
Conformarea la directiva de securitate cibernetică NIS2 a intrat în linie dreaptă. Ce trebuie să știe companiile?
28 Ianuarie 2025
Robert Gîrdoc (Director) și Răzvan Cioc (Manager) - PwC RomaniaCompaniile vizate trebuie să raporteze, fără întârzieri nejustificate, orice incident care are un impact semnificativ asupra prestării serviciilor lor prin intermediul Platformei naționale pentru raportarea incidentelor de securitate cibernetică - PNRISC.
![]() |
Companiile din România care activează în sectoarele esențiale și critice pentru societate și economie, respectiv energie, transport, sănătate, financiar-bancar, apă potabilă și infrastructură digitală, precum și din alte domenii considerate importante precum serviciile poștale și de curierat, gestionarea deșeurilor, industria chimică sau cea alimentară trebuie să se conformeze prevederilor directivei europene NIS2 privind securitatea cibernetică.
Guvernul a publicat la finalul anului 2024 ordonanța de urgență care transpune în legislaţia naţională NIS2 și care impune o serie de măsuri de gestionare a riscurilor de securitate cibernetică precum continuitatea activității, gestionarea incidentelor sau securitatea lanțului de aprovizionare. Aceasta presupune, de asemenea, entităților vizate să raporteze autorităților competente incidentele care au un impact semnificativ asupra activității lor. Sarcinile de supraveghere și asigurare a respectării reglementărilor revine Directoratului Național de Securitate Cibernetică (DNSC), autoritate competentă responsabilă cu securitatea cibernetică.
Guvernul a publicat la finalul anului 2024 ordonanța de urgență care transpune în legislaţia naţională NIS2 și care impune o serie de măsuri de gestionare a riscurilor de securitate cibernetică precum continuitatea activității, gestionarea incidentelor sau securitatea lanțului de aprovizionare. Aceasta presupune, de asemenea, entităților vizate să raporteze autorităților competente incidentele care au un impact semnificativ asupra activității lor. Sarcinile de supraveghere și asigurare a respectării reglementărilor revine Directoratului Național de Securitate Cibernetică (DNSC), autoritate competentă responsabilă cu securitatea cibernetică.
De ce este importantă directiva NIS2?
Atacurile cibernetice au devenit o realitate cotidiană o dată cu creșterea nivelului de digitalizare, interconectarea sistemelor informatice și apariția noilor tehnologii - 5G, IoT, AI, dar și a instabilității geopolitice, iar cele mai vizate sunt companiile din sectoare critice. De altfel, în ordonanţa de urgenţă a Guvernului de la finalul anului 2024 care transpune în legislaţia naţională directiva NIS2, este amintit incidentul din primul trimestru al anului 2024, care a afectat 26 de spitale la nivel național. Consecințele atacurilor pot fi devastatoare, de la pierderea de date și întreruperea activității până la daune reputaționale și amenzi substanțiale.
Spre exemplu, în cazul unui atac cibernetic care afectează operațiunile din cauza unui proces de gestionare a riscurilor insuficient monitorizat la o entitate extrem de critică, printre consecințe se regăsesc cheltuieli precum plăți de răscumpărare, costuri pentru furnizorii externi de servicii, amenzi pentru încălcarea reglementarilor specifice, cat și a cerințelor DNSC, dar și răspunderea directorilor generali și executivi pentru prejudiciile suferite ca urmare a încălcării obligațiilor de monitorizare (cu excepția sectorului administrației publice).
Ce înseamnă NIS 2 pentru companii?
Entitățile care fac obiectul NIS2 trebuie să aibă în vedere îmbunătățirea atât a măsurilor lor de gestionare a riscurilor de securitate cibernetică, cât și a programelor de raportare a incidentelor, pentru a se conforma cerințelor impuse. Nerespectarea NIS2 poate conduce la amenzi semnificative din partea autorităților, dar și la costuri semnificative pentru organizații.
