TRANSPOSITION DE LA DIRECTIVE NIS2 : QUELLES OBLIGATIONS POUR LES ENTREPRISES EN ROUMANIE

Dans un contexte de complexification des risques, notamment en matière de cybersécurité, liés à l’utilisation croissante des technologies émergentes, l’Ordonnance d’Urgence du Gouvernement n° 155/2024, en vigueur depuis le 31 décembre 2024, transpose en droit national la Directive européenne 2022/2555 ¹ (« Directive NIS2 »). Celle-ci impose l’adoption d’un ensemble de mesures et mécanismes visant à garantir la cybersécurité des entreprises opérant dans des secteurs clés, tels que l’énergie, les transports, la santé, la finance ou les infrastructures numériques. Ces entreprises sont tenues de mettre en place des mesures de cybersécurité avancées pour protéger leurs réseaux et systèmes informatiques. L’objectif de ces mesures est de renforcer la capacité nationale à réagir efficacement aux évolutions régionales et globales en matière de cybersécurité.

Dans ce qui suit, nous détaillons le cadre juridique et institutionnel, ainsi que les mesures et mécanismes à adopter par les entités concernées en Roumanie, conformément à l’OUG n° 155/2024.

Les entités concernées

Conformément au nouveau texte légal, les entités soumises aux réglementations de NIS 2 sont celles qui remplissent cumulativement les conditions suivantes :

1) Être enregistrées et constituées légalement en Roumanie.

2) Être considérées comme des entités essentielles ou importantes, indépendamment de leur taille et de l’ampleur de leur activité :

• Opérer dans des secteurs à « importance critique élevée », tels que : énergie (opérateurs de distribution, de transport, producteurs, opérateurs désignés du marché de l’électricité, opérateurs de points de recharge, concessionnaires et développeurs de centrales thermiques, etc.), pétrole (opérateurs de pipelines de transport, exploitants d’installations de production, centrales de stockage), gaz (fournisseurs, opérateurs de distribution, de transport et de stockage, exploitants de systèmes GNL et de raffineries), hydrogène, transports (aérien, ferroviaire, maritime, routier), secteur bancaire, santé, finance, infrastructures numériques, espace, administration publique, traitement de l’eau, gestion des services TIC.

ou

• Opérer dans des secteurs « à importance critique », tels que : services postaux et de messagerie, gestion des déchets, fabrication, production et distribution de substances chimiques, production et distribution alimentaire, fabrication (dispositifs médicaux, ordinateurs, produits électroniques et optiques, équipements de transport), fournisseurs de services numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux), et recherche – entités de recherches.

Sont considérées comme essentielles les entités de l’administration publique centrale, celles des secteurs identifiés comme à « importance critique élevée », et « à importance critique » susmentionnées, ainsi que les entités critiques, ainsi que les fournisseurs de services DNS, les prestataires de services de confiance qualifiés et les registres de noms de domaine TLD, indépendamment de leur taille. Sont également considérées comme essentielles les grandes entreprises (plus de 250 employés ou qui ont un chiffre d’affaires net annuel supérieur à 50 millions d’euros ou des actifs d’une valeur supérieure à 43 millions d’euros) des secteurs à « importance critique élevée ».

Les entités importantes sont celles appartenant aux catégories des grandes et moyennes entreprises des secteurs à « importance critique élevée », et à « importance critique », qui ne sont pas considérées comme essentielles selon l’article 5 de l’OUG n°155/2024.

Ainsi, pour déterminer si une entreprise entre dans le champ d’application de cette législation, il est nécessaire d’examiner d’abord son objet d’activité, puis sa taille.

L’OUG ne s’applique pas aux institutions du domaine de la défense, de l’ordre public et de la sécurité nationale, conformément aux dispositions de l’article 6 de la Loi n° 51/1991 sur la sécurité nationale de la Roumanie. Elle ne s’applique pas non plus au ministère des Affaires étrangères, à l’Office du Registre National des Informations Classifiées de l’État et aux entités chargées de l’application de la loi, y compris celles impliquées dans la prévention, l’investigation et la poursuite des infractions. Les systèmes informatiques et de communication traitant des informations classifiées sont également exclus de son application.

Obligations des entités visées par NIS 2

Conformément à l’OUG n°155/2024, les entités concernées doivent mettre en œuvre des mesures de cybersécurité proportionnées aux risques auxquels elles sont exposées.

Parmi les principales obligations figurent :

• L’enregistrement auprès de la DNSC (Direction Nationale de la Sécurité Cybernétique) : chaque entité doit soumettre un dossier contenant des informations sur son nom, son adresse, son représentant légal, son secteur d’activité, les États membres où elle fournit des services, y compris ses adresses IP publiques (pour certains prestataires IT), y compris toute modification de ses données.
• L’évaluation des risques : les entités doivent identifier, évaluer et gérer les risques liés à la sécurité de leurs réseaux et systèmes informatiques.
• Les audits de cybersécurité : les entités devront se soumettre aux audits de cybersécurité réglementés par l’autorité compétente et déclarer à la DNSC la liste de leurs actifs et des risques identifiés, ainsi que d’autres documents demandés (informations sur les prestataires de services cloud, centres de données, etc.).
• Les mesures de protection : cela inclut la protection des réseaux et systèmes informatiques, la gestion des incidents cybernétiques et le management des crises.
• L’identification et notification des incidents cybernétiques : tout incident ayant un impact significatif sur la fourniture de services doit être signalé dans un délai maximum de 6 heures à l’équipe nationale d’intervention en cas d’incident de cybersécurité. Les entités doivent également notifier leurs clients si un incident significatif risque d’affecter leurs services. Un incident est considéré comme significatif s’il : a) a causé ou est susceptible de causer une interruption majeure des services ou des pertes financières pour l’entité, b) a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en entraînant des dommages matériels ou immatériels importants. La notification des incidents se fait via la plateforme nationale de signalement des incidents de cybersécurité, conformément à l’article 20 de la Loi n° 58/2023.
• La formation du personnel : les entreprises doivent former leurs employés, y compris les membres de la direction, à la prévention et à la gestion des risques cybernétiques et désigner un responsable de la sécurité des réseaux et systèmes informatiques (sauf pour les PME régies par la Loi n° 346/2004).

Sanctions en cas de non-conformité

Le non-respect de ces obligations peut entraîner des sanctions, allant de l’avertissement à des amendes pouvant atteindre 10 millions d’euros ou jusqu’à 1,4 % ou 2 % du chiffre d’affaires net (la valeur la plus élevée étant retenue), selon la nature de l’entité et des infractions constatées.

Sur décision du directeur de la DNSC, des mesures peuvent être prises pour notifier les autorités, institutions ou entités compétentes en vue de la suspension temporaire de certifications ou d’autorisations de l’entreprise concernée, pouvant impacter tout ou une partie de ses activités principales. La notification peut concerner y compris l’interdiction temporaire d’exercer les fonctions de direction (directeur exécutif ou représentant légal) au sein de l’entité visée.

Note

1. Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)