Firmele care ignoră securitatea cibernetică vor fi amendate cu sume considerabile, avertizează experții.
România a început să aplice una dintre cele mai severe legi pentru companii, instituții și organizații, respectiv Directiva europeană NIS2 pentru securitate cibernetică. Amenzile pentru companiile care nu respectă această lege pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri, iar acum responsabilitatea principală revine conducerii firmelor, nu departamentului de IT, cu sancțiuni extrem de severe.
Conform experților consultați de , NIS2 transferă responsabilitatea din domeniul IT în biroul directorului general. „NIS2 nu mai consideră securitatea cibernetică o problemă tehnică. Acum, responsabilitatea se află la nivel de management, cu sancțiuni directe pentru conducerea companiilor care nu gestionează corect riscurile digitale. Un aspect mai puțin discutat este timpul de reacție. NIS2 impune companiilor să știe cum să acționeze în primele ore după un atac, nu după zile sau săptămâni. În practică, multe firme descoperă că nu au proceduri clare, lanțuri de decizie sau responsabilități definite.
NIS2 schimbă și relația cu furnizorii. Companiile devin responsabile nu doar pentru propriile sisteme, ci și pentru riscurile venite din outsourcing, cloud sau software terț. Un incident la un furnizor poate deveni rapid o problemă legală și operațională pentru beneficiar. Desemnarea unui responsabil NIS nu este un exercițiu de bifat. Dacă această funcție există doar pe organigramă, fără autoritate reală și acces la conducere, conformarea rămâne formală și fragilă.
În realitate, NIS2 va separa companiile care își cunosc riscurile și le gestionează constant de cele care reacționează doar când apare o problemă. Diferența se va vedea nu la controale, ci în momentul primului incident serios”, a declarat pentru expertul în securitate energetică Silviu Gresoi.
În România, între 15.000 și 20.000 de entități intră sub incidența NIS2, cu o creștere semnificativă față de aproximativ 1.000 de entități reglementate anterior prin NIS1, potrivit estimărilor Centrului de Formare APSAP. Acestea sunt obligate să implementeze măsuri tehnice, operaționale și organizatorice de securitate cibernetică, să raporteze incidentele semnificative și să se supună auditurilor de securitate.
Implementarea Directivei NIS2 marchează una dintre cele mai ferme schimbări din ultimii ani în materie de securitate cibernetică la nivel european, care se aplică aproape tuturor organizațiilor publice și private din România – de la companii din numeroase domenii la spitale și diverse instituții.
În România, aceasta a fost transpusă prin OUG nr. 155/2024, un act normativ cu impact direct și imediat asupra companiilor și instituțiilor din sectoarele critice și importante ale economiei. Acest domeniu este gestionat de Directoratul Național de Securitate Cibernetică (DNSC), instituția guvernamentală care controlează și sancționează companiile care nu respectă legea.
NIS2 (Network and Information Security Directive) stabilește un cadru comun la nivelul Uniunii Europene pentru creșterea nivelului de securitate a rețelelor și sistemelor informatice. Directiva se aplică entităților esențiale și importante din domenii precum: energie, transport, sănătate, apă, infrastructură digitală, administrație publică, servicii IT&C, producție industrială, servicii financiare, dar și altor sectoare prevăzute expres în anexele actului normativ.
Spre deosebire de vechea reglementare NIS, NIS2 extinde aria de aplicare, introduce obligații clare pentru management și vine cu un regim de sancțiuni extrem de sever.
Nivelul sancțiunilor este diferențiat în funcție de tipul entității și de gravitatea încălcărilor, însă pragurile sunt fără precedent în legislația românească în domeniu.
Entitățile esențiale – operatori din sectoare de importanță critică precum energie, transporturi, infrastructură digitală, sănătate, apă potabilă, ape uzate, infrastructură spațială, sector bancar și infrastructura piețelor financiare. Aceste entități prestează servicii vitale pentru menținerea activităților societale și economice esențiale. Amenzi pentru această categorie variază între 10.000 lei și 10 milioane de euro (echivalent în lei) sau până la 2% din cifra de afaceri anuală la nivel mondial, luându-se în calcul valoarea cea mai mare.
Entitățile importante – operatori din sectoare precum servicii poștale, gestionarea deșeurilor, industria chimică, producția și distribuția alimentelor, industria prelucrătoare, furnizori de servicii digitale (cloud, datacenter, rețele de livrare de conținut), cercetare și alte sectoare definite în anexele OUG 155/2024. Amenzi pot fi între 5.000 lei și 7.000.000 euro sau până la 1,4% din cifra de afaceri anuală la nivel mondial, valoarea cea mai mare fiind aplicabilă.
Aceste sancțiuni pot fi aplicate pentru: lipsa măsurilor tehnice, operaționale și organizatorice de securitate; neefectuarea auditului de securitate cibernetică; neîndeplinirea obligațiilor de raportare și notificare a incidentelor; lipsa autoevaluării nivelului de maturitate; neimplementarea planurilor de remediere; nealocarea resurselor necesare securității cibernetice; nerespectarea obligației ca membrii conducerii să urmeze cursuri de formare în domeniul securității cibernetice; obstrucționarea controalelor sau furnizarea de informații false.
Pentru anumite abateri „administrative”, amenzile pot varia între 1.000 și 600.000 lei, iar pentru încălcări grave sau repetate, sancțiunile pot ajunge până la 600.000 lei, independent de alte măsuri dispuse de autorități.
Un element-cheie al NIS2 este responsabilizarea directă a conducerii. Membrii organelor de conducere pot fi sancționați dacă: nu supraveghează implementarea măsurilor de securitate; nu alocă resursele necesare; nu desemnează responsabili cu securitatea IT; nu urmează programe de formare profesională în domeniul securității cibernetice. Cu alte cuvinte, securitatea cibernetică nu mai este „o problemă de IT”, ci o obligație strategică de nivel executiv.
„NIS2 nu este un exercițiu birocratic și nici o simplă formalitate. Este o schimbare de mentalitate. Orice entitate vizată care tratează superficial această reglementare își asumă riscuri financiare uriașe, dar și riscuri reputaționale și operaționale majore. Vedem deja tendința clară la nivel european: controale, audituri, sancțiuni reale. Conducerea organizațiilor trebuie să înțeleagă că lipsa pregătirii și a conformării va costa mult mai mult decât investiția în prevenție, formare și audit”, a declarat Bogdan Costin Fârșirotu, președintele Centrului de Formare APSAP.
Președintele APSAP subliniază, de asemenea, că răspunderea nu aparține departamentelor IT, ci este o responsabilitate directă a conducerii executive. Legislația prevede explicit obligații pentru membrii organelor de conducere, inclusiv supravegherea implementării măsurilor, participarea la cursuri de formare și alocarea resurselor necesare.
Un aspect esențial și adesea ignorat de operatorii vizați de NIS2 este faptul că printre obligațiile legale se află desemnarea unui responsabil NIS, care trebuie să fi absolvit un curs de specializare autorizat de Directoratul Național de Securitate Cibernetică, precum și organizarea periodică a auditurilor de securitate cibernetică, realizate exclusiv cu auditori autorizați DNSC. Nerespectarea acestor obligații atrage direct răspunderea entității și a conducerii.
Comentarii recente