Noi Obligații de Securitate Cibernetică pentru Firme: Ghid DNSC și Termen Limită NIS2

bylitigio.net - 0

Monitorul Oficial nr. 776 din 20 august 2025 aduce două acte normative esențiale pentru securitatea cibernetică națională: Ordinul DNSC nr. 1/2025 și Ordinul DNSC nr. 2/2025. Acestea stabilesc cerințele de notificare și metodologia de evaluare a riscului pentru entitățile considerate esențiale sau importante conform Directivei NIS2. Companiile vizate au un termen scurt pentru a-și îndeplini noile obligații, cu un impact direct asupra rezilienței digitale a României.

În era digitală, securitatea cibernetică nu mai este o opțiune, ci o necesitate absolută. Uniunea Europeană a răspuns acestei provocări prin Directiva NIS2, care impune standarde ridicate de securitate pentru o gamă largă de entități. În România, transpunerea acestei directive se realizează prin Ordonanța de urgență a Guvernului nr. 155/2024. Pentru a asigura aplicarea coerentă și eficientă a acestor prevederi, Directoratul Național de Securitate Cibernetică (DNSC) a emis recent două ordine cruciale, publicate în Monitorul Oficial Partea I, nr. 776 din 20 august 2025, care detaliază pașii pe care entitățile esențiale și importante trebuie să îi urmeze.

Ordinul DNSC nr. 1/2025: Cerințele de notificare și înregistrare a entităților

Acest act normativ, intitulat Ordinul directorului Directoratului Național de Securitate Cibernetică pentru aprobarea Cerințelor privind procesul de notificare în vederea înregistrării și metoda de transmitere a informațiilor, este fundamental pentru toate organizațiile care se încadrează în categoriile de entități esențiale sau importante, conform anexelor nr. 1 și 2 la OUG 155/2024. Scopul său principal este de a procedură și standardiza procesul de înregistrare în Registrul entităților identificate ca atare, precum și de a stabili metodele de transmitere a informațiilor către DNSC.

Ce aduce nou Ordinul nr. 1/2025 pentru companii?

  • Instrumente Digitale Facilitatoare: Pentru a simplifica procesul de identificare, calificare și notificare, DNSC pune la dispoziția entităților două mecanisme digitale:
    • Instrumentul NIS2@RO: Un program utilizabil local, destinat evaluării inițiale și generării datelor necesare pentru notificare. Acesta este util pentru o pre-evaluare a încadrării.
    • Platforma NIS2@RO: O platformă online dedicată înrolării, informării și cooperării. Aceasta va reprezenta principala metodă de transmitere a notificărilor și de interacțiune cu DNSC. Accesul se face pe baza unui cont de utilizator, prin autentificare pe site-ul platformanis2.ro.

    Ghidurile de utilizare pentru ambele mecanisme sunt incluse în cadrul acestora, oferind instrucțiuni detaliate.

  • Structura Formularului de Notificare: Formularul standardizat este împărțit în șase secțiuni clare, solicitând informații detaliate despre entitate:
    • Date generale: Identitatea entității (denumire, CUI/nr. înregistrare), date de contact (adresă, email, URL, telefon) și activitatea desfășurată (CAEN principal și secundar, dacă se încadrează în sectoarele relevante).
    • Date specifice: Dimensiunea entității (număr mediu de salariați, cifră de afaceri, active totale – conform Legii 346/2004 privind IMM-urile), serviciile furnizate (sector, subsector, tip de entitate), datele persoanei responsabile cu securitatea cibernetică (dacă este desemnată), mijloacele permanente de contact și persoana însărcinată cu monitorizarea acestora, intervalele de adrese IP publice și prezența în Uniunea Europeană.
    • Situații specifice: Rezultatele autoevaluării impactului perturbării serviciului, dacă entitatea a fost identificată ca entitate critică (Legea 294/2024) și analize privind dependența de infrastructuri informatice de interes național sau statutul de furnizor unic al unui serviciu esențial.
    • Documente anexate: Obligația de a atașa documente justificative care atestă încadrarea în plafoanele de dimensiune (ex: extrase Registrul Comerțului, situații financiare) și, după caz, autoevaluarea impactului.
    • Evaluare preliminară: Propunerea de calificare a entității (esențială/importantă) rezultată din autoevaluare.
    • Reprezentare entitate: Datele reprezentantului legal care atestă veridicitatea informațiilor declarate.

