Directiva NIS 2 – Noua arhitectură a securității cibernetice în Uniunea Europeană și România

News

La finalul anului 2022, Uniunea Europeană a adoptat Directiva (UE) 2022/2555 (NIS 2), menită să stabilească un nivel comun ridicat de securitate cibernetică în întreaga Uniune. Aceasta reprezintă o actualizare și extindere semnificativă a Directivei NIS 1, adaptată la contextul actual de amenințări și interdependențe digitale.

În România, această directivă a fost transpusă prin Ordonanța de urgență nr. 155/2024, care stabilește cadrul legislativ pentru securitatea cibernetică în spațiul cibernetic național civil. Implementarea și supravegherea acesteia revin Directoratului Național de Securitate Cibernetică (DNSC).

  1. Cine trebuie să respecte OUG 155/2024?

Ordonanța se aplică entităților esențiale și importante, active în domenii strategice pentru funcționarea societății. Printre acestea se numără:

  • Entități Esențiale (EE): din sectoarele de energie, transporturi, sănătate, apă potabilă, infrastructură digitală, administrație publică, spațiu, piețe financiare.
  • Entități Importante (EI): din sectoarele de servicii poștale și de curierat, gestionarea deșeurilor, industria chimică, producție alimentară, servicii digitale, cloud computing etc.

O societate este vizată dacă:

  1. Activează într-un domeniu reglementat de directivă.
  2. Are o dimensiune medie sau mare (conform criteriilor UE).
  3. Furnizează servicii critice sau are o poziție strategică în economie.

Chiar și entitățile mici pot fi incluse dacă:

  • sunt singurele care furnizează un anumit serviciu vital;
  • un incident la nivelul lor ar putea afecta siguranța publică, economia sau sănătatea;
  • au o interdependență semnificativă cu alte infrastructuri critice.

Entitățile din sectorul financiar, reglementate în principal de Regulamentul DORA, intră sub incidența OUG 155/2024 doar parțial, în special în ceea ce privește cooperarea, analiza riscurilor și înregistrarea.

  1. Obligații impuse de Directiva NIS 2 / OUG 155/2024
  2. Măsuri de securitate cibernetică (art. 17-21 NIS2)
  • Implementarea de măsuri tehnice și organizaționale eficiente;
  • Protecția infrastructurilor critice și a datelor sensibile;
  • Asigurarea confidențialității, integrității și disponibilității sistemelor IT.
  1. Raportarea incidentelor (art. 23-24 NIS2)
  • Incidentele semnificative trebuie raportate în termen de 24 de ore de la constatare către DNSC sau CSIRT.
  • Trebuie implementate proceduri interne clare de alertare și răspuns la incidente.
  1. Managementul riscurilor
  • Evaluarea periodică a riscurilor cibernetice;
  • Pregătirea personalului prin formare și conștientizare;
  • Măsuri proactive de prevenire și de răspuns în caz de incident.
  1. Audit și supraveghere (art. 20 NIS2)
  • DNSC va efectua audituri și controale pentru a verifica respectarea cerințelor.
  • Entitățile trebuie să coopereze cu autoritățile și să participe la inspecții periodice.
  1. Managementul lanțului de aprovizionare (art. 28 NIS2)
  • Organizațiile trebuie să se asigure că și furnizorii lor respectă standardele de securitate cibernetică;
  • În special, se impune monitorizarea atentă a furnizorilor de servicii esențiale (ex: cloud, software, infrastructură).
  • Contestarea înregistrării ca entitate vizată

DNSC are competența de a include o societate în registrul entităților vizate, chiar dacă aceasta nu s-a identificat voluntar. Notificarea transmisă de autoritate poate fi contestată la Curtea de Apel București, fără parcurgerea unei proceduri administrative prealabile.

Important: contestarea nu suspendă efectele notificării. Prin urmare, este esențial ca orice răspuns să se bazeze pe o analiză juridică și operațională solidă.

  1. NIS 2 vs. DORA – Două reglementări complementare

Caracteristică

Directiva NIS 2

Regulamentul DORA

Domeniu de aplicare

Infrastructură critică (multiple sectoare)

Exclusiv sectorul financiar

Abordare riscuri terți

Generală, adaptabilă

Foarte detaliată (inclusiv testare TIC)

Reglementări

Cadru flexibil, adaptabil național

Norme uniforme, direct aplicabile

 

Deși ambele acte reglementează securitatea cibernetică, ele au domenii de aplicare diferite.

 

Concluzie

Directiva NIS 2 și OUG 155/2024 marchează un nou standard în protecția infrastructurilor critice și a serviciilor digitale în Uniunea Europeană. Pentru entitățile publice și private vizate, respectarea acestor reglementări nu este doar o obligație legală, ci o investiție în reziliența cibernetică și protecția propriei activități.

Este esențial ca organizațiile să evalueze rapid dacă sunt supuse noilor obligații și să demareze procesul de conformare. Într-un mediu digital tot mai complex și expus, prevenția, pregătirea și reacția rapidă sunt elemente-cheie ale sustenabilității și securității afacerii.