TRANSPUNEREA DIRECTIVEI NIS2: CE OBLIGAȚII NOI APAR PENTRU COMPANII

În contextul riscurilor complexe generate de adoptarea tehnologiilor emergente, susceptibile să genereze efecte semnificative asupra securității cibernetice, OUG nr. 155/2024, în vigoare din 31 decembrie 2024, transpune în legislația națională Directiva europeană NIS 2 ¹. Aceasta impune adoptarea unui set de măsuri și mecanisme de asigurare a securității cibernetice pentru companiile din sectoare considerate esențiale, precum energie, transporturi, sănătate, domeniul financiar și infrastructura digitală. Aceste companii sunt astfel obligate să adopte măsuri de securitate cibernetică avansate pentru protejarea rețelelor și sistemelor informatice proprii, cu scopul de a consolida capacitatea naţională de a reacţiona la evoluţiile regionale şi globale din domeniul securităţii cibernetice.

Entitățile vizate

Conform Ordonanței menționate, entitățile care sunt supuse reglementărilor NIS 2 trebuie să îndeplinească, cumulativ, următoarele condiții:

1- Să fie înregistrate și constituite legal în România;

2- Să fie considerate entități esențiale sau importante, indiferent de dimensiunea și anvergura afacerii.

• Să opereze în sectoare cu importanță critică ridicată, precum : energie (operatori de distribuție, transport, producători, operatori desemnați ai pieței de energie electrică, operatorii unui punct de reîncărcare, concesionari și dezvoltatori de centrale termice etc.), petrol (operatori de conducte de transport, ai instalațiilor de producție, centrale de stocare), gaze (întreprinderi de furnizare, operatori de distribuție, de transport și de sistem, de înmagazinare, de sistem GNL, operatori de instalație de rafinare etc.), hidrogen, transport (aerian, feroviar, maritim, rutier), sector bancar, sănătate, domeniul financiar, infrastructură digitală, spațiu, administrație publică, tratarea apei, gestionarea serviciilor TIC.

sau

• Să opereze în sectoare de importanță critică, precum: servicii poștale și de curierat, gestionarea deșeurilor, fabricarea, producția și distribuția de substanțe chimice, producția, prelucrarea și distribuția de alimente, fabricație (dispozitive medicale, computere, produse electronice și optice, alte echipamente de transport), furnizorii digitali (de piețe online, de motoare de căutare online, de platforme de servicii de socializare în rețea), cercetare–organizațiile de cercetare.

Conform legii, sunt considerate esențiale entitățile administrației publice centrale, cele din sectoarele prezentate drept “de importanță critica ridicată” și “importanță critică”, descrise mai sus, entitățile critice, precum și indiferent de dimensiune - furnizorii de servicii DNS, prestatorii de servicii de încredere calificați și registrele de nume TLD. De asemenea, sunt considerate esențiale întreprinderile mari (peste 250 de angajați sau care au un venit net anual de peste 50 milioane de euro, echivalent în lei sau care dețin active a căror valoare este de 43 milioane de euro echivalent în lei) din sectoarele prezentate drept “de importanță critică ridicată”.

Entitățile importante sunt acele entități din categoriile întreprinderilor mari și mijlocii din sectoarele prezentate drept “de importanță critică ridicată” și “de importanță critică” și care nu sunt identificate drept entități esentiale, conform art. 5 din OUG 155/2024.

Rezultă, astfel, că pentru a verifica dacă o întreprindere se încadrează în domeniul de aplicare al ordonanței, trebuie analizate mai întâi obiectul de activitate și apoi dimensiunea companiei.

Ordonanța de urgenţă nu se aplică instituţiilor din domeniul apărării, ordinii publice şi securităţii naţionale, conform dispoziţiilor art. 6 din Legea nr. 51/1991 privind securitatea naţională, și nici M.A.E., Oficiului Registrului Naţional al Informaţiilor Secrete de Stat şi entităţilor cu atribuţii în domeniul aplicării legii, inclusiv prevenirii, investigării, depistării şi urmăririi penale a infracţiunilor. Sunt, de asemenea, exceptate de la aplicarea ordonanței sistemele informatice şi de comunicaţii care vehiculează informaţii clasificate.

