Sabina Vasile – Directiva privind securitatea cibernetică aduce noi obligații companiilor din România

Având în vedere creșterea gradului de utilizare a serviciilor online datorită unor factori precum pandemia de COVID-19, dezvoltarea și globalizarea mediului de afaceri, creșterea numărului atacurilor cibernetice în contextul războiului ruso-ucrainian, România a finalizat la finalul anului 2024 procedura de transpunere a Directivei UE 2022/2555 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniunea Europeană („Directiva NIS 2”). Chiar în ultima zi a anului trecut, a fost publicată în Monitorul Oficial Ordonanța de urgență nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil („OUG”).

Entitatea de supraveghere în acest sector, Directoratul Național de Securitate cibernetică („DNSC”) a anunțat, la jumătatea lunii ianuarie 2025, adoptarea legislației subsecvente pentru implementarea cadrului legislativ ce reglementează siguranța cibernetică a entităților vitale economiei în primul trimestru al anului în curs.

Analizăm mai jos cele mai importante prevederi ce vor trebui respectate de către companiile din România și care dintre acestea au obligația de a institui măsuri deosebite de securitate informatică.

Entitățile care intră în sfera sa de aplicare: Directiva NIS 2 extinde sfera de aplicare a obligațiilor referitoare securitatea cibernetică prin extinderea sectoarelor de activitate prevăzute de Directiva Directiva (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune („Directiva NIS 1”).

Entitățile care intră în sfera sa de aplicare se clasifică în „entități esențiale” și „entități importante” în funcție de gradul de importanță pe care acestea o au pentru societate și pentru economie. Potrivit OUG, entitățile importante și entitățile esențiale ce intră în sfera sa de aplicare, ca regulă, sunt societățile înregistrate pe teritoriul României care:

1. desfășoară o activitate de tipul celor menționate în Anexele I si II din OUG (e.g., societăți de furnizare energie electrică,  furnizori de servicii medicale, furnizori de servicii de comunicații electronice, furnizori de servicii de curierat, societăți care produc / prelucrează și distribuie alimente, furnizori de piețe online etc.)
2. se califică ca întreprindere medie sau mare potrivit art. 8 din OUG, care face trimitere la Legea 346/2004 privind stimularea înființării și dezvoltării întreprinderilor mici și mijlocii. În acest sens, o entitate este considerată întreprindere mijlocie dacă are între 50 și 249 de salariați și realizează o cifră de afaceri anuală netă de până la 50 milioane euro sau deține active totale care nu depășesc 43 milioane euro, în timp ce o entitate este considerată întreprindere mare dacă depășește aceste criterii.

Obligația de înregistrare la DNSC: Atât entitățile esențiale, cât și entitățile importante, au obligația de a se înregistra la DNSC în termen de 30 de zile de la intrarea în vigoare a OUG. La nivel teoretic, acest termen se va împlini la data de 31.01.2025.

Potrivit OUG, în termen de 15 zile de la intrarea sa în vigoare, DNSC ar fi trebuit să publice în Monitorul Oficial Ordinul Directorului DNSC pentru aprobarea cerințelor privind procesul de notificare în vederea înregistrării şi metoda de transmitere a informațiilor. Cu toate acestea, prin comunicatul publicat de către DNSC la data de 16.01.2025, a fost anunțată publicarea acestuia cu întârziere, în primul trimestru al anului în curs.

Obligația de a se supune procedurilor de audit: Entitățile esențiale şi entitățile importante sunt obligate să se supună efectuării unui audit de securitate cibernetică în condițiile şi cu periodicitatea stabilite prin ordin al Directorului DNSC, în funcție de nivelul de risc, evaluat conform metodologiei de evaluare a nivelului de risc al entităților cuprinse de asemenea într-un ordin al Directorului DNSC.

Auditul de securitate cibernetică presupune evaluarea tuturor politicilor, procedurilor şi măsurilor de protecție implementate în vederea identificării disfuncţionalităţilor şi a vulnerabilităților şi recomandării măsurilor de remediere a acestora.

Obligația de a implementa măsuri tehnice, operaționale și organizatorice: Entitățile esențiale și entitățile importante au obligația de a adopta măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice precum:

• politici și proceduri referitoare la analiza riscurilor și securitatea sistemelor informatice;
• politici și proceduri de divulgare coordonată a vulnerabilităților;
• politici și proceduri de evaluare a eficacității măsurilor de gestionare a riscurilor de securitate cibernetică;
• politici referitoare la securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitatea relației dintre entitate si furnizorii săi direcți;
• politici referitoare la notificarea incidentelor de securitate.

