M & A Powered by TZA
Project Finance Powered by CMS
Real Estate & Constructii
Energie & Resurse Naturale Powered by Musat & Asociatii
Infrastructura & PPP
Banking & Finance Powered by Bulboacă & Asociații
Capital Markets Powered by Popovici Nitu Stoica & Asociatii
Telecom/IT/Media
Concurenta/Anti-trust Powered by Popovici Nitu Stoica & Asociatii
Mediu
Proprietate intelectuala Simion & Baciu
Healthcare & Pharma MPR Partners I Maravela Popescu & Asociații
Litigii & Arbitraj Powered by ZVRP
Taxe
Achizitii Publice
Penal - Comercial
Restructurare & Insolventa Powered by ZVRP
Aviatie
Shipping & Transport
Dreptul Muncii Powered by Musat & Asociatii
Asigurari/Pensii
Islamic Law Powered by Av. Casiana Dușa
Agricultura
Corporate & Commercial Powered by CMS
Data Protection
Gaming Powered by CMS

Securitatea cibernetică: cadru național consolidat, noi entități vizate de cerințele NIS2 și noi obligații ale organelor de conducere

18 Iulie 2025 | Marta Popa, Deputy Managing Partner și Emilia Mirea, Associate - Voicu & Asociații

Adoptarea Legii nr. 124/2025, intrată în vigoare la 10 iulie 2025, marchează finalizarea procesului de transpunere la nivel național a Directivei NIS (Network and Information Security) 2, întărind măsurile stabilite prin OUG nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil.

RECOMANDA ARTICOL

PRINTEAZA ARTICOL
SCRIE UN COMENTARIU
SALVEAZA ARTICOL (PDF)

Synopsis: Legea nr. 124/2025 instituie obligații noi pentru organele de conducere ale entităților esențiale și importante, în special în sfera formării profesionale și a competențelor în materie de securitate cibernetică dar și de guvernanță în relatiile cu DNSC. Companiile care desfășoară activități de distribuire a medicamentelor, comerț cu produse farmaceutice și cele aparținând anumitor segmente ale industriei alimentare intră, cu caracter de noutate și în anumite condiții (care țin în special de cifra de afaceri, numărul de angajați sau valoarea activelor), sub incidența noilor reglementări privind securitatea cibernetică.

***

Adoptarea Legii nr. 124/2025, intrată în vigoare la 10 iulie 2025, marchează finalizarea procesului de transpunere la nivel național a Directivei NIS (Network and Information Security) 2, întărind măsurile stabilite prin OUG nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil.

Pe lângă măsurile deja prevăzute prin OUG nr. 155/2024, Legea 124/2025 (“Legea”) introduce o serie de actualizări relevante, de care entitățile esențiale și importante trebuie să țină cont.

Având în vedere incidentele cibernetice majore survenite în cursul anului 2024, cu impact direct asupra serviciilor vitale oferite populației, care au relevat limitele acoperirii legislației actuale în domeniul securității cibernetice și nevoia de a implementa reglementările europene actualizate în ceea ce privește securitatea lanțului de aprovizionare, două noi categorii de entități vor intra sub incidența cerințelor legale privind securitatea cibernetică: distribuitorii autorizați de medicamente și operatorii economici care desfășoară activități de comerț cu produse farmaceutice.Ca urmare a extinderii aplicabilității cadrului legal prin Legea nr. 124/2025, o parte dintre aceste entități devin responsabile pentru adoptarea unor măsuri tehnice, organizatorice și operaționale adaptate nivelului propriu de risc, pentru a preveni și gestiona incidentele cibernetice. În acest context, ele au și obligația de a raporta prompt incidentele de securitate cibernetică semnificative, conform prevederilor legale.

În plus, Legea clarifică și lărgește domeniul vizat în sectorul alimentar, menționând expres activitățile de producție, prelucrare și/sau distribuție de alimente. Modificarea permite aplicarea reglementărilor și acelor actori economici care realizează doar parțial activitățile din sectorul alimentar, fără condiționări cumulative.

