ZRP
Tuca Zbarcea & Asociatii

NIS 2 în România. Cum îți pregătești compania pentru noua eră a securității cibernetice

18 Martie 2025   |   Irina Oprea (senior associate), Cătălina Pițigoi (associate) - Filip & Company

Conformarea cu noua reglementare reprezintă un demers important pentru întărirea rezilienței cibernetice și protecția datelor.

 
 
Sfârșitul anului 2024 a adus in prim-plan un nou cadru legislativ în domeniul securității cibernetice, Romania adoptând Ordonanța de Urgență nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil (OUG 155/2024) pentru transpunerea Directivei NIS 2. Aceasta reglementare vine sa întărească măsurile de securitate aplicabile rețelelor și sistemelor informatice în contextul creșterii amenințărilor cibernetice. Companiile care operează în sectoare considerate critice sau importante trebuie să se pregătească pentru un set complex de obligații menite să asigure un nivel crescut de reziliență cibernetică. 


Principalele schimbări introduse de OUG 155/2024


Transpunerea Directivei NIS 2 în legislația națională extinde semnificativ sfera de aplicare, vizând două categorii de entități: entitățile esențiale și entitățile importante. Entitățile esențiale sunt cele care activează în sectoare critice, precum energie, transport, sănătate sau infrastructuri digitale, având un impact semnificativ asupra societății și economiei. În schimb, entitățile importante sunt cele care, deși nu se încadrează în criteriile stricte pentru a fi considerate esențiale, desfășoară activități în sectoare relevante și pot avea o influență majoră asupra continuității economice.

Companiile trebuie să efectueze o autoevaluare riguroasă pentru a determina dacă intră sub incidența noii reglementări. Dacă rezultatul acestei evaluări indică faptul că se încadrează în definițiile stabilite de lege, acestea au obligația să se înregistreze la Directoratul Național pentru Securitate Cibernetică (DNSC) în termen de 30 de zile de la intrarea în vigoare a OUG sau de la data la care prevederile acesteia le sunt aplicabile.

Pentru a standardiza procesul de notificare, DNSC a emis un proiect de ordin care reglementează cerințele privind procesul de înregistrare și metodele de transmitere a informațiilor. Ordinul prevede utilizarea a două instrumente digitale esențiale: Platforma ATHENA și Instrumentul NIS2@RO. Acestea facilitează procesul de evaluare și notificare, oferind o structură standardizată pentru completarea și transmiterea formularului de notificare.

Platforma ATHENA permite înregistrarea online, gestionarea notificărilor și facilitarea comunicării cu DNSC, iar în caz de indisponibilitate a platformei, entitățile pot utiliza local Instrumentul NIS2@RO. Formularul de notificare include secțiuni clare cu privire la identitatea entității, dimensiunea și serviciile furnizate, persoana responsabilă de securitate cibernetică și datele referitoare la rețelele informatice. Formularul trebuie semnat electronic și transmis către DNSC, iar în cazul în care se identifică neconcordanțe, DNSC poate solicita informații suplimentare.

Este de remarcat că proiectul de ordin accentuează importanța autoevaluării și a documentării adecvate a măsurilor de securitate, impunând obligativitatea transmiterii documentelor justificative care atestă respectarea cerințelor legale. Aflat în prezent în stadiul de proiect, documentul este deschis consultării publice, nefiind încă adoptat.

În ceea ce privește obligațiile esențiale impuse de OUG 155/2024, acestea includ implementarea unor măsuri tehnice și organizatorice adaptate pentru gestionarea riscurilor de securitate cibernetică. Aceste măsuri trebuie să asigure trasabilitatea activităților în cadrul sistemelor informatice, să prevadă politici clare de evaluare a riscurilor, precum și adoptarea de soluții pentru protecția lanțului de aprovizionare și utilizarea metodelor avansate de autentificare. Mai mult, entitățile trebuie să se supună auditului periodic de securitate cibernetică, cu frecvența și condițiile stabilite prin ordin emis de DNSC, iar în cazuri excepționale, pot fi solicitate de către DNSC și audituri ad-hoc.

Un aspect de neratat este legat de raportarea incidentelor de securitate cibernetică. Companiile sunt obligate să transmită o avertizare timpurie în termen de 24 de ore de la identificarea unui incident semnificativ, urmată de un raport detaliat în termen de 72 de ore si un raport final, în termen de cel mult o lună de la transmiterea notificării incidentului. În funcție de complexitatea incidentului, pot fi solicitate și rapoarte intermediare. Raportările se vor face exclusiv prin intermediul Platformei Naționale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC).

În ceea ce privește sancțiunile, regimul introdus de OUG 155/2024 este strict, amenzile putând ajunge până la 10 milioane EUR sau 2% din cifra de afaceri netă pentru entitățile esențiale și până la 7 milioane EUR sau 1,4% din cifra de afaceri netă pentru cele importante. În plus, în cazul entităților esențiale, este prevăzută ca măsura suplimentară posibilitatea DNSC de a solicita autorităților competente să suspende temporar certificarea sau autorizarea acordată entității respective pentru anumite servicii sau activități relevante sau să impună o interdicție temporară de a ocupa funcții de conducere.

