ZRP
Tuca Zbarcea & Asociatii

Cybersecurity: Romania transposes the NIS2 Directive. What’s next?

14 Februarie 2025   |   Kinstellar

On 31 December 2024, the Romanian government passed Government Emergency Ordinance no. 155/2024 (GEO 155/2024) transposing NIS2 into national legislation.

 
 
Directive (EU) 2022/2555 (NIS2) aims to further strengthen the cyber resilience of the EU by requiring entities in various sectors to dial up their cybersecurity efforts. NIS2 replaces the former NIS1 Directive (EU) 2016/1148, expands the range of entities falling under its provisions, and introduces stricter requirements for these entities.
 
On 31 December 2024, the Romanian government passed Government Emergency Ordinance no. 155/2024 (GEO 155/2024) transposing NIS2 into national legislation.
 
Whom does it concern?
 
NIS2 and GEO 155/2024 target entities across various industry sectors and categorises them into essential and important entities. Entities active in the following areas should check whether NIS2 and GEO 155/2024 apply to them:

 
(i)          essential entities: energy (electricity, district heating and cooling, oil, gas, hydrogen); transport (air, rail, water, road); banking; financial market infrastructures; health; drinking water; wastewater; and public administration and space. Even stricter obligations apply to digital infrastructure and ICT service management;
 
(ii)         important entities: postal and courier services; waste management; manufacture, production and distribution of chemicals; production, processing and distribution of food; manufacturing of medical devices; computer, electronic and optical products; electrical equipment; machinery and equipment; motor vehicles, trailers and semi-trailers and other transport equipment; digital providers of online marketplaces, search engines, and social networking.
 
Even though size thresholds are in place (NIS2 and GEO 155/2024 apply mainly to medium and large enterprises), an entity falling under these thresholds can still be subject to these legal provisions due to its critical role in a specific sector. Some obligations extend to suppliers of such entities, as NIS2 also aims to raise the cyber preparedness of supply chains.
 
What must be done?
 
If an entity has determined that it falls under NIS2 and GEO 155/2024, it must comply with all obligations and requirements laid down in this legislation for the respective type of entity.
 
GEO 155/2024 outlines several obligations for the entities subject to its provisions, including, but not limited to, the following:
 
→    Implement appropriate and proportional technical, operational, and organisational measures to manage security risks and minimise the impact of incidents on information systems, adhering also to sector-specific requirements;
→    Register with the Romanian National Cybersecurity Directorate (“DNSC”), the authority responsible for enforcing GEO 155/2024 provisions;
→    Conduct audits at regular intervals and communicate their results to the DNSC;
→    Ensure management undergoes cybersecurity training and that the individual responsible for cybersecurity decisions operates independently from the operational Head of IT;
→    In the event of a cybersecurity incident, notify authorities within six and 24 hours, and—depending on the circumstances—inform affected individuals or contractual partners when necessary.
 
Sanctions
 
GEO 155/2024 establishes a framework of multiple obligations in which each breach of an individual type of obligation is sanctioned with a fine (e.g., failure to register with the DNSC, not performing the required audits, or not communicating their results to the DNSC). Fines can reach up to EUR 10 million or 2% of annual worldwide turnover, whichever is higher, for essential entities, and EUR 7 million or 1.4% of annual worldwide turnover, whichever is higher, for important entities.
 
In addition, NIS2 and GEO 155/2024 legislate the personal liability of individuals from management for non-compliance.
 
Next step?
 
GEO 155/2024 established a deadline for registering with the DNSC that elapsed on 30 January 2025. However, at present, the DNSC has not yet issued the application norms required to perform the registration of essential and important entities.
 
According to a press release available on the DNSC website, registrations will be performed based on the application norms that the DNSC commits to issue in Q1 2025. After the necessary application norms will be issued, relevant entities will have to register with the DNSC in the prescribed manner and deadlines.
 