Pentru a se pregăti, entitățile vizate de NIS 2 trebuie să ia în considerare: stabilirea unui cadru de guvernanta privind securitate cibernetică care să acopere toate aspectele identificarea, evaluarea și gestionarea riscurilor, actualizarea periodică a politicilor de securitate IT, implementarea unor controale stricte referitoare la accesul la date, microsegmentarea, adoptarea unor tehnologii (avansate) de detecție și răspuns aliniate la obiectivele și principalele zone de risc ale business-ului, proceduri clare de raportare a incidentelor, detectare și monitorizare automatizată în timp real sau periodic, formarea continuă a personalului, înregistrarea detaliată a incidentelor de securitate cibernetică, evaluări regulate ale riscurilor și audituri. Implementarea acestor măsuri va sprijini un management integrat al riscurilor la nivelul companiei.
Măsurile luate trebuie să asigure un nivel de securitate cibernetică adecvat nivelului de risc al entității, care se evaluează conform metodologiei cuprinse în ordinul directorului DNSC. De asemenea, entitățile esențiale și cele importante sunt obligate să se supună efectuării unui audit de securitate cibernetică în condițiile și cu periodicitatea stabilite de DNSC, în funcție de nivelul de risc.
Companiile vizate trebuie să raporteze, fără întârzieri nejustificate, orice incident care are un impact semnificativ asupra prestării serviciilor lor prin intermediul Platformei naționale pentru raportarea incidentelor de securitate cibernetică - PNRISC. Astfel, trebuie să raporteze nu mai târziu de 24 de ore de la data la care au luat cunoștință de incidentul semnificativ, o avertizare timpurie care, după caz, dacă există suspiciuni că incidentul este cauzat de acțiuni ilicite sau răuvoitoare sau că ar putea avea un impact transfrontalier sau nu mai târziu de 72 de ore din momentul în care au luat cunoștință de incidentul semnificativ dacă prezintă o evaluare inițială a acestuia, inclusiv a gravității și a impactului acestuia, precum și a indicatorilor de compromitere.
Un incident este considerat semnificativ sau impactul unui incident este considerat semnificativ dacă a provocat sau poate provoca perturbări operaționale grave ale serviciilor sau pierderi financiare pentru entitatea în cauză, a afectat sau poate afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau nonmateriale considerabile.
DNSC poate derula activități de supraveghere, verificare și control efectuate de persoane desemnate în acest sens și poate dispune efectuarea de audituri de securitate ad-hoc, realizate de un auditor de securitate cibernetică atestat.
Care sunt consecințele nerespectării reglementărilor?
Următoarele fapte constituie încălcări grave: neîndeplinirea obligației de notificare sau de remediere a incidentelor semnificative, neîndeplinirea obligației de remediere a deficiențelor constatate de către autoritățile competente, obstrucționarea auditurilor sau a activității de monitorizare dispuse de DNSC în urma constatărilor, furnizarea de informații false sau vădit denaturate, îngrădirea accesului personalului desemnat de către DNSC în spațiile supuse controlului, cât și asupra datelor și informațiilor necesare controlului, etc.
Vor fi aplicate contravenții pentru nerespectarea, printre altele, a obligațiilor privind luarea unor măsuri tehnice, operaționale și organizatorice, de a se supune unui audit de securitate cibernetică în condițiile stabilite, de a transmite datele solicitate, de a realiza și transmite anual autoevaluarea nivelului de maturitate, de a întocmi și transmite planul de măsuri pentru remedierea deficiențelor, în termen de 30 de zile de la realizarea autoevaluării, de a pune în aplicare măsurile de gestionare a riscurilor, de a urma cursuri de formare profesională în domeniul securității cibernetice, etc
Pentru entitățile esențiale, amenzile pornesc de la 10.000 lei și pot ajunge la 10 milioane euro sau cel mult 2% din cifra de afaceri netă, luându-se în considerare valoarea cea mai mare dintre acestea.
Pentru entitățile importante, amenzile pot ajunge până la cel mult 7 milioane euro sau cel mult 1,4% din cifra de afaceri netă.
Sectoare de importanță critică ridicată sunt energie, transport, sectorul financiar-bancar, sănătate, apă potabilă, infrastrtuctură, digitală, administrație publică. Alte sectoare de importanță critică sunt serviciile poștale și de curierat, gestionarea deseurilor, fabricarea, producția și distribuția de substanțe chimice, producția, prelucrarea și distribuția de alimente, fabricarea de dispozitive medicale, computere, echipamente electronice și furnizorii de servicii digitale.
