Navigând Directiva NIS 2 în România: Ghidul Tău Complet pentru Conformitate
Navigând Directiva NIS 2 în România: Ghidul Tău Complet pentru Conformitate
A intrat în vigoare Ordonanța de Urgență (OUG) nr. 155/2024, care transpune Directiva NIS 2 în legislația românească, aducând noi responsabilități pentru un număr mare de companii. Dacă te întrebi ce ai de făcut, unde și, mai ales, până când, acest ghid este pentru tine.
Am sintetizat întregul parcurs al documentelor și termenelor pentru a-ți oferi o hartă clară a obligațiilor tale. Să pornim la drum!
Pasul 1: Notificarea Inițială și Înregistrarea – Punctul de Plecare
Acesta este primul și cel mai urgent pas. Practic, prin notificare, informezi autoritatea competentă, Directoratul Național de Securitate Cibernetică (DNSC), că exiști și că te încadrezi în domeniul de aplicare al legii.
Cine trebuie să se notifice? Orice entitate care activează în sectoarele critice menționate în Anexele 1 și 2 ale OUG 155/2024 (ex: energie, transport, sănătate, infrastructură digitală, servicii poștale, alimentație, producție, furnizori digitali etc.).
🗓️ Termen limită: În cel mult 30 de zile de la intrarea în vigoare a OUG sau de la momentul în care prevederile devin aplicabile pentru tine.
Cum faci asta? DNSC a creat două instrumente ajutătoare:
- NIS2@RO Tool: O aplicație pe care o descarci pentru a te autoevalua și a genera formularul de notificare.
- Platforma NIS2@RO: Metoda principală și obligatorie pentru transmiterea online a formularului, după crearea unui cont.
Important: Generarea și transmiterea formularului de notificare
FORMULARUL DE NOTIFICARE SE GENEREAZĂ UTILIZÂND EXCLUSIV Platforma NIS2@RO sau, în situația indisponibilității acesteia, INSTRUMENTUL NIS2@RO.
- Instrumentul NIS2@RO se utilizează local, prin acces direct, după descărcarea fișierului;
- După completarea datelor, formularul de notificare se salvează în format .pdf și se semnează de către reprezentantul/reprezentanții legal/legali al/ai entității:
- cu semnătură electronică calificată atunci când acesta se depune pe suport electronic sau
- cu semnătură olografă, atunci când acesta se depune pe suport hârtie.
- Formularul de notificare semnat și, după caz, documentele justificative se transmit DNSC prin următoarele modalități:
- în format electronic, la adresa de e-mail evidenta@dnsc.ro;
- prin depunere fizică, pe suport hârtie, la sediul DNSC.
- În cazul în care nu v-ați înregistrat pe Platforma NIS2@RO în cadrul procesului de notificare din cauza indisponibilității platformei, aveți obligația de a vă crea cont atunci când platforma va deveni disponibilă
Ce informații trimiți? Formularul de notificare este structurat și solicită date esențiale despre compania ta:
- Date de identificare: Nume, CUI, adresă, contact.
- Activitate și dimensiune: Coduri CAEN, număr de angajați, cifră de afaceri (pentru a stabili dacă ești o entitate „esențială” sau „importantă”).
- Persoana de contact pentru securitate: Datele persoanei responsabile, care trebuie să aibă autoritate managerială.
- Infrastructură: Adrese IP publice (doar pentru anumite tipuri de furnizori).
- Autoevaluarea impactului: Un element crucial!
Ce sunt aceste Autoevaluări?
În contextul NIS 2, vei întâlni două tipuri de autoevaluări, fiecare cu un rol distinct:
Autoevaluarea Impactului (la Notificare):
Scop: Te ajută pe tine și pe DNSC să stabiliți dacă o eventuală întrerupere a serviciilor tale ar avea un impact semnificativ la nivel național (asupra economiei, siguranței publice, sănătății etc.). Rezultatul acestei analize contribuie direct la încadrarea ta ca entitate esențială sau importantă. Aceasta este parte integrantă a formularului de notificare inițială.
🗓️ Termen limită (prima oară): În 60 de zile de la transmiterea evaluării de risc (vezi Pasul 2).
Autoevaluarea Nivelului de Maturitate (Anuală):
Scop: Odată înregistrat, trebuie să evaluezi anual cât de bine ai implementat măsurile de securitate cibernetică cerute de lege. Este un exercițiu de sinceritate care îți arată punctele forte și, mai ales, vulnerabilitățile.
Pasul 2: Evaluarea Nivelului de Risc – Cât de Expus Ești?
După ce DNSC îți confirmă înregistrarea, trebuie să îți evaluezi nivelul de risc.
🗓️ Termen limită: În 60 de zile de la data comunicării deciziei de înregistrare.
Cum faci asta? Folosind instrumentul ENIRE@RO sau direct în Platforma NIS2@RO.
Ce implică? Instrumentul calculează un scor pe baza dimensiunii tale, a tipurilor de atacuri posibile și a impactului potențial. Acest scor te va încadra într-una din cele trei categorii de cerințe de securitate: „Basic”, „Important” sau „Esențial”.
Pasul 3: Auditul de Securitate și Planul de Măsuri – De la Evaluare la Acțiune
Transparența și îmbunătățirea continuă sunt esențiale.
Planul de măsuri (doar pentru entitățile esențiale): Pe baza autoevaluării anuale de maturitate, trebuie să creezi și să transmiți la DNSC un plan de remediere a deficiențelor.
🗓️ Termen limită: În 30 de zile de la autoevaluare.
Auditul de Securitate Cibernetică: Entitatea ta va fi auditată de experți atestați de DNSC.
Când? Periodic, conform unui ordin DNSC, sau ad-hoc, dacă un incident o impune.
Ce urmează? După audit, trebuie să transmiți rezultatele la DNSC și să creezi un nou plan de măsuri corective în termen de 15 zile lucrătoare.
Pasul 4: Raportarea Incidentelor – Reacția Rapidă Contează
Când inevitabilul se produce, trebuie să acționezi rapid și transparent. Orice incident cu impact semnificativ trebuie raportat.
Unde? La echipa națională CSIRT, prin Platforma Națională pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC).
Termenele sunt stricte:
- 🚨 În 24 de ore: O avertizare timpurie, chiar dacă ai doar suspiciuni.
- 📝 În 72 de ore: O raportare inițială cu o primă evaluare a pagubelor.
- ✅ În 30 de zile: Un raport final detaliat.
Pe Scurt: Lista ta de Verificare a Termenelor Cheie
| Acțiune | Termen Limită |
|---|---|
| Notificare Inițială către DNSC | 30 de zile de la intrarea în vigoare a OUG |
| Evaluarea Nivelului de Risc | 60 de zile de la confirmarea înregistrării |
| Prima Autoevaluare a Maturității | 60 de zile de la trimiterea evaluării de risc |
| Raportare Incident (Avertizare) | 24 de ore de la luarea la cunoștință |
| Raportare Incident (Inițial) | 72 de ore de la luarea la cunoștință |
Parcursul către conformitatea cu NIS 2 poate părea complex, dar este o călătorie esențială pentru securitatea afacerii tale și a ecosistemului digital național. Începe chiar azi cu notificarea și folosește platformele oficiale puse la dispoziție de DNSC. O abordare proactivă este cea mai bună apărare.