RSS
Cybersecurity: Romania transposes the NIS2 Directive. What’s next?
14 Februarie 2025 Kinstellar
On 31 December 2024, the Romanian government passed Government Emergency Ordinance no. 155/2024 (GEO 155/2024) transposing NIS2 into national legislation.
|
Directive (EU) 2022/2555 (NIS2) aims to further strengthen the cyber resilience of the EU by requiring entities in various sectors to dial up their cybersecurity efforts. NIS2 replaces the former NIS1 Directive (EU) 2016/1148, expands the range of entities falling under its provisions, and introduces stricter requirements for these entities.
On 31 December 2024, the Romanian government passed Government Emergency Ordinance no. 155/2024 (GEO 155/2024) transposing NIS2 into national legislation.
Whom does it concern?
NIS2 and GEO 155/2024 target entities across various industry sectors and categorises them into essential and important entities. Entities active in the following areas should check whether NIS2 and GEO 155/2024 apply to them:
On 31 December 2024, the Romanian government passed Government Emergency Ordinance no. 155/2024 (GEO 155/2024) transposing NIS2 into national legislation.
Whom does it concern?
NIS2 and GEO 155/2024 target entities across various industry sectors and categorises them into essential and important entities. Entities active in the following areas should check whether NIS2 and GEO 155/2024 apply to them:
(i) essential entities: energy (electricity, district heating and cooling, oil, gas, hydrogen); transport (air, rail, water, road); banking; financial market infrastructures; health; drinking water; wastewater; and public administration and space. Even stricter obligations apply to digital infrastructure and ICT service management;
(ii) important entities: postal and courier services; waste management; manufacture, production and distribution of chemicals; production, processing and distribution of food; manufacturing of medical devices; computer, electronic and optical products; electrical equipment; machinery and equipment; motor vehicles, trailers and semi-trailers and other transport equipment; digital providers of online marketplaces, search engines, and social networking.
Even though size thresholds are in place (NIS2 and GEO 155/2024 apply mainly to medium and large enterprises), an entity falling under these thresholds can still be subject to these legal provisions due to its critical role in a specific sector. Some obligations extend to suppliers of such entities, as NIS2 also aims to raise the cyber preparedness of supply chains.
What must be done?
If an entity has determined that it falls under NIS2 and GEO 155/2024, it must comply with all obligations and requirements laid down in this legislation for the respective type of entity.
GEO 155/2024 outlines several obligations for the entities subject to its provisions, including, but not limited to, the following:
→ Implement appropriate and proportional technical, operational, and organisational measures to manage security risks and minimise the impact of incidents on information systems, adhering also to sector-specific requirements;
→ Register with the Romanian National Cybersecurity Directorate (“DNSC”), the authority responsible for enforcing GEO 155/2024 provisions;
→ Conduct audits at regular intervals and communicate their results to the DNSC;
→ Ensure management undergoes cybersecurity training and that the individual responsible for cybersecurity decisions operates independently from the operational Head of IT;
→ In the event of a cybersecurity incident, notify authorities within six and 24 hours, and—depending on the circumstances—inform affected individuals or contractual partners when necessary.
Sanctions
GEO 155/2024 establishes a framework of multiple obligations in which each breach of an individual type of obligation is sanctioned with a fine (e.g., failure to register with the DNSC, not performing the required audits, or not communicating their results to the DNSC). Fines can reach up to EUR 10 million or 2% of annual worldwide turnover, whichever is higher, for essential entities, and EUR 7 million or 1.4% of annual worldwide turnover, whichever is higher, for important entities.
In addition, NIS2 and GEO 155/2024 legislate the personal liability of individuals from management for non-compliance.
Next step?
GEO 155/2024 established a deadline for registering with the DNSC that elapsed on 30 January 2025. However, at present, the DNSC has not yet issued the application norms required to perform the registration of essential and important entities.
According to a press release available on the DNSC website, registrations will be performed based on the application norms that the DNSC commits to issue in Q1 2025. After the necessary application norms will be issued, relevant entities will have to register with the DNSC in the prescribed manner and deadlines.
