CCTVplanner.io
    Conformitate15 min de citit

    Software de origine rusă în proiecte supraveghere video CCTV UE (2026): Conformitate, sancțiuni și revizuire achiziții

    O recenzie factuală, orientată pe achiziții pentru proiectanții CCTV, integratori și autoritățile contractante UE care pun aceeași întrebare recurentă în 2026: cum se aplică regulile de origine, sancțiuni și rezidență de date atunci când este implicat software-ul de proiectare CCTV? Acest articol rezumă cadrul disponibil public. Nu este sfat juridic — fiecare decizie concretă de achiziții ar trebui confirmată cu consultanță calificată în achiziții.

    Important: aceasta este o recenzie factuală, nu sfat juridic

    Sancțiunile, controalele la export și regulile de achiziții se schimbă frecvent și sunt interpretate diferit în statele membre UE. Nimic din acest articol nu trebuie tratat ca sfat juridic pentru nicio tranzacție specifică. Pentru determinări obligatorii, consultați un consultant juridic calificat în materie de achiziții în jurisdicția relevantă. Referințele la standardele, reglementările și jurisprudența disponibile public sunt corecte după cunoștințele noastre din mai 2026.

    Cuprins

    De ce contează această întrebare în achizițiile UE 2026

    Începând din 2022, UE a adoptat mai multe pachete succesive de sancțiuni care vizează Rusia, alături de evoluții paralele în regulile de achiziții publice ale statelor membre. Efectul cumulativ asupra achizițiilor de software a fost substanțial: autoritățile contractante care anterior nu întrebau despre originea software-ului includ acum în mod obișnuit cerințe de dezvăluire a originii în etapa de calificare, iar ofertele care nu pot dovedi originea fără sancțiuni sunt în mod obișnuit filtrate înainte de revizuirea comercială.

    Software-ul de proiectare CCTV se află într-o categorie particulară de risc deoarece artefactele pe care le produce — planuri de etaj, amplasare cameră, topologie de rețea, BOM — sunt sensibile atât din punct de vedere al securității, cât și operațional. Chiar și acolo unde un instrument de sancțiuni nu acoperă pe față un anumit instrument de planificare CCTV, autoritățile contractante tind să aplice o postură precaută, în special în apărare, administrație publică, infrastructură critică și proiecte mari de sănătate sau transport.

    Acest articol este explicația pe care am fi vrut să o existăm când clienții integratori au început să ne întrebe pentru prima dată despre originea software-ului în răspunsurile la licitații. Este descriptiv, nu prescriptiv — scopul său este de a expune cadrul într-un limbaj simplu, astfel încât un proiectant CCTV să poată pune avocatului său de achiziții întrebările potrivite, mai degrabă decât să înlocuiască acea conversație.

    Cadrul actual al sancțiunilor UE — rezumat de nivel înalt

    Măsurile restrictive UE împotriva Rusiei sunt implementate prin Regulamente ale Consiliului publicate în Jurnalul Oficial al Uniunii Europene și actualizate prin pachete succesive de modificări. Cadrul operează pe trei piloni largi relevanți pentru achizițiile de software.

    Trei piloni relevanți pentru software

    • Controale de export. Restricții privind furnizarea de bunuri, servicii, tehnologie și software specificate către Rusia, cu focus sectorial pe dual-use, apărare și anumite categorii industriale.
    • Sancțiuni financiare. Înghețarea activelor și interdicțiile de a face fonduri sau resurse economice disponibile persoanelor și entităților listate. Testul de „proprietate și control" este specific faptelor și se aplică chiar și acolo unde un furnizor nu este el însuși listat, ci este deținut sau controlat de o entitate listată.
    • Filtre pentru achizițiile publice. Prevederile din Regulamentul Consiliului (UE) 833/2014 (cu modificări) care interzic atribuirea contractelor publice anumitor persoane și entități ruse, transpuse și completate de legislația privind achizițiile statelor membre în moduri diferite.