Obligațiile ce decurg din Directiva NIS2

Entitățile vizate au obligația de a implementa măsuri de securitate cibernetică proporționale cu riscurile la care sunt expuse. Printre principalele obligații se numără:

• Înregistrarea la DNSC: pentru înregistrarea la autoritatea competentă, fiecare entitate trebuie să depună un dosar cu informații și documente referitoare la denumirea entității, adresa sediului social principal și adresele altor sedii din UE, dacă este cazul, repezentantul entității, sectorul de activitate și tipul activităților, statele membre în care entitatea furnizează servicii, inclusiv adresele de IP publice ale entității (pentru anumiți furnizori de servicii IT), orice modificări care apar cu privire la datele entității;
• Evaluarea riscurilor: Entitățile trebuie să identifice, să evalueze și să gestioneze riscurile aferente securității rețelelor și a sistemelor informatice utilizate în activitățile lor;
• Audituri de securitate cibernetică: Companiile trebuie să se supună efectuării unui audit de securitate cibernetică, conform reglementărilor autorității competente, și să raporteze către Direcția Națională de Securitate Cibernetică (DNSC) lista activelor relevante deținute și lista riscurilor identificate, precum și alte documente solicitate (date cu privire la prestatorii de servicii de încredere, furnizorii de servicii cloud computing, servicii de centre de date etc.), în conformitate cu prevederile OUG 155/2024 și ale Ordinului directorului DNSC;
• Măsuri de protecție: Acestea includ măsuri de protecție a rețelelor și sistemelor informatice, gestionarea incidentelor cibernetice și managementul crizelor; • Identificarea și raportarea incidentelor cibernetice: Orice incident cu un impact semnificativ asupra furnizării serviciilor se va raporta în termen de maximum 6 ore, echipei naționale de răspuns la incidente de securitate cibernetică și, dacă este cazul, entitățile vizate trebuie să notifice, fără întârziere nejustificată, destinatarii serviciilor lor cu privire la incidente semnificative care ar putea afecta negativ furnizarea acestor servicii. Un incident se consideră semnificativ sau impactul unui incident este considerat semnificativ dacă: a) a cauzat sau este capabil să cauzeze întreruperea severă a operațiunilor serviciilor sau pierderi financiare pentru entitatea vizată; b) a afectat sau este capabil să afecteze alte persoane fizice sau juridice prin cauzarea de daune materiale sau nemateriale considerabile. Potrivit art. 20 din Legea nr. 58/2023 raportarea incidentelor de securitate se realizează prin platforma națională pentru raportarea incidentelor de securitate cibernetică;
• Formarea personalului: Entitățile trebuie să asigure instruirea personalului, inclusiv a membrilor organelor de conducere, pentru a preveni și gestiona riscurile cibernetice și să desemneze persoana responsabilă cu securitatea rețelelor și sistemelor informatice (cu excepția IMM constituite în acord cu Legea nr. 346/2004).

Sancțiuni

Nerespectarea acestor obligații poate atrage sancțiuni – avertisment sau amenzi contravenționale - cuprinse între 5.000 de lei și 10.000.000 euro în echivalentul în lei sau cel mult 1,4% sau 2% din cifra de afaceri netă (se ia în considerare valoarea cea mai mare dintre acestea), în funcție de tipul entității și contravențiile constatate în conformitate cu prevederile OUG nr. 155/2024.

Prin decizie a directorului DNSC, se poate dispune totodată sesizarea autorităților, instituțiilor sau entităților competente sectorial, în vederea suspendării temporare a certificării sau a autorizării emise pentru entitatea în cauză, pentru o parte sau pentru toate serviciile relevante furnizate sau pentru activitățile relevante desfășurate de entitatea vizată. Sesizarea poate viza inclusiv interdicția temporară de a exercita funcția de conducere la nivel de director executiv sau de reprezentant legal în entitatea în cauză.

Notă

1. DIRECTIVA (UE) 2022/2555 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 14 decembrie 2022 privind măsurile pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014, a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2)