Ordonanța de Urgență (OUG) instituie un cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil. Scopul său principal este de a asigura un nivel comun ridicat de securitate cibernetică la nivel național, răspunzând la amenințări complexe și neprevăzute, cum ar fi cele generate de conflictul ruso-ucrainean, pandemia de COVID-19, și evoluția rapidă a tehnologiilor emergente (5G, IoT, AI). Acesta include stabilirea de măsuri de gestionare a riscurilor și obligații de raportare a incidentelor pentru entitățile esențiale și importante, definirea unui cadru de cooperare la nivel național, european și internațional, și desemnarea Directoratului Național de Securitate Cibernetică (DNSC) ca autoritate competentă principală.

Clasificarea entităților în „esențiale” și „importante” este crucială deoarece stabilește nivelul de obligații și supraveghere în materie de securitate cibernetică.

Entități esențiale includ:

• Entitățile administrației publice centrale.
• Entități din sectoarele cu importanță critică ridicată (Anexa 1), identificate pe baza unor criterii specifice.
• Furnizorii de servicii DNS și registrele de nume TLD.
• Furnizorii de servicii de încredere calificați.
• Întreprinderi mari din sectoarele Anexei 1.
• Întreprinderi mijlocii care sunt furnizori de rețele publice de comunicații electronice, servicii de comunicații electronice accesibile publicului sau furnizori de servicii de securitate gestionate.

Entități importante includ:

• Entități din categoriile întreprinderilor mari și mijlocii (Anexa 1 și 2) care nu sunt identificate ca esențiale.
• Furnizorii de rețele publice de comunicații electronice și furnizorii de servicii de comunicații accesibile publicului (dacă nu sunt esențiali).
• Furnizorii de servicii de încredere (dacă nu sunt esențiali).

Această clasificare determină nivelul de rigoare al măsurilor de securitate, obligațiilor de raportare și supraveghere, reflectând impactul potențial al unui incident cibernetic.

Aplicarea OUG este ghidată de cinci principii fundamentale:

• Responsabilitate și conștientizare: efort continuu al entităților pentru atingerea unui nivel înalt de securitate cibernetică.
• Proporționalitate: măsuri adecvate nivelului de risc al entității.
• Cooperare și coordonare: schimb oportun de informații și reacție sincronizată la incidente.
• Minimizarea efectelor: evitarea extinderii efectelor unui incident.
• Interes public: prevalența interesului public în contextul securității cibernetice.

Entitățile trebuie să adopte măsuri proporționale pentru a identifica, evalua și gestiona riscurile rețelelor și sistemelor informatice, inclusiv:

• Politici/proceduri pentru analiza riscurilor și securitatea sistemelor (revizuite periodic).
• Evaluarea eficacității măsurilor de gestionare a riscurilor.
• Utilizarea criptografiei și, după caz, a criptării.
• Securitatea lanțului de aprovizionare, inclusiv furnizori direcți.
• Securitatea achiziției, dezvoltării, întreținerii și casării; managementul vulnerabilităților.
• Securitatea resurselor umane, controlul accesului și gestionarea activelor.
• Gestionarea incidentelor.
• Continuitatea activității (backup, DR, managementul crizelor).
• Igienă cibernetică și formare în securitate.
• Autentificare multi-factor/continuă și comunicații de urgență securizate.

Organele de conducere aprobă și supraveghează implementarea și urmează cursuri de formare profesională.

Entitățile raportează incidentele semnificative către CSIRT național prin PNRISC. Un incident este semnificativ dacă produce sau poate produce perturbări grave ori pierderi semnificative, sau afectează alte persoane.

Termene:

• 24h: avertizare timpurie (suspiciune acțiuni ilicite/impact transfrontalier).
• 72h: raportare incident cu evaluare inițială și indicatori (dacă disponibili).
• Raport intermediar: la cererea CSIRT național.
• Raport final: în max. 30 zile de la raportarea inițială; dacă incidentul e în curs – raport de progres și ulterior final.
• Furnizori servicii de încredere: termen 24h pentru notificare.

• Autoritate competentă și de supraveghere: strategie, norme, ghiduri.
• CSIRT Național: răspuns la incidente, sprijin și diseminare de informații.
• Gestionare crize cibernetice: prin CNGCSC, inclusiv coordonare EU-CyCLONe.
• Divulgarea vulnerabilităților: coordonator între raportori și furnizori.
• Registru al entităților: identificare și înregistrare.
• Control și sancționare: măsuri corective, audituri ad-hoc, sancțiuni.
• Cooperare: cu autorități naționale (ANCOM, BNR, ASF, etc.) și la nivel UE.

Entitățile trebuie să considere vulnerabilitățile furnizorilor direcți și calitatea produselor/practicilor acestora, inclusiv securitatea proceselor de dezvoltare. Se iau în considerare rezultatele evaluărilor coordonate ale riscurilor la nivel UE pentru lanțuri critice.

La cerere, entitățile transmit DNSC date despre furnizorii de servicii de încredere, DNS, cloud, centre de date, servicii gestionate și de securitate gestionate. DNSC poate identifica servicii/sisteme/produse TIC ce necesită evaluări de risc naționale.

OUG prevede sancțiuni pentru contravenții, aplicate de DNSC sau de autoritățile competente sectorial.

Tipuri de sancțiuni:

• Avertisment
• Amenzi contravenționale:
• Entități importante: până la 7.000.000 € sau 1,4% din cifra de afaceri pentru abateri grave; pentru altele: 1.000–300.000 lei.
• Entități esențiale: până la 10.000.000 € sau 2% din cifra de afaceri pentru abateri grave; pentru altele: 1.500–500.000 lei.
• Alte entități (registre TLD, CSIRT-uri, auditori, furnizori TIC): 1.000–100.000 lei.

Cifra de afaceri netă se referă la ultimul exercițiu financiar. Pentru entități noi/fără cifră de afaceri: între 1 și 50 salarii minime brute. Sancțiunile se individualizează după durată, antecedente, prejudicii și conduită; pentru încălcări grave amenda poate fi dublată. DNSC poate dispune măsuri suplimentare (suspendări temporare, interzicerea exercitării funcțiilor de conducere).