Revoluția NIS 2 a Sosit în România: Ce Înseamnă Noul Scut Digital Pentru Fiecare Companie

Publicat la 17 august 2025 ~

Timpul pentru „lasă că merge și așa” în securitatea cibernetică a apus. România a făcut un pas uriaș în fortificarea spațiului său digital prin adoptarea Ordonanței de Urgență care transpune Directiva Europeană NIS 2. Dar ce înseamnă, mai exact, acest document cu nume complicat?

În esență, este un scut digital obligatoriu și modernizat pentru o parte semnificativă din economia și administrația țării. Dacă până acum securitatea cibernetică era adesea privită ca o problemă exclusiv a departamentului IT, noua lege o transformă într-o responsabilitate centrală la nivel de management, cu consecințe directe și usturătoare pentru cei care o ignoră.

De Ce Acum? Contextul Care Ne-a Forțat Să Acționăm

Realitatea ultimilor ani ne-a arătat, uneori brutal, cât de vulnerabili suntem. Documentul care stă la baza noii legi este extrem de direct și menționează catalizatorii acestei schimbări:

• Războiul din Ucraina: Conflictul a demonstrat că atacurile cibernetice sunt o componentă a operațiunilor militare moderne. Atacul asupra rețelei de sateliți Viasat, de exemplu, a avut efecte resimțite și în România, dovedind că un conflict digital nu are granițe.
• Activismul hackerilor: Grupuri precum Killnet au vizat în mod direct infrastructuri critice din statele UE, inclusiv România, ca represalii pentru sprijinul acordat Ucrainei.
• Vulnerabilitatea lanțului de aprovizionare: Cel mai elocvent exemplu autohton este incidentul care a paralizat 26 de spitale din România la începutul anului 2024. Atacul nu a vizat direct spitalele, ci un furnizor de servicii IT, scoțând în evidență o verigă slabă pe care noua lege o adresează direct.

Pe scurt, digitalizarea accelerată, combinată cu un peisaj al amenințărilor tot mai complex, a făcut ca vechea legislație (NIS 1) să fie depășită.

Sunteți pe Listă? Cine Trebuie să Respecte Noile Reguli

Marea schimbare adusă de NIS 2 este extinderea masivă a domeniului de aplicare. Legea împarte entitățile vizate în două mari categorii, cu obligații pe măsură:

🛡️ Entități Esențiale

Aici intră coloana vertebrală a societății și economiei:

• Sectoare critice: Energie, Transport, Sectorul bancar, Sănătate, Apă potabilă, Infrastructură digitală, Administrație publică centrală.
• Furnizori cheie: Furnizori de servicii DNS, registre de nume de domenii (TLD) și furnizori de servicii de încredere calificați.

🛡️ Entități Importante

Categoria a fost extinsă pentru a include o gamă largă de afaceri care, deși nu sunt „critice”, pot avea un impact semnificativ în cazul unui incident:

• Servicii poștale și de curierat
• Gestionarea deșeurilor
• Producția și distribuția de substanțe chimice și alimente
• Producție (ex: dispozitive medicale, produse electronice)
• Furnizori digitali (ex: piețe online, motoare de căutare, platforme de social media)
• Cercetare

Concluzia: Dacă firma dumneavoastră activează în oricare dintre aceste domenii, este aproape sigur că această lege vi se aplică.

Principalele Obligații: De la Politici la Raportare în 24 de Ore

Noua ordonanță stabilește un set clar de reguli. Iată cele mai importante:

1. Managementul Riscurilor și Securitatea Lanțului de Aprovizionare

Nu mai este suficient să ai un antivirus și un firewall. Companiile trebuie să implementeze măsuri tehnice, operaționale și organizatorice proporționale cu riscul. Asta include:

• Politici clare de analiză a riscurilor.
• Planuri de continuitate a afacerii (ce facem dacă pică totul?).
• Criptografie și autentificare multi-factor.
• O atenție specială acordată securității furnizorilor – evaluați riscurile pe care le aduc partenerii și furnizorii de servicii (cloud, centre de date etc.).

2. Rolul Conducerii: Șefii Sunt Direct Responsabili

Aceasta este, probabil, cea mai mare schimbare de paradigmă. Legea stipulează clar că organele de conducere aprobă și supraveghează măsurile de securitate și sunt responsabile pentru încălcări. Mai mult, membrii conducerii sunt obligați să urmeze cursuri de formare în securitate cibernetică pentru a înțelege riscurile la care se expun.

3. Raportarea Incidentelor: Viteză și Transparență 🚨

În cazul unui incident de securitate cu impact semnificativ, termenele sunt extrem de strânse:

• În 24 de ore: O avertizare timpurie către Directoratul Național de Securitate Cibernetică (DNSC).
• În 72 de ore: Un raport inițial cu o evaluare a incidentului și indicatori de compromitere.
• În 30 de zile: Un raport final detaliat.

Noul Șerif al Spațiului Cibernetic: Rolul DNSC și Sancțiunile Usturătoare

Directoratul Național de Securitate Cibernetică (DNSC) devine autoritatea centrală, cu puteri sporite de supraveghere, control și sancționare. DNSC va menține registrul entităților esențiale și importante, va gestiona crizele cibernetice la nivel național și va acționa ca punct unic de contact la nivel european.

Și, bineînțeles, partea care atrage cea mai mare atenție: sancțiunile. 💰

• Pentru Entitățile Importante: Amenzi de până la 7.000.000 EUR sau 1,4% din cifra de afaceri globală.
• Pentru Entitățile Esențiale: Amenzi de până la 10.000.000 EUR sau 2% din cifra de afaceri globală.

Aceste amenzi sunt comparabile cu cele din regulamentul GDPR, semnalând gravitatea cu care sunt tratate aceste obligații.

Concluzie: Nu Este o Opțiune, ci o Necesitate 🚀

Transpunerea Directivei NIS 2 nu este doar o altă bifă pe lista de conformitate legislativă. Este o recunoaștere a faptului că, în secolul XXI, reziliența unei națiuni depinde direct de securitatea sa digitală.

Pentru companii, mesajul este clar: securitatea cibernetică a devenit o componentă strategică a afacerii, o responsabilitate directă a managementului și o condiție esențială pentru a opera pe piața unică europeană. Ignorarea acestei realități nu mai este doar riscantă, ci poate deveni extrem de costisitoare. Timpul pentru pregătire este ACUM.