    În plus față de cadrul la nivelul UE, statele membre precum Germania, Franța, Polonia, țările nordice și statele baltice au introdus propriul limbaj de achiziții publice cu criterii mai stricte. Rezultatul este că același vendor poate fi acceptabil într-o jurisdicție UE și filtrat în alta, chiar și atunci când niciun instrument nu îl numește explicit. Echipele de achiziții tind, prin urmare, să aplice limbajul cel mai strict al statelor membre ca reper intern.

    Partea SUA: NDAA §889 și ordinele executive ICTS

    Pe partea SUA, două instrumente sunt citate în mod obișnuit chiar și de ofițerii de achiziții UE ca repere informale. NDAA §889 (John S. McCain National Defense Authorization Act for Fiscal Year 2019) interzice agențiilor federale și antreprenorilor federali să cumpere sau să folosească echipamente de telecomunicații și supraveghere video acoperite de la anumiți producători chinezi numiți. Ordinele executive privind Tehnologia Informației și Comunicațiilor și Servicii (ICTS), în principal Ordinul Executiv 13873 și succesoarele, oferă Departamentului Comerțului din SUA o autoritate largă pentru a revizui tranzacțiile care implică adversari străini.

    Niciun instrument nu se aplică ca chestiune de drept unei achiziții UE tipice. Cu toate acestea, sunt folosite frecvent ca limbaj de șablon pentru achiziții. O autoritate contractantă din UE care elaborează o licitație CCTV în 2026 va cere de obicei furnizorului să declare că software-ul, găzduirea și personalul său nu ar fi excluse conform regulilor echivalente §889, chiar și atunci când §889 în sine este irelevant pentru contract. Furnizorii care nu pot face această declarație sunt într-un dezavantaj competitiv, indiferent de legalitatea de bază a ofertei lor.

    Impactul direct al achizițiilor asupra software-ului de proiectare CCTV

    Categoriile de mai jos sunt cele patru în care vedem că întrebările de origine software apar cel mai frecvent în proiectele CCTV UE 2026.

    Licitații din sectorul public

    Licitațiile guvernamentale, de apărare, asistență medicală și educație includ din ce în ce mai mult clauze explicite de dezvăluire a „originii software". Declanșatorul este de obicei una dintre prevederile de filtrare a achizițiilor discutate mai sus, aplicată prin transpunerea națională. Chiar și acolo unde pragul legal este discutabil, realitatea practică este că ofertele care nu pot dovedi o origine acceptabilă sunt filtrate la etapa de calificare. Proiectanții care răspund la licitațiile sectorului public în 2026 ar trebui să se aștepte să facă declarații afirmative de origine pentru fiecare unealtă software folosită în procesul de proiectare, nu doar pentru hardware-ul de supraveghere însuși.

    Contracte pentru infrastructură critică

    Achizițiile din energie, transport, bancare și utilități de apă sunt guvernate de NIS2 (Directiva (UE) 2022/2555) și de regulile sectoriale suprapuse. Deși NIS2 în sine este bazat pe risc, nu pe origine, evaluările de risc rezultate identifică în mod obișnuit originea lanțului de aprovizionare ca factor relevant, iar operatorii serviciilor esențiale au integrat acest lucru în cadrele lor de achiziții. Bara pentru dovezile originii software-ului în proiectele de infrastructură critică este semnificativ mai mare decât pentru achizițiile comerciale generale.

    Audituri de conformitate ale întreprinderilor private

    Întreprinderile mari cu propriile cadre ESG, lanț de aprovizionare sau risc cibernetic auditează în mod regulat furnizorii și sub-furnizorii lor. Chiar și când nu este implicată nicio licitație specifică, un integrator care folosește software a cărui origine nu poate fi dovedită se poate trezi îndepărtat dintr-o listă de furnizori preferați în timpul unei revizuiri anuale. Această dinamică s-a accelerat observabil în 2024 și 2025 și continuă în 2026.

