România a început aplicarea uneia dintre cele mai dure legi pentru companii, instituții și organizații, Directiva europeană NIS2 pentru securitate cibernetică. Amenzile pentru neconformarea companiilor pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri, iar responsabilitatea principală cade acum pe conducerea firmelor, nu pe departamentul de IT, cu sancțiuni extrem de severe, avertizează Centrul de Formare APSAP, unul dintre puținii furnizori din România autorizați de stat pentru conformare și auditare pe securitate cibernetică. Firmele sunt obligate și să desemneze un responsabil NIS, care să fi absolvit un curs de specialitate.
Deși sancțiunile au intrat în vigoare la final de 2025, companiile vizate încă nu s-au conformat normelor Directivei europene NIS2. În România, între 15.000 și 20.000 de entități intră sub incidența NIS2, cu o creștere semnificativă față de aproximativ 1.000 de entități reglementate anterior prin NIS1, potrivit estimărilor Centrului de Formare APSAP. Acestea sunt obligate să implementeze măsuri tehnice, operaționale și organizatorice de securitate cibernetică, să raporteze incidentele semnificative și să se supună auditurilor de securitate.
Ce este NIS2 și ce tip de firme sunt vizate
Implementarea Directivei NIS2 marchează una dintre cele mai ferme schimbări din ultimii ani în materia securității cibernetice la nivel european, care se aplică aproape tuturor organizațiilor publice și private din România - de la companii din numeroase domeniii la spitale și diverse instituții.
În România, aceasta a fost transpusă prin OUG nr. 155/2024, un act normativ cu impact direct și imediat asupra companiilor și instituțiilor din sectoarele critice și importante ale economiei. Acest domeniu este gestionat de Directoratul Național de Securitate Cibernetică (DNSC), instituția guvernamentală care controlează și sancționează companiile care nu respectă legea.
NIS2 (Network and Information Security Directive) stabilește un cadru comun la nivelul Uniunii Europene pentru creșterea nivelului de securitate a rețelelor și sistemelor informatice. Directiva se aplică entităților esențiale și importante din domenii precum: energie, transport, sănătate, apă, infrastructură digitală, administrație publică, servicii IT&C, producție industrială, servicii financiare, dar și altor sectoare prevăzute expres în anexele actului normativ.
Spre deosebire de vechea reglementare NIS, NIS2 extinde aria de aplicare, introduce obligații clare pentru management și vine cu un regim de sancțiuni extrem de sever.
Ce riscă firmele: amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală
Nivelul sancțiunilor este diferențiat în funcție de tipul entității și de gravitatea încălcărilor, însă pragurile sunt fără precedent în legislația românească în domeniu.
Entități esențiale – operatori din sectoare de importanță critică precum energie, transporturi, infrastructură digitală, sănătate, apă potabilă, ape uzate, infrastructură spațială, sector bancar și infrastructura piețelor financiare. Aceste entități prestează servicii vitale pentru menținerea activităților societale și economice esențiale.
Amenzi pentru această categorie variază între 10.000 lei și 10 milioane de euro (echivalent în lei) sau până la 2% din cifra de afaceri anuală la nivel mondial, luându-se în calcul valoarea cea mai mare.
Entități importante – operatori din sectoare precum servicii poștale, gestionarea deșeurilor, industria chimică, producția și distribuția alimentelor, industria prelucrătoare, furnizori de servicii digitale (cloud, datacenter, rețele de livrare de conținut), cercetare și alte sectoare definite în anexele OUG 155/2024.
Amenzile pot fi între 5.000 lei și 7 milioane euro sau până la 1,4% din cifra de afaceri anuală la nivel mondial, valoarea cea mai mare fiind aplicabilă.
Aceste sancțiuni pot fi aplicate pentru:
• lipsa măsurilor tehnice, operaționale și organizatorice de securitate;
• neefectuarea auditului de securitate cibernetică;
• neîndeplinirea obligațiilor de raportare și notificare a incidentelor;
• lipsa autoevaluării nivelului de maturitate;
• neimplementarea planurilor de remediere;
• nealocarea resurselor necesare securității cibernetice;
• nerespectarea obligației ca membrii conducerii să urmeze cursuri de formare în domeniul securității cibernetice;
• obstrucționarea controalelor sau furnizarea de informații false.
Pentru anumite abateri „administrative”, amenzile pot varia între 1.000 și 600.000 lei, iar pentru încălcări grave sau repetate, sancțiunile pot ajunge până la 600.000 lei, independent de alte măsuri dispuse de autorități.
Răspunderea managementului: o schimbare de paradigmă
Un element-cheie al NIS2 este responsabilizarea directă a conducerii. Membrii organelor de conducere pot fi sancționați dacă:
• nu supraveghează implementarea măsurilor de securitate;
• nu alocă resursele necesare;
• nu desemnează responsabili cu securitatea IT;
• nu urmează programe de formare profesională în domeniul securității cibernetice.
Cu alte cuvinte, securitatea cibernetică nu mai este „o problemă de IT”, ci o obligație strategică de nivel executiv.
„NIS2 nu este un exercițiu birocratic și nici o simplă formalitate. Este o schimbare de mentalitate. Orice entitate vizată care tratează superficial această reglementare își asumă riscuri financiare uriașe, dar și riscuri reputaționale și operaționale majore. Vedem deja tendința clară la nivel european: controale, audituri, sancțiuni reale. Conducerea organizațiilor trebuie să înțeleagă că lipsa pregătirii și a conformării va costa mult mai mult decât investiția în prevenție, formare și audit”, a declarat Bogdan Costin FÂRȘIROTU, Președintele Centrului de Formare APSAP.
Președintele APSAP subliniază, de asemenea, că răspunderea nu aparține departamentelor IT, ci este o responsabilitate directă a conducerii executive. Legislația prevede explicit obligații pentru membrii organelor de conducere, inclusiv supravegherea implementării măsurilor, participarea la cursuri de formare și alocarea resurselor necesare.
Un aspect esențial și adesea ignorat de operatorii vizați de NIS2 este faptul că printre obligațiile legale se află desemnarea unui responsabil NIS, care trebuie să fi absolvit un curs de specializare autorizat de Directoratul Național de Securitate Cibernetică, precum și organizarea periodică a auditurilor de securitate cibernetică, realizate exclusiv cu auditori autorizați DNSC. Nerespectarea acestor obligații atrage direct răspunderea entității și a conducerii.
În acest context, Centrul de Formare APSAP se numără printre puținii furnizori din România autorizați de DNSC pentru ambele programe-cheie impuse de OUG nr. 155/2024: Auditor de securitate cibernetică și Responsabil NIS, oferind astfel un cadru complet și conform pentru pregătirea specialiștilor și a managementului entităților supuse Directivei NIS2.
OUG nr. 155/2024 transformă securitatea cibernetică dintr-un subiect tehnic într-o obligație legală cu impact financiar major. Amenzile sunt reale, aplicabile și pot atinge niveluri care pun în pericol stabilitatea oricărei organizații.
În acest context, informarea, formarea profesională și auditarea corectă nu mai sunt opționale, ci reprezintă singura cale realistă de conformare și protecție.