    Formularul final se salvează în format .PDF și se semnează electronic sau olograf, înainte de transmitere.

  • Modalități de Transmitere a Notificării: Deși Platforma NIS2@RO este metoda principală și preferată, în caz de indisponibilitate, notificarea se poate face prin poșta electronică la adresa evidenta@dnsc.ro sau prin depunere fizică la sediul DNSC. Data primirii notificării este cea la care DNSC confirmă primirea (nu mai târziu de 5 zile lucrătoare pentru electronic, sau la momentul depunerii fizice).
  • Obligația de Actualizare a Datelor: Entitățile înregistrate au responsabilitatea de a notifica DNSC cu privire la orice modificare a datelor declarate. Dacă aceste modificări duc la o schimbare a categoriei (de la "importantă" la "esențială" sau invers), procesul de notificare trebuie reluat.

Termenul limită pentru Notificare

Un aspect de maximă importanță, subliniat în Art. 14 din anexa la Ordinul nr. 1/2025, este că întregul proces de notificare în vederea înregistrării în registrul entităților nu poate depăși un termen de 30 de zile de la data publicării ordinului în Monitorul Oficial. Având în vedere că acest ordin a fost publicat pe 20 august 2025, termenul limită pentru finalizarea notificării este 19 septembrie 2025. Această dată reprezintă un punct critic pentru toate entitățile vizate, impunând o acțiune rapidă și decisivă.

Ordinul DNSC nr. 2/2025: Criterii de perturbare și Metodologia de evaluare a Riscului

Complementar primului, Ordinul directorului Directoratului Național de Securitate Cibernetică pentru aprobarea Criteriilor și pragurilor de determinare a gradului de perturbare a unui serviciu și a Metodologiei privind evaluarea nivelului de risc al entităților (Ordinul nr. 2/2025) oferă cadrul metodologic pentru autoevaluarea riscului cibernetic. Acesta este destinat entităților care nu au fost deja calificate ca esențiale sau importante prin alte criterii ale OUG 155/2024, ajutându-le să își determine încadrarea și nivelul de măsuri de securitate necesare.

Ce prevede Ordinul nr. 2/2025?

  • Definiția și Evaluarea Perturbării Serviciilor: Ordinul definește "perturbarea unui serviciu" ca fiind întreruperea sau afectarea confidențialității/funcționării acestuia. Entitățile trebuie să analizeze efectul potențial al unor astfel de perturbări asupra tuturor serviciilor pe care le prestează și care intră sub incidența OUG 155/2024.
  • Criterii și Praguri de Impact: Impactul perturbării unui serviciu este clasificat în "ridicat", "mediu" sau "scăzut", pe baza unor praguri specifice:
    • Impact ridicat: Consecințe foarte grave/catastrofale la nivel național. Exemple includ afectarea datelor personale a peste 1.000.000 de persoane, pierderi economice de peste 0,1% din PIB-ul României, decesul a peste 50 de persoane sau afectarea capacității statului de a asigura apărarea și securitatea națională.
    • Impact mediu: Consecințe grave la nivel național, dar de o amploare mai redusă decât cele ridicate.
    • Impact scăzut: Consecințe limitate, care permit entității să își îndeplinească funcțiile principale, deși cu eficacitate redusă.

    Aceste praguri sunt esențiale pentru a determina dacă o entitate, care nu a fost deja identificată ca esențială sau importantă, se încadrează în aceste categorii pe baza impactului potențial al unei perturbări.