Constituirea echipelor de răspuns la incidentele de securitate cibernetică: Entitățile esențiale și entitățile importante pot constitui echipe de răspuns la incidente de securitate cibernetică, denumite „CSIRT’’, proprii sau sectoriale sau pot achiziționa servicii de specialitate de la furnizorii de servicii specifice CSIRT autorizați de către DNSC. CSIRT-urile proprii sau sectoriale sunt supuse autorizării DNSC.

Obligația de a raporta incidentele de securitate: Entitățile esențiale și entitățile importante au obligația raportării, fără întârziere nejustificată, către DNSC a oricărui incident care are un impact semnificativ asupra prestării serviciilor. În acest sens, un incident este considerat semnificativ sau impactul unui incident este considerat semnificativ dacă:

1. a provocat sau poate provoca perturbări operaționale grave ale serviciilor sau pierderi financiare pentru entitatea în cauză;
2. a afectat sau poate afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau nonmateriale considerabile.

De asemenea, în situația în care este necesar, entitățile esențiale și entitățile importante au obligația de notifica, fără întârzieri nejustificate, destinatarilor serviciilor lor, incidentele semnificative care ar putea afecta prestarea serviciilor respective.

Supravegherea de către DNSC: În scopul respectării prevederilor OUG, DNSC poate desfășura activități precum:

1. Supravegherea, verificarea și controlul entităților esențiale și entităților importante;
2. Audituri de securitate ad-hoc, realizate de un auditor de securitate cibernetică atestat;
3. Solicitarea de informații necesare pentru a evalua măsurile de gestionare a riscurilor în materie de securitate cibernetică adoptate.

În cazul entităților importante, măsurile de supraveghere și respectare a prevederilor OUG menționate pot fi dispuse exclusiv ex-post (doar după furnizarea de dovezi, indicii sau informații că o entitate importantă nu respectă prevederile OUG).

Răspunderea organelor de conducere:Una dintre cele mai importante noutăți aduse de Directiva NIS 2 este posibilitatea  atragerii răspunderii organelor de conducere ale entităților esențiale și importante.

În acest sens, precizăm că organele de conducere ale entităților esențiale și ale entităților importante aprobă măsurile privind riscurile în materie de securitate cibernetică și supraveghează punerea lor în aplicare. Acestea pot fi trase la răspundere pentru încălcarea prevederilor ce reglementează aceste obligații.

Membrii organelor de conducere ale entităților esențiale si ale entităților importante, precum și personalul acestor entități, trebuie să urmeze cursuri de formare profesională acreditate privind riscurile în materie de securitate cibernetică.

Sancțiuni: Sancțiunile maximece pot fi aplicate entităților importantesunt de până la echivalentul în RON a EUR 7 000 000 sau cel mult 1,4% din cifra de afaceri netă, luându-se în considerare valoarea cea mai mare dintre acestea, respectiv pentru entitățile esențiale, sancțiuni de până la echivalentul în RON a EUR 10 000 000 sau cel mult 2% din cifra de afaceri netă, luându-se de asemenea în calcul valoarea cea mai mare dintre acestea.

În afară de sancțiunile contravenționale menționate mai sus, DNSC poate aplica sancțiuni precum: remedierea deficiențelor identificate, încetarea conduitei entităților care încalcă dispozițiile OUG, punerea în aplicare a recomandărilor formulate ca urmare a unui incident de securitate etc.

În situația în care DNSC consideră că sancțiunile menționate nu sunt suficiente pentru a determina respectarea solicitărilor de remediere a deficiențelor într-un termen rezonabil, DNSC poate dispune:

1. sesizarea autorităților/instituțiilor competente sectorial în vederea suspendării temporare a certificării sau a autorizării emise pentru entitatea respectivă;
2. sesizarea autorităților/instituțiilor competente pentru a impune persoanelor responsabile de producerea incidentului din conducerea entității interdicția temporară de a exercita funcția de conducere la nivel de director executiv sau de reprezentant legal în entitatea în cauză.

În concluzie, dispozițiile Directivei NIS 2 au drept scop consolidarea rezilienței cibernetice a entităților esențiale sau importante pentru economia națională, sporirea responsabilității acestora și garantarea că securitatea cibernetică este tratată ca o prioritate la cele mai înalte niveluri. În scopul asigurării conformării, entitățile care intră în sfera NIS 2 trebuie astfel să investească în măsuri solide de securitate cibernetică, să își ajusteze practice de gestionare a riscurilor și să se asigure că îndeplinesc noile obligații de raportare.