    Angajamente transfrontaliere ale integratorilor

    Integratorii cu operațiuni atât în jurisdicții UE cât și non-UE se confruntă cu complexitate suplimentară deoarece standardele de achiziții diferă. Un instrument acceptabil pentru un proiect comercial privat într-o jurisdicție poate să nu treacă filtrul de achiziții pentru un proiect public într-o jurisdicție diferită. Mulți integratori au raționalizat acest lucru standardizând pe instrumente de origine UE pentru toate proiectele, simplificând răspunsul la orice licitație viitoare indiferent de unde aterizează.

    Cum verifică cumpărătorii originea software-ului

    Un ofițer de achiziții care rulează o verificare de origine are un set de instrumente destul de standard. Niciuna dintre aceste verificări nu dovedește individual originea — ele asamblează o imagine triangulată din informații publice.

    • Registrul WHOIS al domeniului furnizorului — țara registratorului, organizația înregistrată, ASN-ul serverului de nume.
    • Dezvăluirea de către furnizor a numelui entității legale, țării de înregistrare și codului fiscal — de obicei necesar la calificare.
    • Revizuirea furnizorului de găzduire — regiunea cloud unde infrastructura SaaS rulează fizic, dovedită printr-o atestare sau un acord de găzduire terță parte.
    • Documente corporative publice — registre ale beneficiarilor reali, structura companiei-mamă și orice referință încrucișată la lista de sancțiuni.
    • Atestare a lanțului de aprovizionare — o declarație scrisă din partea vendor-ului care descrie unde este software-ul inginerit, găzduit și susținut și care numește orice sub-procesatori.

    Pentru achiziții cu risc mai ridicat (apărare, infrastructură critică) evaluarea se poate extinde la proveniența codului sursă, testarea de securitate terță parte și o opinie juridică independentă. Costul marginal al evaluării de nivel superior este non-trivial, iar autoritățile contractante o comisionează tipic doar acolo unde valoarea sau sensibilitatea contractului o justifică.

    Aspectul transferului GDPR către țări terțe

    Articolele 44 până la 49 GDPR guvernează transferurile de date personale către țări din afara Spațiului Economic European. Regula implicită este că un astfel de transfer este interzis, cu excepția cazului în care se aplică una dintre garanțiile specificate: o decizie de adecvare a Comisiei Europene, un mecanism de transfer aprobat precum clauzele contractuale standard cu măsuri suplimentare adecvate sau o derogare pentru situații specifice.

    Curtea Europeană de Justiție în Schrems II (Cazul C-311/18, 2020) a clarificat că clauzele contractuale standard trebuie suplimentate cu o evaluare a impactului transferului care ia în considerare legile țării de destinație și dacă oferă o protecție esențial echivalentă. Rusia nu este pe lista de adecvare a Comisiei Europene, iar interpretarea predominantă este că atingerea unei protecții "esențial echivalente" pentru transferurile către Rusia este dificilă având în vedere peisajul juridic de acolo. Consecința practică este că orice instrument de proiectare CCTV care transmite date personale către servere din Rusia, sau către entități sub jurisdicția rusă, se confruntă cu o sarcină semnificativă de evaluare a impactului transferului pe care instrumentele găzduite în UE pur și simplu nu o au.

    Pentru proiectele CCTV acest lucru contează deoarece instrumentele de proiectare ating date personale mai des decât realizează oamenii — metadate de proiect, informații despre situl clientului final, adrese de email ale conturilor, conținutul tichetelor de suport. Un cumpărător care tratează GDPR-ul serios va dori asigurarea că niciunul dintre aceste date nu părăsește UE/SEE într-un mod care declanșează scrutinul Capitolului V.

    De ce există CCTVplanner — găzduit în UE, dezvoltat în UE

    CCTVplanner este operat de DEFENSAR, înregistrat în Polonia, cu frontend-ul găzduit în Polonia și backend-ul pe infrastructura cloud din regiunea UE. Aceasta este semnificația titlului „100% Proiectat și Găzduit în UE” — entitatea juridică, ingineria și găzduirea sunt toate în interiorul Uniunii Europene și nu există sub-procesatori din țări terțe în arhitectura implicită.

