ZRP
Tuca Zbarcea & Asociatii

Directiva NIS 2: criterii pentru evaluarea conformității companiilor și obligațiile legale din următoarea perioadă

14 Mai 2025   |   Silvia Axinescu, Senior Associate Manager, și Corina Damaschin, Senior Associate, Reff & Asociații | Deloitte Legal

Silvia Axinescu, Senior Associate Manager, și Corina Damaschin, Senior Associate, Reff & Asociații | Deloitte Legal

 
 
La data de 31 decembrie 2024, a intrat în vigoare Ordonanța de Urgență nr. 155/2024 (OUG 155/2024), care stabilește cadrul legislativ pentru securitatea cibernetică a rețelelor și sistemelor informatice din România. Actul normativ transpune Directiva (UE) 2022/2555, cunoscută sub numele de Directiva NIS (Network and Information Security Directive) 2, și impune cerințe de conformitate pentru entitățile care operează în sectoare considerate critice sau importante pentru funcționarea societății și economiei. Autoritatea competentă pentru aplicarea și monitorizarea prevederilor ordonanței este Directoratul Național de Securitate Cibernetică (DNSC).

 

Trei criterii pentru evaluarea conformității unei companii cu OUG 155/2024

Primul pas pe care trebuie să îl aibă în vedere companiile în vederea asigurării conformării cu cerințele OUG 155/2024 este să efectueze o analiză preliminară pentru a vedea în ce măsură cadrul legislativ în materia securității cibernetice le este aplicabil. Pentru a stabili dacă intră sub incidența ordonanței, fiecare entitate trebuie să efectueze o analiză internă bazată pe trei criterii.

Aplicabilitatea ordonanței se stabilește, în primul rând, prin identificarea sectorului de activitate, lucru realizat prin verificarea codurilor CAEN autorizate conform Registrului Comerțului și care trebuie să corespundă celor listate în anexele 1 și 2 ale OUG 155/2024. Doar activitățile autorizate la Registrul Comerțului pot genera obligații de înregistrare. În lipsa unor coduri CAEN relevante sau autorizate, entitatea nu este supusă cerințelor ordonanței.

De asemenea, este important de determinat dimensiunea companiei. Aceasta este stabilită conform Legii nr. 346/2004 privind stimularea înființării și dezvoltării întreprinderilor mici și mijlocii, în funcție de o serie de aspecte, precum numărul mediu de angajați, cifra de afaceri sau totalul activelor principale ale societății. Această clasificare presupune un demers de analiză complex și esențial pentru diferențierea între entitățile esențiale și cele importante, în scopul aplicării proporționale a obligațiilor relevante din perspectiva prevederilor OUG 155/2024.

Al treilea criteriu de luat în considerare este profilul entității. O companie poate fi considerată importantă sau esențială chiar și în lipsa îndeplinirii primelor două criterii, dacă are un impact sistemic sau strategic asupra sănătății publice, economiei, siguranței cetățenilor sau securității naționale. Acest criteriu este reglementat în articolele 9 și 10 din OUG 155/2024.

Recent, pe 30 aprilie, DNSC a publicat în transparență decizională un nou proiect de ordin pentru aprobarea criteriilor și pragurilor de determinare a gradului de perturbare a unui serviciu și a metodologiei de evaluare a nivelului de risc al entităților. Proiectul referitor la evaluarea nivelului de risc detaliază criteriile și pragurile de determinare a gradului de perturbare a unui serviciu, precum și modalitatea prin care entitățile își calculează scorul în acest sens, pornind de la valorile de bază aferente sectorului din care fac parte, prevăzute în cadrul uneia dintre anexele proiectului de ordin, precum și în conformitate cu dimensiunea acestora.

În fiecare vineri, la sediul DNSC sunt organizate consultări publice dedicate implementării OUG 155/2024, la care pot participa reprezentanți ai entităților vizate, consultanți și alți actori relevanți pentru sectorul securității cibernetice. Aceste sesiuni de lucru reprezintă o oportunitate importantă de a adresa întrebări directe și de a contribui la modelarea detaliilor procedurale.

 

Care sunt obligațiile și termenele pe care companiile trebuie să le aibă în vedere?

Companiile care se încadrează în prevederile OUG 155/2024 trebuie să țină cont de anumite aspecte, precum înregistrarea în Registrul Entităților esențiale gestionat de DNSC, desemnarea unei persoane de contact pentru gestionarea relației cu autoritatea, implementarea unor măsuri tehnice și organizaționale pentru protejarea sistemelor informatice și notificarea incidentele de securitate în termenul prevăzut de lege.

Termenul de înregistrare în registru este de 30 de zile de la data intrării în vigoare a OUG 155/2024 sau de la momentul la care condițiile devin aplicabile pentru o entitate. Totuși, cerințele legislative vor deveni aplicabile doar la momentul la care vor exista instrumentele tehnice puse la dispoziție de către DNSC și care vor operaționaliza Registrul Entităților și procedura de notificare. DNSC a emis un proiect de ordin la finalul lunii aprilie, care are ca obiect procedura de notificare și modul de transmitere a informațiilor în Registrul Entităților, astfel încât obligația va deveni aplicabilă pentru companii începând cu publicarea acestuia în Monitorul Oficial.