Pentru a detalia cerințele procedurale și tehnice, DNSC va publica un ordin care stabilește metodologia pentru efectuarea auditului de securitate cibernetică și evaluarea nivelului de maturitate. Ordinul va trebui sa stabileasca criterii clare pentru determinarea periodicității auditului, în funcție de dimensiunea, sectorul și istoricul incidentelor înregistrate de fiecare entitate. De asemenea, este necesar sa fie prevăzute reguli detaliate privind conținutul rapoartelor de audit, inclusiv cerințe privind descrierea sistemelor auditate, identificarea vulnerabilităților și recomandările de remediere. Ordinul va trebui sa adreseze și aspectele privind colaborarea între entități și DNSC, în vederea stabilirii unui schimb eficient de informații pentru prevenirea și gestionarea incidentelor cibernetice.

Legătura dintre NIS2 si GDPR

Noul cadru legislativ are implicații directe și asupra protecției datelor cu caracter personal, reglementată de GDPR. În primul rând, incidentele de securitate cibernetică care implică date personale trebuie raportate și către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în termen de 72 de ore. În plus, implementarea măsurilor de securitate trebuie să respecte principiul "privacy by design", iar în cazul prelucrării datelor sensibile sau a introducerii unor noi sisteme informatice, companiile au obligația de a efectua evaluări de impact în conformitate cu articolul 35 din GDPR. Astfel, integrarea cerințelor NIS 2 în cadrul politicilor de conformitate GDPR este esențială pentru evitarea riscurilor legale și reputaționale.

Concluzii

Conformarea cu noua reglementare reprezintă un demers important pentru întărirea rezilienței cibernetice și protecția datelor. Deși cerințele impuse sunt complexe, acestea constituie o oportunitate pentru companii de a-și consolida structurile de securitate și a evita riscurile financiare și reputaționale. Integrarea cerințelor de audit, gestionarea atentă a incidentelor si colaborarea strânsă cu DNSC sunt pași ce trebuie avuți în vedere pentru asigurarea conformității.


 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 5 / 9330
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    LegiTeam: Zamfirescu Racoţi Vasile & Partners recrutează avocat definitiv | Consultanță
    VIDEO | Dicționar de arbitraj: Invocarea excepției de necompetență a instanței în contextul existenței unei clauze compromisorii (Powered by ZRVP)
    Cum lucrează echipa NNDKP, descrisă de ghidurile juridice internaționale drept ”prima opțiune pentru aspecte de concurență și ajutor de stat cu un grad ridicat de complexitate”, în astfel de proiecte și care sunt dificultățile cu care se confruntă clienții | Anca Diaconu, Partener NNDKP: ”Deși există multiple programe destinate susținerii investițiilor, criteriile de eligibilitate și condițiile specifice sunt, adesea, ambigue, iar interpretarea acestora nu este întotdeauna unitară”
    Bulboacă & Asociații asistă Eazy Asigurări în tranzacția strategică cu Autonom Group
    LegiTeam: CMS CAMERON MCKENNA NABARRO OLSWANG LLP SCP is looking for: Associate | Corporate and M&A Practice Group (2-4 years definitive ̸ qualified lawyer)
    Interviurile primăverii | Ioana Gelepu, fondatoarea și coordonatoarea ‘Ioana Gelepu The Office Litigation & Enforcement’: ”Știința de carte, pasiunea și dedicarea sunt unisex”
    Lady Lawyer | De vorbă cu Anda Călin - Managing Associate, Bohâlțeanu & Asociații: ”Prezența feminină este din ce în ce mai proeminentă în domeniul avocaturii de business, inclusiv în poziții de management. Atenția unei femei este cu precădere orientată spre detalii și o mai bună organizare”
    Lady Lawyer | De vorbă cu Mihaela Ion, Partener PNSA: ”În fiecare moment important al vieții mele profesionale am simțit cum fiecare om din jurul meu a contribuit la pașii ce au urmat. Povestea continuă de aproape 20 de ani alături de echipa PNSA, pe care o simt deja ca parte din familie; spun asta pentru că au fost prezenți în orice etapă a vieții și devenirii mele ca om”
    NNDKP promovează 12 avocați și consultanți în cadrul celei mai recente runde de promovare
    Cum lucrează avocații firmei Popescu & Asociații în proiectele care vizează accesarea ajutoarelor de stat, ce servicii integrate asigură clienților și care sunt strategiile pentru maximizarea șanselor de succes | Loredana Popescu (Partener): ”Rezultatele noastre includ un număr semnificativ de aplicații acceptate, creșterea rentabilității și succesul pe termen lung al afacerilor clienților”
    Managing IP EMEA Awards 2025 | Muşat & Asociaţii, Baciu Partners, Milcev Burbea și Răzvan Dincă & Asociaţii, printre firmele aflate pe lista scurtă pentru titlul de “Firma anului în România” în fiecare dintre cele trei domenii analizate. Cum arată clasamentele întocmite de piața locală de ghidul juridic internațional specializat în IP
    Cum îi sprijină avocații GNP Guia Naghi și Partenerii pe clienții care solicită asistență în proiecte de obținere și implementare a ajutoarelor de stat și ce anume fac pentru a le spori șansele de succes | Manuela Guia (Managing Partner): „Considerăm că ar fi benefic să se acorde o atenție sporită industriilor cu potențial ridicat de creștere, cum ar fi tehnologiile verzi și digitalizarea. De asemenea, ar fi utilă o simplificare a procesului administrativ, pentru a facilita accesul mai rapid la finanțare și a reduce incertitudinea pentru investitori”
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...