Transpunerea Directivei NIS2 în România – Siguranța cibernetică
Prin ordonanța de urgență adoptată la finalul anului (OUG 155/2024), este implementat în România un nou cadru juridic privind măsurile și mecanismele necesare pentru asigurarea securității cibernetice a rețelelor și sistemelor informatice. Obligațiile sunt aplicabile entităților esențiale și importante, astfel cum sunt calificate conform OUG 155, respectiv entități care îndeplinesc criteriile de mărime și relevanță stabilite prin ordonanță și care desfășoară activități în domeniile identificate în anexele ordonanței.
Sunt vizate sectoare precum energie, transport, domeniul financiar – bancar, sănătate, apă potabilă și ape uzate, infrastructură digitală, servicii IT&C, servicii spațiale, servicii poștale și de curierat, gestionarea deșeurilor, producția și distribuția de substanțe chimice, sectorul alimentar, dar și activitățile de producție aferente fabricării de dispozitive medicale, mașini și echipamente de transport, computere, produse electronice și optice, echipamente electrice etc.
Pe scurt, principalele obligații prevăzute de legislație:
1. Înregistrarea la Directoratul National de Securitate Cibernetica (DNSC), autoritatea competenta in domeniu, în registrul entităților esențiale si importante.
2. Realizarea și transmiterea către DNSC de autoevaluări anuale cu privire la nivelul de risc, în conformitate cu cerințe ce urmează a fi stabilite de DNSC.
3. Implementarea de măsuri de gestionare a riscurilor de securitate cibernetică, conform standardelor aprobate de DNSC, ce vizează atât aspecte de guvernanță (e.g. implementarea de politici, proceduri și procese interne), cât și aspecte tehnice.
4. Realizarea de audituri de securitate periodice.
5. Raportarea către DNSC (prin platforma PNRISC) a incidentelor de securitate cu impact semnificativ sau cu efecte transfrontaliere
6. Desemnarea unor responsabili cu securitatea rețelelor și sistemelor informatice (Responsabil NIS)
7. Asigurarea formării profesionale a întregului personal și în special a membrilor organelor de conducere, ce vor trebui să urmeze cursuri acreditate în vederea asigurării unui nivel suficient de cunoștințe și competente pentru a identifica riscurile și a evalua practicile de gestionare a riscurilor de securitate cibernetica.
8. Totodată, sunt instituite obligații și responsabilități specifice pentru organele de conducere ale entităților esențiale și importante, care, conform OUG 155, aprobă măsurile de gestionare a riscurilor de securitate cibernetică, supraveghează punerea acestora în aplicare și sunt responsabile de încălcarea acestor dispoziții.
Ca precizare importantă, în acest moment nu există norme tehnice și legislație subsecventă cu privire la implementarea OUG 155 – din acest motiv, majoritatea obligațiilor nu sunt încă, în practică, aplicabile. DNSC a anunțat că ordinele directorului DNSC necesare pentru implementarea noii legislații vor fi emise în primul trimestru al anului în curs. Link către comunicatul DNSC: https://dnsc.ro/citeste/comunicat-de-presa-legislatia-subsecventa-de-implementare-a-oug-155-2024.
Colegii noștri vă pot ajuta cu informații suplimentare și cu sprijin în demersurile de conformare în legătură cu legislația NIS2. Pentru detalii, vă invităm să o contactați pe colega noastră, Roxana Guiman.
Transposition of the NIS2 Directive in Romania – Cybersecurity
Through the emergency ordinance adopted at the end of the year (GEO 155/2024), a new legal framework on the measures and mechanisms necessary to ensure the cybersecurity of information networks and systems is implemented in Romania. The obligations are applicable to essential and important entities, as qualified under GEO 155, i.e. entities that fulfil the size and relevance criteria set out in the ordinance and which carry out activities in the areas identified in the annexes to the ordinance.
It covers sectors such as energy, transport, finance and banking, health, drinking water and waste water, digital infrastructure, IT&C services, space services, postal and courier services, waste management, chemicals production and distribution, food, as well as manufacturing activities related to the production of medical devices, machinery and transport equipment, computers, electronic and optical products, electrical equipment etc.
In summary, the main obligations laid down in the legislation:
1. Registration with the National Cyber Security Directorate (DNSC), the competent authority in the field, in the register of essential and important entities.
2. Conducting and submitting to the DNSC annual self-assessments on the level of risk, in accordance with the requirements to be established by the DNSC.
3. Implementation of cybersecurity risk management measures, according to the DNSC approved standards, covering both governance (e.g. implementation of internal policies, procedures and processes) and technical aspects.
4. Conducting regular security audits.
5. Reporting to the DNSC (via the PNRISC platform) of security incidents with significant impact or cross-border effects.
6. Designation of persons responsible for information networks and systems (NIS Officer).
7. Ensuring professional training for all staff and in particular for members of the management bodies, who will be required to attend accredited courses to ensure a sufficient level of knowledge and competence to identify risks and assess cybersecurity risk management practices.
8. Also, it establishes specific obligations and responsibilities for the management bodies of essential and important entities, which, under GEO 155, approve cybersecurity risk management measures, supervise their implementation and are responsible for infringements of these provisions.
As an important clarification, there are currently no technical rules and subsequent legislation regarding the implementation of GEO 155 – for this reason, most of the obligations are not yet applicable in practice. The DNSC has announced that the DNSC Manager’s orders necessary to implement the new legislation will be issued in the first quarter of this year. Link to the DNSC press release: https://dnsc.ro/citeste/comunicat-de-presa-legislatia-subsecventa-de-implementare-a-oug-155-2024.
Our colleagues can assist you with further information and support in your NIS2 compliance endeavours. For details, please contact our colleague, Roxana Guiman.
