De ce este importantă directiva privind reziliența entităților critice și ce trebuie să știe companiile vizate

Articol scris de Ana Sebov, Director Forensic.

Ce presupune directiva? Directiva, care a intrat în vigoare în octombrie 2024, vizează entități critice din 11 sectoare: energie, transporturi, bancar, piețe financiare, sănătate, apă potabilă, ape reziduale, infrastructură digitală, administrație publică, spațiu și alimentar. Aceasta a fost transpusă în România prin Legea nr. 294/2024, care a intrat în vigoare în data de 2 decembrie 2024.

În temeiul directivei privind reziliența entităților critice, țările membre UE vor trebui să efectueze evaluări ale riscurilor privind serviciile esențiale și vor trebui să identifice entitățile critice până în iulie 2026. Odată identificate ca fiind critice, aceste entități vor trebui să efectueze propriile evaluări ale riscurilor și să adopte măsuri de sporire a rezilienței pentru a preveni, răspunde și atenua incidentele care pot perturba furnizarea de servicii esențiale.

Directiva stabilește, de asemenea, norme pentru identificarea entităților critice de importanță europeană deosebită, respectiv dacă furnizează un serviciu esențial pentru șase sau mai multe țări UE. 

De asemenea, companiile care operează în sectoare considerate critice trebuie să acorde o atenție deosebită implementării acestei directive, investind în tehnologii de securitate, formând personalul și colaborând cu autoritățile competente.

Calendarul implementării. Directiva impune un calendar strict pentru transpunerea în legislația națională și pentru identificarea entităților critice:

• octombrie 2024: statele membre UE încep să transpună directiva în legislația națională;
• ianuarie 2026: statele UE adoptă o strategie pentru creșterea rezilienței entităților critice;
• iulie 2026: statele UE desemnează și notifică entitățile critice;
• într-un interval de nouă luni de la momentul desemnării ca entități critice, acestea trebuie să efectueze evaluarea riscurilor;
• în zece luni de la momentul desemnării ca entități critice, acestea trebuie să demonstreze conformitatea cu cerințele directivei.

Ce pași trebuie să urmeze entitățile vizate:

1. Evaluarea riscurilor. Companiile trebuie să identifice și să evalueze în mod regulat toate riscurile potențiale care le-ar putea afecta operațiunile, inclusiv atacurile cibernetice, dezastrele naturale și terorismul;

2. Elaborarea unui plan de reziliență. Pe baza evaluării riscurilor, companiile trebuie să elaboreze un plan detaliat pentru a face față incidentelor și pentru a-și restabili rapid activitatea;

3. Formarea angajaților. Angajații trebuie să fie instruiți în mod regulat cu privire la cele mai bune practici de gestionare a riscurilor la care sunt expuse companiile;

4. Raportarea incidentelor. Companiile trebuie să raporteze imediat incidentele semnificative către autoritățile competente.