de dezinstalare se repornește sistemul informatic; … 6.după repornire se instalează produsul antivirus substituent conform pașilor recomandați de către producător și se efectuează o primă scanare rapidă a sistemului informatic pentru validarea funcționării corespunzătoare a noului antivirus și pentru identificarea posibilelor fișiere infectate la nivelul sistemului; … 7.în cazul în care nu sunt detectate fișiere infectate se continuă procesul cu pasul 9; … 8.în situația în care au fost identificate fișiere suspecte sau infectate, acestea se transmit personalului specializat pentru analiză suplimentară. Până la stabilirea unui verdict, sistemul informatic nu va fi reconectat la rețeaua din care face parte și nu se va continua procesul. În funcție de tipul de malware și capabilitățile acestuia, se procedează la ștergerea fișierelor infectate sau, după caz, la reinstalarea sistemului de operare și se revine la pasul 6; … 9.se reconectează sistemul informatic la rețeaua din care face parte sau la o sursă cu conexiune la internet, protejată, de preferat, cel puțin cu o soluție de tip firewall; … 10.se actualizează semnăturile din baza de date a produsului antivirus și se scanează complet sistemul informatic pentru detecția eventualelor fișiere infectate. … +
Articolul 6(1)În termen de 30 de zile de la data intrării în vigoare a ordinului de aprobare a prezentei proceduri, entitățile demarează procedura de achiziție a produselor și serviciilor software compatibile și legale, cu respectarea legislației privind achizițiile publice, pentru asigurarea continuității activității, cu încadrarea în bugetul propriu.(2)Documentația de atribuire trebuie să cuprindă elemente suficiente și necesare care să excludă posibilitatea achiziționării produselor și serviciilor software interzise de Lege.(3)În cadrul documentației de atribuire pentru achiziția de produse și servicii de tipul celor prevăzute la art. 2 alin. (1) din Lege, entitățile sunt obligate să prevadă excluderea de la procedura de achiziție a persoanelor prevăzute de art. 1 alin. (1) și (3) din Lege, respectiv:a)operatorilor economici aflați sub controlul direct sau indirect al unei persoane fizice sau juridice din Federația Rusă; … b)operatorilor al căror capital este constituit cu participație provenind în mod direct sau prin firme interpuse din Federația Rusă; … c)operatorilor economici din ale căror organe de administrare fac parte persoane din Federația Rusă. … +
Articolul 7(1)Entitățile care au în proprietate, administrare sau folosință produse și servicii interzise de lege comunică Ministerului Cercetării, Inovării și Digitalizării, Autorității pentru Digitalizarea României, denumită în continuare ADR, și Directoratului Național de Securitate Cibernetică cel puțin următoarele:a)tipul de produs sau serviciu software interzis de Lege și aflat în proprietate, administrare sau folosință; … b)operatorul economic de la care a achiziționat produsul sau serviciul software; … c)operatorul economic care a fabricat produsul sau serviciul software; … d)data efectivă a dezinstalării/deconectării produselor și serviciilor software interzise prin Lege; … e)procedura internă prevăzută la art. 4 alin. (1); … f)planul de înlocuire prevăzut la art. 4 alin. (2); … g)solicitare expresă, dacă este cazul, pentru suport tehnic în ceea ce privește asigurarea securității cibernetice a rețelelor și sistemelor informatice conectate cu produsele și serviciile software interzise de Lege. … (2)Comunicarea prevăzută la alin. (1) se transmite prin completarea unui formular online administrat de ADR prin Sistemul electronic de achiziții publice, care conține întrebările prevăzute în anexa nr. 2 la ordin.
