România a pus în aplicare una dintre cele mai ferme reglementări pentru companii publice și private - Directiva europeană NIS2 pentru securitate cibernetică, iar amenzile pentru neconformare pot ajunge la zece milioane de euro sau 2% din cifra de afaceri, notează Centrul de Formare APSAP, într-un comunicat de presă citat de Agerpres.

„România a început aplicarea uneia dintre cele mai dure legi pentru companii, instituții și organizații, Directiva europeană NIS2 pentru securitate cibernetică. Amenzile pentru neconformarea companiilor pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri, iar responsabilitatea principală cade acum pe conducerea firmelor, nu pe departamentul de IT, cu sancțiuni extrem de severe. Firmele sunt obligate și să desemneze un responsabil NIS, care să fi absolvit un curs de specialitate. Deși sancțiunile au intrat în vigoare la final de 2025, companiile vizate încă nu s-au conformat normelor Directivei europene NIS2. În România, între 15.000 și 20.000 de entități intră sub incidența NIS2, cu o creștere semnificativă față de aproximativ 1.000 de entități reglementate anterior prin NIS1. Acestea sunt obligate să implementeze măsuri tehnice, operaționale și organizatorice de securitate cibernetică, să raporteze incidentele semnificative și să se supună auditurilor de securitate”, avertizează entitatea, unul dintre puținii furnizori din România autorizați de stat pentru conformare și auditare pe securitate cibernetică. Directiva NIS2 a fost transpusă în România prin OUG nr. 155/2024, un act normativ cu impact direct și imediat asupra companiilor și instituțiilor din sectoarele critice și importante ale economiei. Acest domeniu este gestionat de Directoratul Național de Securitate Cibernetică (DNSC), instituția guvernamentală care controlează și sancționează companiile care nu respectă legea.

NIS2 (Network and Information Security Directive) stabilește un cadru comun la nivelul Uniunii Europene pentru creșterea nivelului de securitate a rețelelor și sistemelor informatice, se aplică entităților esențiale și importante din domenii, precum: energie, transport, sănătate, apă, infrastructură digitală, administrație publică, servicii IT&C, producție industrială, servicii financiare, dar și altor sectoare prevăzute expres în anexele actului normativ.

Potrivit APSAP, spre deosebire de NIS, vechea reglementare, NIS2 extinde aria de aplicare, introduce obligații clare pentru management și vine cu un regim de sancțiuni extrem de sever. Nivelul sancțiunilor este diferențiat în funcție de tipul entității și de gravitatea încălcărilor, însă pragurile sunt fără precedent în legislația românească în domeniu.

Astfel, entitățile esențiale sunt operatori din sectoare de importanță critică (energie, transporturi, infrastructură digitală, sănătate, apă potabilă, ape uzate, infrastructură spațială, sector bancar și infrastructura piețelor financiare), ce prestează servicii vitale pentru menținerea activităților societale și economice esențiale. Amenzile pentru această categorie variază între 10.000 de lei și 10 milioane de euro (echivalent în lei) sau până la 2% din cifra de afaceri anuală la nivel mondial, fiind luată în calcul valoarea cea mai mare.

La categoria entităților importante se încadrează operatori din sectoare ca: servicii poștale, gestionarea deșeurilor, industria chimică, producția și distribuția alimentelor, industria prelucrătoare, furnizori de servicii digitale (cloud, datacenter, rețele de livrare de conținut), cercetare și alte sectoare definite în anexele OUG 155/2024. În cazul acestora, amenzile pot fi între 5.000 de lei și șapte milioane de euro sau până la 1,4% din cifra de afaceri anuală la nivel mondial, valoarea cea mai mare fiind aplicabilă.

Sancțiunile pot fi aplicate pentru o serie de nereguli, cum ar fi: lipsa măsurilor tehnice, operaționale și organizatorice de securitate; neefectuarea auditului de securitate cibernetică; neîndeplinirea obligațiilor de raportare și notificare a incidentelor; lipsa autoevaluării nivelului de maturitate; neimplementarea planurilor de remediere; nealocarea resurselor necesare securității cibernetice; nerespectarea obligației ca membrii conducerii să urmeze cursuri de formare în domeniul securității cibernetice; obstrucționarea controalelor sau furnizarea de informații false.

Conform specialiștilor, pentru anumite abateri „administrative”, amenzile pot varia între 1.000 de lei și 600.000 de lei, iar pentru încălcări grave sau repetate, sancțiunile pot ajunge până la 600.000 de lei, independent de alte măsuri dispuse de autorități.

Un element-cheie al NIS2 este responsabilizarea directă a conducerii, astfel că membrii organelor de conducere pot fi sancționați dacă nu supraveghează implementarea măsurilor de securitate, nu alocă resursele necesare, nu desemnează responsabili cu securitatea IT sau nu urmează programe de formare profesională în domeniul securității cibernetice.

(Copyright foto: 123RF Stock Photo)