Transpunerea Directivei NIS 2 (Network and Information Security) în legislația românească prin OUG 155/2024 marchează un moment definitoriu în consolidarea rezilienței cibernetice a României. Această nouă reglementare vine pe fondul unui context geopolitic dificil și al unei creșteri accelerate a atacurilor cibernetice, impunând un cadru extins și actualizat pentru protecția infrastructurilor critice și gestionarea proactivă a riscurilor.
România, pe drumul consolidării securității cibernetice
Securitatea cibernetică este un pilon fundamental al economiei și al stabilității funcționale a serviciilor esențiale. România a înregistrat progrese notabile în acest domeniu prin:
✔ Legea 362/2018, care a transpus prima versiune a Directivei NIS
✔ OUG 104/2021, prin care a fost înființat Directoratul Național de Securitate Cibernetică (DNSC)
✔ HG 1321/2021, care a aprobat Strategia Națională de Securitate Cibernetică
✔ Legea 58/2023, care reglementează securitatea și apărarea cibernetică a României
Cu toate acestea, complexitatea tot mai mare a atacurilor cibernetice și accelerarea digitalizării au impus o revizuire a cadrului legislativ pentru a alinia România la noile standarde europene.
Elemente-cheie ale Directivei NIS 2
Directiva NIS 2 introduce măsuri stricte de identificare, prevenire și gestionare a riscurilor cibernetice, având ca scop:
✔ Creșterea protecției infrastructurilor critice – Organizațiile trebuie să efectueze evaluări periodice ale riscurilor și să implementeze măsuri avansate de securitate pentru prevenirea atacurilor.
✔ Extinderea domeniului de aplicare – 11 noi sectoare critice sunt incluse, precum energie, transporturi, sănătate, infrastructură digitală, servicii poștale, producția de alimente și chimicale.
✔ Securitatea lanțurilor de aprovizionare – Firmele trebuie să asigure protecția furnizorilor terți de servicii, reducând vulnerabilitățile.
✔ Raportarea rapidă a incidentelor cibernetice – Entitățile sunt obligate să notifice autoritățile naționale fără întârzieri nejustificate, asigurând gestionarea eficientă a incidentelor.
✔ Implicarea directă a top managementului – Responsabilitatea pentru gestionarea riscurilor cibernetice revine echipei de conducere, care trebuie să participe la instruiri periodice și exerciții de simulare a crizelor cibernetice.
✔ Planuri stricte de continuitate a afacerii – Organizațiile trebuie să dezvolte strategii clare pentru a asigura funcționarea serviciilor esențiale în cazul unui atac cibernetic major.
Ce măsuri trebuie să ia organizațiile vizate?
Implementarea Directivei NIS 2 impune un model proactiv de securitate cibernetică. Pentru a evita sancțiuni și pentru a asigura continuitatea operațională, companiile trebuie să:
🔹 Revizuiască și implementeze strategii avansate de securitate pentru prevenirea riscurilor
🔹 Asigure protecția lanțurilor de aprovizionare și monitorizarea furnizorilor terți
🔹 Stabilească mecanisme rapide de raportare a incidentelor cibernetice
🔹 Implice echipa de top management în procesul de gestionare a securității IT
🔹 Elaboreze planuri de continuitate a activității, pentru a face față eventualelor atacuri
Concluzie
Prin adoptarea OUG 155/2024, România face un pas semnificativ în consolidarea securității cibernetice și alinierea la standardele UE. Noile măsuri aduc provocări, dar și oportunități pentru companii, oferindu-le un cadru legislativ clar pentru protejarea infrastructurilor critice și gestionarea eficientă a amenințărilor digitale.
Material de opinie de Raluca Anton, Cyber Strategy Senior Manager, și Octavian Popa, Cyber Strategy Manager, Deloitte România