As non-observance of regulatory cybersecurity obligations could lead not only to fines for both the company and management, but also to damage claims from contractual partners (if the latter suffer losses following an incident that could have been prevented or mitigated if the prescribed measures would have been in place), relevant entities should take the necessary actions to comply with these legal requirements as soon as possible.
| Publicitate pe BizLawyer? |
  |
| Articol 256 / 4686 | Următorul articol |
| Publicitate pe BizLawyer? |
                                    |
BREAKING NEWS
ESENTIAL
Andronic and Partners asistă Grupul Rheinmetall în cea mai mare achiziție publică din sectorul securității naționale
Ana Popa, de la primii ani ca avocat stagiar, la rolul de Counsel în practica de Litigii a RTPR: o poveste despre statornicie profesională, implicare directă în mandate dificile și convingerea că excelența în avocatură se construiește prin consecvență, talent și responsabilitate | „Diferența dintre un avocat bun și unul excepțional o face talentul și vocația pentru această profesie. Ceea ce îi permite să rămână în linia întâi este reputația construită în timp, care este strâns legată de încrederea pe care o inspiră clienților”
Arhitectura juridică a unei mega-finanțări, asistate de Filip & Company și NNDKP: Cum a structurat One United Properties creditul de până la 140 mil. € acordat de UniCredit Bank
Filip & Company a asistat Christian Tour în cadrul ofertei publice inițiale și al listării la Bursa de Valori București | Echipa a fost coordonată de Olga Niță (partener)
RTPR asistă EMSA Capital în tranzacția de exit din Aplast
Urmează o perioadă de tranziție critică pentru piața achizițiilor publice din România, marcată de presiuni simultane din direcții multiple. Creșterea cheltuielilor de apărare va genera un volum semnificativ de proceduri complexe, cu specificități juridice pe care puțini practicieni le stăpânesc în detaliu | De vorbă cu Manuela Guia, coordonatoarea GNP Guia Naghi & Partners, despre noile zone de sofisticare juridică și câteva măsuri prin care ar putea crește transparența și viteza procedurilor fără a afecta calitatea evaluării
Florian Nițu (PNSA), singurul avocat din România aflat în cursa pentru titlul „CEE Partner of the Year” la ”Legal 500 Central and Eastern Europe Awards 2026” - nu doar într-un an mai bun, ci după două decenii de consecvență în excelență: „Avocatul a devenit, în fapt, un ‘integrator’ în proiectele complexe, responsabil de alinierea componentelor juridice, comerciale și operaționale ale unei tranzacții. Clientul este azi un partener strategic, sofisticat și continuu implicat în gestionarea serviciului avocațial”
Schoenherr și Legal Ground, în linia întâi a unei tranzacții cu mai multe clase de active prin care Piraeus își restrânge expunerea reziduală din România | Un portofoliu cu credite, leasinguri, participații de risc, garanții și active imobiliare a pus avocații în fața unui mandat aflat la intersecția dintre M&A, banking & finance și real estate
Mandatele sofisticate, în care soluțiile juridice trebuie dublate de înțelegerea mecanismelor economice, confirmă forța practicii de Insolvență & Restructurare a ZRVP, evidențiată în Tier 1 de Legal 500 | Alexandru Iorgulescu (Partener): ”Pot spune că specific practicii noastre sunt mandatele complexe ce reclamă soluții inovatoare, unde lucrăm adesea pe drumuri ‘neumblate’ și în care problemele de dreptul insolvenței se întrepătrund cu cele civile, societare, administrativ-fiscale”
Mitel & Asociații a asistat vanzatorii în tranzacția prin care Grupul Monza Ares, susținut de Highlander Partners, a preluat centrul privat de neurochirurgie Brain Institute | Mădălina Mitel, coordonatoarea echipei de proiect: ”Pentru noi, un mandat de M&A reușit este acela în care soluția juridică susține logica economică a tranzacției și permite părților să meargă mai departe cu un proiect viabil”
Ritm alert, tranzacții de referință și expertiză recunoscută | Practica de Energie & Resurse Naturale a RTPR, Tier 1 în Legal 500, gestionează integrat mandate care combină M&A, finanțări verzi, autorizare și reglementare, oferind clienților internaționali și locali suport în proiecte cu miză ridicată. De vorbă cu partenerul Bogdan Cordoș despre tendințele anului 2026, interesul investitorilor și mandatele relevante
Employment Roundtable Filip & Company: Piața muncii intră într-o zonă de tensiune: restructurările și investigațiile interne devin noua realitate pentru companii
Citeste pe SeeNews Digital Network
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...