Publicitate pe BizLawyer? |
![]() ![]() |
Articol 638 / 9763 | Următorul articol |
Publicitate pe BizLawyer? |
![]() |

BREAKING NEWS
ESENTIAL
CMS | Join Our Team: Tax Consultant - Tax Department
Filip & Company a asistat Booster Capital în achiziția unei participații în Artesana cu o chipă de avocați coordonată de Alexandru Bîrsan (managing partner) și Andreea Bănică (counsel). RTPR a fost de partea vânzătorului ROCA Investments, iar Andronic & Partners a asistat Artesana şi pe fondatorii acesteia
Clifford Chance a asistat Electrica în emisiunea istorică de obligațiuni verzi lansată pe piețele externe, în valoare de 500 milioane Euro. Avocați din București și Londra, în echipa de proiect, coordonată de partenerii Mădălina Rachieru-Postolache și Kate Vyvyan
LegiTeam: Atorney at Law (0 - 2 years) - Dispute Resolution | Reff & Associates
Filip & Company a asistat Ministerul Finanțelor Publice în emisiunea de obligațiuni în valoare de 4,7 miliarde de euro | Monica Stătescu (partener): ”Cererea puternică și condițiile de finanțare semnificativ îmbunătățite arată că România este percepută tot mai mult ca un emitent stabil și credibil”
LegiTeam: Lawyer - Corporate M&A | Reff & Associates
Legal 500 - Central and Eastern Europe Awards 2025 | Clifford Chance, Filip & Company și Băncilă, Diaconu și Asociații sunt pe lista scurtă pentru titlul de ”Firma anului în România”. Horea Popescu (CMS), Ruxandra Bologa (NNDKP), Madalina Rachieru-Postolache (Clifford Chance) și Ana-Maria Baciu (Baciu Partners) printre candidații la titlul ”Romania Lawyer of the Year”. Alți 18 avocați români și 8 firme locale concurează la premiile regionale
Finanțările sindicalizate își păstrează poziția solidă, iar club-deal-urile câștigă teren pe piață, spun avocații din practica de Banking & Finance de la NNDKP | Valentin Voinescu (Partener): ”Am remarcat o creștere a interesului din partea fondurilor de investiții și a creditorilor non-bancari. Profilul clientului a evoluat: companiile sunt mai bine informate, mai receptive la structuri mixte și tot mai interesate de optimizarea costurilor și a structurii de capital”
Cei mai buni profesioniști în domeniul brevetelor, văzuți de ”IAM Patent 1000 - 2025” | NNDKP, ZRVP și Dincă & Speciac au cea mai bună poziționare, iar Mușat & Asociații și Baciu Partners sunt în prim plan. Ce firme au cei mai mulți avocați listați și ce spun clienții despre aceștia
De vorbă cu studenții admiși în fruntea listei la Facultatea de Drept a Universității București | Liana Ștefana Bonca, 85 de puncte, printre primii intrați în anul 2022: “Facultatea vine cu provocări însemnate, iar examenele te testează în moduri neașteptate, cerând mai mult decât ai crezut vreodată că poți oferi. Totuși, în mijlocul acestui tumult și a nesiguranței cu care încă mă confrunt, am credința profundă că munca și pasiunea pot transforma chiar și cele mai grele obstacole în realizări”
Women in Business Law EMEA Awards 2025 | CMS câștigă titlul de de “Firma anului în România”. Un avocat in-house local, desemnat ”General Counsel of the Year” pentru regiune
Tranzacție rară pe piața românească | Cum au lucrat avocații Legal Ground în proiectul legat de achiziția unor obligațiuni ‘tokenizate’, înregistrate și tranzacționate prin sistemul blockchain. Mihai Dudoiu (Partener): ”Pe lângă aspectele comune unor proiecte de finanțare ‘clasice’, a fost necesară integrarea unei componente de fintech. Arhitectura juridică a trebuit adaptată unui cadru relativ nou și încă în formare din punct de vedere normativ”
Citeste pe SeeNews Digital Network
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...