 

Instrumente de suport

Conform proiectului de ordin referitor la procedura de notificare emis de DNSC, autoritatea oferă sprijin prin platforma NIS2@RO atât pentru autoevaluare și informare, cât și pentru depunerea documentelor de înregistrare și notificare. Această platformă este încă în faza de dezvoltare tehnică, nefiind operațională pentru moment.

O altă opțiune pentru realizarea unei analize la nivelul organizației în vederea verificării încadrării în categoria de entități din domeniul de aplicare a OUG 155/2024 pot fi și instrumentele de autoevaluare.

 

Așteptările pentru perioada următoare

După publicarea celor două proiecte de ordin ale DNSC în Monitorul Oficial, entitățile vizate de OUG 155/2024 vor avea la dispoziție toate clarificările necesare legate de documentația ce va trebui depusă la autoritatea competentă, platforma de transmitere a notificărilor și etapele de verificare procedurală.

În contextul actual, este esențial ca entitățile vizate să acorde o atenție sporită în ceea ce privește intrarea sau nu sub sfera de aplicare a OUG 155/2024 și, ulterior publicării proiectelor de ordin în Monitorul Oficial, să se concentreze pe înregistrarea în Registrul Entităților.


 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 211 / 9704
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    NNDKP, alături de Grupul PetStar, în finanțarea de 50 mil. € obținută de la UniCredit Bank. PCF Investment Banking a acționat în calitate de aranjor exclusiv
    Filip & Company a asistat Banca Transilvania în prima sa emisiune de obligațiuni sustenabile în lei în valoare de 1,5 miliarde de lei. Alexandru Bîrsan (managing partener) a coordonat echipa
    Employment | Pe parcursul ultimului an, s-a remarcat o preocupare crescută din partea angajatorilor pentru „descifrarea” obligațiilor tot mai complexe care le revin în temeiul legislației de dată recentă, spun avocații specializați în Dreptul Muncii de la PNSA. De vorbă cu Ioana Cazacu, coordonatoarea practicii, despre noutățile din legislația muncii, solicitările clienților și mandatele complexe în care a fost implicată echipa
    BRD coordonează un club loan de 190 mil. € pentru NE Property BV. Avocații CMS au consiliat consorțiul bancar în această finanțare
    Women Lawyers | Din vorbă în vorbă cu Andreea Mihalache, Partener în cadrul firmei Popescu & Asociații, profesionist reputat, cu aproape 30 de ani de experiență ca avocat litigant la cel mai înalt nivel: ”Dincolo de oportunitatea de a lucra la dosare complexe, am și sprijinul unei echipe unite, ceea ce face ca fiecare provocare să fie o oportunitate de învățare și evoluție profesională”
    LegiTeam | Mitel & Asociații recrutează avocat cu experiență (Litigii și Soluționare a Disputelor)
    Cine sunt campionii pieței locale evidențiați în ultimul clasament IP Stars 2025 | Baciu Partners are cele mai multe recomandări în prima bandă din domeniul mărcilor. ZRVP și Dincă & Speciac sunt pe primul palier al performanței, urmate de Mușat & Asociații și NNDKP
    LegiTeam: Lawyer - Corporate M&A | Reff & Associates
    Kinstellar asistă Special Flanges pe toate aspectele, tranzacționale și de taxe, în achiziția producătorului industrial român Vilmar SA, cu o echipă pluridisciplinară coordonată de Zsuzsa Csiki (Partener, Co-Head of Corporate M&A) | Skadden, Simmons&Simmons și alte două firme de avocați din România au fost de o parte și de alta în această tranzacție
    CMS, alături de Bitdefender la achiziția Mesh Security | Horea Popescu (Managing Partner CMS România) și Mircea Moraru (Senior Counsel), în echipa multidisciplinară coordonată de la Londra, care a oferit consultanță cumpărătorului în toate aspectele tranzacției supusă acum aprobărilor din partea autorităților de reglementare
    “Schimbare” este cuvântul de ordine pe piața muncii, spun avocații de Employment de la Mușat & Asociații, fenomenul fiind potențat de avansul tehnologic rapid, evoluția așteptărilor angajaților și necesitatea adaptării la noile realități economice și sociale | Echipa gestionează un număr mare de proiecte care implică restructurări ample ale companiilor multinaționale, creşterea numărului de litigii fiind evidențiată în analiza tendințelor observate. De vorbă cu membrii echipei despre mandatele strategice încredințate de companii lideri în industrii variate și provocările anului 2025
    CMS își consolidează echipa din România prin promovarea a șapte avocați | Horea Popescu, managing partner CMS România: ”Aceste promovări reflectă nu doar calitatea muncii lor, ci și energia și dedicarea cu care aduc rezultate remarcabile clienților noștri și ne poziționează perfect pentru a ne continua creșterea și dezvoltarea competențelor”
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...