avocatnet.ro 
În contextul transformărilor tehnologice rapide, al conflictelor regionale și al lecțiilor învățate în urma pandemiei, Guvernul a adoptat la final de an OUG nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil, act prin care se traspune în mod oficial Directiva NIS2 și care abrogă și înlocuiește în mare parte, cu excepția a două capitole, vechile prevederi din Legea nr. 362/2018 (cea care asigurase transpunerea Directivei NIS1). În linii mari, noua ordonanță urmărește să răspundă provocărilor privind diversificarea actorilor rău-intenționați din mediul online (grupuri de hackeri, entități statale sau non-statale ostile), precum și creșterea interdependențelor tehnologice (dispozitive IoT, rețele 5G, inteligență artificială) care pot expune infrastructuri critice la riscuri semnificative.
Transpusă prin Legea 362, acum abrogată, Directiva NIS1 a forțat reglementarea de măsuri obligatorii de securitate cibernetică pentru firmele de transport, spitalele și clinicile medicale, furnizorii de gaze naturale, electricitate, petrol și apă potabilă sau pentru bănci. Acum însă transpunerea Directivei NIS2 prin recenta ordonanță înseamnă o extindere a entităților obligate să ia măsuri de securitate cibernetică. Sunt vizați, de la 1 ianuarie, producătorii, prelucratorii și distribuitorii de alimente, cei care prestează servicii poștale și de curierat, cei ce gestionează deșeuri, cei ce fabrică autovehicule, echipamente electrice, computere și produse electronice și optice, precum și firmele care au marketplace-uri.
Notă: Autoritatea competentă la nivel național rămâne, în continuare, Directoratul Național de Securitate Cibernetică (DNSC), cu atribuții de supraveghere, monitorizare și sancționare pentru entitățile care nu respectă cerințele impuse de lege.
OUG 155/2024 definește sectoarele de activitate și entitățile (publice și private) pentru care normele de securitate cibernetică sunt obligatorii, inclusiv în:
- sectoare critice (energie, transporturi, infrastructură digitală, sănătate, apă și apă uzată, administrație publică centrală, spațiu etc.);
- sectoare de importanță majoră (servicii poștale și de curierat, gestionarea deșeurilor, producția și distribuția de substanțe chimice, producția alimentară, industria de fabricare, cercetare, furnizori digitali ș.a.).
Sfera de aplicare este împărțită între:
- entitățile esențiale: cele din administrația publică centrală, furnizorii de servicii DNS, prestatorii de servicii de încredere calificate și orice entitate clasificată drept „esențială” prin încadrările din anexe (energie, transporturi, sector bancar, infrastructuri de piață financiară, sănătate, alimentare cu apă, infrastructură digitală ș.a.);
- entitățile importante: organizate după criteriul de mărime (întreprinderi mari și mijlocii) și care furnizează servicii considerate critice, dar care nu se încadrează la entități esențiale; exemple - operatori de gestiune a deșeurilor, servicii poștale și de curierat, producție alimentară, anumite fabrici etc.
| Pentru a determina dacă o companie intră sub incidența OUG 155/2024, ar trebui identificat mai întâi obiectul de activitate - cele două anexe ale ordonanței cuprind sectoarele cu o importanță critică; dacă domeniul de activitate al companiei figurează în oricare dintre aceste anexe, există șanse mari să fie vizată de obligațiile privind securitatea cibernetică. Apoi, trebuie văzută eventuala încadrare ca entitate esențială sau importantă, unde se analizează mărimea companiei, impactul serviciilor prestate, criteriile de importanță, precum și riscurile/perturbările semnificative asupra societății ori economiei. |
Înainte de toate, ordonanța impune realizarea unei analize de risc și implementarea măsurilor tehnice, organizaționale și operaționale corespunzătoare pentru protecția rețelelor și sistemelor informatice.
Organizarea unui sistem intern de management al securității cibernetice revine entităților esențiale și entităților importante, astfel cum acestea sunt definite și încadrate în actul normativ (în funcție de domeniul de activitate, criteriile de mărime și importanță sau de impactul serviciilor furnizate), care include
- numirea unei persoane responsabile de securitatea rețelelor și sistemelor informatice;
- aprobarea și monitorizarea de către organele de conducere a politicilor de securitate;
- instruirea periodică a personalului, inclusiv membri din conducere.
Sunt prevăzute obligații de audit și raportare a incidentelor, mai exact, un audit de securitate cibernetică periodic (sau ad-hoc, la cererea DNSC) pentru entitățile identificate ca fiind esențiale sau importante, precum și obligația de a raporta imediat incidentele semnificative (în maximum 24-72 de ore, în funcție de natura evenimentului) prin Platforma națională pentru raportarea incidentelor de securitate cibernetică (PNRISC).
Ce trebuie reținut e că, în cazul neconformării, DNSC și alte autorități competente pot aplica amenzi contravenționale care pot atinge până la 1,4% sau 2% din cifra de afaceri anuală (pentru entități importante, respectiv esențiale), cu un plafon de până la 7.000.000 sau 10.000.000 de euro (echivalent în lei). Totodată, se pot dispune măsuri complementare, cum ar fi suspendarea temporară a unor activități, interzicerea temporară a exercitării unor funcții de conducere sau obligarea entității la remedierea vulnerabilităților și la informarea clienților afectați.
„Aria de aplicare a NIS2 s-a extins. Operatorii economici trebuie să verifice, în primul rând, dacă legislația li se aplică în mod direct și să înceapă să se pregătească. O noutate importantă este că NIS2 se aplică și indirect, pe lanțul de aprovizionare. În acest fel se asigură că cerințele de securitate și măsurile de protecție se propagă de la operatorii economici din sectoarele cărora NIS2 se aplică, în mod direct, către furnizorii lor. Astfel, impactul este mult mai mare.
Pentru a se pregăti în asigurarea conformității cu NIS2, firmele pot urma câteva etape”, a explicat Constantin Burdun, Deputy CEO la certSIGN, pentru avocatnet.ro în octombrie anul trecut. Interviul integral și sfaturile acestuia, aici.
smndraghici 
Adriantot
Comentarii articol (0)