Odată cu implementarea noii Directive europene NIS2, regulile privind securitatea cibernetică a întreprinderilor din sectoare strategice se schimbă radical. România a oficializat transpunerea directivei prin Ordonanța de Urgență nr. 155 din 30 decembrie 2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil.

Ce aduce nou Directiva NIS2?

Noua ordonanță urmărește să răspundă provocărilor privind diversificarea actorilor rău-intenționați din mediul online (grupuri de hackeri, entități statale sau non-statale ostile), precum și creșterea interdependențelor tehnologice (dispozitive IoT, rețele 5G, inteligență artificială) care pot expune infrastructuri critice la riscuri semnificative.

Transpusă prin Legea 362, acum abrogată, Directiva NIS1 a forțat reglementarea de măsuri obligatorii de securitate cibernetică pentru firmele de transport, spitalele și clinicile medicale, furnizorii de gaze naturale, electricitate, petrol și apă potabilă sau pentru bănci. Acum însă transpunerea Directivei NIS2 prin recenta ordonanță înseamnă o extindere a entităților obligate să ia măsuri de securitate cibernetică. Sunt vizați, de la 1 ianuarie, producătorii, prelucratorii și distribuitorii de alimente, cei care prestează servicii poștale și de curierat, cei ce gestionează deșeuri, cei ce fabrică autovehicule, echipamente electrice, computere și produse electronice și optice, precum și firmele care au marketplace-uri.

Autoritatea competentă la nivel național rămâne, în continuare, Directoratul Național de Securitate Cibernetică (DNSC), cu atribuții desupraveghere, monitorizare și sancționare pentru entitățile care nu respectă cerințele impuse de lege.

OUG 155/2024 definește sectoarele de activitate și entitățile (publice și private) pentru care normele de securitate cibernetică sunt obligatorii, inclusiv în:

• sectoare critice (energie, transporturi, infrastructură digitală, sănătate, apă și apă uzată, administrație publică centrală, spațiu etc.);
• sectoare de importanță majoră (servicii poștale și de curierat, gestionarea deșeurilor, producția și distribuția de substanțe chimice, producția alimentară, industria de fabricare, cercetare, furnizori digitali ș.a.).

Sfera de aplicare este împărțită între:

• entitățile esențiale: cele din administrația publică centrală, furnizorii de servicii DNS, prestatorii de servicii de încredere calificate și orice entitate clasificată drept „esențială” prin încadrările din anexe (energie, transporturi, sector bancar, infrastructuri de piață financiară, sănătate, alimentare cu apă, infrastructură digitală ș.a.);

O companie intră sub incidența directivei dacă:

• activează într-unul dintre sectoarele menționate,
• are peste 50 de angajați și o cifră de afaceri de peste 50 milioane EUR,
• își desfășoară activitatea într-o țară din UE.

Ce trebuie să facă întreprinderile vizate?

Înainte de toate, ordonanța impune realizarea unei analize de risc și implementarea măsurilor tehnice, organizaționale și operaționale corespunzătoare pentru protecția rețelelor și sistemelor informatice.

Organizarea unui sistem intern de management al securității cibernetice revineentităților esențiale și entităților importante, astfel cum acestea sunt definite și încadrate în actul normativ (în funcție de domeniul de activitate, criteriile de mărime și importanță sau de impactul serviciilor furnizate), care include

• numirea unei persoane responsabile de securitatea rețelelor și sistemelor informatice;
• aprobarea și monitorizarea de către organele de conducere a politicilor de securitate;
• instruirea periodică a personalului, inclusiv membri din conducere.

Sunt prevăzute obligații de audit și raportare a incidentelor, mai exact, un audit de securitate cibernetică periodic (sau ad-hoc, la cererea DNSC) pentru entitățile identificate ca fiind esențiale sau importante, precum și obligația de a raporta imediat incidentele semnificative (în maximum 24-72 de ore, în funcție de natura evenimentului) prin Platforma națională pentru raportarea incidentelor de securitate cibernetică (PNRISC).

Ce trebuie reținut e că, în cazul neconformării, DNSC și alte autorități competente pot aplica amenzi contravenționale care pot atinge până la 1,4% sau 2% din cifra de afaceri anuală (pentru entități importante, respectiv esențiale), cu unplafon de până la 7.000.000 sau 10.000.000 de euro (echivalent în lei). Totodată, se pot dispune măsuri complementare, cum ar fi suspendarea temporară a unor activități, interzicerea temporară a exercitării unor funcții de conducere sau obligarea entității la remedierea vulnerabilităților și la informarea clienților afectați

NIS2 cere mai mult decât formalități: patru piloni de securitate

Noua directivă obligă companiile să adopte o abordare sistematică în materie de securitate cibernetică, structurată în patru direcții clare:

1. Prevenție – implementarea de politici și măsuri proactive;
2. Protecție – controlul accesului, criptare, segmentare a rețelelor;
3. Detectare – monitorizarea sistemelor și identificarea timpurie a incidentelor;
4. Recuperare – capacitatea de a relua operațiunile rapid după un atac.

Totodată, orice incident cibernetic major trebuie notificat în maximum 24 de ore de la constatare.

NIS2: risc sau oportunitate?

Deși pentru multe firme conformarea la NIS2 poate părea o povară birocratică, realitatea este că această directivă oferă un cadru coerent și modern de protecție digitală. Companiile certificate conform standardului ISO/IEC 27001 pornesc cu un avantaj, dar chiar și acestea trebuie să își ajusteze procedurile de raportare și control, în linie cu cerințele noii directive.

Într-un context în care atacurile cibernetice devin tot mai frecvente și sofisticate, adaptarea la NIS2 poate însemna nu doar evitarea amenzilor, ci și construirea unei culturi reale de securitate cibernetică în interiorul organizațiilor. Pe termen lung, aceasta poate consolida încrederea clienților, partenerilor și investitorilor, dar și poziția pe piață a firmelor care tratează serios acest aspect.