O altă noutate adusă de Lege constă în redefinirea incidentului semnificativ de securitate cibernetică. Spre deosebire de forma anterioară, noua reglementare prevede că un incident este considerat semnificativ dacă se întrunește cel puțin una dintre condițiile prevăzute, fără a fi necesară îndeplinirea lor cumulativă. Prima condiție se referă la impactul asupra entității afectate, atunci când sunt cauzate perturbări majore în activitate sau pierderi financiare importante. A doua are în vedere consecințele asupra altor persoane fizice sau juridice, în special atunci când incidentul poate provoca prejudicii materiale sau non-materiale considerabile.

Un alt aspect de reținut este completarea adusă de Lege cu privire la obligațiile organelor de conducere ale entităților esențiale și importante, stabilind în mod expres că:

Ø membrii acestora trebuie să urmeze cursuri de formare profesională acreditate în vederea asigurării unui nivel suficient de cunoștințe și competențe pentru a identifica riscurile și a evalua practicile de gestionare a riscurilor de securitate cibernetică,;

Ø obligația acestor entități, de formare profesională întregului personal în vederea asigurării unui nivel suficient de cunoştinţe şi competenţe, are caracter regulat;

Ø organele de conducere desemnează, în termen de 30 de zile de la data comunicării deciziei directorului DNSC pentru identificarea şi înscrierea în registru, responsabilii cu securitatea reţelelor şi sistemelor informatice care au rolul de a implementa şi supraveghea măsurile de gestionare a riscurilor de securitate cibernetică la nivelul entităţii.

***

Pentru informare: Directiva NIS 2 instituie un cadru juridic unitar la nivel european privind asigurarea unui nivel comun ridicat de securitate cibernetică. Aceasta impune obligații stricte pentru entitățile publice sau private, din sectoarele vizate considerate critice în caz de amenințări sau incidente cibernetice (precum energie, transport, sectorul bancar, sectorul sănatății, administrație publică, infrastructura digitală), cu scopul consolidării rezilienței operaționale și instituționale.

În acest context, entitățile vizate de noile reglementări trebuie să acorde o atenție sporită obligațiilor care decurg din Legea nr. 124/2025, să își evalueze expunerea la riscurile cibernetice și să implementeze măsuri adecvate în conformitate cu cerințele legale aplicabile.

Există ceva ce puteți face acum? Cum puteți acționa:

Până la sfârșitul lunii august 2025, pentru începerea derulării procedurilor de înregistrare a entităților aflate în scopul Legii în Registrul entităților, special constituit în acest sens, precum și pentru procedurile de raportare a incidentelor, sunt așteptate ordine ale directorului Directoratului Național de Securitate Cibernetică (DNSC).

Recomandăm începerea timpurie a verificărilor privind incidența legislației NIS2 asupra organizației dvs., termenele de conformare ulterioară fiind foarte scurte, procedura absolut nouă iar amenzile raportate la cifra de afaceri anuală la nivel mondial.

Avocații specializați în domeniul IT din cadrul Voicu & Asociații vă vor fi alături în demersurile de verificare a încadrării în scopul Legii 124/2025 și, în caz afirmativ, de îndeplinire a obligațiilor subsecvente, de înregistrare în Registrul entităților și raportare incidente.

Voicu & Asociații este un grup de societăți care oferă servicii juridice cu spectru complet, înființat în anul 2001 (inițial sub denumirea Voicu & Filipescu), fiind inclus de-a lungul timpului printre cele mai importante firme de avocatură de pe piața românească, pentru asistența și expertiza valoroase oferite clienților săi în proiecte de anvergură privind mediul de afaceri local și regional. Gama de servicii oferite, completată de-a lungul timpului de firmele specializate de practicieni în insolvență, VF Insolvență SPRL și consultanți fiscali, Voicu Financial & Tax Advisers SRL, a vizat mii de clienți, companii internaționale și naționale care activează în diverse sectoare economice.