As non-observance of regulatory cybersecurity obligations could lead not only to fines for both the company and management, but also to damage claims from contractual partners (if the latter suffer losses following an incident that could have been prevented or mitigated if the prescribed measures would have been in place), relevant entities should take the necessary actions to comply with these legal requirements as soon as possible.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR

English Version
 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii

Posteaza comentariu

Articol 172 / 4602
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
În spatele scenei, alături de avocații din practica de Real Estate de la Țuca Zbârcea & Asociații, într-un mediu în care calitatea documentației, calibrarea riscurilor și gestionarea inteligentă a calendarului determină dacă un proiect se finanțează, se construiește și se capitalizează corect | De vorbă cu Răzvan Gheorghiu-Testa (partener) despre tendințele pieței imobiliare și forța unei echipe care operează integrat, folosește inteligent regulile și anticipează riscurile, astfel încât proiectele complicate, de la teren și autorizare până la finanțare, leasing și exit să ajungă la linia de sosire
Clifford Chance Badea a asistat consorțiul de bănci de investiții în legătură cu emisiunea de obligațiuni AT1 de 500 milioane Euro lansată de Banca Transilvania pe piețele externe
Popovici Nițu Stoica & Asociații a asistat Hexagon în achiziția Platformei CUG din Cluj, într-unul dintre cele mai mari proiecte imobiliare ale anului
Patru firme de avocați, în proiectul prin care Banca Transilvania a finalizat cu succes cea mai mare emisiune de obligaţiuni AT 1 din Europa Centrală şi de Est
Lexology Index: Arbitration - 2026 | Arbitrajul românesc nu mai este doar „prezent” în clasamentele globale, ci începe să-și contureze, în mod coerent, un ecosistem. Patru avocați, printre care Cosmin Vasile (ZRVP), Crenguța Leaua (LDDP) și Luminița Popa (Popa Legal) formează nucleul de influență al practicii. ZRVP Și LDDP au cei mai mulți profesioniști în categoriile Thought Leaders și Future Leaders. România devine un „hub” credibil în arbitrajul regional
Fiscalitate ̸ Litigii Fiscale - Practica de Taxe a Kinstellar funcționează ca un „hub” integrat între drept, fiscalitate și finanțe, ce conturează un parcurs procedural previzibil, din faza de control al documentelor până la soluțiile finale ale instanței. Clienții beneficiază de pregătire proactivă, probatoriu robust și o echipă calibrată pentru litigii sofisticate | De vorbă cu Theodor Artenie (Counsel) și Raluca Botea (Counsel) despre tendințele ultimului an, prevenție, timing și modul de lucru al unei echipe recunoscute de directoarele internaționale
PNSA asistă Rex Concepts în obținerea unor linii de finanțare de la Bank Pekao pentru dezvoltarea rețelelor Burger King și Popeyes | Echipa de proiect a fost coordonată de partenerul Silviu Stoica, alături de Ioana Lazăr (Senior Associate) și Crina Stan (Associate)
Primul pas real spre avocatura de business | În culisele programului de practică juridică organizat de Țuca Zbârcea & Asociații, o adevărată școală de formare și începutul unui dialog profesional. Cursanții implicați în program au apreciat comunicarea continuă și proiectele în care au fost implicați și ar recomanda această experiență altor studenți. Avocații-mentori spun că experiența de practică autentică oferă prilejul de a înțelege care sunt valorile ce definesc profesia
Schoenherr asistă Allianz-Țiriac Asigurări în vânzarea unei clădiri de birouri către Primavera Development. Echipa, coordonată de Mădălina Mitan (partner)
Într-un an cu investigații mai tehnice și presiune pe termene, DLA Piper România așază practica de Concurență pe trei piloni - oameni, metodă, ritm, astfel încât proiectarea strategiilor, controlul probelor și continuitatea între faze să producă cele mai bune rezultate | De vorbă cu membrii unei echipe sudate, condusă de lideri cu experiență și antrenată pe industrii sensibile, despre prudență juridică și curaj tactic, cooperare internă și rigoare probatorie, bazate pe înțelegerea fină a mediului de business și utilizarea tehnologiei ca multiplicator de acuratețe
GNP obține o nouă soluție favorabilă definitivă la Înalta Curte de Casație și Justiție prin care a fost anulată o decizie de sancționare emisă de Consiliul Concurenței | Reper jurisprudențial care impune un standard de analiză mai riguros în litigiile de concurență
Băncilă, Diaconu și Asociații a asistat asociații Mamaia Resort Hotels în vânzarea părților lor sociale către Steaua de Mare Hotels & Resorts
 
Citeste pe SeeNews Digital Network

  • BizBanker

  • BizLeader

      in curand...

  • SeeNews

    in curand...