România a început aplicarea uneia dintre cele mai dure legi pentru companii, instituții și organizații, Directiva europeană NIS2 pentru securitate cibernetică. Amenzile pentru neconformarea companiilor pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri, iar responsabilitatea principală cade acum pe conducerea firmelor, nu pe departamentul de IT, cu sancțiuni extrem de severe
Experții consultați de „Adevărul” spun că NIS2 mută răspunderea din IT în biroul directorului general.
„NIS2 nu mai tratează securitatea cibernetică drept o problemă tehnică. Răspunderea este acum la nivel de management, cu sancțiuni directe pentru conducerea companiilor care nu gestionează corect riscurile digitale. Un aspect mai puțin discutat este timpul de reacție. NIS2 obligă companiile să știe ce fac în primele ore după un atac, nu după zile sau săptămâni. În practică, multe firme descoperă că nu au proceduri clare, lanțuri de decizie sau responsabilități definite.
NIS2 schimbă și relația cu furnizorii. Companiile devin responsabile nu doar pentru propriile sisteme, ci și pentru riscurile venite din outsourcing, cloud sau software terț. Un incident la un furnizor poate deveni rapid o problemă legală și operațională pentru beneficiar. Desemnarea unui responsabil NIS nu este un exercițiu de bifat. Dacă această funcție există doar pe organigramă, fără autoritate reală și acces la conducere, conformarea rămâne formală și fragilă.
În realitate, NIS2 va separa companiile care își cunosc riscurile și le gestionează constant de cele care reacționează doar când apare o problemă. Diferența se va vedea nu la controale, ci în momentul primului incident serios”, a declarat pentru „Adevărul” expertul în securitate energetică Silviu Gresoi.
În România, între 15.000 și 20.000 de entități intră sub incidența NIS2, cu o creștere semnificativă față de aproximativ 1.000 de entități reglementate anterior prin NIS1, potrivit estimărilor Centrului de Formare APSAP. Acestea sunt obligate să implementeze măsuri tehnice, operaționale și organizatorice de securitate cibernetică, să raporteze incidentele semnificative și să se supună auditurilor de securitate.
Ce este NIS2 și ce tip de firme sunt vizate
Implementarea Directivei NIS2 marchează una dintre cele mai ferme schimbări din ultimii ani în materia securității cibernetice la nivel european, care se aplică aproape tuturor organizațiilor publice și private din România – de la companii din numeroase domeniii la spitale și diverse instituții.
În România, aceasta a fost transpusă prin OUG nr. 155/2024, un act normativ cu impact direct și imediat asupra companiilor și instituțiilor din sectoarele critice și importante ale economiei. Acest domeniu este gestionat de Directoratul Național de Securitate Cibernetică (DNSC), instituția guvernamentală care controlează și sancționează companiile care nu respectă legea.
NIS2 (Network and Information Security Directive) stabilește un cadru comun la nivelul Uniunii Europene pentru creșterea nivelului de securitate a rețelelor și sistemelor informatice. Directiva se aplică entităților esențiale și importante din domenii precum: energie, transport, sănătate, apă, infrastructură digitală, administrație publică, servicii IT&C, producție industrială, servicii financiare, dar și altor sectoare prevăzute expres în anexele actului normativ.
…..