  • Instrumentul ENIRE@RO și Calculul Riscului: DNSC dezvoltă instrumentul ENIRE@RO pentru a sprijini entitățile în evaluarea nivelului lor de risc. Calculul se bazează pe cinci tipologii de actori ai amenințării (cu capabilități comune: teroriști, activiști, competitori ostili; și cu capabilități extinse: infractori cibernetici, actori statali) și cinci categorii de atacuri cibernetice (sabotaj, furt de informații, criminalitate cibernetică, hacktivism, atacuri de imagine).
    • Factori de Calcul: Dimensiunea entității (întreprindere mare, mijlocie, mică/micro), natura atacului (global sau țintit), impactul (ridicat, mediu, scăzut) și probabilitatea (ridicată, medie, scăzută).
    • Scorul General: Rezultatul final al evaluării este un scor general al entității, care determină categoria de cerințe de securitate cibernetică aplicabilă:
      • Nivel de bază: Scor între 0 și 99 de puncte.
      • Nivel important: Scor între 100 și 199 de puncte.
      • Nivel esențial: Scor între 200 și 1.500 de puncte.
  • Reevaluare Periodică: Entitățile sunt obligate să își recalculeze scorul general o dată la 3 ani și, suplimentar, ori de câte ori impactul generat de perturbarea serviciului depășește pragul ridicat al sectorului din care fac parte.
  • Excepții Specifice: Entitățile din sectorul bancar și furnizorii digitali sunt exceptate de la această metodologie de evaluare a riscului, deoarece aplică deja reglementări europene specifice și mai stricte, cum ar fi Regulamentul DORA (pentru sectorul financiar) sau Regulamentul de punere în aplicare (UE) 2024/2690 (pentru furnizorii digitali).

Când intră în vigoare noile obligații?

Ambele acte normative, Ordinul DNSC nr. 1/2025 și Ordinul DNSC nr. 2/2025, au intrat în vigoare la data publicării lor în Monitorul Oficial, adică pe 20 august 2025. Prin urmare, obligațiile impuse de acestea sunt deja aplicabile. Cel mai urgent aspect este, așa cum am menționat, termenul de 30 de zile de la publicare pentru finalizarea procesului de notificare, ceea ce înseamnă că entitățile vizate trebuie să acționeze până cel târziu pe 19 septembrie 2025.

Implicații practice și pași următori pentru companii

Aceste ordine reprezintă un pas major în consolidarea rezilienței cibernetice a României și impun o serie de obligații noi și urgente pentru un număr considerabil de entități din sectoarele critice și importante. Pentru a evita riscul unor sancțiuni și pentru a asigura conformitatea, companiile trebuie să:

  1. Identifice încadrarea: Stabilească dacă se încadrează în categoria entităților esențiale sau importante conform criteriilor OUG 155/2024 și ale Ordinului nr. 2/2025.
  2. Utilizeze Instrumentele DNSC: Acceseze Instrumentul NIS2@RO pentru autoevaluare și Platforma NIS2@RO pentru înrolare și transmiterea notificării.
  3. Completeze și Transmită Notificarea: Se asigure că formularul de notificare este completat corect, semnat și transmis către DNSC în termenul de 30 de zile (până pe 19 septembrie 2025).
  4. Evalueze și Gestioneze Riscurile: Utilizeze metodologia din Ordinul nr. 2/2025 pentru a-și evalua nivelul de risc și a implementa măsurile de securitate cibernetică corespunzătoare.
  5. Monitorizeze și Actualizeze: Rămână la curent cu modificările legislative și să își actualizeze periodic datele și evaluările de risc.

Nerespectarea acestor prevederi poate avea consecințe semnificative, atât sub aspectul sancțiunilor legale, cât și al expunerii la riscuri cibernetice crescute. O abordare proactivă și conformă cu noile reglementări este esențială pentru continuitatea și securitatea operațiunilor în mediul digital actual.

Publicat în Monitorul Oficial, Partea I, nr. 776 din 20 august 2025.

Keywords: securitate cibernetică, NIS2, DNSC, entități esențiale, entități importante, notificare DNSC, evaluare risc cibernetic, obligații firme, legislație cibernetică, termen notificare, 19 septembrie 2025, reziliență digitală, protecția datelor.

Tags

0/Post a Comment/Comments

Trimiteți un comentariu