    Pentru echipele de achiziții, acest lucru se traduce într-un răspuns scurt, declarativ la întrebările de dezvăluire a originii descrise mai sus. Nu există niciun sub-procesator rus, chinez sau cu jurisdicție SUA nicăieri în calea datelor. Nu există sarcină de evaluare a impactului transferului conform GDPR Capitolul V deoarece datele nu părăsesc UE. Nu există descalificator echivalent §889 în lanțul de aprovizionare. Cu încredere din partea integratorilor din întreaga lume, arhitectura implicită UE este singura caracteristică care apare cel mai des în conversațiile de achiziții în 2026.

    Poziția UE într-un paragraf

    • Entitatea operatoare DEFENSAR înregistrată și rezidentă fiscal în Polonia.
    • Frontend găzduit în Polonia; backend pe cloud din regiunea UE (eu-west).
    • Fără sub-procesatori de date din țări terțe în arhitectura implicită.
    • Aliniat GDPR implicit — nu este necesară o evaluare separată a impactului transferului pentru cumpărătorii UE.

    Realitatea „Trecerii de la JVSG"

    O întrebare practică pe care o auzim de la integratori în 2026 este: „Suntem mulțumiți de instrumentul nostru actual de proiectare CCTV, dar echipa de achiziții a marcat dezvăluirea originii software-ului ca un risc. Cum arată o tranziție?” Răspunsul este în mare parte mecanic — exportați planul de etaj în DXF, importați-l în CCTVplanner, replasați camerele dintr-un catalog cu 65 000+ modele, potriviți pragurile DORI, re-rutați cablarea, exportați livrabilul PDF cu mai multe pagini. Am scris un playbook pas cu pas în ghidul de migrare linkat mai jos. Niciunul dintre pași nu este deosebit de greu. Cea mai grea parte este în general decizia de a face schimbarea, nu schimbarea în sine.

    Pentru trecerile motivate de achiziții în mod specific, sfatul nostru este să documentați tranziția în scris — evenimentul declanșator, alternativele evaluate, înlocuirea aleasă și data la care unealta existentă este retrasă din fluxul de lucru. Consultanții juridici de achiziții și auditorii ESG recompensează ambele decizii documentate, iar un jurnal de tranziție scris este un artefact comun în pachetele de due diligence.

    Disclaimer final

    Acest articol este o revizuire factuală bazată pe standardele, reglementările și jurisprudența disponibile public din mai 2026. Nu este sfat juridic și nu înlocuiește sfatul unui consultant juridic calificat în materie de achiziții în jurisdicția dumneavoastră. Sancțiunile, controalele la export și regulile de achiziții evoluează frecvent și sunt interpretate diferit în statele membre UE. Fiecare decizie concretă de achiziție ar trebui confirmată cu un consultant familiarizat cu autoritatea contractantă specifică, sectorul și jurisdicția în cauză.

    Nicio declarație din acest articol nu este intenționată ca o defăimare a vreunei țări, companii sau categorii de vendor. Intenția este de a descrie cadrul de achiziții așa cum îl experimentează cumpărătorii în 2026, astfel încât integratorii să poată pregăti răspunsuri la oferte și fluxuri de proiectare care supraviețuiesc etapei de calificare.

    Întrebări frecvente

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Articole conexe

    CCTVplanner vs JVSG

    Comparație alăturată inclusiv postura de rezidență de date.

    Trecerea de la JVSG: Ghid de migrare 2026

    Playbook pas cu pas pentru o schimbare condusă de achiziții.

    Cel mai bun software gratuit de proiectare CCTV (2026)

    Opțiuni de nivel gratuit verificate pentru origine UE și postură GDPR.

    Actualizare EN 62676-4:2025 OODPCVS (2026)

    Actualizare pe partea de standarde relevantă pentru limbajul achizițiilor UE.

    Calculator DORI

    Calculator bazat pe browser găzduit în UE, fără instalare necesară.

    Calculator EN 62676-4

    Recomandare de obiective conștientă de standarde, găzduită în UE.

    ← Înapoi la blog

    © 2026 CCTVplanner. Toate drepturile rezervate.