România a început aplicarea Directivei europene NIS2 pentru securitate cibernetică, una dintre cele mai dure legi pentru companii, instituții și organizații, amenzile pentru neconformare ajungând până la 10 milioane EUR sau 2% din cifra de afaceri, avertizează Centrul de Formare APSAP într-un comunicat transmis, miercuri, StartupCafe.ro.
În România, între 15.000 și 20.000 de entități intră sub incidența NIS2, o creștere semnificativă față de aproximativ 1.000 de entități reglementate anterior prin NIS1, potrivit estimărilor Centrului. Acestea sunt obligate să implementeze măsuri tehnice, operaționale și organizatorice de securitate cibernetică, să raporteze incidentele semnificative și să se supună auditurilor de securitate.
Directiva europeană NIS2 se aplică aproape tuturor organizațiilor publice și private din România, de la companii din numeroase domeniii la spitale și diverse instituții.
În România, aceasta a fost transpusă prin OUG nr. 155/2024, un act normativ cu impact direct și imediat asupra companiilor și instituțiilor din sectoarele critice și importante ale economiei. Acest domeniu este gestionat de Directoratul Național de Securitate Cibernetică (DNSC), instituția guvernamentală care controlează și sancționează companiile care nu respectă legea.
NIS2 (Network and Information Security Directive) stabilește un cadru comun la nivelul Uniunii Europene pentru creșterea nivelului de securitate a rețelelor și sistemelor informatice. Directiva se aplică entităților esențiale și importante din domenii precum: energie, transport, sănătate, apă, infrastructură digitală, administrație publică, servicii IT&C, producție industrială, servicii financiare, dar și altor sectoare prevăzute expres în anexele actului normativ.
Spre deosebire de vechea reglementare NIS, NIS2 extinde aria de aplicare, introduce obligații clare pentru management și vine cu un regim de sancțiuni „extrem de severe”, consideră experții APSAP.
Sancțiunile pentru nerespectarea NIS2
Pentru neconformare, sancțiunile sunt diferite în funcție de tipul entității și de gravitatea încălcărilor:
- Entități esențiale – operatori din sectoare de importanță critică precum energie, transporturi, infrastructură digitală, sănătate, apă potabilă, ape uzate, infrastructură spațială, sector bancar și infrastructura piețelor financiare. Aceste entități prestează servicii vitale pentru menținerea activităților societale și economice esențiale.
Amenzi pentru această categorie variază între 10.000 lei și 10 milioane EUR(echivalent în lei) sau până la 2% din cifra de afaceri anuală la nivel mondial, luându-se în calcul valoarea cea mai mare.
- Entități importante – operatori din sectoare precum servicii poștale, gestionarea deșeurilor, industria chimică, producția și distribuția alimentelor, industria prelucrătoare, furnizori de servicii digitale (cloud, datacenter, rețele de livrare de conținut), cercetare și alte sectoare definite în anexele OUG 155/2024.
Amenzile pot fi între 5.000 lei și 7.000.000 EUR sau până la 1,4% din cifra de afaceri anuală la nivel mondial, valoarea cea mai mare fiind aplicabilă.
Aceste sancțiuni pot fi aplicate pentru:
- lipsa măsurilor tehnice, operaționale și organizatorice de securitate;
- neefectuarea auditului de securitate cibernetică;
- neîndeplinirea obligațiilor de raportare și notificare a incidentelor;
- lipsa autoevaluării nivelului de maturitate;
- neimplementarea planurilor de remediere;
- nealocarea resurselor necesare securității cibernetice;
- nerespectarea obligației ca membrii conducerii să urmeze cursuri de formare în domeniul securității cibernetice;
- obstrucționarea controalelor sau furnizarea de informații false.
Pentru anumite abateri „administrative”, amenzile pot varia între 1.000 și 600.000 lei, iar pentru încălcări grave sau repetate, sancțiunile pot ajunge până la 600.000 lei, independent de alte măsuri dispuse de autorități.
Cui revine răspunderea în caz de neconformare
Un element-cheie al NIS2 este responsabilizarea directă a conducerii. Membrii organelor de conducere pot fi sancționați dacă:
- nu supraveghează implementarea măsurilor de securitate;
- nu alocă resursele necesare;
- nu desemnează responsabili cu securitatea IT;
- nu urmează programe de formare profesională în domeniul securității cibernetice.
Cu alte cuvinte, securitatea cibernetică nu mai este „o problemă de IT”, ci o obligație strategică de nivel executiv.
„NIS2 nu este un exercițiu birocratic și nici o simplă formalitate. Este o schimbare de mentalitate. Orice entitate vizată care tratează superficial această reglementare își asumă riscuri financiare uriașe, dar și riscuri reputaționale și operaționale majore. Vedem deja tendința clară la nivel european: controale, audituri, sancțiuni reale. Conducerea organizațiilor trebuie să înțeleagă că lipsa pregătirii și a conformării va costa mult mai mult decât investiția în prevenție, formare și audit”, a declarat Bogdan Costin Fârșirotu, Președintele Centrului de Formare APSAP.
Președintele APSAP subliniază, de asemenea, că răspunderea nu aparține departamentelor IT, ci este o responsabilitate directă a conducerii executive. Legislația prevede explicit obligații pentru membrii organelor de conducere, inclusiv supravegherea implementării măsurilor, participarea la cursuri de formare și alocarea resurselor necesare.
Un aspect esențial și adesea ignorat de operatorii vizați de NIS2 este faptul că printre obligațiile legale se află desemnarea unui responsabil NIS, care trebuie să fi absolvit un curs de specializare autorizat de Directoratul Național de Securitate Cibernetică, precum și organizarea periodică a auditurilor de securitate cibernetică, realizate exclusiv cu auditori autorizați DNSC. Nerespectarea acestor obligații atrage direct răspunderea entității și a conducerii.