Directiva NIS2 în România: Companiile,obligate să implementeze măsuri de securitate cibernetică; amenzile pot ajunge la 10 milioane de euro

Directiva NIS2 a fost transpusă în România prin OUG nr. 155/2024, un act normativ cu impact direct şi imediat asupra companiilor şi instituţiilor din sectoarele critice şi importante ale economiei. Acest domeniu este gestionat de Directoratul Naţional de Securitate Cibernetică (DNSC), instituţia guvernamentală care controlează şi sancţionează companiile care nu respectă legea.

NIS2 (Network and Information Security Directive) stabileşte un cadru comun la nivelul Uniunii Europene pentru creşterea nivelului de securitate a reţelelor şi sistemelor informatice, se aplică entităţilor esenţiale şi importante din domenii, precum: energie, transport, sănătate, apă, infrastructură digitală, administraţie publică, servicii IT&C, producţie industrială, servicii financiare, dar şi altor sectoare prevăzute expres în anexele actului normativ.

Potrivit APSAP, spre deosebire NIS, vechea reglementare, NIS2 extinde aria de aplicare, introduce obligaţii clare pentru management şi vine cu un regim de sancţiuni extrem de sever. Nivelul sancţiunilor este diferenţiat în funcţie de tipul entităţii şi de gravitatea încălcărilor, însă pragurile sunt fără precedent în legislaţia românească în domeniu.

Astfel, entităţile esenţiale sunt operatori din sectoare de importanţă critică (energie, transporturi, infrastructură digitală, sănătate, apă potabilă, ape uzate, infrastructură spaţială, sector bancar şi infrastructura pieţelor financiare), ce prestează servicii vitale pentru menţinerea activităţilor societale şi economice esenţiale. Amenzile pentru această categorie variază între 10.000 de lei şi 10 milioane de euro (echivalent în lei) sau până la 2% din cifra de afaceri anuală la nivel mondial, fiind luată în calcul valoarea cea mai mare.

La categoria entităţilor importante se încadrează operatori din sectoare ca: servicii poştale, gestionarea deşeurilor, industria chimică, producţia şi distribuţia alimentelor, industria prelucrătoare, furnizori de servicii digitale (cloud, datacenter, reţele de livrare de conţinut), cercetare şi alte sectoare definite în anexele OUG 155/2024. În cazul acestora, amenzile pot fi între 5.000 de lei şi şapte milioane de euro sau până la 1,4% din cifra de afaceri anuală la nivel mondial, valoarea cea mai mare fiind aplicabilă.

Sancţiunile pot fi aplicate pentru o serie de nereguli, cum ar fi: lipsa măsurilor tehnice, operaţionale şi organizatorice de securitate; neefectuarea auditului de securitate cibernetică; neîndeplinirea obligaţiilor de raportare şi notificare a incidentelor; lipsa autoevaluării nivelului de maturitate; neimplementarea planurilor de remediere; nealocarea resurselor necesare securităţii cibernetice; nerespectarea obligaţiei ca membrii conducerii să urmeze cursuri de formare în domeniul securităţii cibernetice; obstrucţionarea controalelor sau furnizarea de informaţii false.

Conform specialiştilor, pentru anumite abateri "administrative", amenzile pot varia între 1.000 de lei şi 600.000 de lei, iar pentru încălcări grave sau repetate, sancţiunile pot ajunge până la 600.000 de lei, independent de alte măsuri dispuse de autorităţi.

Un element-cheie al NIS2 este responsabilizarea directă a conducerii, astfel că membrii organelor de conducere pot fi sancţionaţi dacă nu supraveghează implementarea măsurilor de securitate, nu alocă resursele necesare, nu desemnează responsabili cu securitatea IT sau nu urmează programe de formare profesională în domeniul securităţii cibernetice.

Centrul de Formare APSAP se numără printre puţinii furnizori din România autorizaţi de DNSC pentru programele-cheie impuse de OUG nr. 155/2024, respectiv: Auditor de securitate cibernetică şi Responsabil NIS.