Doi specialiști explică într-o analiză transmisă luni comunității antreprenoriale StartupCafe.ro ce trebuie să știe firmele din România despre noua lege referitoare la Directiva europeană NIS 2 privind securitatea rețelelor și a informațiilor.
Validarea legislativă a măsurilor prevăzute de OUG 155/2024, act normativ care transpune Directiva NIS (Network and Information Security) 2 la nivel local, a avut loc prin publicarea în Monitorul Oficial în data de 7 iulie 2025 a Legii 124/2025. Acest act normativ a intrat în vigoare începând cu 10 iulie 2025 și marchează un nou pas important în întărirea securității cibernetice pentru reţelele şi sistemele informatice din spațiul național civil.
„În completarea măsurilor stabilite prin OUG 155/2024, Legea 124/2025 aduce o serie de noutăți pe care entitățile esențiale și importante ar trebui să le ia în considerare. Una dintre cele mai importante actualizări aduse prin Legea 124/2025 este introducerea a două noi categorii de entități în sectorul sănătății care se vor supune legislației NIS 2. Astfel, entitățile care dețin autorizații de distribuție a medicamentelor, conform art. 803 din Legea nr. 95/2006 republicată, vor trebui să se alinieze standardelor de securitate cibernetică prevăzute de noua legislație.
De asemenea, companiile care desfășoară activități economice în domeniul comerțului cu ridicata și cu amănuntul al produselor farmaceutice, conform diviziunilor 4646 și 4773 din CAEN Rev. 3, sunt acum incluse în categoria entităților care trebuie să se conformeze Legii 124/2025”, atrag atenția Octavian Popa, cyber strategy manager, Deloitte România, și Silvia Axinescu, senior managing associate, Reff & Asociații, Deloitte Legal.
Redăm analiza:
„Un alt aspect de noutate inclus în Legea 124/2025 constă în definirea clară a ceea ce este considerat a fi un incident semnificativ de securitate cibernetică. Potrivit legislației, un incident semnificativ se caracterizează prin îndeplinirea a cel puțin una dintre următoarele condiții, fără a fi nevoie ca acestea să se manifeste cumulativ. Prima condiție presupune determinarea modului în care incidentul a provocat sau are potențialul de a provoca perturbări operaționale grave ale serviciilor sau pierderi financiare semnificative pentru entitatea în cauză. A doua condiție implică potențialul incidentului de a afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau de alta natură, precum cele de reputație.
Pe lângă sectorul sănătății, și sectorul alimentar este vizat de unele noutăți incluse în Legea 124/2025. Actul normativ propune o completare în denumirea sectorului pentru a include producția, prelucrarea și/sau distribuția de alimente printre domeniile de activitate impactate de Directiva NIS 2. Acest lucru permite identificarea entităților din sector într-o manieră mai flexibilă, demersul nefiind restrâns la cele care realizează toate aceste activități în mod cumulativ. Această completare facilitează o mai bună aplicare a legislației în materie de securitate cibernetică.
Legislația recent adoptată nu doar că răspunde necesităților emergente legate de securitatea cibernetică, dar promovează și o colaborare consolidată între diferite entități și instituții la nivel național. Prin integrarea acestor noi categorii de entități în legislația privind Directivei NIS 2, adoptarea Legii 124/2025 urmărește crearea unui mediu mai sigur, care să sprijine dezvoltarea tehnologică durabilă și protejarea datelor de interes”.